OCHRONA STACJI i SERWERÓW

Cyberprzestępcy, jak nigdy dotąd, mają do dyspozycji bardzo zaawansowane narzędzia, które skutecznie ułatwiają proces tworzenia złośliwego kodu, niewykrywalnego przez klasyczne silniki sygnaturowe. Przestępcy mają możliwość bezproblemowego zakupu cyklicznie aktualizowanych szablonów oprogramowania wykorzystującego podatności systemów i aplikacji oraz dedykowanych kompilatorów, wyposażonych w funkcjonalności maskowania i zaciemniania kodu. Hakerzy mają więc łatwo dostępne środki, potrzebne do przygotowywania personalizowanych, ukierunkowanych ataków, niewykrywanych przez większość dzisiejszych rozwiązań bezpieczeństwa informatycznego.

McAfee Advanced Threat Defense zapewnia ochronę przed złośliwym oprogramowaniem, wykorzystującym podatności typu zero-day. Producent zaimplementował w tym rozwiązaniu wielowarstwową strukturę modułów wykrywania zagrożeń, zapewniając minimalizację czasu oraz zasobów koniecznych do przeprowadzenia analizy poszczególnych plików. Kolejno wykorzystuje w nim sygnaturowy silnik antywirusowy, dane reputacyjne z bazy McAfee GTI, silnik emulacyjny oraz rozwiązanie sandboxowe.

Silnik sandboxowy przeprowadza dynamiczną i statyczną analizę potencjalnie złośliwych plików. Analiza statyczna polega na dekompilacji, normalizacji i ujawnieniu rzeczywistych intencji danego kodu w celu jego porównania ze znanymi wzorcami opisującymi zachowanie typowe dla malware. Analiza dynamiczna jest przeprowadzana w środowisku wirtualnym, pracującym na bazie odpowiednio przygotowanego systemu operacyjnego i aplikacji. McAfee ATD analizuje zachowanie działania systemu oraz aplikacji po uruchomieniu pliku będącego przedmiotem weryfikacji. Wszelkie niestandardowe operacje, świadczące o złych intencjach danego kodu, takie jak uruchamianie procesów, tworzenie nowych plików oraz kluczy w rejestrze systemowym, czy łączenie się do Internetu, powoduje wywołanie alarmu.

Wynikiem analizy jest szczegółowy raport, zawierający opis zachowania danego malware. Zebrane informacje mogą służyć do blokowania następnych zarażeń tym malware, jak również do przeprowadzenia akcji naprawczych na zarażonych stacjach końcowych, wykonywanych przez zintegrowane z ATD rozwiązania bezpieczeństwa.

Infografiki

Główne cechy

  • Wykrywanie nieznanego oprogramowania. Wykrywanie nieznanego i zamaskowanego złośliwego oprogramowania, w tym zagrożeń typu Advanced Persisting Threat (APT), z wykorzystaniem analizy statycznej i dynamicznej.
  • Integracja z systemami ochrony brzegu sieci. Blokowanie nowych infekcji poprzez integrację z rozwiązaniami brzegowymi McAfee: Network Security Platform (IPS), Email Gateway, Web Gateway i Next Generation Firewall (ForcePoint).
  • Przygotowywanie informacji dla innych rozwiązań firmy McAfee. Przesyłanie raportów zwrotnych do rozwiązań McAfee Active Responsez oraz McAfee Threat Intelligence Exchange, pozwalających na przeprowadzanie akcji naprawczych na zainfekowanych stacjach końcowych.
  • Tworzenie raportów. Generowanie szczegółowych raportów, dotyczących zachowania analizowanych próbek malware, zawierających między innymi: listę uruchamianych procesów, tworzonych plików, opis komunikacji z Internetem, zmiany w rejestrach, itp.
  • Analiza w wyizolowanym środowisku virtualnym. Przeprowadzanie analiz w bezpiecznym, wyizolowanym środowisku wirtualnym, które uniemożliwia przenikanie zagrożeń z analizatora do sieci firmowej.
  • Wykorzystanie własnych maszyn wirtualnych. Możliwość zasilenia rozwiązania własnymi obrazami maszyn wirtualnych, zawierającymi system operacyjny oraz aplikacje klienta, wraz ze specyficznymi dla niego ustawieniami, które będą wykorzystywane w procesie analizowania plików.
  • Integracja z rozwiązaniami ochrony stacji końcowych. McAfee ATD integruje się z szyną danych bezpieczeństwa McAfee Threat Intelligence Exchange/McAfee Data Exchange Layer, zapewniając możliwość dystrybuowania informacji o zagrożeniach do stacji końcowych i serwerów w czasie rzeczywistym oraz blokowanie na nich procesów i plików będących wynikiem infekcji.
  • Integracja z rozwiązaniami klasy SIEM. McAfee ATD integruje się między innymi z rozwiązaniem McAfee Enterprise Security Manager (SIEM), zapewniając jego zasilanie informacjami o wykrywanych zagrożeniach (poprzez pliki IoC). Mechanizmy korelowania tych informacji ze zdarzeniami spływającymi ze środowiska pozwalają na alarmowanie o przypadkach występowania danych zagrożeń na innych systemach i sieciach firmowych.