© 1995-2021 Компания «Инфосистемы Джет»
Противодействие угрозам на уровне рабочих станций: решение FireEye HX
Информационная безопасность

Как реализована защита от целенаправленных кибератак на конечных точках в решении FireEye HX

Информационная безопасность Тренд

Противодействие угрозам на уровне рабочих станций: решение FireEye HX

Автор
Алексей Белоглазов Системный инженер по России, СНГ и Восточной Европе FireEye

30.09.2016

Посетителей: 40

Просмотров: 30

Время просмотра: 0.5 мин.

Одним из острых вопросов при обсуждении темы Anti-APT является противодействие угрозам на уровне рабочих станций. Данная функциональность, с одной стороны, позволяет выстроить эшелонированную защиту от APT, а с другой – помогает достичь компромисс между безопасностью и удобством. Так, например, блокировка атак на периметре сети может вносить дополнительные задержки в работу сервисов и является дополнительной точкой отказа. Реализация же защиты на уровне рабочих станций позволяет перенести функции блокировки с периметра на конечные точки, сохраняя общую функциональность системы и не влияя на работоспособность бизнес-систем.

 

 

Помочь разобраться в том, как реализована защита конечных точек в различных продуктах, мы попросили наших партнеров – производителей решений Anti-APT.

 

Алексей Белоглазов, системный инженер по России, СНГ и Восточной Европе FireEye, подробно рассказывает о решении FireEye HX:

 

Решение FireEye HX входит в состав платформы FireEye для защиты от АРТ и предназначено для обнаружения угроз на конечных устройствах. Архитектура HX состоит из двух компонентов. Аппаратное устройство-контроллер собирает данные со всех агентов и обеспечивает управление ими. Агентское программное обеспечение (ПО) обеспечивает защиту рабочих станций, а также сбор информации, необходимой для поиска индикаторов компроментации (IoC) и расследования инцидентов.

Установка и архитектура

 

Агент FireEye НХ – это ПО, которое предоставляется в формате MSI с конфигурационным файлом. Его можно устанавливать как вручную, так и с помощью корпоративных средств централизованного управления ПО на конечных станциях. Запускаемые агентом процессы в среднем потребляют не более 2–4% CPU и 50 Мб RAM. Верхний предел можно ограничить через сервер управления НХ. Для работы решения требуется аппаратный сервер серии НХ 4000. Их может быть несколько, для повышения отказоустойчивости.

 

Каждый агент записывает всю активность на конечном устройстве, включая создание записей в реестре, операции с файлами, сетевую активность и запуск процессов, в том числе загрузку DLL. Записи шифруются и хранятся в кэше агента в течение нескольких дней (глубина истории зависит от активности станции). В случае возникновения алерта данные из кэша могут быть выгружены администратором информационной безопасности (ИБ) для расследования инцидента на этом устройстве.

 

Аппаратный контроллер НХ обрабатывает все получаемые индикаторы компроментации (из облака FireEye DTI, от других устройств FireEye, из внешних источников), обновляет агентское ПО и предоставляет web-консоль управления для работы с алертами и проведения расследования.

 

Операционные системы

 

В настоящее время поддерживаются настольные версии Windows XP SP3 – Windows 10 (32/64 бит), серверные версии Windows Server 2003 R2/SP2 – Windows Server 2012 R2 (64 бит). До конца 2016 г. планируется обеспечить поддержку Mac OS X и наиболее популярных дистрибутивов Linux.

 

Совместимость с антивирусами

 

Для обеспечения совместимости с имеющимися антивирусами в руководстве администратора указаны процессы и каталоги, для которых необходимо настроить исключения через консоль управления корпоративным антивирусом, HIPS и др. При выполнении описанных рекомендаций конфликтов между решением и антивирусами не возникает.

 

Обучение агента

 

Агент автоматически получает все необходимые правила анализа и индикаторы компрометации (IoC) с обновлениями от других компонентов платформы FireEye, которые обнаруживают новые угрозы в трафике компании. Также можно настроить получение сторонних IoC через REST API.

 

Поиск маркеров компрометации

 

Поиск по новым IoC, сгенерированным «песочницей», осуществляется автоматически с подтверждением компрометации и отображением алерта и сведений о станции в центральной консоли управления (СМ). Кроме того, существует возможность добавления собственных IoC и выполнения проактивного корпоративного поиска по 70+ параметрам (Enterprise Search), что позволяет искать артефакты и признаки заражения, о которых можно узнать из сторонних источников и баз Threat Intelligence.

 

Карантин скомпрометированной станции

 

После подтверждения компрометации станции и экспресс-анализа произошедших на ней изменений и событий администратор ИБ может в два клика «мыши» изолировать станцию. При этом она сохраняет сетевой доступ к серверу управления НХ и другим разрешенным администраторам ресурсам, но все остальные подключения блокируются. Это позволяет остановить атаку и безопасно расследовать инцидент.

 

Совместимость с другими компонентами

 

Совместимость с другими компонентами решения построена по принципу двусторонней интеграции. Сервер НХ получает новые IoC автоматически от системы управления платформы FireEye (CM), которые формируются при обнаружении новых угроз в web-трафике, в корпоративной почте, на файловых хранилищах и др. IoC применяются агентами на всех станциях к записанной истории изменений и активности в ОС и обеспечивают автоматическое подтверждение компрометации станции. Эти сведения передаются в СМ и отображаются в web-интерфейсе на панели событий (dashboard) и в оригинальном алерте по обнаруженной угрозе. Таким образом, через несколько минут после компрометации станции администратор ИБ получает не только отчет о потенциальном заражении, но и подтверждение от агента и начинает расследование инцидента средствами НХ. Кроме того, в зависимости от типа лицензии обеспечивается различный уровень обмена данными об угрозах и IoC с облаком FireEye Dynamic Threat Intelligence (DTI). В случае однонаправленной лицензии все устройства и агенты получают новые правила анализа и IoC из облака. В случае двунаправленной лицензии устройства и агенты отправляют обнаруженные угрозы и результаты применения IoC в облако для их валидации и автоматического повышения уровня защиты всех клиентов FireEye.

 

Анализ файлов с флеш-носителей

 

В настоящий момент в продукте не предусмотрена отправка на анализ файлов, загружаемых с флеш-носителей. Но агент НХ способен самостоятельно (без «песочницы») обнаруживать новые (zero-day) эксплойты и вредоносные макросы в офисном ПО, web-браузерах и др. (Exploit Detection = ExD). В августе 2016 г. эти эксплойты можно будет блокировать (Exploit Prevention = ExP). Также до конца года планируется обеспечить интеграцию с «песочницей» для отправки исполняемых файлов на анализ. Однако мы рекомендуем блокировать исполняемые файлы на съемных носителях соответствующей политикой решений класса Host-AV/Device Lock/DLP.

 

Блокировка активностей вредоносов

 

Решение FireEye не предусматривает блокировки активности, свойственной уже задектированными «песочницей» вредоносам. Основные задачи агента: логирование истории изменений, обнаружение угрозы, оповещение, карантин, расследование, проактивный поиск. В случае АРТ крайне важно отследить все активности вредоносного ПО и злоумышленника для получения полной картины. Блокировка отдельных процессов позволит злоумышленнику изменить тактику и, возможно, в следующий раз остаться незамеченным.

 

Инструментарий для проведения расследования

 

Агент постоянно логирует все изменения на конечной станции (процессы, файловая система, реестр Windows, сетевые подключения, и др.) и хранит на станции локальный кэш размером до 500 Мб, что обеспечивает в среднем до 7 дней истории событий. Все логи постоянно проверяются по IoC, эта же база используется для оперативного корпоративного поиска. Сразу после обнаружения нового эксплойта (ExD) или совпадения IoC агент формирует дамп соответствующих логов событий (Triage), который включает сведения об активности процессов, связанных со взломом, до и после обнаруженной угрозы. Специалист ИБ анализирует содержимое Triage в визуальном редакторе и принимает решение о карантине станции. Для детального расследования агент позволяет удаленно выгружать со станции файлы, дампы логов по любым процессам и событиям, историю команд shell, дампы оперативной памяти, жесткого диска и др.

 

Устранение последствий заражения

 

На скомпрометированной рабочей станции не предусмотрено устранение последствий заражения. По нашему мнению, лечение не эффективно в случае rootkit и bootkit. Кроме того, лечение уничтожает ценные артефакты, которые мог оставить злоумышленник и которые очень важны при расследовании инцидента. По окончании расследования устранение последствий выполняется средствами ИТ и ИБ: блокировка скомпрометированных учетных записей, восстановление станции из резервной копии (в случае bootkit с предварительным форматированием жесткого диска), внутреннее сегментирование ЛВС, ужесточение политик доступа на уровне приложений и пользователей и др.

Уведомления об обновлении тем – в вашей почте

Интервью с Борисом Симисом, заместителем генерального директора компании Positive Technologies

Один день из жизни Ричарда Джилла, специального агента секретной службы США, превратился в кошмар наяву

Advanced Persistent Threat скоро перейдут из понятия «Advanced» в понятие «Basic»…

Директор департамента ИБ Росбанка рассказал в интервью Jet Info, как правильно подойти к выбору решения Anti-APT

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Противодействие угрозам на уровне рабочих станций: решение Trend Micro Endpoint Sensor

Как реализована защита от целенаправленных кибератак на конечных точках в решении Trend Micro Endpoint Sensor

Противодействие угрозам на уровне рабочих станций: решение TRAPS

Как реализована защита от целенаправленных кибератак на конечных точках в решении TRAPS от Palo Alto Networks

«Не думайте, что хакеры живут на других планетах…»

Станислав Павлунин, вице-президент по безопасности Тинькофф Банка рассказ о подходе банка к защите от кибератак

Трудности при тестировании «песочниц»: тяжело в учении, легко в бою

О решениях класса «песочницы» написано и сказано немало. Да, теоретического материала много, а что с практикой?!

«Не пытайтесь накрыть все. Определите, что Вы хотите защищать»

Своим опытом проведения пилотных проектов по защите от целенаправленных атак поделился Сергей Барбашин

Гонка вооружений ИБ. Сводки с полей

Как Банк «Союз» ускорил Time-to-Market при разработке интеграционной шины для своего кредитного конвейера

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня