Технологии AMP Threat Grid теперь применяются и в системе Tripwire Enterprise
В прошлом году актуальной и всеми желанной новой технологией борьбы с киберугрозами стал динамический анализ вредоносного кода с использованием изолированных сред, т.н. «песочниц». В течение какого-то времени основным решением для борьбы с вредоносным ПО считались антивирусы, но не вызывает сомнений, что в конечном счете ту же роль будут играть технологии изолированных сред-«песочниц», способные защищать от усовершенствованного вредоносного кода.
Решения, использующее технологии изолированных сред, доступны уже несколько лет, но современный анализ вредоносного кода уже вышел за рамки классических «песочниц», которые просто извлекают подозрительные образцы, изучают их в локальной виртуальной машине и при необходимости помещают в карантин. Чтобы бороться с самыми современными угрозами, умеющими успешно противодействовать средствам защиты и уклоняться от обнаружения, необходимы более надежные инструменты для анализа вредоносного кода, которые встраиваются в инфраструктуру и обеспечивают непрерывный контроль за безопасностью.
Компания Tripwire недавно стала партнером Cisco и интегрировала в свое решение Tripwire Enterprise ряд технологий AMP Threat Grid для динамического анализа вредоносного кода. Почему выбор пал именно на Cisco? Тщательный анализ, проведенный компанией Tripwire, выявил ряд ключевых преимуществ AMP Threat Grid над аналогичными решениями.
Во-первых, AMP Threat Grid не ограничивается только динамическим анализом вредоносного кода, обеспечивая еще и статический анализ. Кроме того, полная подписка дает возможность использовать специальный API-интерфейс, позволяющий получать контекстуальную аналитическую информацию об угрозах и передавать ее в имеющиеся системы информационной безопасности. Во-вторых, количество высококлассных специалистов по информационнойбезопасности невелико, а если говорить совсем откровенно, их очень мало. AMP Threat Grid предоставляет технологию Threat Score, при помощи которой даже младшие сотрудники служб безопасности могут уверенно определять, насколько вредоносен тот или иной образец. Индикаторы поведения вредоносного кода написаны простым, доступным языком, наглядно показывая, что именно делает файл и почему его поведение нужно считать допустимым, подозрительным или вредоносным. В-третьих, тщательно выбранный инструментарий. В частности, при разработке AMP Threat Grid не использовались внутренние инструментывиртуальных машин. Большинство специалистов едины во мнении, что около 40% современного вредоносного ПО тщательно изучает окружающую среду (к примеру, данные о возрасте операционной системы), чтобы убедиться в отсутствии изолированной среды — «песочницы», перед тем, как начать свою деятельность. Существует три основных подхода к внедрению средств для анализа вредоносного кода:
Поскольку система Tripwire осуществляет наблюдение и сбор данных на критически важных системах, перечисленные подходы кажутся неэффективными. Существует четвертый способ, который не только объединяет наилучшие черты предыдущих трех, но и дополнительно улучшает возможности противодействия постоянно совершенствующимся кибератакам: Cisco AMP Threat Grid. Благодаря технологиям AMP Threat Grid компания Cisco предоставляет возможности для анализа усовершенствованного вредоносного кода, а также аналитическую информацию об угрозах. В то же время интеграция с решением Tripwire Enterprise обеспечивает не только улучшенный контроль за тем, что происходит в вычислительной среде заказчика, но и более эффективную окупаемость инвестиций.
Благодаря интеграции технологий AMP Threat Grid в решение Tripwire Enterprise организации получили как возможности статического и динамического анализа, способствующего лучшему пониманию фронта актуальных угроз, так и средства автоматизации использования аналитической информации об угрозах в своих системах безопасности. Как же осуществляется эта интеграция?
Контекстно-ориентированная система аналитической защиты AMP Threat Grid в статическом и динамическом режиме анализирует все исследуемые файлы, запускает объекты в безопасной изолированной среде, изучает поведение образцов и сопоставляет результаты с сотнями миллионов аналогичных случаев, проанализированных ранее. Менее чем за 10 минут AMP Threat Grid присылает обратно детальный отчет, и решение Tripwire Enterprise определяет исследуемый файл в соответствии с результатами. Таким образом, решение Tripwire Enterprise дает заказчикам возможность приоритизировать действия для изменений на системах с выявленными при помощи AMPThreatGridугрозами, а также незамедлительно начинать работу над быстрым восстановлением.
AMP Threat Grid не только анализирует широкий спектр потенциально опасных объектов, но еще и предоставляет своим подписчикам подробную аналитическую информацию с учетом контекста. При помощи более чем 350 индикаторов поведения угроз и базы знаний вредоносного кода, базирующейся на данных со всего мира, AMP Threat Grid обеспечивает более точную, чем когда бы то ни было ранее, контекстно-ориентированную аналитику вредоносного ПО. Пользователи Tripwire могут зарегистрироваться и получить бесплатную демо-версию здесь.
Рекомендуем также ролик «Безопасность в цифровом мире» — https:// youtube.com/watch?v=xUMSqO1L-vg
© Cisco Systems, 2015
© Издание 12NEWS (ИП Маринин А.Л.), 2015
