Обзор FireEye Endpoint Security (HX) - средства защиты рабочих станций от целевых атак

1. Введение
2. Функциональные возможности FireEye HX
3. Состав компонентов FireEye Endpoint Security
4. Защита от целенаправленных атак средствами FireEye Endpoint Security
1. 4.1. Обнаружение и идентификация угроз в FireEye Endpoint Security
2. 4.2. Предотвращение целенаправленной атаки в FireEye Endpoint Security
3. 4.3. Расследование целенаправленной атаки в FireEye Endpoint Security
4. 4.4. Минимизация последствий целенаправленной атаки в FireEye Endpoint Security
5. Выводы

Введение

Защита от сложных и целенаправленных атак (Advanced Persistent Threats, APT) —одна из ключевых проблем информационной безопасности последних лет. Целевая атака может быть направлена против конкретной организации, отрасли экономики или государственной структуры. Спланированные действия могут осуществлять наемные киберпреступники, террористические организации, иностранные спецслужбы. В настоящий момент нет универсального средства противодействия сложным и целенаправленным атакам, требуется комплексное решение по обеспечению безопасности на всех уровнях, включая подготовку и проверку персонала.

Компания FireEye, один из мировых лидеров по вопросам кибербезопасности, разработала широкий набор инструментов, применяемых для защиты от целенаправленных атак. Решения могут обеспечивать защиту как независимо друг от друга, так и совместно. Продукты FireEye нацелены на борьбу с вредоносными программами и обеспечивают глубокий анализ и корреляцию различных факторов и событий для обнаружения сложных атак.

На территории Российской Федерации продукты FireEye распространяются через ряд дистрибьютеров, в их число входит компания Axoft.

Рисунок 1. Компоненты защиты от сложных и целенаправленных атак платформы FireEye

Одним из ключевых моментов защиты от передовых атак является противодействие сложным угрозам на уровне рабочих станций. Реализация защиты на этом уровне позволяет получить выгодное соотношение «удобство-безопасность», позволяя перенести часть функций блокировки с охраняемого периметра сети на конечные точки, тем самым сохраняя функциональность всей системы и не замедляя бизнес-процессы.

Средство защиты FireEye НХ (полное название продукта — FireEye Endpoint Security) обеспечивает защиту от АРТ и предназначено для защиты конечных станций. Возможности обнаружения и реагирования на инциденты на конечных точках (Endpoint Detection and Response, EDR) позволяют быстро определить точный объем и уровень действий атаки, связанных как с известными, так и с неизвестными угрозами. С подробным контекстом блокированных и неизвестных угроз аналитики могут адаптировать систему защиты и ответы на все кибератаки.

FireEye HX состоит из двух компонентов:

• программного агента, обеспечивающего защиту рабочей станции и сбор информации, необходимой для поиска показателей компрометации (Indicators of Compromise, IoC) и расследования инцидентов;
• аппаратного контроллера, собирающего данные со всех агентов и обеспечивающего управление ими.

FireEye НХ использует следующие функции:

• сопоставление в реальном времени с базой данных показателей компрометации, которые могут поддерживаться FireEye посредством регулярных обновлений или автоматически совместно с сетевыми устройствами FireEye, а также создаваться вручную администратором;
• Triage Viewer и Audit Viewer для отслеживания и анализа показателей угроз;
• Enterprise Search для быстрого поиска и нейтрализации угроз;
• Exploit Guard для выявления процессов использования уязвимостей конечных станций и отправки оповещений;
• механизмы защиты от вредоносных программ для обнаружения известных угроз и вредоносного кода на основе подписей, поддерживаемых поставщиком.

Функциональные возможности FireEye HX

FireEye НХ обеспечивает противодействие всем известным атакам на конечные станции, основанным на использовании вредоносных файлов, эксплойтах и разведке.

Рисунок 2. Категории атак, направленные на конечные станции

Основные возможности FireEye НХ:

• защита и мониторинг станций внутри и за пределами корпоративной сети или за уровнем трансляции сетевых адресов (NAT);
• возможность быстрого развертывания агентов, в том числе и на удаленных компьютерах;
• поиск, выявление, идентификация и нейтрализация угроз;
• обнаружение вредоносных программ;
• тщательная проверка конечных станций и создание временных шкал по показателям компрометации;
• предоставление единого интерфейса администратора (контроллер FireEye HX в виде аппаратного устройства или виртуальной машины) для быстрого реагирования на инциденты безопасности, анализа использованных уязвимостью ресурсов конечной станции с помощью утилит Triage Viewer и Audit Viewer, а также для принятия ответных мер в системе Endpoint Security;
• изоляция скомпрометированного хоста для обеспечения безопасной среды для проведения удаленного всеобъемлющего расследования;
• централизованный сбор оповещений, системных данных и данных конечных станций в одном месте;
• настройка конфигурации функций продукта в зависимости от групп хостов;
• обмен информацией об угрозах между конечными точками и глобальной облачной сетью FireEye Dynamic Threat Intelligence (DTI);
• интеграция с SIEM-системами;
• соответствие Общим критериям и Федеральным стандартам обработки информации (FIPS).

