FireEye (платформа)

Продукт
Разработчики: FireEye
Дата последнего релиза: 2014/12/15
Технологии: ИБ - Антивирусы,  ИБ - Антиспам,  ИБ - Межсетевые экраны

Содержание

FireEye - средство защиты от угроз, предназначено для динамического обнаружения и блокирования кибератак в режиме реального времени.

Платформа FireEye - мощное решением защиты данных от кибератак следующего поколения:

  • современное вредоносное ПО,
  • атаки, эксплуатирующие уязвимости «нулевого дня»,
  • адресные атаки типа APT.

Модули FireEye, 2014

Платформа FireEye использует механизм поведенческого анализа потенциально опасных объектов, которые одновременно запускаются на большом количестве специальных виртуальных машин (представляющих разные версии операционной системы Windows с различными версиями прикладного ПО). Такой анализ выявляет угрозы, которые реализуются по разным векторам атак – посредством доступа пользователя к скомпрометированному сайту, по электронной почте, при файловом обмене и др. Помимо пресечения попыток вторжения в сеть компании, система FireEye анализирует исходящий сетевой трафик для обнаружения уже инфицированных узлов внутри сети, где ранее был установлен вредоносный код, получающий команды управления из сети Интернет и/или передающий в скрытом режиме наружу собранную в сети конфиденциальную информацию.

Платформа FireEye служит дополнением к традиционным и современным брандмауэрам, системам IPS, антивирусному ПО и шлюзам. Она помогает сформировать защитный каркас для интегрированной защиты следующего поколения от многовекторных угроз в интернет-среде, по электронной почте, при файловом обмене и в мобильных приложениях.

Платформа защиты от угроз FireEye отражает современные кибератаки, которые агрессивно обходят все средства защиты на основе сигнатур и подвергают опасности большинство действующих сетей.

Особенности FireEye:

  • Механизм FireEye Multi-Vector Virtual Execution (MVX) помогает обнаруживать кибератаки нового поколения

  • «Облако» FireEye Dynamic Threat Intelligence участвует в поиске угроз анонимного происхождения, выявленных в результате анализа по модели MVX

  • Обеспечивается взаимодействие в отношении безопасности с обширной экосистемой партнеров, использующих стандартизованные метаданные вредоносного ПО и прикладные программные интерфейсы FireEye


FireEye – полное семейство программно-аппаратных комплексов и сервисов, разработанных для борьбы с современными угрозами в Интернете и электронной почте, с резидентным вредоносным ПО на общих файловых ресурсах и в мобильных приложениях нового времени.

ПАК FireEye, 2014

В составе платформы:

  • Система веб-защиты от вредоносных программ Web Malware Protection System – решение для веб-безопасности, предназначенное для борьбы с современными атаками, возникающими при просмотре веб-сайтов или при переходе по URL-ссылкам, содержащимся в сообщениях электронной почты.

  • Система защиты электронной почты от вредоносных программ Email Malware Protection System – решение для безопасности электронной почты, предназначенное для защиты от современных атак, таких как целевой фишинг.

  • Система защиты файлов от вредоносных программ File Malware Protection System – решение для безопасности файлов, предназначенное для обнаружения и уничтожения резидентного вредоносного ПО на общих файловых ресурсах.

  • Система экспертного анализа Malware Analysis System – решение для автоматизированного экспертного анализа вредоносного ПО.

  • Центральная система управления Central Management System – решение для локального обмена данными об угрозах в режиме реального времени и унифицированного управления развертыванием корпоративного ПО.

  • Облачное решение для динамического анализа угроз Dynamic Threat Intelligence – решение для глобального обмена данными анализа угроз в режиме реального времени для снижения опасности современных атак.

История

2015: 666 - критическая уязвимость FireEye

16 декабря 2015 Securitylab сообщила со ссылкой на команду Google Project Zero о наличии в продуктах FireEye критической уязвимости[1].

Брешь позволяет скомпрометировать внутренние сети посредством одного электронного сообщения.

Исследователи из команды Google Project Zero Тэвис Орманди (Tavis Ormandy) и Натали Силванович (Natalie Silvanovich) обнаружили критическую уязвимость в устройствах FireEye. Брешь позволяет злоумышленникам взламывать корпоративные сети с помощью специально сформированных сообщений электронной почты.

Ошибка получила название «666» в честь присвоенного порядкового номера. Проблема существует из-за ошибки в модуле пассивного мониторинга и затрагивает устройства FireEye NX, FX, AX и EX.

Устройства FireEye устанавливаются во внутреннюю сеть организации и проводят пассивное наблюдение за всем трафиком. Все операции по передаче файлов (например, по FTP или электронной почте) контролируются – в рамках мониторинга передаваемые файлы открываются и проверяются на предмет вредоносного ПО. Если пользователь получит письмо с вредоносным вложением, система мониторинга попытается проверить полученные файлы и будет инфицирована. Злоумышленник может получить доступ к корпоративной сети.

Уязвимость может быть эксплуатирована на устройствах с заводскими настройками. FireEye выпустила исправления для FireEye NX, FX и AX. В связи со сложившимися обстоятельствами техническая поддержка оказывается всем клиентам, включая пользователей с истекшими контрактами на обслуживание.

В сетях с зараженными устройствами злоумышленники могут похищать конфиденциальную информацию, перехватывать либо перенаправлять трафик, устанавливать руткиты или самораспространяющиеся сетевые черви.

FireEye EX

FireEye EX – решение для защиты организации от направленных фишинговых почтовых атак, которые обходят репутационные и антиспам-технологии. Атаки направленного фишинга используют методы социальной инженерии для создания правдоподобных сообщений, которые заставляют пользователя перейти по ссылке или открыть вложение, что в последствии дает возможность киберпреступнику получить контроль над системой.

Для отправки в карантин сообщений направленного фишинга, которые используются при организации продвинутых направленных атак, EX производит анализ каждого вложения, используя безсигнатурную технологию Multi-Vector Virtual Execution (MVX), которая безопасно и точно обнаруживает атаки нулевого дня. EX не использует сигнатуры или репутационные базы, а «детонирует» каждое вложение на перекрестной матрице операционных систем, приложений включая всевозможные веб-браузеры и плагины, такие как Adobe Reader и Flash. Администратор может отправить вредоносное сообщение в карантин или вовсе удалить его.

Представление о работе устройства FireEye NX, (2014)

В связи с тем, что APT атаки в своей мульти-векторной стратегии проникновения в сеть жертвы часто используют направленный фишинг, EX часто используется совместно с решением по защите сети от Web атак (FireEye NX), а так же консолью централизованного управления (FireEye CM). При таком сценарии развертывания, клиент получает не только защиту от вредоносных URL в режиме реального времени но и возможность отследить взаимосвязь при смешанных атаках.

Возможности:

  • Установка до 60 минут – Разворачивается как MTA, SPAN устройство или BCC место назначение, In-Line (блокировка\мониторинг), out-of-band (только мониторинг)
  • Карантин сообщений с Zero-day угрозами в режиме реального времени – использование технологии FireEye MVX позволяет блокировать продвинутые направленные атаки (ATA) проникающие через зараженные изображения, PDF файлы, Flash или ZIP/RAR/TNEF архивы
  • Интеграция с NX для остановки смешанных атак – отправка в карантин сообщений с зараженными URL и отслеживание веб-атаки, источником которой является письмо направленного фишинга
  • Усиление контроля существующей почтовой инфраструктуры – многоуровневый, динамический анализ вредоносных программ и вложений устраняет недостатки статического сигнатурного метода обнаружения угроз антиспам и антивирусных шлюзов
  • Динамическое создание профилей угроз – FireEye EX осуществляет захват координат callback и характеристик коммуникаций для защиты локальной сети, а так же распространяет их глобально посредством облачной службы DTI
  • Поддержка YARA-правил – позволяет аналитикам безопасности настроить правила на байтовом уровне, и обеспечить быстрый и эффективный анализ объектов электронных сообщений на предмет угроз специфических для вашей организации
  • Интеграция с AV-Suite – вредоносные объекты, которые обнаруживаются антивирусными решениями могут быть отправлены для более глубокого анализа для более точной приоритезации отклика на инцидент

Примечания



ПРОЕКТЫ (3) ИНТЕГРАТОРЫ (2) СМ. ТАКЖЕ (4)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (144)
  ESET (ИСЕТ Софтвеа) (65)
  Инфосистемы Джет (64)
  ДиалогНаука (56)
  Информзащита (40)
  Другие (1190)

  Смарт-Софт (Smart-Soft) (5)
  Национальный аттестационный центр (НАЦ) (4)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (4)
  Другие (72)

  Солар (ранее Ростелеком-Солар) (8)
  А-Реал Консалтинг (6)
  Softline (Софтлайн) (3)
  Сторм системс (StormWall) (2)
  Лаборатория Касперского (Kaspersky) (2)
  Другие (55)

  Инфосистемы Джет (6)
  UserGate, Юзергейт (ранее Entensys) (5)
  Уральский центр систем безопасности (УЦСБ) (4)
  МСС Международная служба сертификации (3)
  Национальный аттестационный центр (НАЦ) (3)
  Другие (55)

  Positive Technologies (Позитив Текнолоджиз) (5)
  ИВК (4)
  Уральский центр систем безопасности (УЦСБ) (4)
  Инфосистемы Джет (4)
  TS Solution (ТС Солюшен) (2)
  Другие (44)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (22, 169)
  ESET (ИСЕТ Софтвеа) (11, 79)
  Positive Technologies (Позитив Текнолоджиз) (13, 68)
  Смарт-Софт (Smart-Soft) (5, 47)
  Доктор Веб (Dr.Web) (7, 45)
  Другие (715, 493)

  Смарт-Софт (Smart-Soft) (1, 5)
  R-Vision (Р-Вижн) (1, 4)
  Trend Micro (2, 3)
  Ngenix (Современные сетевые технологии, ССТ) (2, 3)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Другие (13, 12)

  Солар (ранее Ростелеком-Солар) (3, 7)
  А-Реал Консалтинг (3, 6)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (2, 4)
  R-Vision (Р-Вижн) (1, 1)
  Другие (12, 12)

  UserGate, Юзергейт (ранее Entensys) (3, 8)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  Лаборатория Касперского (Kaspersky) (1, 3)
  А-Реал Консалтинг (1, 2)
  Бифит (Bifit) (1, 1)
  Другие (6, 6)

  UserGate, Юзергейт (ранее Entensys) (6, 9)
  Positive Technologies (Позитив Текнолоджиз) (4, 5)
  ИВК (1, 4)
  Сбербанк-Технологии (СберТех) (1, 1)
  Cloud4Y (ООО Флекс) (1, 1)
  Другие (4, 4)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Endpoint Security - 81 (81, 0)
  ESET NOD32 Business Edition - 51 (51, 0)
  Dr.Web антивирус - 48 (12, 36)
  MaxPatrol SIEM - 35 (33, 2)
  Kaspersky Enterprise Space Security - 34 (34, 0)
  Другие 561

  Смарт-софт: Traffic Inspector Next Generation - 5 (5, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  FortiOS - 3 (0, 3)
  Trend Micro: Deep Discovery - 2 (2, 0)
  StormWall: Многоуровневая распределенная система фильтрации - 2 (2, 0)
  Другие 11

  Solar JSOC - 3 (3, 0)
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  Solar MSS - 3 (3, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Другие 19

  UserGate UTM - 4 (4, 0)
  UserGate C-серия Межсетевые экраны - 3 (3, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3 (3, 0)
  А-Реал Консалтинг: Межсетевой экран ИКС - 2 (2, 0)
  Другие 7

  ИВК Кольчуга - 4 (4, 0)
  UserGate UTM - 3 (3, 0)
  UserGate VE-серия Виртуальные межсетевые экраны - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  PT Application Inspector (PT AI) - 2 (2, 0)
  Другие 12

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (203)
  ESET (ИСЕТ Софтвеа) (118)
  Лаборатория Касперского (Kaspersky) (77)
  Инфосистемы Джет (55)
  ДиалогНаука (51)
  Другие (893)

  Card Security (Кард Сек) (4)
  Национальный аттестационный центр (НАЦ) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (3)
  Инфосистемы Джет (3)
  Другие (53)

  А-Реал Консалтинг (3)
  Deiteriy (Дейтерий) (2)
  Информзащита (2)
  Лаборатория Касперского (Kaspersky) (2)
  TUV Austria (2)
  Другие (40)

  Инфосистемы Джет (6)
  Уральский центр систем безопасности (УЦСБ) (4)
  Compliance Control (Комплаенс контрол) (3)
  Inspect (3)
  МСС Международная служба сертификации (3)
  Другие (41)

  Инфосистемы Джет (4)
  Уральский центр систем безопасности (УЦСБ) (4)
  МСС Международная служба сертификации (2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Инфосекьюрити (Infosecurity) (1)
  Другие (31)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (42, 366)
  ESET (ИСЕТ Софтвеа) (21, 141)
  Доктор Веб (Dr.Web) (17, 61)
  UserGate, Юзергейт (ранее Entensys) (3, 19)
  Fortinet (11, 15)
  Другие (365, 140)

  R-Vision (Р-Вижн) (1, 4)
  Trend Micro (2, 3)
  Лаборатория Касперского (Kaspersky) (2, 3)
  Fortinet (2, 1)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  Другие (3, 3)

  Лаборатория Касперского (Kaspersky) (4, 5)
  А-Реал Консалтинг (1, 3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  UserGate, Юзергейт (ранее Entensys) (1, 1)
  R-Vision (Р-Вижн) (1, 1)
  Другие (1, 1)

  Лаборатория Касперского (Kaspersky) (2, 4)
  UserGate, Юзергейт (ранее Entensys) (1, 4)
  CloudLinux (1, 1)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  Другие (0, 0)

  UserGate, Юзергейт (ранее Entensys) (1, 3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Лаборатория Касперского (Kaspersky) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ESET NOD32 - 140 (26, 114)
  Kaspersky Business Space Security - 87 (87, 0)
  Kaspersky Endpoint Security - 81 (81, 0)
  Kaspersky Security - 81 (81, 0)
  Dr.Web антивирус - 62 (12, 50)
  Другие 126

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  Kaspersky Industrial CyberSecurity (KICS) - 2 (2, 0)
  Trend Micro: Deep Discovery - 2 (2, 0)
  FortiGate - 1 (1, 0)
  FortiManager - 1 (1, 0)
  Другие 4

  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  UserGate Proxy & Firewall - 1 (1, 0)
  Kaspersky IoT Secure Gateway - 1 (1, 0)
  Kaspersky Industrial CyberSecurity (KICS) - 1 (1, 0)
  Другие 2

  UserGate UTM - 4 (4, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Kaspersky Security - 2 (2, 0)
  F.A.C.C.T. Business Email Protection - 1 (1, 0)
  Другие 0

  UserGate UTM - 3 (3, 0)
  BI.Zone CESP (Cloud Email Security & Protection) - 1 (1, 0)
  Другие 0