Анализът на злонамерен код е важна част от предотвратяването и засичането на бъдещи кибератаки. С подходящи инструменти експертите по киберсигурност могат да анализират целия жизнен цикъл на атаките и да добиват важни детайли от извършеното разследване, за да подобрят използваните методи и политики за сигурност.
FireEye Malware Analysis е решение за извършване на следствен анализ, което дава на анализаторите на сигурността контрол върху мощни автоматично конфигурирани тестови среди за безопасно изпълнение и инспектиране на напреднал злонамерен код, както и на непознати и напреднали постоянни заплахи (APT), вградени в уеб страници, в прикачени файлове към електронни съобщения или в локално съхранявани файлове.
Тъй като киберпрестъпниците приспособяват атаките, за да проникнат в конкретна бизнес среда, потребителски акаунт или система, анализаторите се нуждаят от лесни за използване инструменти за следствен анализ, които им помагат бързо да се справят с целенасочените злонамерени дейности.
Анализ на атаки срещу конкретни видове операционни системи, браузъри и приложения
FireEye Malware Analysis използва технологията FireEye Multi-Vector Virtual Execution (MVX), за да предостави на анализаторите в компаниите пълен 360-градусов поглед върху целия жизнен цикъл на атаките – от първоначалното им проникване в средата до определяне на дестинациите при опит за обратна „callback” комуникация и опити за сваляне на допълнителни злонамерени файлове.
Чрез предварително конфигурирана виртуална безопасна среда за анализ, използвайки операционни системи като Microsoft Windows и Apple MacOS X, MVX технологията изпълнява изцяло засечения подозрителен злонамерен код, за да позволи извършване на детайлна инспекция на често срещани уеб обекти, прикачени файлове в електронни съобщения и локално съхранявани файлове.
FireEye Malware Analysis използва MVX механизма за проверка на единични файлове или файлови масиви за наличие на злонамерен код и проследява опитите за обратна комуникация с хакерски команден център, като позволява да се анализират множество мрежови протоколи.
Повече време за анализиране, а не за администриране
FireEye Malware Analysis освобождава администраторите от времеемките процеси по настройка, привеждане в оптимално състояние и възстановяване на средите на виртуалните машини, използвани за ръчен анализ на злонамерен код.
С вградени опции за персонализация на тестовите среди и подробен контрол върху изпълнението на злонамерен код, FireEye Malware Analysis позволява на следствените анализатори да постигнат цялостно разбиране за атаката, което да отговаря на потребностите на организацията.
Анализ в реално време в жива среда или симулиран sandbox анализ във виртуална среда
FireEye Malware Analysis предоставя на потребителите два режима на анализ – анализ в реално време в жива среда и симулиран sandbox анализ във виртуална среда.
Анализаторите на злонамерен код използват режима в реално време с пусната мрежова свързаност към интернет за пълен анализ на жизнения цикъл на вирусния софтуер, позволявайки външно свързване с хакерски команден център. Това дава възможност на FireEye Malware Analysis да проследява напреднали атаки през няколко етапа и в различни вектори. В симулиран sandbox режим целият път на изпълнение на конкретни проби от злонамерен код е напълно изолиран от външни фактори и видим във виртуалната среда.
И в двата режима потребителите могат да генерират динамичен и анонимен профил на атаката, който може да бъде споделен чрез FireEye Central Management на други FireEye решения. Профилите за атака на вирусен софтуер, генерирани от FireEye Malware Analysis, включват идентификатори на злонамерен код, URL адреси с експлоатиращи злонамерени процеси в тях и други източници на заразяване с вируси и таргетирани атаки. Също така, характеристиките на мрежовия протокол за комуникация, използван от даден злонамерен код, се споделят с другите решения на вендора, за да осигурят динамично блокиране на опитите за нежелано извличане на данни в цялата мрежа на организацията чрез глобалната система за репутация FireEye Dynamic Threat Intelligence (DTI).
Използване на YARA-базирани правила за персонализиране на анализите
FireEye Malware Analysis поддържа вмъкване и използване на персонализирани YARA правила, за да се определят правилата за анализ на ниво байт и бързо да се анализират подозрителни обекти за заплахи, специфични за организацията.
Глобална мрежа за защита от злонамерен код
FireEye Malware Analysis може автоматично да споделя следствени данни от анализите на злонамерен код с други решения на FireEye чрез Central Management устройство, да блокира опитите за нежелано извличане на данни извън организацията и да спре входящите познати атаки. Данните за заплахите от анализите с FireEye Malware Analysis могат да се споделят чрез глобалната облачна среда FireEye DTI, за да се осигури защита от новопоявяващи се атаки.
