Artykuł Sandbox następnej generacji pochodzi z serwisu CRN.
]]>Zebrane pliki – w celu poznania ich zachowania i określenia rodzaju zagrożenia – są uruchamiane w bezpiecznym, izolowanym środowisku. Jeśli plik zostanie uznany za potencjalnie złośliwy, rozwiązanie Sandstorm przeprowadza dodatkową analizę, jednocześnie blokując możliwość uruchomienia danego pliku w środowisku produkcyjnym. Tworzy też rozbudowany raport, dzięki któremu administratorzy mogą przeprowadzić szczegółową analizę, np. źródeł występującego zagrożenia.
Jednym z podstawowych zadań realizowanych przez Sophos Sandstorm jest zaawansowana ochrona przed ukierunkowanymi atakami. Wykrywa w sieci nieznane złośliwe oprogramowanie wykradające dane i je blokuje. Wykorzystuje w tym celu własne rozwiązania w chmurze obliczeniowej. Dzięki temu skutecznie reaguje na ataki typu APT i zagrożenia zero-day. Wiedza o zagrożeniach i wykrytych anomaliach czerpana jest z monitoringu sieci oraz analizy zaobserwowanych incydentów w module sandbox. Na podstawie tych informacji wykonywane są odpowiednie czynności, ale także redukowane fałszywe alarmy.
Sophos Sandstorm jest w stanie blokować zagrożenia, których nie wykrywają inne rozwiązania (część ataków projektowanych jest specjalnie tak, aby omijały zabezpieczenia w urządzeniach sandbox pierwszej generacji). Zastosowanie przez Sophos emulacji pełnego systemu umożliwia szczegółowy podgląd zachowania nieznanego złośliwego oprogramowania i zapewnia wykrycie złośliwych ataków, nierozpoznawanych przez inne produkty. Sophos Sandstorm ocenia potencjalne zachowanie złośliwego kodu we wszystkich rodzajach urządzeń – w komputerach z systemami operacyjnymi Windows, Mac OS X oraz Android, serwerach fizycznych i wirtualnych, urządzeniach infrastruktury sieciowej, a także serwerach usług internetowych (web, e-mail, aplikacji).
Rozwiązanie Sophos Active Sandbox wstępnie precyzyjnie filtruje ruch, dzięki czemu tylko podejrzane pliki są przekazywane do modułu sandbox. W ich uruchamianiu występują więc minimalne opóźnienia, które mają znikomy wpływ na wydajność pracy użytkowników.
Oprogramowanie Sophos Sandstorm dostępne jest jako moduł, który w pełni integruje się z innymi, obecnymi już wcześniej w ofercie producenta rozwiązaniami ochronnymi. Zabezpieczenie przed ukierunkowanymi atakami zaczyna działać natychmiast po uaktualnieniu subskrypcji i implementacji Sandstorm.
Najważniejszym produktem zawierającym moduł Sophos Sandstorm jest urządzenie Sophos Web Appliance. Jako że 80 proc. zagrożeń pochodzi z Internetu, sprzęt ten zapewnia skuteczną, silną ochronę przed pochodzącymi z globalnej sieci zaawansowanymi atakami, zaprojektowanymi tak, aby omijały konwencjonalne rozwiązania ochronne.
Moduł Sophos Sandstorm jest oferowany zarówno nowym użytkownikom Sophos Web Appliance, jak i dotychczasowym klientom posiadającym aktywną subskrypcję (w formie uaktualnienia).
Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są: AB, Akbit i Konsorcjum FEN.
Dodatkowe informacje:
Sebastian Zamora,
Channel Account Executive, Sophos,
Artykuł powstał we współpracy z firmą Sophos.
Artykuł Sandbox następnej generacji pochodzi z serwisu CRN.
]]>Artykuł Zablokuj cyberprzestępcom możliwość omijania przeszkód pochodzi z serwisu CRN.
