Разработчики: | FireEye |
Дата последнего релиза: | 2014/12/15 |
Технологии: | ИБ - Антивирусы, ИБ - Антиспам, ИБ - Межсетевые экраны |
Содержание |
FireEye - средство защиты от угроз, предназначено для динамического обнаружения и блокирования кибератак в режиме реального времени.
Платформа FireEye - мощное решением защиты данных от кибератак следующего поколения:
- современное вредоносное ПО,
- атаки, эксплуатирующие уязвимости «нулевого дня»,
- адресные атаки типа APT.
Модули FireEye, 2014
Платформа FireEye использует механизм поведенческого анализа потенциально опасных объектов, которые одновременно запускаются на большом количестве специальных виртуальных машин (представляющих разные версии операционной системы Windows с различными версиями прикладного ПО). Такой анализ выявляет угрозы, которые реализуются по разным векторам атак – посредством доступа пользователя к скомпрометированному сайту, по электронной почте, при файловом обмене и др. Помимо пресечения попыток вторжения в сеть компании, система FireEye анализирует исходящий сетевой трафик для обнаружения уже инфицированных узлов внутри сети, где ранее был установлен вредоносный код, получающий команды управления из сети Интернет и/или передающий в скрытом режиме наружу собранную в сети конфиденциальную информацию.Михаил Садиров, SMART technologies: На тестирование мультивендорных решений есть спрос
Платформа FireEye служит дополнением к традиционным и современным брандмауэрам, системам IPS, антивирусному ПО и шлюзам. Она помогает сформировать защитный каркас для интегрированной защиты следующего поколения от многовекторных угроз в интернет-среде, по электронной почте, при файловом обмене и в мобильных приложениях.
Платформа защиты от угроз FireEye отражает современные кибератаки, которые агрессивно обходят все средства защиты на основе сигнатур и подвергают опасности большинство действующих сетей.
Особенности FireEye:
- Механизм FireEye Multi-Vector Virtual Execution (MVX) помогает обнаруживать кибератаки нового поколения
- «Облако» FireEye Dynamic Threat Intelligence участвует в поиске угроз анонимного происхождения, выявленных в результате анализа по модели MVX
- Обеспечивается взаимодействие в отношении безопасности с обширной экосистемой партнеров, использующих стандартизованные метаданные вредоносного ПО и прикладные программные интерфейсы FireEye
FireEye – полное семейство программно-аппаратных комплексов и сервисов, разработанных для борьбы с современными угрозами в Интернете и электронной почте, с резидентным вредоносным ПО на общих файловых ресурсах и в мобильных приложениях нового времени.
ПАК FireEye, 2014
В составе платформы:
- Система веб-защиты от вредоносных программ Web Malware Protection System – решение для веб-безопасности, предназначенное для борьбы с современными атаками, возникающими при просмотре веб-сайтов или при переходе по URL-ссылкам, содержащимся в сообщениях электронной почты.
- Система защиты электронной почты от вредоносных программ Email Malware Protection System – решение для безопасности электронной почты, предназначенное для защиты от современных атак, таких как целевой фишинг.
- Система защиты файлов от вредоносных программ File Malware Protection System – решение для безопасности файлов, предназначенное для обнаружения и уничтожения резидентного вредоносного ПО на общих файловых ресурсах.
- Система экспертного анализа Malware Analysis System – решение для автоматизированного экспертного анализа вредоносного ПО.
- Центральная система управления Central Management System – решение для локального обмена данными об угрозах в режиме реального времени и унифицированного управления развертыванием корпоративного ПО.
- Облачное решение для динамического анализа угроз Dynamic Threat Intelligence – решение для глобального обмена данными анализа угроз в режиме реального времени для снижения опасности современных атак.
История
2015: 666 - критическая уязвимость FireEye
16 декабря 2015 Securitylab сообщила со ссылкой на команду Google Project Zero о наличии в продуктах FireEye критической уязвимости[1].
Брешь позволяет скомпрометировать внутренние сети посредством одного электронного сообщения.
Исследователи из команды Google Project Zero Тэвис Орманди (Tavis Ormandy) и Натали Силванович (Natalie Silvanovich) обнаружили критическую уязвимость в устройствах FireEye. Брешь позволяет злоумышленникам взламывать корпоративные сети с помощью специально сформированных сообщений электронной почты.
Ошибка получила название «666» в честь присвоенного порядкового номера. Проблема существует из-за ошибки в модуле пассивного мониторинга и затрагивает устройства FireEye NX, FX, AX и EX.
Устройства FireEye устанавливаются во внутреннюю сеть организации и проводят пассивное наблюдение за всем трафиком. Все операции по передаче файлов (например, по FTP или электронной почте) контролируются – в рамках мониторинга передаваемые файлы открываются и проверяются на предмет вредоносного ПО. Если пользователь получит письмо с вредоносным вложением, система мониторинга попытается проверить полученные файлы и будет инфицирована. Злоумышленник может получить доступ к корпоративной сети.
Уязвимость может быть эксплуатирована на устройствах с заводскими настройками. FireEye выпустила исправления для FireEye NX, FX и AX. В связи со сложившимися обстоятельствами техническая поддержка оказывается всем клиентам, включая пользователей с истекшими контрактами на обслуживание.
