FireEye Email Threat Prevention (ETP) Cloud
FireEye je globalni ponudnik rešitev za samodejno forenzično analiziranje napadov in dinamično zaščito pred naprednimi spletnimi grožnjami, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
svetujeta...
Danes si poglejmo FireEye opcijo zaščite elektronske pošte kot storitev v strežniškem oblaku. FireEye ETP Cloud je popolna varnostna storitev zaščite sporočil elektronske pošte, vključujoč:
- FireEye MVX analizo za odkrivanje novih še neznanih naprednih napadov,
- klasične antivirus / antispam storitve,
- analizo sporočilom prilepljenih objektov,
- odkrivanje znanih škodljivih URL povezav v telesu sporočila,
- opcionalno dinamično analiza URL povezav,
- inteligentno iskanje gesel v telesu sporočila s prilepljenim z geslom zaščitenim arhivom,
- karanteno z skupinskim ali posameznim sproščanjem ali brisanjem sporočil,
- funkcionalnosti za ponudnik upravljanih storitev (MSSP),
- korelacijo alarmov z napravo za zaščito spletnega prometa FireEye NX,
-
ter praktično vse drugo, kar bomo potrebovali.
No, kaj bomo uporabljali, kako bo storitev delovala in kakšna bo arhitektura rešitve, vse to pa je odvisno od strankine trenutne arhitekture, potreb, želj, ter seveda - licence. Bistveno je da, ker se gre za v strežniškem oblaku nameščeno storitev, ni nobene potrebe po nameščanju kakršne koli programske ali strojne opreme na lokaciji stranke, razen na njeno izrecno željo po taki vrsti arhitekture.
Licenčne opcije storitve FireEye ETP Cloud
Uporabniki se lahko odločijo za tri obsege te storitve, pravzaprav "prostovoljno" bistvu za dva, tretjo opcijo pa lahko uporabijo tisti, ki že imajo pri sebi nameščeno napravo FireEye EX.
1. ETP Cloud brez antivirus / antispam funkcionalnosti: strežniška rešitev v tem primeru deluje enako kot naprava za zaščito elektronske pošte pred naprednimi napadi in nevarnostmi FireEye EX, gre se torej za detekcijo ATP napadov v sporočilih elektronske pošte ter predvsem v sporočilom prilepljenih datotekah na podlagi MVX analize v virtualnih napravah (sandbox) v strežniškem oblaku.
2. ETP Cloud vključujoč antivirus / antispam funkcionalnost: to je popolna varnostna rešitev za zaščito elektronske pošte, ki vključuje tako napredno detekcijo s pomočjo MVX (sandbox), kakor tudi klasične antivirus / antispam storitve na podlagi vzorcev, slovesa, črnih ali belih seznamov ter drugih klasičnih tehnologij.
3. Lokalne nameščena EX naprava v kombinaciji z ETP antivirus / antispam: tudi to je popolna varnostna rešitev za zaščito elektronske pošte, le da za organizacije, ki že imajo FireEye EX. V tem primeru bo za MVX (sandbox) analizo skrbel lokalni EX, strežniški oblak pa za klasično antivirus / antispam funkcionalnost, katere EX seveda ne podpira.
Obratovanje in funkcionalnost rešitve pa sta seveda odvisni tudi od tega kako jo integriramo s svojo obstoječo lokalno ali oblačno infrastrukturo.
Opcije tehnične umestitve FireEye ETP Cloud v strankino okolje
Te opcije se seveda nekoliko pokrivajo z licenčnimi opcijami, na voljo imamo BCC umestitev, inline umestitev, ter integracijo z obstoječo napravo FireEye EX.
1. BCC: strankin obstoječ poštni posrednik MTA (Mail Transfer Agent) posreduje e-poštna sporočila na cilj tako kot doslej, hkrati pa se ga konfigurira tako, da še posreduje eno kopijo vsakega e-poštnega sporočila v ETP Cloud. V tem primeru bo seveda vsako sporočilo vedno prispelo na svoj cilj do naslovnika(-ov), ne glede na to ali je okuženo ali na nek način nevarno, ali ne. Storitev torej izvaja predvsem detekcijo naprednih nevarnosti, ni pa mogoče na tak način blokirati sporočil oz. jih dajati v karanteno. V tej postavitvi je priporočljivo, da ima stranka vsaj svoj lasten antivirus / antispam, FireEye pravzaprav tukaj sploh ne bo odobril naročnine na to vrsto funkcionalnosti, saj bi stranka dobila napačen občutek varnosti; BCC postavitev se torej izvaja predvsem zaradi MVX analize oz. sandboxing detekcije naprednih napadov, je oddaljen nadomestek naprave FireEye EX. V primeru zaznanega škodljivega sporočila dobijo administratorji oz. uporabniki storitve alarm, na podlagi katerega lahko ustrezno ukrepajo.