Подробная информация о возможностях FireEye HX приведена ниже.

Состав компонентов FireEye Endpoint Security

Как уже было сказано выше, средство защиты FireEye НХ состоит из двух компонентов:

• контроллер FireEye НХ, поставляемый в виде специального аппаратного устройства либо виртуальной машины;
• агент FireEye НХ, устанавливаемый на защищаемых хостах.

Агент FireEye НХ — программный компонент, записывающий всю активность на конечной станции (операции с файлами, сетевая активность, изменение записей в реестре Windows, запуск процессов и загрузка DLL). Записи хранятся в кэше агента в течение нескольких дней и автоматически передаются на контроллер в виде пакета логов соответствующих событий (Triage) при возникновении инцидента на этой станции. Содержимое кэша агента можно также получить по требованию администратора.

Технология Agent Anywhere позволяет распространять агенты на удаленные конечные станции за пределами корпоративной сети и за NAT. Чтобы обеспечить высокий уровень безопасности системы защиты конечных точек, FireEye рекомендует развертывать выделенный DMZ-контроллер, который перехватывает связь между удаленными агентами и основным контроллером FireEye НХ в сети LAN.

Агенты поставляются в формате MSI с конфигурационным файлом и легко устанавливаются через корпоративные средства внедрения программного обеспечения (Enterprise Software Deployment, ESD). Процесс установки не требует перезагрузки конечной станции и действий со стороны пользователя. Агенты оснащены функцией автоматического обновления. После установки агента конечная станция автоматически попадает в систему НХ и доступна для мониторинга в интерфейсе администратора.

Рисунок 3. Схема распространения агентов FireEye НХ

Агент FireEye НХ совместим со следующими операционными системами:

• Microsoft Windows (XP SP2, Vista SP1, 7 SP1, 8, 8.1, 10);
• Microsoft Windows Server (2003 R2/SP2, 2008 R2/SP2, 2012 R2, 2016);
• macOS (Mavericks, Yosemite, El Capitan, Sierra);
• Red Hat Linux (6.8, 7.2, 7.3).

Аппаратный контроллер FireEye НХ предоставляет единую консоль администрирования и позволяет соотносить сетевую активность с активностью конечных станций. Это дает администраторам безопасности возможность автоматически получить подтверждение о том, действительно ли угроза, обнаруженная на сетевом уровне, была успешной на хосте. В результате администратор получает информацию об активности вредоносных программ на хосте и может немедленно начать расследование атаки.

Рисунок 4. Внешний вид контроллера FireEye НХ 4402

Устройство FireEye НХ 4402 действует как основной системный контроллер (так называемый LAN-контроллер). Опционально другой контроллер (устройство FireEye НХ 4400D) может быть развернут в демилитаризованной зоне клиента для перехвата связи между основным контроллером и удаленными агентами.

Взаимодействие компонентов FireEye НХ представлено ниже.

Рисунок 5. Взаимодействие компонентов FireEye НХ и других средств защиты информации

Контроллеры FireEye НХ доступны в качестве физического или виртуального устройства (Endpoint Security Virtual Appliance). Аппаратные контроллеры обеспечивают аналитическую емкость и поддерживают связь с 100 000 конечных точек сети, в то время как виртуальные версии контроллера FireEye НХ поддерживают до 15 000 агентов (HX 2502V) или до 100 000 агентов (HX 4502V).

Виртуальный контроллер является альтернативным вариантом для небольших организаций и обеспечивает управление агентами без снижения скорости обнаружения и реагирования на угрозы безопасности. Виртуальный контроллер использует ресурсы VMware.

Доступ к графическому интерфейсу администратора осуществляется через веб-интерфейс.

Рисунок 6. Главное окно консоли администратора FireEye НХ

Интерфейс консоли администратора используется для управления политиками агентов, для отслеживания и расследования инцидентов.

С помощью консоли администратора задаются ключевые политики безопасности. Параметры конфигурации позволяют выполнять детальную настройку функций агента FireEye HX. Конкретные профили политики могут быть назначены подмножеству защищенных хостов. FireEye HX предоставляет гибкие методы создания групп хостов (так называемые хост-установки).