]]>atakami, które są spersonalizowane i dokuczliwe dla zaatakowanego. Te
przemyślane na wielu poziomach zagrożenia wydają się niewinne, dopóki –
niewykryte przez antywirusy i systemy ochrony przed włamaniami – nie przedostaną
się za firewalle i bramki do wnętrza firmowej sieci. Po przeniknięciu do
systemu IT zaawansowane oprogramowanie malware oczekuje na instrukcje. Mogą one
dotyczyć kradzieży danych, rozprzestrzeniania się na kolejne hosty
w ramach udostępnionych w sieci zasobów, przeprowadzenia rekonesansu
niezabezpieczonych podatności na ataki bądź też pozostawania
w bezczynności do momentu, w którym atakujący będzie gotowy do
uderzenia.
Jedyna obrona przed zaawansowanymi atakami
Rozwiązania FireEye Web,
Email oraz File Malware Protection Systems (MPS) zapewniają ochronę przed
zaawansowanymi i ukierunkowanymi atakami, które omijają tradycyjne
zabezpieczenia bazujące na sygnaturach i stanowią realne zagrożenie dla
większości dzisiejszych sieci w przedsiębiorstwach. Blokują znane zagrożenia
oraz generowany przez nie ruch sieciowy, a także wykorzystują najbardziej
wyrafinowane wirtualne środowisko na świecie do wykrywania i blokowania
nowych, zaawansowanych zagrożeń.
System FireEye skutecznie
wykrywa podejrzany kod, analizując pliki, załączniki i obiekty stron
internetowych. Po wykryciu próby ataku eliminuje go. Automatyka rozwiązania
FireEye przepuszcza zagrożenie przez filtr oparty na sygnaturach, aby
sprawdzić, czy jego mechanizm działania jest znany, a następnie wprowadza
je do wyizolowanego wirtualnego środowiska, gdzie w pełni wykonuje kod
ataku. Dzięki uwzględnieniu wielu rodzajów systemów operacyjnych, aplikacji,
przeglądarek oraz dodatków typu add-on, system FireEye wskazuje zagrożenia,
które mogą być źródłem ataków typu zero-day exploit, rootkit, privilege
escalation i innych.
Blokada i kwarantanna
System FireEye zbiera
liczne informacje z obserwacji ruchu sieciowego i jego pomiaru.
Monitorowane są m.in. adresy IP, protokoły i porty transmisyjne, których
atakujący używają do komunikacji i dystrybucji zagrożeń. Dzięki temu
system FireEye może zablokować zaatakowany host i przekazać informację
o zagrożeniu do centrum kontroli zarządzania. W ten sposób nawet
użytkownicy, u których pojawiły się niezidentyfikowane jeszcze zagrożenia,
mogą być objęci ochroną przed nimi oraz nieświadomym pobieraniem kolejnych.
Szczegółowe raporty generowane przez FireEye pomagają administratorom systemu
w identyfikacji zainfekowanych hostów oraz w ich oczyszczaniu.
Użytkownicy rozwiązań FireEye mogą także subskrybować usługę
FireEye Dynamic Threat Inspection, by współdzielić, budować i utrzymywać
aktualną bazę ochrony. System FireEye analizuje kod pod kątem złośliwych
akcji i tworzy odcisk palca (znacznik) dla wszystkich wykrytych i potwierdzonych
zagrożeń. Dzięki subskrypcji te dynamicznie generowane znaczniki mogą być
współdzielone w czasie rzeczywistym przez wszystkich użytkowników.
Większość cyberprzestępców używa wielokierunkowych
i wielostopniowych rodzajów ataków w celu ominięcia tradycyjnych zabezpieczeń
przedsiębiorstwa. Próbują dostać się do sieci firmowej, wykorzystując niewinnie
wyglądające wiadomości pocztowe zawierające nieszkodliwy, skrócony adres URL.
Kiedy użytkownik kliknie w URL, uaktywnia szereg procesów szukających
słabych punktów w systemie zabezpieczeń. FireEye potrafi wykryć ataki typu
spear phishing, URL, a także złośliwe załączniki, oraz skutecznie
chronić przed mieszanymi zagrożeniami tego typu.
Dodatkowe informacje:
Robert Żelazo,
Regional
Director – Eastern Europe,
robert.zelazo@FireEye.com
Artykuł powstał we współpracy z firmą FireEye.
Artykuł Zablokuj cyberprzestępcom możliwość omijania przeszkód pochodzi z serwisu CRN.
]]>