OCHRONA STACJI i SERWERÓW

Rosnący poziom zaawansowania zagrożeń utrudnia skuteczne ich wykrywanie oraz zatrzymywanie przez rozwiązania ochrony instalowane na brzegu sieci. Identyfikowanie zagrożeń można co prawda wspomagać rozwiązaniami wspierać proces wykrywania zarażonych stacji i serwerów oraz usuwania z nich skutków zarażeń niechcianym oprogramowaniem. McAfee Active Response jest systemem, który aktywnie monitoruje pracę stacji końcowych i realizuje funkcje poszukiwania symptomów infekcji. Oparty jest on o szynę danych (DXL – Data Exchange Layer), która pozwala na stałą, rzeczywistą komunikację pomiędzy serwerem zarządzającym, stacjami końcowymi oraz innymi elementami infrastruktury bezpieczeństwa.

Siłą McAfee Active Response jest jego uniwersalność. Rozwiązanie potrafi nie tylko zbierać informacje dotyczące ważnych plików i rejestru systemu operacyjnego, ale – poprzez możliwość uruchamiania własnych skryptów pisanych w kilku popularnych językach programowania oraz systemowych interpretatorach pleceń pozwala także na analizę i naprawę zawartości plików konfiguracyjnych.

Bardzo istotną funkcjonalnością rozwiązania jest także możliwość naprawiania systemów końcowych na podstawie informacji uzyskiwanych z sandboxa (McAfee ATD), zapewniająca szybkie blokowanie ataków w rozbudowanych środowiskach.

McAfee Active Response, oprócz istotnej roli uzupełniającej w ekosystemie rozwiązań bezpieczeństwa, pozwala także na automatyzację uciążliwych procesów administracyjnych, takich jak identyfikowanie stacji i serwerów, na których zainstalowano dane oprogramowanie, wskazywanie stacji łączących się do danego zasobu, czy też weryfikowanie i korygowanie ustawień systemowych.

Główne cechy

  • Poszukiwanie symptomów infekcji – IoC (ang. Indicators of Compromise). Operator systemu za pomocą centralnej konsoli McAfee ePolicy Orchestrator może zadać pytania dotyczące konkretnego pliku (poprzez nazwę, skrót lub inną właściwość pliku), wpisu w rejestrze, połączenia sieciowego, zainstalowanej poprawki, itp. Oznacza to, że jeśli operator zna symptomy infekcji – możliwe jest zadawanie pytań do całej infrastruktury o ich występowanie, minimalizując czas konieczny do zatrzymania infekcji oraz usunięcia jej skutków.
  • Zautomatyzowane wykrywanie symptomów infekcji – dla znanych symptomów infekcji możliwe jest skonfigurowanie tzw. pułapek (z ang. traps). Jeśli symptomy infekcji dotychczas nie występowały, a spodziewamy się ich pojawienia – założenie pułapki gwarantuje natychmiastową informację w przypadku zarażenia. Akcjami wyzwalającymi pułapki mogą być przykładowo dodanie lub modyfikacja określonych kluczy w rejestrze systemowym, utworzenie pliku
    o danej charakterystyce oraz zestawienie konkretnego połączenia sieciowego.
  • Reagowanie – odwracanie skutków infekcji oraz blokowanie infekcji. Reakcje mogą być proste, takie jak skasowanie konkretnego pliku i tak skomplikowane, jak wykonanie zaawansowanego skryptu naprawczego. Reakcje mogą być inicjowane ręcznie lub wyzwalane automatycznie poprzez mechanizmy pułapek, blokując działanie niechcianego oprogramowania, instalowanego na stacjach roboczych.