FireEye (платформа)

FireEye - средство защиты от угроз, предназначено для динамического обнаружения и блокирования кибератак в режиме реального времени.

Платформа FireEye - мощное решением защиты данных от кибератак следующего поколения:

• современное вредоносное ПО,
• атаки, эксплуатирующие уязвимости «нулевого дня»,
• адресные атаки типа APT.

Модули FireEye, 2014

Платформа FireEye использует механизм поведенческого анализа потенциально опасных объектов, которые одновременно запускаются на большом количестве специальных виртуальных машин (представляющих разные версии операционной системы Windows с различными версиями прикладного ПО). Такой анализ выявляет угрозы, которые реализуются по разным векторам атак – посредством доступа пользователя к скомпрометированному сайту, по электронной почте, при файловом обмене и др. Помимо пресечения попыток вторжения в сеть компании, система FireEye анализирует исходящий сетевой трафик для обнаружения уже инфицированных узлов внутри сети, где ранее был установлен вредоносный код, получающий команды управления из сети Интернет и/или передающий в скрытом режиме наружу собранную в сети конфиденциальную информацию.Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 15.2 т

Платформа FireEye служит дополнением к традиционным и современным брандмауэрам, системам IPS, антивирусному ПО и шлюзам. Она помогает сформировать защитный каркас для интегрированной защиты следующего поколения от многовекторных угроз в интернет-среде, по электронной почте, при файловом обмене и в мобильных приложениях.

Платформа защиты от угроз FireEye отражает современные кибератаки, которые агрессивно обходят все средства защиты на основе сигнатур и подвергают опасности большинство действующих сетей.

Особенности FireEye:

• Механизм FireEye Multi-Vector Virtual Execution (MVX) помогает обнаруживать кибератаки нового поколения

• «Облако» FireEye Dynamic Threat Intelligence участвует в поиске угроз анонимного происхождения, выявленных в результате анализа по модели MVX

• Обеспечивается взаимодействие в отношении безопасности с обширной экосистемой партнеров, использующих стандартизованные метаданные вредоносного ПО и прикладные программные интерфейсы FireEye

FireEye – полное семейство программно-аппаратных комплексов и сервисов, разработанных для борьбы с современными угрозами в Интернете и электронной почте, с резидентным вредоносным ПО на общих файловых ресурсах и в мобильных приложениях нового времени.

ПАК FireEye, 2014

В составе платформы:

• Система веб-защиты от вредоносных программ Web Malware Protection System – решение для веб-безопасности, предназначенное для борьбы с современными атаками, возникающими при просмотре веб-сайтов или при переходе по URL-ссылкам, содержащимся в сообщениях электронной почты.

• Система защиты электронной почты от вредоносных программ Email Malware Protection System – решение для безопасности электронной почты, предназначенное для защиты от современных атак, таких как целевой фишинг.

• Система защиты файлов от вредоносных программ File Malware Protection System – решение для безопасности файлов, предназначенное для обнаружения и уничтожения резидентного вредоносного ПО на общих файловых ресурсах.

• Система экспертного анализа Malware Analysis System – решение для автоматизированного экспертного анализа вредоносного ПО.

• Центральная система управления Central Management System – решение для локального обмена данными об угрозах в режиме реального времени и унифицированного управления развертыванием корпоративного ПО.

• Облачное решение для динамического анализа угроз Dynamic Threat Intelligence – решение для глобального обмена данными анализа угроз в режиме реального времени для снижения опасности современных атак.

История

2015: 666 - критическая уязвимость FireEye

16 декабря 2015 Securitylab сообщила со ссылкой на команду Google Project Zero о наличии в продуктах FireEye критической уязвимости^[1].

Брешь позволяет скомпрометировать внутренние сети посредством одного электронного сообщения.

Исследователи из команды Google Project Zero Тэвис Орманди (Tavis Ormandy) и Натали Силванович (Natalie Silvanovich) обнаружили критическую уязвимость в устройствах FireEye. Брешь позволяет злоумышленникам взламывать корпоративные сети с помощью специально сформированных сообщений электронной почты.

Ошибка получила название «666» в честь присвоенного порядкового номера. Проблема существует из-за ошибки в модуле пассивного мониторинга и затрагивает устройства FireEye NX, FX, AX и EX.

Устройства FireEye устанавливаются во внутреннюю сеть организации и проводят пассивное наблюдение за всем трафиком. Все операции по передаче файлов (например, по FTP или электронной почте) контролируются – в рамках мониторинга передаваемые файлы открываются и проверяются на предмет вредоносного ПО. Если пользователь получит письмо с вредоносным вложением, система мониторинга попытается проверить полученные файлы и будет инфицирована. Злоумышленник может получить доступ к корпоративной сети.

Уязвимость может быть эксплуатирована на устройствах с заводскими настройками. FireEye выпустила исправления для FireEye NX, FX и AX. В связи со сложившимися обстоятельствами техническая поддержка оказывается всем клиентам, включая пользователей с истекшими контрактами на обслуживание.

В сетях с зараженными устройствами злоумышленники могут похищать конфиденциальную информацию, перехватывать либо перенаправлять трафик, устанавливать руткиты или самораспространяющиеся сетевые черви.

FireEye EX

FireEye EX – решение для защиты организации от направленных фишинговых почтовых атак, которые обходят репутационные и антиспам-технологии. Атаки направленного фишинга используют методы социальной инженерии для создания правдоподобных сообщений, которые заставляют пользователя перейти по ссылке или открыть вложение, что в последствии дает возможность киберпреступнику получить контроль над системой.

Для отправки в карантин сообщений направленного фишинга, которые используются при организации продвинутых направленных атак, EX производит анализ каждого вложения, используя безсигнатурную технологию Multi-Vector Virtual Execution (MVX), которая безопасно и точно обнаруживает атаки нулевого дня. EX не использует сигнатуры или репутационные базы, а «детонирует» каждое вложение на перекрестной матрице операционных систем, приложений включая всевозможные веб-браузеры и плагины, такие как Adobe Reader и Flash. Администратор может отправить вредоносное сообщение в карантин или вовсе удалить его.

Представление о работе устройства FireEye NX, (2014)

В связи с тем, что APT атаки в своей мульти-векторной стратегии проникновения в сеть жертвы часто используют направленный фишинг, EX часто используется совместно с решением по защите сети от Web атак (FireEye NX), а так же консолью централизованного управления (FireEye CM). При таком сценарии развертывания, клиент получает не только защиту от вредоносных URL в режиме реального времени но и возможность отследить взаимосвязь при смешанных атаках.

Возможности:

• Установка до 60 минут – Разворачивается как MTA, SPAN устройство или BCC место назначение, In-Line (блокировка\мониторинг), out-of-band (только мониторинг)
• Карантин сообщений с Zero-day угрозами в режиме реального времени – использование технологии FireEye MVX позволяет блокировать продвинутые направленные атаки (ATA) проникающие через зараженные изображения, PDF файлы, Flash или ZIP/RAR/TNEF архивы
• Интеграция с NX для остановки смешанных атак – отправка в карантин сообщений с зараженными URL и отслеживание веб-атаки, источником которой является письмо направленного фишинга
• Усиление контроля существующей почтовой инфраструктуры – многоуровневый, динамический анализ вредоносных программ и вложений устраняет недостатки статического сигнатурного метода обнаружения угроз антиспам и антивирусных шлюзов
• Динамическое создание профилей угроз – FireEye EX осуществляет захват координат callback и характеристик коммуникаций для защиты локальной сети, а так же распространяет их глобально посредством облачной службы DTI
• Поддержка YARA-правил – позволяет аналитикам безопасности настроить правила на байтовом уровне, и обеспечить быстрый и эффективный анализ объектов электронных сообщений на предмет угроз специфических для вашей организации
• Интеграция с AV-Suite – вредоносные объекты, которые обнаруживаются антивирусными решениями могут быть отправлены для более глубокого анализа для более точной приоритезации отклика на инцидент

Примечания