Trend Micro выпускает решение для борьбы с угрозами во внутренних сетях

Trend Micro выпускает решение для борьбы с угрозами во внутренних сетях

Компания Trend Micro объявила о выпуске комплексного корпоративного решения для борьбы с угрозами, ориентированного на обнаружение и нейтрализацию угроз во внутренних сетях организаций. При создании нового решения основное внимание уделялось максимальной скорости нейтрализации вредоносного программного обеспечения в целях минимизации рисков для корпоративных данных. Чем меньше времени требуется на нейтрализацию угроз, тем меньше затраты на предотвращение вреда, и тем выше общий уровень безопасности инфраструктуры.

Это полностью новое решение, позволяющее выявлять и устранять угрозы нового поколения. Его роль заключается в мониторинге сети и выявлении скрытых вредоносных программ, которые нельзя обнаружить с помощью традиционных систем безопасности. Оно работает в тесной связи с системами защиты, основанными на онлайн-сервисах (In-The-Cloud) и повышает эффективность анализа состояния корпоративной виртуальной среды. По завершении анализа выполняется глобальная чистка сети и обработка зараженных конечных точек в соответствии с политиками безопасности.

Комплексное корпоративное решение нового поколения для борьбы с угрозами из Интернета, построенное на базе инфраструктуры Trend Micro Smart Protection Network, позволяет решить следующие задачи:

· Ускорение распознавания вредоносных программ и рисков утечки конфиденциальных данных через Интернет.
· Принятие профилактических мер по планированию безопасности и управлению средствами защиты благодаря более точной информации о слабых местах во внутренней сети и характере распространения угроз.
· Сокращение затрат на предотвращение вреда и очистку внутренней сети благодаря более раннему выявлению источников угроз при помощи корреляционных и поведенческих алгоритмов.
· Сокращение нагрузки на сеть благодаря раннему обнаружению вредоносных программ и приложений.
· Повышение эффективности распределения и использования ресурсов благодаря созданию подробных отчетов, позволяющих администраторам сети быстро обезвреживать источники угроз.
· Повышение удобства доступа к информации о потенциальных и реализованных атаках через центральный портал.
· Минимизация влияния на работу сети благодаря различным вариантам внешней настройки.

Новое решение позволяет нейтрализовать внутренние угрозы
Изобретательность злоумышленников, развернувших свою деятельность в электронном пространстве, все увеличивается по мере развития мирового интернет-бизнеса. Индустрия незаконной деятельности в Интернете не стоит на месте. Вредоносные программы становятся все более изощренными. Их крайне сложно обнаружить, чтобы избежать финансовых и других потерь. Одновременно с тем, бизнес становится все более мобильным, почти повсеместно используются переносные устройства USB, приложения для обмена мгновенными сообщениями, передачи файлов и мультимедийных данных. Все это значительно усложняет задачу администраторов по обеспечению защиты корпоративных сетей.

«Текущая ситуация в сфере защиты от угроз из Интернета требует от компаний не только молниеносного реагирования, что было основным приоритетом при создании платформы Trend Micro Enterprise Security, но и принятия действительно эффективных мер», ― говорит Ева Чен, генеральный директор и один из основателей компании Trend Micro. «Новое комплексное корпоративное решение Trend Micro позволит организациям быстро выявлять, устранять и предотвращать угрозы из Интернета, основываясь на полной и актуальной информации о текущем уровне защиты своих сетей. Это позволит значительно сократить затраты, время и усилия по обеспечению безопасности».

Trend Micro Threat Management Solution: всестороннее решение для выявления, нейтрализации и устранения угроз во внутренних сетях
Решение для борьбы с угрозами состоит из двух программных комплексов. Комплекс выявления угроз отвечает за нахождение опасностей во внутренней сети, создание отчетов и подготовку рекомендаций по их устранению. Комплекс нейтрализации угроз отвечает за реализацию политик безопасности и нейтрализацию угроз на основе информации, полученной от комплекса выявления. (Комплекс нейтрализации должен быть интересен клиентам, которые уже приобрели комплекс выявления угроз.)

