Технологии AMP Threat Grid применены в системе Tripwire Enterprise

Технологии AMP Threat Grid применены в системе Tripwire Enterprise

Нынешний ландшафт угроз заметно сложнее, чем прошлогодний. Разумно предположить, что в следующем году ситуация ухудшится еще больше. Киберпреступность приобрела черты настоящей отрасли промышленности, создав новый тип злоумышленника: теперь это специалист, отличающийся высоким уровнем профессионализма, предпринимательским подходом к делу и технической оснащенностью.

В прошлом году актуальной и всеми желанной новой технологией борьбы с киберугрозами стал динамический анализ вредоносного кода с использованием изолированных сред, т.н. «песочниц». В течение какого-то времени основным решением для борьбы с вредоносным ПО считались антивирусы, но не вызывает сомнений, что в конечном счете ту же роль будут играть технологии изолированных сред-«песочниц», способные защищать от усовершенствованного вредоносного кода.

Решения, использующее технологии изолированных сред, доступны уже несколько лет, но современный анализ вредоносного кода уже вышел за рамки классических «песочниц», которые просто извлекают подозрительные образцы, изучают их в локальной виртуальной машине и при необходимости помещают в карантин. Чтобы бороться с самыми современными угрозами, умеющими успешно противодействовать средствам защиты и уклоняться от обнаружения, необходимы более надежные инструменты для анализа вредоносного кода, которые встраиваются в инфраструктуру и обеспечивают непрерывный контроль за безопасностью.

Компания Tripwire недавно стала партнером Cisco и интегрировала в свое решение Tripwire Enterprise ряд технологий AMP Threat Grid для динамического анализа вредоносного кода. Почему выбор пал именно на Cisco? Тщательный анализ, проведенный компанией Tripwire, выявил ряд ключевых преимуществ AMP Threat Grid над аналогичными решениями.

Во-первых, AMP Threat Grid не ограничивается только динамическим анализом вредоносного кода, обеспечивая еще и статический анализ. Кроме того, полная подписка дает возможность использовать специальный API-интерфейс, позволяющий получать контекстуальную аналитическую информацию об угрозах и передавать ее в имеющиеся системы информационной безопасности.

Во-вторых, количество высококлассных специалистов по информационной безопасности невелико, а если говорить совсем откровенно, их очень мало. AMP Threat Grid предоставляет технологию Threat Score, при помощи которой даже младшие сотрудники служб безопасности могут уверенно определять, насколько вредоносен тот или иной образец. Индикаторы поведения вредоносного кода написаны простым, доступным языком, наглядно показывая, что именно делает файл и почему его поведение нужно считать допустимым, подозрительным или вредоносным.

В-третьих, тщательно выбранный инструментарий. В частности, при разработке AMP Threat Grid не использовались внутренние инструменты виртуальных машин. Большинство специалистов едины во мнении, что около 40% современного вредоносного ПО тщательно изучает окружающую среду (к примеру, данные о возрасте операционной системы), чтобы убедиться в отсутствии изолированной среды — «песочницы», перед тем, как начать свою деятельность.

Существует три основных подхода к внедрению средств для анализа вредоносного кода:

  1. Отдельное решение, самостоятельно отбирающее и анализирующее образцы без взаимодействия с другими системами. Такой подход наиболее гибок в развертывании, но отличается строгими требованиями к производительности оборудования и, кроме того, довольно сложен в управлении и эксплуатации, особенно, в условиях распределенных сред.
  2. Системы с распределенными сенсорами сбора данных, например, межсетевые экраны, системы предотвращения вторжений (IPS) или  универсальные шлюзы безопасности (UTM), оборудованные технологиями изолированных сред-«песочниц». Такие решения, как правило, имеют адекватную стоимость и легко внедряются, однако они менее эффективны в обнаружении многих подозрительных объектов, включая файлы, передающиеся через Интернет. Кроме того, работа решений такого типа может сопровождаться ограничением полосы пропускания, и тогда единственным выходом становится использование облачных решений, из-за чего может пострадать как сетевая производительность, так и обеспечение конфиденциальности.
  3. Шлюзы безопасности данных, например интернет-шлюзы или почтовые шлюзы. Этот подход тоже отличается адекватной стоимостью, но ориентирован, в первую очередь, на безопасность почтовых и интернет-каналов, а кроме того, тоже может сопровождаться ограничениями производительности и проблемами с обеспечением конфиденциальности.

Поскольку система Tripwire осуществляет наблюдение и сбор данных на критически важных системах, перечисленные подходы кажутся неэффективными. Существует четвертый способ, который не только объединяет наилучшие черты предыдущих трех, но и дополнительно улучшает возможности противодействия постоянно совершенствующимся кибератакам: Cisco AMP Threat Grid. Благодаря технологиям AMP Threat Grid компания Cisco предоставляет возможности для анализа усовершенствованного вредоносного кода, а также аналитическую информацию об угрозах. В то же время интеграция с решением Tripwire Enterprise обеспечивает не только улучшенный контроль за тем, что происходит в вычислительной среде заказчика, но и более эффективную окупаемость инвестиций.

Благодаря интеграции технологий AMP Threat Grid в решение Tripwire Enterprise организации получили как возможности статического и динамического анализа, способствующего лучшему пониманию фронта актуальных угроз, так и средства автоматизации использования аналитической информации об угрозах в своих системах безопасности. Как же осуществляется эта интеграция?

Контекстно-ориентированная система аналитической защиты AMP Threat Grid в статическом и динамическом режиме анализирует все исследуемые файлы, запускает объекты в безопасной изолированной среде, изучает поведение образцов и сопоставляет результаты с сотнями миллионов аналогичных случаев, проанализированных ранее. Менее чем за 10 минут AMP Threat Grid присылает обратно детальный отчет, и решение Tripwire Enterprise определяет исследуемый файл в соответствии с результатами. Таким образом, решение Tripwire Enterprise дает заказчикам возможность приоритизировать действия для изменений на системах с выявленными при помощи AMP Threat Grid угрозами, а также незамедлительно начинать работу над быстрым восстановлением. 

AMP Threat Grid не только анализирует широкий спектр потенциально опасных объектов, но еще и предоставляет своим подписчикам подробную аналитическую информацию с учетом контекста. При помощи более чем 350 индикаторов поведения угроз и базы знаний вредоносного кода, базирующейся на данных со всего мира, AMP Threat Grid обеспечивает более точную, чем когда бы то ни было ранее, контекстно-ориентированную аналитику вредоносного ПО. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Минпромторг прорабатывает систему кибербезопасности для автомобилей

Минпромторг заказал обоснование для внедрения в России национальной системы кибербезопасности автомобилей. Ведомство заинтересовала возможность злоумышленников вторгаться в работу систем управления автомобилями.

Как узнало издание «Газета Ру», Минпромторг РФ заказал проведение исследования, направленного на изучение инцидентов в безопасности, которые касались транспортных средств, создать методы анализа защиты программного обеспечения электронных блоков управления автомобилей и разработать для этого нормативно-правовую базу.

В 2023 году на выставке «Иннопром» в Казани была представлена облачная система безопасности подключенных транспортных средств. Ее разработчиками являлись ФГУП «НАМИ», «Лаборатория Касперского» и АО «ГЛОНАСС».

Как отметили опрошенные изданием эксперты, пока модель угроз для автотранспорта отсутствует. Нет четкого портрета злоумышленника, но при этом источники угроз весьма разнообразны.

Они могут привести к различным негативным последствиям, от активации несанкционированных платных подписок до создания аварийных ситуаций из-за вмешательства в работу различных систем автомобиля.

Автотранспорт действительно содержит уязвимые компоненты. Бортовые системы автомобилей были названы среди потенциально уязвимых приемников спутниковой навигации.

Кроме того, опасные уязвимости не так давно были найдены в информационно-развлекательном блоке Mazda Connect, эксплуатация одной из которых грозит вмешательством в работу двигателя, трансмиссии и тормозной системы.

Внедрение такой системы следует начинать на стадии проектирования автомобилей. Как предупреждают эксперты, на уже эксплуатируемые машины, по крайней мере, легковые, устанавливать довольно дорогостоящие системы может оказаться экономически нецелесообразным.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru