Технологии AMP Threat Grid применены в системе Tripwire Enterprise

Технологии AMP Threat Grid применены в системе Tripwire Enterprise

Нынешний ландшафт угроз заметно сложнее, чем прошлогодний. Разумно предположить, что в следующем году ситуация ухудшится еще больше. Киберпреступность приобрела черты настоящей отрасли промышленности, создав новый тип злоумышленника: теперь это специалист, отличающийся высоким уровнем профессионализма, предпринимательским подходом к делу и технической оснащенностью.

В прошлом году актуальной и всеми желанной новой технологией борьбы с киберугрозами стал динамический анализ вредоносного кода с использованием изолированных сред, т.н. «песочниц». В течение какого-то времени основным решением для борьбы с вредоносным ПО считались антивирусы, но не вызывает сомнений, что в конечном счете ту же роль будут играть технологии изолированных сред-«песочниц», способные защищать от усовершенствованного вредоносного кода.

Решения, использующее технологии изолированных сред, доступны уже несколько лет, но современный анализ вредоносного кода уже вышел за рамки классических «песочниц», которые просто извлекают подозрительные образцы, изучают их в локальной виртуальной машине и при необходимости помещают в карантин. Чтобы бороться с самыми современными угрозами, умеющими успешно противодействовать средствам защиты и уклоняться от обнаружения, необходимы более надежные инструменты для анализа вредоносного кода, которые встраиваются в инфраструктуру и обеспечивают непрерывный контроль за безопасностью.

Компания Tripwire недавно стала партнером Cisco и интегрировала в свое решение Tripwire Enterprise ряд технологий AMP Threat Grid для динамического анализа вредоносного кода. Почему выбор пал именно на Cisco? Тщательный анализ, проведенный компанией Tripwire, выявил ряд ключевых преимуществ AMP Threat Grid над аналогичными решениями.

Во-первых, AMP Threat Grid не ограничивается только динамическим анализом вредоносного кода, обеспечивая еще и статический анализ. Кроме того, полная подписка дает возможность использовать специальный API-интерфейс, позволяющий получать контекстуальную аналитическую информацию об угрозах и передавать ее в имеющиеся системы информационной безопасности.

Во-вторых, количество высококлассных специалистов по информационной безопасности невелико, а если говорить совсем откровенно, их очень мало. AMP Threat Grid предоставляет технологию Threat Score, при помощи которой даже младшие сотрудники служб безопасности могут уверенно определять, насколько вредоносен тот или иной образец. Индикаторы поведения вредоносного кода написаны простым, доступным языком, наглядно показывая, что именно делает файл и почему его поведение нужно считать допустимым, подозрительным или вредоносным.

В-третьих, тщательно выбранный инструментарий. В частности, при разработке AMP Threat Grid не использовались внутренние инструменты виртуальных машин. Большинство специалистов едины во мнении, что около 40% современного вредоносного ПО тщательно изучает окружающую среду (к примеру, данные о возрасте операционной системы), чтобы убедиться в отсутствии изолированной среды — «песочницы», перед тем, как начать свою деятельность.

Существует три основных подхода к внедрению средств для анализа вредоносного кода:

  1. Отдельное решение, самостоятельно отбирающее и анализирующее образцы без взаимодействия с другими системами. Такой подход наиболее гибок в развертывании, но отличается строгими требованиями к производительности оборудования и, кроме того, довольно сложен в управлении и эксплуатации, особенно, в условиях распределенных сред.
  2. Системы с распределенными сенсорами сбора данных, например, межсетевые экраны, системы предотвращения вторжений (IPS) или  универсальные шлюзы безопасности (UTM), оборудованные технологиями изолированных сред-«песочниц». Такие решения, как правило, имеют адекватную стоимость и легко внедряются, однако они менее эффективны в обнаружении многих подозрительных объектов, включая файлы, передающиеся через Интернет. Кроме того, работа решений такого типа может сопровождаться ограничением полосы пропускания, и тогда единственным выходом становится использование облачных решений, из-за чего может пострадать как сетевая производительность, так и обеспечение конфиденциальности.
  3. Шлюзы безопасности данных, например интернет-шлюзы или почтовые шлюзы. Этот подход тоже отличается адекватной стоимостью, но ориентирован, в первую очередь, на безопасность почтовых и интернет-каналов, а кроме того, тоже может сопровождаться ограничениями производительности и проблемами с обеспечением конфиденциальности.

