fire eye web_mps_ds
Post on 26-Jul-2015
297 Views
Preview:
TRANSCRIPT
Sistema de Protección de Malware Web de FireEyeSeguridad Web de próxima generación para combatir el malware
avanzado, del día cero y ataques específicos APT
El Sistema de Protección de Malware Web de FireEye™ (MPS) se despliega detrás de otras Gateways de
seguridad para detener a los ataques del día cero donde las políticas basadas en las firmas de los firewalls, IPS,
AV y Web Gateways fallan. Está frente al tráfico saliente para mantener a salvo los datos y los sistemas sensibles.
“El Sistema de Protección de Malware de FireEye era el único producto que se centraba en la interpretación en tiempo real de
intentos específicos de códigos potencialmente maliciosos, versus la rigidez del enfoque basado en la firma o del enfoque
heurístico difícil de administrar que ofrece el resto.”— Director de TI, Firma de Servicios Legales
El tablero de control te permite entender el tráfico del malware en la Web y navegar eventos de amenazas.
Un Nuevo Escenario de Amenazas
Inspecciones en el Acceso de Entrada
Bloquean Malware Web Conocido
Un Ambiente de Ejecución Virtual Revela
Amenazas Desconocidas y del Día Cero
El Bloqueo del Acceso de Salida Frustra el Robo
de Datos & Botnets
Hoy en día, sucede a menudo que los atacantes ingresan en
las redes como tráfico Web, secuestran recursos, realizan un
reconocimiento y luego establecen un control de largo
plazo sobre los endpoints.
El Sistema de Protección de Malware Web de FireEye lucha
contra el malware avanzado, del día cero y los ataques
específicos APT que evaden agresivamente las defensas
tradicionales – incluso firewall de próxima generación- que
comprometen a la mayoría de las redes corporativas.
Los dispositivos de seguridad Web de FireEye utilizan varias
técnicas para detectar código conocido y sospechoso,
eliminando los molestos falsos positivos que invaden a las
tecnologías de seguridad tradicionales. Primero, la
inspección profunda de paquetes descarta las amenazas
conocidas basadas en las firmas. Después, viene una
mirada heurística agresiva que busca objetos Web
sospechosos y códigos ejecutables.
Para decidir si el código sospechoso es malware verdadero,
el motor de ejecución virtual polifásico (VX) examina,
captura y confirma el malware del día cero y ataques
específicos. En vez de estimar simplemente el riesgo con
heurística, que puede generar tanto falsos positivos como
falsos negativos, FireEye corre el malware sospechoso en
una ambiente de endpoint virtual completamente
equipado para descubrir la verdadera naturaleza del
ataque.
Un subproducto de este análisis valioso y automatizado de
FireEye es la captura de detalles sobre las conexiones
externas de cada ataque. FireEye utiliza esta información
para cerrar transmisiones hacia afuera que llevan las
credenciales, claves y otros datos que pueden controlar a
un anfitrión comprometido, o bot. Los administradores
también se enteran de cuáles sistemas hay que reparar.
Despliegue en línea (Modo bloqueo/monitoreo) o fuera
de banda (solo monitoreo)Ejecuta con seguridad código desconocido y objetos Web sospechosos para bloquear ataques incluyendo archivos con imágenes maliciosas, PDF y Flash.Corta transmisiones de malware hacia afuera a través de múltiples protocolos para frustrar el filtrado de datos, botnets y APTsRastrea la trayectoria de ejecución completa de los ataques del día cero y de los ataques conocidos dando mayor manejo a los analistas Sustituye análisis de falsos positivos ineficaces por investigaciones de eventos reales enfocadas con laser Trabaja con la protección de email de FireEye para identificar y bloquear ataques ocultos de “spear phishing”
Puntos DestacablesŸ
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
Sistema de Protección de Malware Web de FireEye
Análisis Dinámico en Tiempo Real de lo Desconocido
Compartiendo Inteligencia a través de la Nube
El motor VX ejecuta objetos Web y binarios potencialmente maliciosos para confirmar un ataque y eliminar los falsos positivos. Contrariamente a una simple “sandbox”, el motor VX ejecuta el código contra una gama de buscadores, plug-ins, aplicaciones y ambientes operativos, buscando cualquier muestra de actividad o tentativa inusual de explotar una vulnerabilidad. Por ejemplo, el motor de VXE puede identificar condiciones del desborde del buffer, donde un atacante puede llegar a inyectar software malicioso a un anfitrión. Con su virtualización y su profunda instrumentación, puede supervisar el código a través de toda la trayectoria de ejecución. Puede detectar un intento de violar una vulnerabilidad de un plug-in de un buscador del día cero, un ataque oculto en Javascript, una escalada de privilegios dentro del Windows y corrupción de memoria para facilitar la ejecución del código arbitrario.
La inteligencia resultante sobre el malware generada dinámicamente y en tiempo real puede ayudar a todos los dispositivos de FireEye a proteger la red local. La inteligencia dinámicamente generada del malware incluye coordenadas del callback, tales como direcciones de IP y puertos, así como también características de la comunicación, tales como el protocolo del malware que es utilizado. Esta inteligencia se puede compartir globalmente a través la Protección contra el Malware en la Nube de FireEye para notificar a todos los suscriptores sobre las nuevas amenazas.
Desconecta el Malware que llama a Casa
Sin Reglas de Adaptación, sin Falsos Positivos
A través de la captura de malware en la entrada, más las actualizaciones de la Protección de Malware en la Nube de FireEye, el dispositivo reconoce y bloquea el malware que intenta comunicarse hacia fuera. Basado en la fuente y el destino puede bloquear direcciones de IP, puertos y protocolos, incluyendo el HTTP, el FTP o el IRC. Contrariamente a las otras protecciones perimetrales, asegura tanto contra las amenazas y botnets conocidos como los desconocidos, que consiguen hacer pie en su red y llamar a su hogar. Por ejemplo, puede descubrir dinámicamente un canal previamente desconocido de callback observando un ataque de entrada. El MPS Web creará entonces reglas de detección y bloqueo para ese canal.
Este dispositivo de fácil manejo y sin intervención del cliente se implementa en 30 minutos y no requiere de absolutamente ninguna adaptación. Modos flexibles de implementación, incluyendo monitoreo fuera de banda vía un puerto SPAN, monitoreo en línea o bloqueo activo en línea, permiten pasar de ver qué es lo que a la seguridad del Gateway le estaba faltando a bloquear activamente los ataques y las transmisiones externas. Al proporcionar una detección y bloqueo del malware altamente exacta, FireEye elimina las molestas falsas alertas. Deja a los administradores sólo con los incidentes verdaderos que merecen su atención, que pueden ser bloqueados tanto en dirección de entrada como de salida. Tan sólo un simple click es necesario para pasar de modo monitoreo a bloqueo.
top related