Выбор читателей Security Techtarget 2014 в номинации «Инструменты разведки угроз» в области информационной безопасности

Маститое американское он-лайн издание по информационным технологиям Techtarget ежегодно опрашивает своих читателей и формирует списки победителей в различных номинациях. Данная статья посвящена новой номинации 2014 года «Инструменты разведки угроз» (Threat intelligence tools).

Одна из новых категорий этого, 2014-го, года,- продукты, выполняющие разведку угроз, — может быть воспринята в двух ипостасях, поскольку сам англоязычный термин «intelligence» имеет несколько смыслов: разведка и интеллект. Таким образом, продукты данной номинации можно рассматривать, как средства:

  • обеспечивающие новостную ленту разведданных, потребляемых различными другими продуктами;
  • или использующие интеллект для блокировки вредоносного ПО и сложных атак.

В этой категории были определены 3 победителя, представленные далее.

FireEye Threat Intelligence компании FireEye Inc.

Сервисы и продукты разведки угроз от FireEye впечатлили в этом году читателей Techtarget тем, как быстро они реагируют на новые угрозы, а также уровнем сервиса и поддержки вендора. Такие возможности некоторым образом объясняются тем, что данный разработчик в 2013 году был приобретен довольно заметной компанией Mandiant, занимающейся расследованием инцидентов.

Разведка угроз FireEye

Разведка угроз FireEye доставляет автоматически генерируемые отчеты по показателям компрометации, основываясь на информации, получаемой из точек внедрения у заказчиков, что обещает снизить время обнаружения и последующей блокировки атаки.

FireEye продолжает оставаться в первых рядах, анонсировав в сентябре планы предложить для Веб сервисов Амазон функции разведки угроз в облаке вкупе с аналитическим продуктом.

Компания предлагает три уровня подписки на свои услуги «Разведки угроз»:

  • динамическая разведка угроз (Dynamic Threat Intelligence);
  • расширенная разведка угроз (Advanced Threat Intelligence);
  • расширенная разведка угроз плюс (Advanced Threat Intelligence Plus).

Динамический – это самый базовый уровень, который позволяет клиентам при помощи технологий FireEye делиться разведданными по угрозам с облаком FireEye и обещает возможность блокировать атаки, основываясь на возвращаемых из облака данных.

Расширенный уровень добавляет больше контекстной информации к разведданным, возвращаемым из облака, включая детали по известным участникам угрозы и используемом вредоносном ПО, а также другие показатели компрометации.

Наиболее полный уровень, расширенная разведка угроз плюс, предоставляет исчерпывающие отчеты по группам хакеров и по атакуемым отраслям хозяйства, используя новостные и аналитические данные, происходящие тренды, и позволяет предприятиям делиться информацией напрямую со своими доверенными партнерами.

Для того, чтобы получить все преимущества сервисов FireEye по разведке угроз, организациям также потребуется внедрить и некоторые другие продукты «Платформы предотвращения угроз» (Threat Prevention Platform) этого вендора. В их состав входит ряд облачных продуктов и физические устройства, которые защищают различные области корпоративной информационной системы, включая сеть, электронную почту, конечные устройства и мобильные технологии. Все используемые технологии предотвращения угроз полагаются на собственный движок FireEye многовекторного виртуального исполнения (multi-vector virtual execution, MVX) для того, чтобы обнаружить продвинутое злонамеренное ПО посредством методов анализа в реальном времени. FireEye доставляет автоматически генерируемые отчеты по показателям компрометации, основываясь на информации, получаемой из точек внедрения у заказчиков, что обещает снизить время обнаружения и последующей блокировки атаки.

Читатели Techtarget отметили сервисы Threat Intelligence компании FireEye и смежные продукты, как «ультрасовременные» и которые определенно оказали бы положительное влияние, присутствуя в планах программ обеспечения безопасности корпоративных информационных систем.

WebPulse компании Blue Coat Systems Inc.

Читатели высоко оценили предложение WebPulse компании Blue Coat Systems Inc. в ряде областей применения, включая его способность быстро реагировать на новые угрозы. Уровни сервиса и техподдержки получили хорошую оценку благодаря инвестициям вендора. Также, как и другие продукты в этой категории, WebPulse – это репозитарий, основанный на облаке, где информация об угрозах, и, особенно в нашем случае, — по угрозам из всемирной паутины, — собираются с других продуктов  Blue Coat, в том числе с ProxySG и с устройств PacketShaper этой компании. Такие продукты затем задействуют функции разведки атак для того, чтобы блокировать их еще перед тем, как они будут предприняты.

Инструмент разведки угроз WebPulse компании Blue Coat Systems Inc

Команда информационной безопасности может автоматически при помощи WebPulse компании Blue Coat блокировать подозрительные адреса URL и ассоциированное с ними злонамеренное ПО.

WebPulse работает, анализируя и категорируя все адреса URL, которые посещает защищаемый пользователь. Если какой-то URL уже недавно был посещен другим пользователем Blue Coat и детали этого посещения уже загружены в облако, то WebPulse автоматически назначит сайту рейтинг, который впоследствии может быть использован администратором для того, чтобы блокировать к нему доступ или разрешить в рамках организации. Если какой-то URL адрес ранее никем не посещался, что вполне вероятно, когда каждый месяц создаются миллионы новых URL, тогда WebPulse использует свой рейтинговый движок в облаке, чтобы проанализировать стиль изложения содержимого по данному URL, регистрационную информацию, историю и т.п., чтобы определить, может ли этот сайт стать доверенным. Функции анализа, используемые в WebPulse, полагаются на ряд методов, включая сканирование на предмет злонамеренного ПО и вирусов, использование «песочниц», задействование уникальных сканеров контента, чтобы определить, содержит ли сайт злонамеренное содержимое.

Эта информация затем соотносится с облаком WebPulse, и, таким образом, другие пользователи тоже получают выгоды от такого анализа.

Пользователи устройства инлайн (пропускающего через себя) сканирования веб-трафика ProxyAV компании Blue Coat также также отправляют данные в облако WebPulse для аналогичного эффекта. Один из читателей Techtarget также отметил, такую выгоду, что одна из сильных сторон WebPulse, это что он «хорош в сочетании с другими продуктами».

Advanced Malware Protection (расширенная защита от вредоносного ПО) компании Cisco

Предложение Advanced Malware Protection (AMP) компании Cisco, как результат приобретения, ставшего хитом 2013 года, вендором компании Sourcefire за 2,7 млрд долларов,  получило часть наивысших оценок в этой номинации от читателей  за свою способность быстро реагировать на новые угрозы. Читатели также заявили о своем ощущении того, что продукт Cisco предоставил им хорошую общую осведомленность о ситуации, основанную на данных о среде безопасности.

Разведка угроз Cisco AMP частично основывается на своей интеграции со ThreatGrid, сервисом анализа злонамеренного ПО, доступного для клиентов в виде устройств либо в облаке, который использует функции «песочницы» и базу данных угроз собственной разработки для того, чтобы выявить потенциальные эксплойты. Ожидается, что Cisco усилит свою интеграцию со ThreatGrid после приобретения в мае своего давнишнего партнера Sourcefire.

Инструмент разведки атак Advanced Malware Protection (расширенная защита от вредоносного ПО) компании Cisco

Предприятия могут видеть прошлое и текущее состояние атак при помощи технологии AMP компании Cisco.

Технология AMP может быть внедрена несколькими способами, от интегрирования в выделенные межсетевые экраны ASA и другие сетевые устройства до функционирования на конечных устройствах, в том числе мобильных. Продукты всей экосистемы Cisco, такие как Cisco Cloud Web Security и устройства Cisco Web and Email Security также используют AMP в качестве встроенной функции.

Технология AMP компании Cisco, в основном, служит для того, чтобы анализировать, обнаруживать и блокировать злонамеренное ПО в течение жизненного цикла атаки. Положительное или отрицательное отношение к файлу может сформироваться в результате анализа проходящего через устройства Cisco трафика, файлы с неизвестным поведением могут быть проанализированы в среде «песочницы», и , что, возможно, является наиболее уникальным привлекательным фактором AMP, файлы будут непрерывно анализироваться для того, чтобы обнаружить, не произошла ли атака из файла, ранее воспринятого, как безвредного.

На основании этой возможности Cisco обещает пользователям AMP, что сможет сразу обнаружить источники неизвестных угрозы, как только их возможность будет раскрыта, и возможные аналогичные атаки на основе собранной информации будут блокированы еще перед тем, как они смогут произойти. Эта возможность сподвигла одного из читателей Techtarget отметить, что технология AMP от Cisco «обеспечивает полную защиту» от атак.

Разведданные об угрозах, собираемые в результате выполнения аналитических функций AMP,  передаются в группу по исследованию угроз Talso компании Cisco, что делает доступной информацию по отражению атак всему сообществу Cisco, данные поступят в устройства и сервисы этой компании для того, чтобы блокировать будущие атаки. Интригующе также звучит новость, что Cisco недавно подписала контракт, который делает данные из «песочницы» AMP доступными для клиентов сервисов безопасности, оказываемых компанией Symantec.

Евгений