Поскольку система Tripwire осуществляет наблюдение и сбор данных на критически важных системах, перечисленные подходы кажутся неэффективными. Существует четвертый способ, который не только объединяет наилучшие черты предыдущих трех, но и дополнительно улучшает возможности противодействия постоянно совершенствующимся кибератакам: Cisco AMP Threat Grid. Благодаря технологиям AMP Threat Grid компания Cisco предоставляет возможности для анализа усовершенствованного вредоносного кода, а также аналитическую информацию об угрозах. В то же время интеграция с решением Tripwire Enterprise обеспечивает не только улучшенный контроль за тем, что происходит в вычислительной среде заказчика, но и более эффективную окупаемость инвестиций.

Благодаря интеграции технологий AMP Threat Grid в решение Tripwire Enterprise организации получили как возможности статического и динамического анализа, способствующего лучшему пониманию фронта актуальных угроз, так и средства автоматизации использования аналитической информации об угрозах в своих системах безопасности. Как же осуществляется эта интеграция?

Контекстно-ориентированная система аналитической защиты AMP Threat Grid в статическом и динамическом режиме анализирует все исследуемые файлы, запускает объекты в безопасной изолированной среде, изучает поведение образцов и сопоставляет результаты с сотнями миллионов аналогичных случаев, проанализированных ранее. Менее чем за 10 минут AMP Threat Grid присылает обратно детальный отчет, и решение Tripwire Enterprise определяет исследуемый файл в соответствии с результатами. Таким образом, решение Tripwire Enterprise дает заказчикам возможность приоритизировать действия для изменений на системах с выявленными при помощи AMP Threat Grid угрозами, а также незамедлительно начинать работу над быстрым восстановлением. 

AMP Threat Grid не только анализирует широкий спектр потенциально опасных объектов, но еще и предоставляет своим подписчикам подробную аналитическую информацию с учетом контекста. При помощи более чем 350 индикаторов поведения угроз и базы знаний вредоносного кода, базирующейся на данных со всего мира, AMP Threat Grid обеспечивает более точную, чем когда бы то ни было ранее, контекстно-ориентированную аналитику вредоносного ПО. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Александр Осипов занял пост директора по продуктовому портфелю RED Security

RED Security объявила о назначении Александра Осипова директором по продуктовому портфелю компании. Александр Осипов обладает более чем 10-летним опытом работы в отрасли информационных технологий и кибербезопасности.

До прихода в RED Security он пять лет возглавлял направление облачных и инфраструктурных решений оператора «Мегафон».

Александр Осипов начал карьеру в ИТ в 2013 году. Он начал с позиции менеджера по маркетингу российского провайдера облачных сервисов NGENIX. Затем участвовал в запуске и развитии ИТ- и ИБ-сервисов NGENIX.

В 2017 году Александр перешел в «Мегафон», где начал заниматься развитием платформенных решений для корпоративного бизнеса. В «Мегафоне» Осипов начинал с должности специалиста по продуктам в сфере сетевых технологий и кибербезопасности, а покинул компанию директором по облачным и инфраструктурным решениям.

В этой роли Александр отвечал за продуктовую стратегию «Мегафона» в сегментах облачных продуктов, сервисов кибербезопасности, сетевых и IoT-решений для коммерческого и государственного сектора.

Под руководством Александра Осипова в «Мегафоне» были успешно запущены и выведены на как минимум безубыточность платформа «МегаФон Облако», сервисы центра мониторинга и реагирования на кибератаки (SOC), управляемые сервисы кибербезопасности (MSS) и другие решения компании сферы ИТ и ИБ. Эти сервисы были отмечены отраслевыми премиями, включая Digital Leaders Award и «Большая цифра».

В RED Security Александр Осипов будет отвечать за управление портфелем продуктов, технологическое сопровождение и развитие сервисов, причем как новых решений, так и модернизация уже имеющихся в соответствии с требованиями рынка.

«Александр обладает многолетним опытом управления продуктовым портфелем по кибербезопасности в крупнейших российских компаниях. Он ориентируется на создание комплексного предложения в сфере защиты от киберугроз, опираясь при этом как на мировые технологические тренды, так и на актуальные потребности российских заказчиков из корпоративного сегмента. Мы рады приветствовать Александра в нашей команде и уверены, что его опыт поможет компании реализовать стратегию по формированию открытой экосистемы ИБ-решений и экспертизы для надёжной защиты бизнеса. Кроме того, успех направлений кибербезопасности, за которые Александр отвечал в других компаниях, подтверждает, что он сможет достичь амбициозных целей RED Security по достижению высочайшего уровня наших сервисов», – подчеркнул Иван Вассунов, генеральный директор компании RED Security.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru