FireEye

Платформы серии FireEye AX используют механизм FireEye Multi-Vector Virtual Execution (MVX), который представляет аналитикам полную картину атаки: от начального эксплойта до направления обратных вызовов, а также последующих попыток загрузки исполняемых файлов.

FireEye AX использует механизм FireEye MVX для анализа отдельных файлов, пакетов или групп файлов на предмет наличия вредоносного кода или попыток установки исходящих соединений по нескольким протоколам.

Платформы серии FireEye AX освобождают администраторов от трудоемкой установки, настройки и восстановления виртуальных компьютерных сред, используемых для ручного анализа вредоносных программ. Благодаря наличию встроенных средств настройки и детализированного контроля всех процессов, платформы серии FireEye AX позволяют аналитикам всесторонне исследовать механизмы атаки в соответствии с потребностями организации.

Основные возможности FireEye AX:

• Глубокий анализ всего жизненного цикла атаки за счет использования механизма FireEye MVX.
• Систематизация и группировка аналитических данных, касающихся подозрительного web-кода, файлов и исполняемых файлов.
• Подробная отчетность об изменениях ОС и приложений на системном уровне в файловых системах, памяти и реестрах.
• Анализ в режиме реального времени или «песочницы» для проверки атак нулевого дня.
• Динамическая генерация аналитической информации об угрозах для оперативного локального реагирования за счет интеграции с платформой FireEye CM.
• Перехват пакетов для анализа вредоносного URL и исполняемого кода.
• AV-Suite FireEye для оптимизации процесса приоритизации реагирования на инциденты.
• Поддержка сред Windows и Mac OS X.

Система FireEye Email Security (FireEye EX) обеспечивает защиту от комплексных атак с использованием электронной почты. Она является базовым компонентом глобальной платформы FireEye Global Threat Management Platform и использует бессигнатурную технологию для анализа всех вложений электронных писем. Все сообщения, которые представляют собой направленный фишинг, применяемый для сложных целевых атак, будут переданы в карантин.

Основные возможности FireEye Email Security (FireEye EX)

• Защита от атак направленного фишинга через электронную почту.
• Автоматическое выявление и пресечение фишинга учетных данных.
• Снижение риска кражи учетных данных вследствие фишинга за счет выявления похожих, но не идентичных доменов (тайпсквоттинг).
• Интеграция с платформой FireEye Network Security для пресечения смешанных атак с множественными векторами угроз.
• Выявление и пресечение сложных для обнаружения многоэтапных кампаний с использованием вредоносного ПО.
• Анализ электронных сообщений на наличие угроз, таких как уязвимости «нулевого дня», угрозы, скрытые в архивах ZIP/RAR/TNEF, а также зловредные URL-ссылки.
• Защита от техник обхода (например, защита паролей и техники Sandbox Evasion).
• Развертывание в режиме активной защиты, таком как МТА или режим мониторинга (SPAN/BCC).
• Карантин для вредоносных электронных сообщений с возможностью уведомления пользователя.
• Выявление угроз в реальном времени и при последующем анализе.
• Связь оповещениями и оперативной аналитикой.
• Прозрачность, отслеживание сообщений и управление ими.

Веб-почта, онлайн-инструменты передачи файлов, облачные сервисы и переносные устройства хранения данных могут содержать вредоносное ПО, которое распространяются по общим файловым ресурсам. Платформа FireEye FX анализирует общие сетевые файловые ресурсы, а также обнаруживает и помещает в карантин вредоносное ПО, попадающее в сеть в обход межсетевых экранов нового поколения, IPS-систем, антивирусных систем и шлюзов.

Платформы серии FireEye FX анализируют общие сетевые ресурсы с помощью запатентованного механизма мультивекторного виртуального выполнения FireEye Multi-Vector Virtual Execution (MVX), который может обнаруживать вредоносный код нулевого дня, встроенный в распространенные типы файлов (PDF, MS Office, vCards, ZIP/RAR/TNEF и т.п.) и мультимедийный контент (QuickTime, MP3, Real Player, JPG, PNG файлы и т.п.). Платформы FireEye FX выполняют сканирование по расписанию, сканирование по требованию и повторное сканирование доступных общих сетевых хранилищ, обнаруживая и помещая в карантин вредоносное ПО. Это препятствует выполнению ключевого этапа жизненного цикла сложных атак.

Основные возможности FireEye File Malware Protection System (FireEye FX)

• Обнаружение скрытых вредоносных программ, не замеченных традиционными антивирусными программами.
• Развертывание в режиме активного карантина (режим защиты) или только в режиме анализа (режим мониторинга).
• Сканирование CIFS-совместимых и NFS-совместимых общих файловых ресурсов по расписанию, по требованию и повторное.
• Анализ различных типов файлов, таких как PDF, документы MS Office, а также мультимедийные файлы.
• Интеграция модуля FireEye AV-Suite, позволяющая упростить правила именования и процесс назначения приоритетов при откликах на инциденты.
• Предоставление общего доступа к данным об угрозах в рамках развертывания платформ FireEye при помощи FireEye CM и облачного решения FireEye DTI.

Решение FireEye Endpoint Security (FireEye HX) может быть развернуто локально для конечных точек как внутри, так и за пределами корпоративной сети. Оно позволяет выявлять и нейтрализовывать известные и неизвестные угрозы, а также понимать их характер и цели. При этом используются следующие функции:

• Triage Viewer и Audit Viewer для отслеживания и анализа индикаторов угроз.
• Enterprise Security Search для быстрого поиска и нейтрализации угроз.
• Data Acquisition для тщательной проверки и анализа конечных точек.
• Exploit Guard для выявления процессов использования уязвимостей конечных точек и отправки оповещений.