Druga opcija je da se v ETP Cloud sporočila posredujejo iz kake strežniške e-poštne storitve, ki jo koristi stranka, na primer Google ali Office 365, ETP Cloud podpira več integracij.
Tretja opcija je za stranke, ki uporabljajo kako strežniško oblačno storitev antivirus / antispam, tudi v tem primeru lahko koristijo FireEye ETP Cloud postavitev tipa BCC.
2. Inline: V tem primeru gre vsako sporočilo vedno tudi skozi FireEye ETP Cloud, preden pride do naslovnika. Zato je v tem primeru mogoče učinkovito blokirati škodljiva sporočila oz. jih dajati v karanteno. Da je to mogoče je treba spremeniti MX zapis (MX record) v DNS podatkih stranke, to je podatek, ki vsakemu pošiljatelju določa kje je dejanski cilj sporočila. ETP Cloud pa bo poskrbel za pošiljanje legitimnih sporočil do strankinega MTA. V tem primeru lahko stranka naroči tudi opcijsko klasično antivirus / antispam storitev in tudi tako okužena ali neželena sporočila bodo uspešno zaustavljena.
Stranke, ki že imajo klasično antivirus / antispam storitev, pa lahko le-to prekonfigurirajo tako da bo pošiljala vsa sporočila v ETP Cloud kjer se naredi MVX sandboxing detekcija, potem pa se legitimna sporočila spet posredujejo do strankinega MTA.
3. Integracija z lokalnim FireEye EX: to opcijo je dejansko tretja licenčna opcija. MVX analiza se izvaja lokalno, v oblaku pa samo antivirus / antispam. Vsako sporočilo gre najprej v ETP Cloud in šele nato (če je legitimno) do lokalnega MTA oziroma lokalnega FireEye EX-a, pomeni da mora tudi tukaj biti strankin MX zapis ustrezno spremenjen.
Alarmi, karantena in obratovalna poročila
Alarme, karanteno in poročila imamo v seveda v strežniškem oblaku, saj je upravljanje storitve dostopno preko spletnega uporabniškega vmesnika (GUI). No, v primeru, da uporabljamo kako kombinacijo storitve FireEye ETP Cloud z lokalno nameščeno napravo FireEye EX, bo del poročil in administracije seveda na lokalni napravi, del pa v oblaku. Alarmi o nevarnih sporočilih lahko pridejo do administratorjev in uporabnikov tudi po e-pošti.
Osnovna stran spletnega vmesnika je generalna preglednica ali Dashboard, ki omogoča pregled delovanja storitve za zadnjih 1 / 7 / 30 dni, seznam zadnjih 5 alarmov, ter statistiko - graf zaznanih groženj, graf vhodnega / izhodnega e-poštnega prometa, seznam najbolj 'škodljivih' pošiljateljev in najbolj 'napadenih' naslovnikov, seznam spam pravilnikov na podlagi katerih je storitev zaznala največ neprimernih sporočil, ipd.
Iz seznama alarmov lahko seveda pridemo do podrobnosti o vsakem alarmu in pripadajočem sporočilu, z osnovnimi podatki samega sporočila ter najbolj zanimivo oznako Hygiene, ki nam pove ali je bil alarm sprožen na primer zaradi MVX analize ali zaradi klasičnih antispam / antivirus pravilnikov - PV (policy violation) / S (spam) / V (virus) / T (threat - edini iz MVX). Zraven so seveda detajlno poročilo o analizi ter opcije za sprostitev ali brisanje sporočila, ki je krivec za alarm, in še nekaj drugih opcij.
V podrobnostih alarma lahko na primer vidimo:
- Analysis report - splošne informacije, povezava za prenos prilepljene škodljive kode;
- Detected malware communications - daje nam, podobno kot v napravah za MVX analizo, podatke o tem kako poskuša škodljiva vsebina dostopati do ali komunicirati z zlonamernimi strežniki v svetovnem spletu;
- Operating System Changes - rezultati MVX analize nam dajejo podrobne informacije o tem kako škodljiva koda spreminja sam operacijski in / ali datotečni sistem, podobno kot v fizičnih FireEye napravah, pomeni da lahko na primer vidimo kako spreminja Okenski Register, procese, delovni pomnilnik ali kreira zagonske datoteke;
- Prenesemo sporočilo v tekstovni obliki;
- Snamemo celotni povzetek incidenta oz. 'Case File'.
