HPE ArcSight DNS Malware Analytics
HPE ArcSight, uveljavljeni proizvajalec SIEM rešitev namenjenih odkrivanju in zmanjševanju poslovnih tveganj, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
Predstavljata HPE ArcSight DNS Malware Analytics - rešitev za odkrivanje neznanih okužb na podlagi analize DNS prometa v omrežju.
DMA je v strežniškem oblaku bazirana storitev, katero lahko uporabljajo vsa podjetja, ne glede na to ali že imajo kako ArcSight rešitev ali ne, če pa jo že imajo, pa lahko rezultate iz DMA uvažajo v ArcSight SIEM za potrebe nadaljnje korelacije. Kaj je DMA? S primerjavo povedano - podobno kot so npr. FireEye rešitve poskus odkrivanja neznanih in novih škodljivcev s tehnologijo peskovnika oz. sandboxing, torej odkrivanje škodljive kode brez vnaprej znanih vzorcev le-te, podobno je DMA poskus odkrivanja neznanih in novih škodljivcev na podlagi analize DNS povpraševanj in odgovorov, spet brez poznavanja vzorcev. DMA spremlja promet v omrežju, analizira DNS pakete in odkriva kateri sistemi (desktop, server, prenosna naprava) so okuženi ali počnejo kaj čudnega, torej če na primer izvajajo DNS povpraševanja po znanih škodljivih strežnikih, kreirajo naključno sestavljene domene, poskušajo tunelirati kaj drugega preko DNS povpraševanj, eksfiltrirati podatke...
DMA sesavljata storitev v strežniškem oblaku in ena naprava za lokalno namestitev - DNS Capture module - ki je v bistvu 'network tap' za detekcijo DNS povpraševanje in odgovorov. Ta naprava prisluškuje omrežju, izloči vse kar se ne nanaša na DNS, potem pa z naprednimi algoritmi izloči tudi okoli 99% varnih oz. nepomembnih DNS dogodkov, preostanek pa pošlje v analizo v strežniški oblak, kjer deluje samodejna obdelava in alarmiranje, poročanje, na razpolago pa so tudi orodja za samostojno analizo oz. pregledeovanje podatkov; v ozadju te oblačne storitve deluje HP Vertica, specializirana rešitev za obdelavo masovnih podatkov.
DNS Malware Analytics lahko odkrije:
- Blacklist matching - clients infected with malware that uses blacklisted command-and-control
- (C&C) domains.
- Botnet to C&C servers - can be from the client or the domain
- Known Botnet Activity (not to C&C):
GameoverZeus, Cryptolocker, Expiro, Conficker.D, Dorkbot, Expiro, Pushdo, Ramdo, Zbot
- Unknown Botnet Activity (not to C&C)
- Malware Mash-ups
- Data Exfiltration
- Cloud platform abuse - Malware infections.
- Standard behavior and conduct violations - Forbidden domains.
- Other Research in Progress:
Beaconing
Cache Poisoning Attempts & other attacks against the DNS server itself
- ...
DMA je analitično orodje, pomeni da je namenjeno odkrivanju škodljivcev, ne more pa jih samodejno zaustaviti. Kot storitev v strežniškem oblaku se licencira na podlagi letne naročnine. Za več informacij se lahko obrnete na podjetje REAL Security.
Domača stran HPE ArcSight Analytics:
http://www8.hp.com/us/en/software-solutions/siem-big-data-security-analytics/
Avtor / prevod: Robert Lubej
Povezava do izvorne novice (napoved):
http://www8.hp.com/us/en/hp-news/press-release.html?id=2064760
### ### ###
O podjetju HPE ArcSight
Hewlett Packard Enterprise ArcSight je priznan proizvajalec uveljavljenih rešitev za upravljanje z informacijsko varnostjo in skladnostjo, SIEM rešitev, s katerimi je mogoče inteligentno odkrivati in zmanjševati poslovna tveganja v organizacijah vseh vrst in velikosti. Vse rešitve podjetja so načrtovane tako, da so primerne tudi za najbolj kompleksne in geografsko razpršene organizacije z različnimi tehnologijami, dobavitelji in tipi infrastruktur in so v osnovi razdeljene v rešitve za zbiranje, dolgotrajno hranjenje in napredno primerjanje ter obdelavo varnostnih dogodkov. HPE ArcSight je edini od proizvajalcev drugih komponent povsem neodvisni ponudnik rešitev za odkrivanje, ovrednotenje in ukrepanje proti napadom od zunaj, notranjim nevarnostim in kršitvam zahtev o skladnosti.
Leta 2000 ustanovljeno podjetje ArcSight je leta 2010 prešlo v lasti podjetja HP, ta pa se je leta 2015 razdelil na dva dela. Produktna platforma ArcSight je sedaj del enote HP Enterprise - Software, in sicer v sklopu oddelka Security.
Več o podjetju najdete na spletnih straneh: http://www8.hp.com/us/en/software-solutions/enterprise-security.html
Dodatne informacije:
Robert Lubej, projektni vodja
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74