С помощью решения FireEye Endpoint Security компании могут проактивно проверять, анализировать и нейтрализовывать известные и неизвестные угрозы в любой конечной точке.

Основные возможности FireEye Endpoint Security (FireEye HX)

• Развертывание решения Endpoint Security на локальных устройствах с использованием программного агента для мониторинга конечных точек внутри и за пределами корпоративной сети.
• Расширенная защита от сложных угроз с помощью инструмента FireEye Dynamic Threat Intelligence (DTI) — от базовой сети до конечных точек.
• Тщательная проверка конечных точек и создание временных шкал по показателям компрометации.
• Поиск, выявление, идентификация и нейтрализация угроз в десятках тысяч конечных точек (подключенных или неподключенных) за считаные минуты.
• Простой доступ к процессам в конечной точке из единого интерфейса для идентификации, анализа и нейтрализации угроз и случаев использования уязвимостей, а также для принятия ответных мер.
• Соответствие Общим критериям и Федеральным стандартам обработки информации (FIPS).
• Централизация хостовых рабочих процессов, чтобы все оповещения, системные данные и данные конечных точек были собраны в одном месте.
• Быстрое реагирование на известные и неизвестные угрозы с критически важной контекстной информацией.
• Защита всех конечных точек, как локальных, так и удаленных, находящихся за пределами сети или за уровнем трансляции сетевых адресов (NAT).
• Нейтрализация угроз и скомпрометированных устройств одним щелчком мыши с сохранением возможности удаленного расследования.
• Совершенствование рабочих процессов при помощи Audit Viewer для полного анализа угроз в системе Endpoint Security.
• Настройка возможностей системы Endpoint Security в зависимости от уникальных характеристик отдельных инцидентов.
• Возможность развертывания в нескольких демилитаризованных зонах (DMZ).

Как работает FireEye Endpoint Security (FireEye HX)
Система Endpoint Security способна выявлять и расследовать известные и неизвестные угрозы в десятках тысяч конечных точек за считаные минуты. Она использует функцию Dynamic Threat Intelligence, которая соотносит оповещения систем защиты конечных точек и сети FireEye, а также данные журналов. После подтверждения угрозы вы сможете определить следующее:

• через какие векторы произошло проникновение в конечную точку;
• имела (имеет) ли место атака на конкретную конечную точку;
• произошло ли горизонтальное распространение атаки и на какие конечные точки;
• как долго одна или несколько конечных точек подвергались атаке;
• произошла ли эксфильтрация IP-адреса;

какие конечные устройства и системы необходимо нейтрализовать, чтобы предотвратить дальнейшее распространение атаки.

Оно упрощает устранение выявленных инцидентов безопасности, позволяя проводить его эффективно и за считанные минуты, предоставляет конкретные факты, аналитические данные для принятия решений и меры реагирования. Благодаря FireEye NX организации получают эффективную защиту от современных угроз, будь то угрозы, использующие уязвимости ОС Microsoft Windows, Apple OS X или приложений, угрозы для головных офисов или филиалов, либо угрозы, скрытые в большом объеме входящего интернет-трафика, который необходимо анализировать в реальном времени.

В основе FireEye NX лежат механизмы FireEye Multi-Vector Virtual Execution™ (MVX) и Intelligence-Driven Analysis (IDA). MVX представляет собой не использующий сигнатуры динамический механизм, который анализирует подозрительный сетевой трафик с целью выявления атак, способных обойти традиционные средства защиты на основе сигнатур и политик. IDA — это набор контекстных механизмов на основе динамических правил, которые выявляют и блокируют зловредные действия в реальном времени и за прошедший период, используя новейшие аналитические данные о компьютерах, злоумышленниках и их жертвах. FireEye NX также использует систему предотвращения вторжений (IPS), которая позволяет обнаруживать типовые атаки с помощью сравнения сигнатур.

Решение FireEye NX доступно в различных формфакторах с широким выбором вариантов развертывания и уровней производительности. Обычно это решение размещается на пути интернет-трафика за традиционными средствами обеспечения сетевой безопасности, такими как межсетевые экраны следующего поколения, системы предотвращения вторжений (IPS) и защищенные интернет-шлюзы (SWG). FireEye Network Security дополняет эти решения, быстро выявляя как известные, так и новые атаки с высокой точностью и низким уровнем ложных срабатываний, облегчая при этом эффективное реагирование на каждое оповещение.

Основные возможности FireEye Network Security (FireEye NX)

• Точное обнаружение сложных, направленных и других атак, связанных с обходом защиты.
• Расширяемая модульная архитектура защиты.
• Неизменный уровень защиты для сред с использованием нескольких операционных систем и для всех точек интернет-доступа.
• Возможности интегрированного, распределенного, физического, виртуального, локального или облачного развертывания.
• Многовекторная корреляция с безопасностью электронной почты и контента.
• Немедленное блокирование атак при скоростях от 10 Мбит/с до 8 Гбит/с.
• Низкий показатель ложных срабатываний, распределение рискованных программ по категориям, автоматизированная проверка оповещений IPS.
• Переключение на процедуры расследования и проверки оповещений, блокирования в конечной точке и реагирования на инциденты.
• Фактические операционные данные и аналитика для принятия решений с контекстными сведениями.
• Масштабируемость от одного до тысяч объектов.