Karantena - omogoča obdelavo več sporočil hkrati. E-poštna sporočila, ki so zaznana kot škodljiva, gredo v ustrezni licenčni / postavitveni opciji v karanteno, preden bi lahko prišla do naslovnika in m škodovala. Karantena nam, seveda poleg ponovnega pregleda vseh podrobnosti o posameznem incidentu, omogoča tudi skupinsko sproščanje in brisanje več sporočil hkrati, če se le nahajajo v njej 90 dni ali manj.
Poročila - vsebujejo informacije o obratovanju storitve za določeno časovno obdobje, obstajajo tudi dnevni povzetki, ki pa spadajo bolj v področje upravljanja storitve.
Funkcija 'Email Trace' omogoča enostavno iskanje sporočil po pošiljatelju, prejemniku, ali temi (subject).
Upravljanje strežniške storitve FireEye ETP Cloud
Tudi za upravljanje storitve upravljamo že zgoraj omenjeni spletni uporabniški vmesniki GUI. Kot prvo je pomembno vedeti, da za dostop do vmesnika ločujemo med administratorskimi in uporabniškimi računi. Administratorji imajo dostop do vseh delov portala in so tudi prejemniki alarmov ter vseh vrst dnevnih povzetkov in morebitnih poročil. Tudi uporabniki lahko prejmejo alarme in dnevne povzetke, imajo pa nekoliko omejen dostop do spletnega portala, kar je seveda odvisno od nastavitev, a vseeno lahko dostopajo predvsem do karantene in nekaterih strani za prilagajanje posebnih pravilnikov delovanja storitve. Ta delitev pomeni, da lahko storitev FireEye ETP Cloud svojim naročnikom ponudijo tudi podjetja, ki so ponudniki upravljanih varnostnih storitev (MSSP - Managed Security Services Provider). V tem primeru ponudnik dostopa do vseh podrobnosti, naročnik pa ima vseeno dostop do nekaterih podatkov, ni pa se mu treba ubadati s kompleksnejšimi zadevami.
Kot zanimivost - v delih nastavitev, kjer določimo obratovanje storitve za posamezne e-poštne domene, lahko opredelimo tudi, ali naročnik uporablja na tisti domeni kakšno klasično oz. konkurenčno antivirus / antispam rešitev. S pomočjo tega lahko kasneje pri vsakem alarmu ali blokiranem sporočilu, katerega je zaznala storitev FireEye ETP Cloud, dobimo informacijo, ali bi tudi ta klasična rešitev pravočasno prepoznala to nevarnost, ali pa bi jo spustila skozi in bi to pomenilo ogroženost strankinega informacijskega sistema.
Avtor / prevod: Robert Lubej
Povezava do domače strani:
### ### ###
O podjetju FireEye Inc.
FireEye je globalni proizvajalec sofisticiranih varnostnih rešitev z več kot 1100 velikimi strankami iz vsega sveta vključno z več kot 100 podjetji iz seznama Fortune 500; med najbolj znanimi so Sallie Mae, Equifax, Juniper Networks, Heartland Payment Systems, San Francisco State University, Santa Barbara City College, idr.
Srce FireEye ponudbe je tehnologija izumljena v podjetju - na navideznih strojih temelječa varnostna platforma za sprotno zaščito pred najnovejšimi in najbolj sofisticiranimi grožnjami podjetjem in vladam po vsem svetu. Torej pred napadi, ki so sposobni izogniti se drugim bolj klasičnim varnostnimi rešitvam kot so požarne pregrade, IDS / IPS, protivirusne rešitve na prehodnih točkah ipd. Platforma FireEye Threat Prevention omogoča sprotno dinamično zaščito pred grožnjami brez uporabe vzorcev škodljivega prometa, pri čemer analizira in zaustavlja napade preko različnih vhodno-izhodnih poti, vključno s spletom, elektronsko pošto in datotekami, in na različnih stopnjah življenjskega cikla dolgotrajnega naprednega napada. Jedro platforme sta napredni virtualni pogon in dinamična varnostna analitika, ki skupaj omogočata prepoznavanje in blokiranje kibernetskih napadov v realnem času.
Več o podjetju najdete na spletnih straneh: http://www.fireeye.com
Dodatne informacije:
Robert Lubej, projektni vodja
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74