Рисунок 7. Настройка обнаружения вредоносной активности в реальном времени

Рисунок 8. Настройка защиты от атак, использующих эксплойты

Защита от целенаправленных атак средствами FireEye Endpoint Security

Концепция защиты рабочих станций от целенаправленных атак заключается в непрерывном мониторинге и анализе активности станций для обнаружения (detect), предотвращения (prevent), расследования (analyze) атак и своевременного реагирования (respond) на инциденты.

Рисунок 9. Концепция FireEye НХ

Обнаружение и идентификация угроз в FireEye Endpoint Security

Основная идея обнаружения угроз и целенаправленных атак FireEye НХ заключается в присутствии средств анализа в точке, на которую направлена атака. Агенты FireEye НХ, установленные на конечных точках, автоматически получают необходимые правила для определения атак, IoC и обновления от других компонентов FireEye. Дополнительно существует возможность создания собственных правил определения атак (в форме IoC) и использовать их либо в режиме реального времени для обнаружения новых угроз, либо для поиска признаков заражения. При обнаружении компрометации рабочей станции в результате поиска по IoC на консоль администратора поступает предупреждение, содержащее подробные сведения об инциденте.

Рисунок 10. Инциденты, сгруппированные в соответствии с именами и типами IoC в интерфейсе администратора в FireEye НХ

FireEye НХ применяет как традиционный метод защиты конечных точек (Endpoint Protection Platform, EPP), так и средство Exploit Guard, использующее аналитические мощности FireEye для соотнесения множества отдельных событий между собой и выявления вредоносных или подозрительных действий. В средстве Exploit Guard реализованы методы обнаружения атак и реагирования на них (Endpoint Detection and Response, EDR). Эта функциональность FireEy HX использует результаты мероприятий по ненадлежащему реагированию, предоставляемых подразделением консультантов по безопасности FireEye Mandiant.

Средство защиты конечных точек FireEye НХ позволяет администратору установить:

• через какие векторы произошло проникновение в конечную станцию;
• совершена ли атака на конкретную конечную точку;
• произошло ли горизонтальное распространение атаки и на какие конечные точки;
• как долго одна или несколько конечных точек подвергались атаке;
• произошла ли эксфильтрация ценной информации;
• какие конечные точки и системы необходимо изолировать, чтобы предотвратить дальнейшее распространение атаки.

Рисунок 11. Детали оповещения, сгенерированного в результате выполнения подозрительной DLL, связанной с деятельностью по проверке учетных данных MIMIKATZ, на конкретной конечной станции

Рисунок 12. Детали оповещения, сгенерированного в результате исполнения эксплойта, использующего уязвимости Internet Explorer

Рисунок 13. Детали оповещения о записи подозрительного файла

Дополнительно администратору доступны функции проактивного корпоративного поиска Enterprise Search, который позволяет искать артефакты и признаки заражения по десяткам различных параметров и их комбинаций. Данный инструмент позволяет аналитикам отслеживать угрозы, не попадающие под настроенные показатели компрометации, создавать широкие поисковые запросы по каждой конечной станции или группе хостов и получать быстрый результат.

Рисунок 14. Инструмент проактивного корпоративного поиска Enterprise Search

Предотвращение целенаправленной атаки в FireEye Endpoint Security

После выявления нарушений безопасности на рабочей станции необходимо предотвратить дальнейшее распространение атаки и провести расследование инцидента. Администратор через консоль изолирует скомпрометированную станцию, блокируя ей любые сетевые взаимодействия, кроме связи с консолью управления FireEye НХ. Такой метод позволяет сохранить наибольший объем информации, связанной с атакой и хранящейся в энергозависимой памяти, во временных файлах и т.д.

Рисунок 15. Заблокированные рабочие станции в консоли FireEye НХ

В дополнение к автоматической профилактике эксплойтов, обнаруженных агентами FireEye НХ, вся сетевая связь станций может быть заблокирована и разблокирована администратором безопасности.

Рисунок 16. Изоляция скомпрометированной рабочей станции в консоли FireEye НХ

Средство Exploit Guard может выявлять подозрительный код и блокировать его активность на конечной станции до завершения действий, влекущих нарушение безопасности.

Рисунок 17. Пример блокирования вредоносного макроса, запускаемого после открытия документа Microsoft Word

После обнаружения и блокировки активности подозрительного эксплойта агент FireEye НХ отправляет оповещение на консоль FireEye НХ для дальнейшего рассмотрения.

Рисунок 18. Сведения об обнаруженном эксплойте

FireEye НХ может функционировать совместно с другими средствами защиты информации (антивирусы, хостовые системы обнаружения вторжений и т. д.), установленными на конечных точках. Для предотвращения конфликтов необходимо настроить соответствующие исключения для процессов и каталогов FireEye НХ.