Чрез предварително конфигурираната технология FireEye MVX, която елиминира необходимостта от настройка на евристиката, FireEye Malware Analysis спестява време на администраторите за настройка и решаване на проблеми с конфигурацията. Това решение също така помага на анализаторите на заплахите да анализират напреднали целенасочени атаки, без да е необходимо да използват много мрежови или защитни ресурси на организацията.
Предимства на FireEye Malware Analysis
Решението на FireEye дава на организациите детайлна информация за кибератаките и им помага да намалят рисковете за бизнеса чрез:
- Взимане на информирани решения при изграждане на бъдещата защитна стратегия на базата на детайлната информация за използваните инструменти и тактики от атакуващите.
- Спиране на разпространението на атаките чрез използване на автоматично създадени локални профили за тях, които се споделят мигновено между всички FireEye решения.
FireEye Malware Analysis позволява автоматизация на анализа за по-добра ефикасност:
- Зареждане в решението на съмнителни файлове или групи от файлове през опростен потребителски интерфейс.
- Идентифициране на атаки, без използване на дефиниции, за засичане на непознат злонамерен код.
- Интегриране с антивирусни решения за по-детайлна инспекция на познат злонамерен код.
FireEye Malware Analysis осигурява единна тестова среда за Windows и MacOS среди:
- Едновременно използване на виртуални машини за sandbox анализ с Microsoft Windows и Mac OS X среди, които се подвизават в специално изграден от вендора, силно защитен и персонализиран хипервайзор.
- Елиминира необходимостта от създаване и поддържане на множество тестови конфигурации за sandbox анализ.
- Автоматизира конфигурирането, привеждането в оптимално състояние и възстановяването на виртуалните машини за sandbox анализ, като се използват само приложимите операционни системи в средата.
Коя е FireEye?
В последните години американската компания FireEye неизменно бива избирана за топ доставчик на решения за киберсигурност при връчване на наградите Cybersecurity Excellence Awards в Лондон. И тази година FireEye спечели най-високите отличия Gold във всичките 5 категории, в които бе номинирана: Best Cybersecurity Company, Best Cybersecurity Podcast for Verodin’s Cybersecurity Effectiveness Podcast, Best Email Security, Best Endpoint Security, Threat Intelligence Operations.
FireEye е известна със своята уникална sandbox технология, която захранва повечето ѝ решения, както и с фокуса си в справянето с най-напредналите, непознати до този момент заплахи. Това е доставчикът с най-голяма успеваемост в откриването и спирането на т.нар. Zero-day атаки (които използват уязвимост „от нулев ден”).
FireEye е не просто доставчик на високотехнологични решения за киберсигурност. Компанията допълва продуктите си с уникална киберекспертиза, тъй като разполага с най-опитните световни експерти в сферата на следственото разузнаване на кибератаки и в разучаването на новопоявил се злонамерен код.
Екосистемата от решения и услуги на FireEye комбинира технологии и експертиза за изграждане на надеждна платформа за киберсигурност. Компанията предоставя цялостен набор от решения за засичане, защита и методи и инструменти за отговор на възникналите инциденти за сигурността на ниво мрежа (FireEye NX), крайни точки (FireEye HX), електронна поща (FireEye EX) и облачни среди (FireEye Cloudvisory), като всяко решение може да се управлява централизирано чрез SOC платформата на FireEye Helix.
Освен отличните си технологии и решения, FireEye също така разполага с огромен набор от киберексперти на топ равнище, които ежедневно тестват и подобряват методите за защита, използвани в решенията на компанията. Клиентите могат да използват услугите на тези експерти, част от звеното Mandiant Consulting на FireEye, например за провеждане на разследване след възникнал киберинцидент в организацията, специализирани обучения на екипите по киберсигурност, с възможност за контролирани симулации на хакерски атаки и съветване на екипите как да се справят с тях.
Една от услугите на компанията, FireEye Managed Defense, напълно освобождава клиента от наемането и обучаването на специалисти по киберсигурност. Услугите Threat Intelligence пък предоставят достъп до портал с най-актуалната информация за новопоявили се и бъдещи киберзаплахи, като разчита на експертизата на специалисти с дългогодишен опит, част от които разполагат с вътрешна информация от хакерските организации.
Решенията за киберсигурност на FireEye са достъпни за клиентите у нас от ексклузивния официален дистрибутор КОМПЮТЪР 2000 България.