O-STA

FireEye predstavlja napredno tehnologijo zaznavanja in zaustavljanja groženj - Threat Prevention Platform

22.4.2014

FireEye je globalni ponudnik rešitev za samodejno forenzično analiziranje napadov in dinamično zaščito pred naprednimi spletnimi grožnjami, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,

predstavljata najnaprednejše tehnologije za odkrivanje in zaustavljanje najnovejših informacijskih napadov in groženj v potencialno škodljivih datotekah ali spletnih povezavah, na sistemu elektronske pošte ali v spletnem prometu.

FireEye Threat Prevention je tehnološka platforma namenjena zaščiti celotnega informacijskega okolja podjetij in zaustavljanju najnaprednejši kibernetičnih napadov, to pa dosega na podlagi večplastnega poznavanja in obravnavana groženj ter partnerskega deljenja informacij. Za najnovejše vrste napadov, ki so dovolj sofisticirani, da se uspešno izogibajo obstoječim tradicionalnim varnostnim rešitvam, nam zagotavlja izredno hitro prepoznavanje, validacijo in učinkovito proti-ukrepanje. FireEye se ne obremenjuje s težavami varnostnih rešitev prejšnjih generacij, ta tehnologija je razvita čisto na novo posebej za namene odkrivanja najnovejših groženj, in je v bistvu dopolnilo klasičnim rešitvam kot so požarne pregrade, spletne prehodne točke, IPS ter protivirusne platforme, ki se najnovejšim zlobnežem več ne morejo uspešno zoperstavljati. Ključne komponente platforme so:

1. Multi-Vector Virtual Execution (MVX) engine - virualiziran pogon za prepoznavanje napadov brez vnaprejšnjega poznavanja napadalnih vzorcev

2. Dynamic Threat Intelligence (DTI) enterprise - večplastno zbiranje in korelacija napadov ter temelj za ekosistem partnerskega sodelovanja,

3. DTI Cloud - storitev v strežniškem oblaku za globalno deljenje podatkov o kibernetičnih grožnjah.

Multi-Vector Virtual Execution (MVX) engine

Slika 1 - FireEye Virtualized Detection Model

V srcu platforme FireEye je patentirana tehnologija za dinamično preiskovanje groženj v eni napravi z množico hkrati delujočih virtualnih naprav oz. zaprtih okolij (sandbox), v katerih se paralelno simulira obnašanje sistemov pri odpiranju datotek ali povezav. Temu pravijo tudi pogon oz. po angleško engine - MVX ali Multi-Vector Virtual Execution Engine. Le-ti izvajajo samodejno dinamično analizo potencialnih groženj brez vnaprejšnjega poznavanja njihovih vzorcev. Je generalni pogon, ki se ga lahko uporabi za več napadalnih vektorjev kot so svetovni splet, elektronska pošta ali datoteke tj. dokumenti ter arhivi. Preiskovanju oz. odpiranju ali poganjanju potencialno škodljivih vsebin v zaprtih virtualnih sistemih rečejo 'detonacija', spektakularen a kar primeren naziv. Ko MVX na podlagi detonacije 'izračuna', da je vsebina potencialno škodljiva, o tej zadevi takoj ustvari zbirko podatkov, ki vsebuje npr. sistemske spremembe, ogrožene vire, podatek o tarči napada ipd. Ta večplastna zbirka informacij je standardizirane oblike, zato si jo lahko delijo vse FireEye rešitve v nekem okolju, kar pomeni da je omogočena tudi napredna korelacija incidentov, lahko pa se deli tudi po celotnem partnerskem ekosistemu, na primer da bodo v bodoče tudi drugi takoj zaščiteni pred tovrstno škodljivo datoteko. O MVX bi se splačalo povedati še mnogo več, morda kdaj v prihodnje, do tedaj pa si lahko ogledate naslednjo spletno stran: http://www.fireeye.com/products-and-solutions/virtual-execution-engine.html.

Dynamic Threat Intelligence enterprise Threat Prevention Model

Slika 2 - Enterprise Threat Intelligence Sharing

FireEye je pripravil model za preprečevanje groženj, ki temelji na večplastnem, več-vektorskem zbiranju informacij o nevarnostih in je specifičen za eno podjetje, a hkrati globalen za celotni informacijski sistem tega podjetja. Omogoča nam zaščito pred APT nevarnostmi v celotnem njihovem življenjskem ciklu, torej zaznavanje vstopa zlorabe v sistem, prepoznavanje, preprečevanje ponovnega vstopa, zaznavanje in preprečevanje širjenja po sistemu, ter preprečevanje odtekanja podatkov v povratnih klicih. Naziv več-vektorsko pomeni v prometu elektronske pošte, svetovnega spleta in v datotečnih sistemih. Ravno s korelacijo multi-vektorskih informacij znotraj podjetja se lahko zagotovi učinkovita zaščita pred aktualnimi grožnjami, vse FireEye naprave znotraj ene namestitve si delijo odkrite informacije in jih uporabljajo za svoje potrebe. Primer - naprava za analizo spletnega prometa odkrije prenos škodljive datoteke z določenega URL naslova, katerega sporoči tudi napravi za analizo elektronske pošte, ki potem zazna neko sumljivo elektronsko pošto z tem istim URL naslovom v besedilu, zato ga namesto prejemniku raje pošlje v karanteno.