FireEye НХ может использоваться как изолированно, так и в более продвинутом режиме интеграции с другими компонентами платформы FireEye. В последнем случае аппаратный контроллер НХ получает новые IoC, сформированные при обнаружении угроз в электронной почте системой FireEye Email Security (FireEye EX), в сетевом трафике решением FireEye Network Security (FireEye NX), на общих файловых ресурсах решением FireEye File Malware Protection System (FireEye FX), через центральную систему управления FireEye (Central Management System, CMS).

Рисунок 19. Интеграция FireEye НХ с другими компонентами платформы FireEye

FireEye НХ также обменивается данными об угрозах и IoC с облаком FireEye Dynamic Threat Intelligence (DTI) в зависимости от типа лицензии. При однонаправленной лицензии все устройства и агенты получают новые правила анализа и IoC из DTI. При двунаправленной лицензии в облако со стороны FireEye НХ отправляются обнаруженные угрозы и результаты применения IoC для их последующей валидации и гарантируют сохранение эффективности продуктов FireEye на протяжении всего их жизненного цикла.

Расследование целенаправленной атаки в FireEye Endpoint Security

Агент постоянно регистрирует все изменения, произошедшие на конечной точке (запуск процессов, доступ к файловой системе и реестру, установленные сетевые подключения и т. д.) и хранит их в кэше несколько дней. Эти логи постоянно проверяются по совпадению IoC. При обнаружении нового эксплойта или совпадении IoC агент формирует архив логов соответствующих событий (Triage), который включает сведения об активности процессов, связанных с инцидентом безопасности. Администратор безопасности в консоли управления анализирует содержимое Triage и принимает решение об изолировании скомпрометированной станции. Для детального расследования агент позволяет удаленно выгружать со станции файлы, дампы логов по любым процессам и событиям, историю команд shell, дампы оперативной памяти, жесткого диска и др.

Рисунок 20. Расследование целенаправленной атаки в консоли администратора FireEye НХ

Минимизация последствий целенаправленной атаки в FireEye Endpoint Security

В настоящее время FireEye HX не предоставляет инструменты для автоматического устранения следов заражения на скомпрометированной рабочей станции, поскольку этот процесс может удалить ценные артефакты, которые имеют решающее значение при расследовании инцидента. Как только расследование будет завершено, исправление может быть выполнено ИТ-персоналом. Кроме того, результаты анализа атак и нарушений безопасности с использованием FireEye HX являются ценным вкладом в дальнейшие обновления и улучшения политик системы безопасности компании.

Выводы

Средство защиты конечных точек FireEye НХ обеспечивает безопасность организации от современных сложных угроз. Оно является важным компонентом широкой платформы FireEye и реализует защиту на уровне рабочих станций, не ухудшая работоспособность информационной системы заказчика и сохраняя функциональность бизнес-процессов.

FireEye НХ содержит не только классический набор средств защиты от вредоносного кода и для обнаружения вторжений, но и расширенные методы расследования атак (Enterprise Search) и методы реагирования на них (Exploit Guard). Администратору предоставляются мощные инструменты расследования инцидентов, позволяющие проанализировать атаку и пути ее проникновения в систему для предотвращения подобных атак в дальнейшем и повышения безопасности организации.

Важным аспектом использования FireEye НХ является возможность быстрой изоляции скомпрометированной рабочей станции во время проведения расследования. Блокировка гарантирует сохранение важной информации, используемой при проведении расследования, и невозможность дальнейшего распространения атаки внутри локальной сети предприятия.

Простота развертывания и администрирования компонентов FireEye НХ снимает нагрузку с ИТ-персонала, позволяя направить силы на расследование и предотвращение атак. Агенты FireEye НХ поддерживают все популярные версии операционных систем Microsoft Windows и macOS. В недавнем выпуске программного обеспечения FireEye НХ добавлена поддержка Red Hat Linux.

Данный продукт подходит как для среднего бизнеса, так и для крупных корпораций.

Преимущества:

• Простота развертывания, масштабирования и управления продуктом.
• Широкий набор инструментов для расследования инцидентов, использующих лучшие методы, разработанные в ходе реагирования на инциденты, проводимые Mandiant (подразделение FireEye).
• Блокировка скомпрометированной рабочей станции для анализа целенаправленной атаки и предотвращения ее дальнейшего распространения внутри сети.
• Интеграция с другими продуктами FireEye и SIEM-системами.
• Комплексный интерфейс API, который делает возможной интеграцию с сторонними системами.

Недостатки:

• Отсутствие русской локализации.
• Отсутствие сертификата соответствия новым требованиям ФСТЭК России к системам обнаружения вторжений.