В сетях с зараженными устройствами злоумышленники могут похищать конфиденциальную информацию, перехватывать либо перенаправлять трафик, устанавливать руткиты или самораспространяющиеся сетевые черви.
FireEye EX
FireEye EX – решение для защиты организации от направленных фишинговых почтовых атак, которые обходят репутационные и антиспам-технологии. Атаки направленного фишинга используют методы социальной инженерии для создания правдоподобных сообщений, которые заставляют пользователя перейти по ссылке или открыть вложение, что в последствии дает возможность киберпреступнику получить контроль над системой.
Для отправки в карантин сообщений направленного фишинга, которые используются при организации продвинутых направленных атак, EX производит анализ каждого вложения, используя безсигнатурную технологию Multi-Vector Virtual Execution (MVX), которая безопасно и точно обнаруживает атаки нулевого дня. EX не использует сигнатуры или репутационные базы, а «детонирует» каждое вложение на перекрестной матрице операционных систем, приложений включая всевозможные веб-браузеры и плагины, такие как Adobe Reader и Flash. Администратор может отправить вредоносное сообщение в карантин или вовсе удалить его.
В связи с тем, что APT атаки в своей мульти-векторной стратегии проникновения в сеть жертвы часто используют направленный фишинг, EX часто используется совместно с решением по защите сети от Web атак (FireEye NX), а так же консолью централизованного управления (FireEye CM). При таком сценарии развертывания, клиент получает не только защиту от вредоносных URL в режиме реального времени но и возможность отследить взаимосвязь при смешанных атаках.
Возможности:
- Установка до 60 минут – Разворачивается как MTA, SPAN устройство или BCC место назначение, In-Line (блокировка\мониторинг), out-of-band (только мониторинг)
- Карантин сообщений с Zero-day угрозами в режиме реального времени – использование технологии FireEye MVX позволяет блокировать продвинутые направленные атаки (ATA) проникающие через зараженные изображения, PDF файлы, Flash или ZIP/RAR/TNEF архивы
- Интеграция с NX для остановки смешанных атак – отправка в карантин сообщений с зараженными URL и отслеживание веб-атаки, источником которой является письмо направленного фишинга
- Усиление контроля существующей почтовой инфраструктуры – многоуровневый, динамический анализ вредоносных программ и вложений устраняет недостатки статического сигнатурного метода обнаружения угроз антиспам и антивирусных шлюзов
- Динамическое создание профилей угроз – FireEye EX осуществляет захват координат callback и характеристик коммуникаций для защиты локальной сети, а так же распространяет их глобально посредством облачной службы DTI
- Поддержка YARA-правил – позволяет аналитикам безопасности настроить правила на байтовом уровне, и обеспечить быстрый и эффективный анализ объектов электронных сообщений на предмет угроз специфических для вашей организации
- Интеграция с AV-Suite – вредоносные объекты, которые обнаруживаются антивирусными решениями могут быть отправлены для более глубокого анализа для более точной приоритезации отклика на инцидент
Примечания
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Абсолют Банк | ДиалогНаука, Forcepoint (ранее Websense) | 2016.09 | |
- Т-Банк (Тинькофф Банк) | ДиалогНаука | 2015.08 | |
- Ростелеком | ДиалогНаука | 2015.05 |
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1203)
Смарт-Софт (Smart-Soft) (5)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
TUV Austria (2)
Сторм системс (StormWall) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (720, 500)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
Check Point Software Technologies (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Вебмониторэкс (ранее WebmonitorX) (1, 2)
Другие (7, 8)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 673
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
Другие 16
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (203)
ESET (ИСЕТ Софтвеа) (118)
Лаборатория Касперского (Kaspersky) (78)
Инфосистемы Джет (55)
ДиалогНаука (51)
Другие (900)
Национальный аттестационный центр (НАЦ) (4)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (53)
А-Реал Консалтинг (3)
Лаборатория Касперского (Kaspersky) (2)
TUV Austria (2)
Wone IT (Ван Ай Ти Трейд, ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (40)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (42, 368)
ESET (ИСЕТ Софтвеа) (21, 141)
Доктор Веб (Dr.Web) (17, 61)
UserGate, Юзергейт (ранее Entensys) (3, 19)
Fortinet (11, 15)
Другие (368, 140)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Лаборатория Касперского (Kaspersky) (2, 3)
Fortinet (2, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (3, 3)
Лаборатория Касперского (Kaspersky) (4, 5)
А-Реал Консалтинг (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
UserGate, Юзергейт (ранее Entensys) (1, 1)
R-Vision (Р-Вижн) (1, 1)
Другие (1, 1)
Лаборатория Касперского (Kaspersky) (2, 4)
UserGate, Юзергейт (ранее Entensys) (1, 4)
CloudLinux (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (0, 0)
UserGate, Юзергейт (ранее Entensys) (1, 3)
Лаборатория Касперского (Kaspersky) (2, 2)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Business Space Security - 87
Kaspersky Endpoint Security - 82
Kaspersky Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Другие 433
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Trend Micro: Deep Discovery - 2
Kaspersky Industrial CyberSecurity (KICS) - 2
Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
FortiGate - 1
Другие 5
Kaspersky Endpoint Security - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Kaspersky ASAP Automated Security Awareness Platform - 1
UserGate Proxy & Firewall - 1
Kaspersky Industrial CyberSecurity (KICS) - 1
Другие 3