Standardizacija meta podatkov o grožnjah omogoča deljenje in fleksibilnost, učinkovitejše odkrivanje in zaustavljanje ter avtomatiziran odziv v celotni infrastrukturi. Partnerske integracije omogočajo koriščenje teh podatkov v drugih tipih rešitev drugih proizvajalcev - za preglednost sistema, preverjanje končnih točk in zagotavljanje izvajanja varnostnih pravilnikov. Današnje integracije že uporabljajo na XML zapisu temelječa FireEye opozorila z bogatim naborom informacij za različne aktivnosti kot so karanteno okuženih IP naslovov, omejevanje dostopov do vrat in protokolov katere uporabljajo škodljivi programi, ali za potrditev okužbe delovne postaje na temelju od FireEye posredovanega MD5 vzorca.

Dynamic Threat Intelligence cloud Enables Global Sharing of Threat Intelligence

FireEye Dynamic Threat Intelligence (DTI) je storitev v strežniškem oblaku, ki povezuje pri strankah nameščene FireEye naprave z napravami pri drugih strankah, s tehnološkimi partnerji in s ponudniki storitev po vsem svetu. To omogoča učinkovito deljenje podatkov o najnovejših grožnjah, podatkov ki so standardizirani in predvsem anonimizirani preden se pošljejo v svet. Stranka se sicer lahko odloči za postavitev, iz katere se informacije o arhitekturi odkritih napadov ne delijo, a le delitev podatkov z drugimi člani tega partnerstva lahko zares pripelje do maksimalne skupne stopnje varnosti. Na ta način ima namestitev pri vsakem članu tega partnerstva kolikor se le da hitro na voljo podatke o najnovejših grožnjah.

V napredne APT grožnje vpleteni akterji z nezmanjšano vnemo inovirajo, odkrivajo in izkoriščajo prefinjene zlorabe za skrivanje pred tradicionalnimi varnostnimi rešitvami. V trenutku, ko to berete, poteka na podlagi APT napadov po vsem svetu množica kraj poslovnih in osebnih podatkov, politično vohunjenje, sabotaže sistemov, korupcija podatkov in drugi nevarni scenariji.

FireEye platforma se sestoji iz naslednjih opcionalno integriranih izdelkov:

- NX - družina naprav za odkrivanje in zaustavljanje napadov preko svetovnega spleta,

- EX - družina naprav za odkrivanje in zaustavljanje napadov preko prometa elektronske pošte,

- FX - družina naprav za analizo datotek v deljenih datotečnih sistemih in odkrivanje škodljivih vsebin v njih,

- AX - družina naprav za bolj ali manj interaktivno forenzično preiskovanje potencialno škodljivih vsebin,

- HX - rešitev za spremljanje statusa in potrjevanje okužb na končnih točkah,

- CM - družina naprav centralno upravljanje večjega števila FireEye naprav.

CM naprave poskrbijo za integracijo preostalih rešitev in korelacijo podatkov oz. odkritij izvirajočih iz več naprav. V njih je združeno poročanje, konfiguracija in deljenje podatkov, centralno upravljanje vseh komponent v celotni postavitvi. Vsaka naprava se lahko poveže bodisi neposredno bodisi preko CM naprave do DTI storitve, ki omogoča globalno izmenjavo podatkov o najnovejših grožnja za učinkovito zaustavljanje najnovejših groženj ničtega dne.

Slika 3 - Global Threat Intelligence Sharing

Avtor / prevod: Robert Lubej

Povezava do izvorne novice:

http://www.fireeye.com/products-and-solutions/threat-prevention-platform.html

### ### ###

O podjetju FireEye Inc.

FireEye je globalni proizvajalec sofisticiranih varnostnih rešitev z več kot 1100 velikimi strankami iz vsega sveta vključno z več kot 100 podjetji iz seznama Fortune 500; med najbolj znanimi so Sallie Mae, Equifax, Juniper Networks, Heartland Payment Systems, San Francisco State University, Santa Barbara City College, idr.

Srce FireEye ponudbe je tehnologija izumljena v podjetju - na navideznih strojih temelječa varnostna platforma za sprotno zaščito pred najnovejšimi in najbolj sofisticiranimi grožnjami podjetjem in vladam po vsem svetu. Torej pred napadi, ki so sposobni izogniti se drugim bolj klasičnim varnostnimi rešitvam kot so požarne pregrade, IDS / IPS, protivirusne rešitve na prehodnih točkah ipd. Platforma FireEye Threat Prevention omogoča sprotno dinamično zaščito pred grožnjami brez uporabe vzorcev škodljivega prometa, pri čemer analizira in zaustavlja napade preko različnih vhodno-izhodnih poti, vključno s spletom, elektronsko pošto in datotekami, in na različnih stopnjah življenjskega cikla dolgotrajnega naprednega napada. Jedro platforme sta napredni virtualni pogon in dinamična varnostna analitika, ki skupaj omogočata prepoznavanje in blokiranje kibernetskih napadov v realnem času.

Več o podjetju najdete na spletnih straneh: http://www.fireeye.com


Dodatne informacije:
Alen Šalamun, tehnični direktor
alen.salamun@real-sec.com

REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com