В состав комплекса выявления угроз, выпуск которого намечен на третий квартал 2008 г., войдут следующие компоненты:

- Механизм обнаружения вредоносных программ на сетевом уровне блокирует программное обеспечение при попытке заражения других пользователей, скрытые вредоносные программы при попытке передачи информации или получения команд извне, а также атаки через Интернет или электронную почту на основе уязвимостей, межсайтового скриптинга и фишинга.
- Механизм обнаружения нежелательных программ и услуг, например программ обмена мгновенными сообщениями, клиентов файлообменных сетей и систем потоковой загрузки данных. Помимо этого, данный механизм позволяет выявлять наличие несанкционированных служб, представляющих угрозу безопасности.
- Услуги по борьбе с угрозами помогают ускорить обнаружение новых угроз во внутренней сети с помощью сложных корреляционных правил.
- Механизмы создания отчетов позволяют получить четкое представление о состоянии систем безопасности. Администраторы и руководители компании могут создавать ежедневные отчеты о новых инцидентах, способах их нейтрализации и общем характере угроз, которым подвержены внутренние сети.
- Внеполосные механизмы развертывания, обеспечивающие дублирование сетевых пакетов на уровне шлюзов для контроля таким образом, чтобы это не сказывалось на производительности сети.

В состав комплекса нейтрализации угроз Trend Micro, выпуск которого намечен на четвертый квартал 2008 года, входят следующие компоненты:
- Механизм анализа причин заражения, дающий клиентам информацию о причинах возникновения угрозы. Например, если пользователь подключал диск USB к ноутбуку, который позднее был заражен, механизм анализа Trend Micro определит, что заражение могло произойти вследствие подключения зараженного диска USB.
- Механизм реализации политик, проверяющий, установлены ли новейшие обновления и исправления на оконечных устройствах. Зараженные и несвоевременно обновляемые оконечные устройства не смогут подключаться к сети и будут проходить карантин с проверкой на вирусы и установкой обновлений.
- Чистка оконечного оборудования осуществляется после выявления угрозы или заражения. Сначала проводится чистка с помощью комплекса нейтрализации угроз, а затем вредоносное программное обеспечение нейтрализуется и блокируется даже в отсутствие соответствующего шаблона в базе данных Trend Micro.

Цены и график выпуска в России
В состав комплекса Trend Micro Security Management Suite входят следующие компоненты:
Комплекс выявления угроз Trend Micro, выпуск которого намечен на третий квартал.
Комплекс нейтрализации угроз Trend Micro должен поступить в продажу в четвертом квартале. Окончательные цены будут установлены в ближайшее время

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы AV Killer используют драйвер Avast для отключения защитного софта

В новой кампании киберпреступники используют старую версию легитимного антируткит-драйвера Avast для отключения защитных программ, ухода от детектирования и получения контроля над системой.

В этих атаках участвует один из вариантов вредоносной программы AV Killer. Последняя содержит жёстко запрограммированный список из 142 имён антивирусных процессов.

Поскольку упомянутый драйвер Avast работает на уровне ядра, злоумышленники получают доступ к критически важным компонентам операционной системы. Например, что при желании вредонос может завершать практически любые процессы.

Как отмечают обратившие внимание на атаки AV Killer специалисты компании Trellix, операторы зловреда задействуют хорошо известную технику BYOVD (Bring Your Own Vulnerable Driver — приноси собственный уязвимый драйвер).

Попав в систему, файл AV Killer с именем kill-floor.exe устанавливает заранее уязвимый драйвер уровня ядра — ntfs.bin (помещается в директорию пользователя по умолчанию).

После этого вредоносная программа создаёт службу aswArPot.sys с помощью Service Control (sc.exe) и регистрирует сам драйвер.

 

Как мы уже отмечали, у AV Killer есть жёстко заданный в коде список из 142 процессов, который сверяется со снепшотом активных процессов. Согласно отчёту Trellix этот список выглядит так:

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru