FireEye - защита от APT и Zero Day атак

Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 1

FireEye Overview

2013


Знакомство с FireEye

• Компания основана в 2004 году, поставляет свои решения с 2006

• 500+ сотрудников в 6 странах, Штаб-квартира Милпитас, Калифорния

• ~1000 Клиентов, во всех регионах, в каждой индустрии

• 100% рост доходов в 2012 году• Инвестиции от Топ-компаний - Sequoia Capital,

NorWest, Juniper, Silicon Valley Bank, Goldman Sachs, In-Q-tel

Включена в зал Инноваций

4 место в списке Наиболее быстро растущих компаний

2012 Technology Innovation Award


Эра продвинутых постоянных атак

• Атаки становятся более изощренными

• Наблюдается беспрецедентный рост их количества

• Под угрозой все индустрии• Социальные сети позволяют

атаковать сотрудников прямо на их рабочих местах

“Компании столкнулись с динамическим развитием киберугроз, с которыми они просто не в силах бороться...продвинутые атаки, беспрепятственно минуют традиционные средства защиты и оседают в системе оставаясь незамеченными.” Gartner, 2012

2004 2006 2008 2010 2012

Advanced Persistent Threats

Zero-dayTargeted AttacksDynamic Trojans

Stealth Bots

WormsViruses

Spyware/BotsУ

щер

б о

т А

так


Карта угроз

Бизнес Технический

Ущерб

Breach Disclosure

High

Copyright (c) 2012, FireEye, Inc. All rights reserved. | CONFIDENTIAL 4

System Destruction

SEC Disclosures& Enquiries

Падение продуктивности

BrandReputation

High High

Кража IP

Оценка Рисков ПроизводительностьСистемы

Оценка затрат

Законодательство

RegulatoryRequirements

APT

FinancialLoss

Кража идентичности

Компенсации

ProcessAutomation

Политикипроцессы

Breach Clean Up Costs

BOTNETS

Peer to Peer

Recruitment &Retention

Low


Почему это происходит?

Firewalls/NGFW

Блокировка соединений по IP\портам, L7.Не видит эксплоитов, не эффективен против продвинутых постоянных атак.

IPS

Обнаружение атак по сигнатурам. Поверхностный анализ приложений, высокий уровень ложных срабатываний, нет понимания о происхождении атак

Secure WebGateways

Анализ скриптовых угроз, AV, IP/URL фильтрация. Не способность отражать продвинутые целевые атаки

Anti-SpamGateways

Концентрация на борьбе с вирусами, сигнатурный анализ. Отсутствует защита от нацеленного фишинга (spear-phishing)

Desktop AV

Анализ угроз на основе сигнатур. Не способность отражать продвинутые нацеленные атаки

Несмотря на наличие всех этих решений, 95% организаций находятся под угрозой атаки


Какое же решение?

Индустрия нуждается в решении которое сфокусировано на следующих проблемах:

• Защита от атак по всем возможных векторам – web, почта, передача файлов

• Защита должна отвечать характеру угрозы• Не использовать сигнатурный метод определения угроз• Защита от несанкционированного использования данных• Никаких дополнительных затрат на ИТ

FireEye – решение этих проблем!


Жизненный цикл Угроз/APT

Проникновение•Атака через браузер• Ссылка в персональном письме• Социальная инженерия

1

3 Кража данных и налаживание длительного контроля• Скачивание данных украденных с помощью

кейлогеров, троянцев, ботов• Один эксплоит ведет к десяткам других угроз• Хакеры налаживают длительный контроль

над всей системой

2 Установка вредоносных программ• Установка контроля• Установка связи со шпионским сервером

АтакующийWeb сервер, или

Web 2.0 сайт

1

Управляющий сервер

IPS, Gateway

Рабочие станции

3

2

Firewall

СерверОсновной Свитч

Интернет

Корпоративная сеть

3


FireEye Мультивекторная платформа защиты

Вэб Почта Файлы Угрозы

Central Management System

Dynamic Threat Intelligence™

Сетевые устройства дают подробное представление о сетевом трафике

Быстрая установка, никаких политик и правил

Гладкая интеграция с существующей инфраструктурой

Дополнительное специализированное средство для анализа вредоносных программ

Multi-Vector Virtual Execution™


Обзор: FireEye Web MPS

Windows 7 – SP1

Virtual Execution Environment Analysis

Первоначальный анализ

Play Malware Attack

Windows XP - Base

Windows XP – SP2

Windows XP – SP3

Windows 7 - Base

Мгновенная Блокировка Известных

уязвимостей

Web Угрозы

Захват пакетов

1 2 3 4

CALLBACK

ENGINE

DTI5

Предотвращение несанкц.

использования

данных

Port0

65k

Исходящие

Профили атак нулевого-дня


Обзор: Технологии Email MPS

8300 поддерживает 96 Virtual Execution Environments (VXE)

Virtual ExecutionEnvironment (VXE) Analysis

Play Malware Attack

Windows XP - base

Windows XP – SP2

Windows XP – SP3

Windows 7 - Base

Windows 7 – SP1

Распределение Объектов Анализа

Перехват писем

1 2 3

URL передаются в серые списки на Web MPS через

консоль управления

Отчеты, Оповещения и Карантин

4

✔

✔

✔

Профили атак нулевого-дня

DTI

• Обнаружение эксплоитов• Тест на извлечение• Всевозможные вариации

ОС\приложений• Происхождение URL

• Последовательность URL• C&C protocol descriptors

• Отчет об изменении ОС


Система Анализа Угроз

Файловое хранилище

Индивидуальныефайлы

Первоначальный анализ

011011110010

Сравнение с имеющейся базой угроз 7300 имеет 32 Virtual Execution

Environments (VXE)

Отслеживание Командно-Контрольныхдействий(в режиме реального времени)

Детальны отчет и видео факт

Детальный анализ

Play Malware Attack

Распространение информации об угрозах среди клиентов FireEye

РепозиторийУгроз

Windows XP - base

Windows XP – SP2

Windows XP – SP3

Windows 7 - Base

Windows 7 – SP1

Распределение

угроз в разные папки

УправлениеWeb UI CLI

URL’s

1 2

DTI


Network

Monitoring

Endpoint

Платформа FireEye : Партнеры


Установка

Установка Web MPS

Нет риска простоя, нет задержек

Использование FireEye позволяет Вам узнать больше о вашей сети

SPAN/TAP

Proxy, Gateway,IPS/IDS

Internet

Firewall

ПК\Ноутбуки

Пользователи

Web MPS

Администратор

SSHHTTPSУведомления


FireEye приступаем к работе

• POC– Бесплатное тестовое внедрение

• Поддержка– Premium поддержка на момент тестового внедрения

• Обновления Malware Protection Cloud– Бесплатное обновление в период тестового внедрения

• Быстрая настройка без нагрузки на сеть

• Легкая интеграция в существующую сеть