OCHRONA STACJI i SERWERÓW

InfografikaProblemem z którym boryka się większość organizacji jest rosnąca liczba urządzeń i systemów, które należy zabezpieczyć, a które nie potrafią wymieniać ze sobą informacji. Zapewnienie współpracy pomiędzy odseparowanymi elementami systemu, jest kluczowe do zapewnienia globalnej, spójnej ochrony.

McAfee Threat Intelligence Exchange (TIE) poprzez wymianę informacji o zagrożeniach pomiędzy urządzeniami końcowymi, rozwiązaniami zainstalowanymi na styku z Internetem oraz innymi systemami bezpieczeństwa, tworzy adaptacyjny system ochrony sieci korporacyjnej, wykorzystujący kompletną wiedzę o zagrożeniach.

McAfee TIE znacząco optymalizuje funkcjonowanie systemów bezpieczeństwa poprzez zwiększenie ich efektywności oraz skrócenie czasu reakcji na wykryte zagrożenie.

McAfee TIE jest innowacyjnym rozwiązaniem, korzystającym ze specjalnie zaprojektowanej przez firmę McAfee szyny danych bezpieczeństwa (McAfee Data Exchange Layer – DXL).

McAfee TIE jest lokalną bazą reputacji o plikach, certyfikatach, a w przyszłości również adresach URL i adresach IP. Celem stworzenia takiej bazy jest gromadzenie informacji o kontekście każdego obiektu, który może być wzięty pod uwagę przy dalszej analizie.

Źródłami informacji kontekstowej mogą być dla przykładu

  • Stopień rozpowszechnienia pliku w organizacji. Data pierwszego pojawienia się danego pliku w organizacji.
  • Informacja, jak dany plik trafił do sieci (np. z jakiej strony, poprzez e-mail).
  • Informacja, czy plik nie został spakowany mechanizmami do zaciemniania kodu.
  • Informacja, czy analiza dynamiczna nie wykazała podejrzanych zachowań przez sandboxing.

Informacje lokalne mogą być również wzbogacane przez systemy globalnej reputacji, takie jak McAfee Glogal Threat Intelligence (GTI) oraz zewnętrzne źródła danych, takie jak Virus Total lub inne systemy, które potrafią wstrzyknąć informacje do McAfee TIE poprzez udostępnione przez producenta API.

Zmiana reputacji plików dokonana ręcznie, przez zewnętrzne źródło lub przez system typu sandbox jest automatycznie rozgłaszana do wszystkich komponentów zintegrowanych poprzez szynę McAfee Data eXchange Layer (DXL), stąd dalsze rozprzestrzenianie się niechcianego kodu jest blokowane w całej infrastrukturze – na stacjach końcowych oraz rozwiązaniach brzegowych.

Dodatkowo, na stacjach i serwerach mogą być automatycznie kończone wszystkie procesy, które dotyczą kodu z podejrzaną lub złą reputacją. Zapewnia ta możliwość dokonywania automatycznej remediacji zainfekowanych stacji. Z uwagi na architekturę szyny danych DXL, cała operacja zajmuje kilka sekund.

Główne cechy

  • Reputacja plików, certyfikatów jest przetrzymywana w jednym miejscu. Pojedyncza zmiana reputacji jest znana wszystkim systemom w czasie rzeczywistym.
  • W przypadku infekcji (jeśli znana jest charakterystyka pliku) można natychmiast zablokować rozpowszechnianie się zagrożenia poprzez nadanie powiązanym z nim plikom złej reputacji. Zmiany będą natychmiastowo dystrybuowanie i dostępne w całej infrastrukturze.
  • Integracja stacji końcowych z McAfee Advanced Threat Defense (silnikiem sandboxowym, analizującym zachowanie się kodu w wyizolowanym środowisku, wstrzykującym informacje reputacyjne do bazy McAfee Threat Intelligence Exchange) – uruchomienie nowego kodu na stacjach końcowych może być warunkowane wynikiem analizy w silniku sandboxowym.
  • Reagowanie na przypadki przenikania zagrożeń poprzez rozwiązania ochrony styku z Internetem, wynikające z długiej analizy plików w środowisku sandboxowym – blokowanie procesów oraz usuwanie plików powiązanych z zagrożeniem ze stacji końcowych i serwerów, minimalizujące czas od wykrycia zarażenia do jego zablokowania.
  • Możliwość zapewnienia lepszej decyzyjności systemu antywirusowego poprzez udostępnienie poszczególnym mechanizmom ochrony świadomości o lokalnym kontekście pliku (liczba uruchomień w przeszłości, obecność na innych urządzeniach, reputacja serwisów GTI oraz Virus Total, itp.).