FireEye: новый подход к кибербезопасности

19 сентябрь, 2014 - 14:33Игорь Дериев

Компания ITbiz при поддержке официального дистрибьютора FireEye в Украине и СНГ организовали семинар, в рамках которого руководители украинских предприятий и государственных структур имели возможность ближе познакомиться с технологиями и продукцией FireEye. Мероприятие прошло в достаточно любопытном месте — в резиденции посла Великобритании в Украине. Причиной такого выбора, по-видимому, явилось не только размещение европейского офиса FireEye в Лондоне, но и вообще активная позиция Великобритании в вопросах кибербезопасности. Так, эта страна одной из первых разработала соответствующую национальную программу, а также выступила с рядом инициатив, призванных объединить усилия бизнеса и государственного сектора в деле борьбы с киберпреступностью. Окончательной целью этих шагов, по словам Саймона Смита, посла Великобритании в Украине, является обеспечение действительно безопасного Интернета, что самым благотворным образом скажется на всех сферах жизни.

Компания FireEye, по-видимому, известна меньше других игроков рынка кибербезопасности в силу своей специализации. Она предлагает передовые средства противодействия современным, узконаправленным и профессионально организованным атакам, в том числе еще неизвестным («нулевого дня»), которые практически не детектируются традиционными средствами вроде антивирусов, брандмауэров и пр. Таким образом, ее продукция способна дополнить любую существующую защиту и поднять ее на качественно новый уровень.

Необходимость кардинального пересмотра подходов к обеспечению кибербезопасности обосновал Джейсон Стир, директор по технологической стратегии FireEye в EMEA. Компания проводила масштабное исследование с использование своих решений в режиме мониторинга в более чем 1 тыс организаций по всему миру. Оказалось, что за полугодовой период 97% из них так или иначе были скомпрометированы — при том, что во всех применялись традиционные средства вроде антивирусов, брандмауэров, систем предотвращения вторжений. Причина в том, что 75% образцов вредоносного кода были уникальными, т.е. использовались только для данной конкретной атаки. При этом 25% из них не детектировались ни одним из шести наиболее популярных антивирусов, а 62% пропускались как минимум четырьмя из последних.

FireEye: новый подход к кибербезопасности

Джейсон Стир: «К сожалению, Интернет открывает новые возможности не только для бизнеса, но и для киберпреступников»

Таким образом, по мнению Джейсона Стира, сегодня нужно говорить не о надежности защиты как таковой, а о готовности к атакам — их выявлению и пресечению, а также подробному анализу. Крайне важно понять, какие силы являются источником и что конкретно их может интересовать — ведь защитившись сегодня от одной атаки, нельзя быть уверенным, что не последуют другие. Поэтому защита, предлагаемая FireEye, основывается не только на передовых технологиях, но также на глубоком анализе собранной информации (благодаря которому специалисты компании сумели обнаружить 14 из последних 19 атак нулевого дня), а также большом опыте в противодействии самым изощренным атакам. В частности, в нынешнем году была выявлена опасная атака, получившая собственное название «Operation Clandestine Fox» и направленная на государственный и энергетический секторы, и уже через 22 часа решения FireEye умели ее пресекать.

Ситуация с кибербезопасностью в Украине не слишком отличается от мировой, и уж точно не в лучшую сторону. Валерий Еланин, технический директор ITbiz, сертифицированного партнера FireEye, рассказал, что его компанией уже ведутся пять пилотных проектов, причем в сетях всех заказчиков были обнаружены признаки заражения, а у двух — даже атак нулевого дня.

FireEye: новый подход к кибербезопасности

Валерий Еланин: «Эффективность подхода FireEye заключается в пристальном контроле за всеми стадиями атаки»

Он также подробнее познакомил собравшихся с решениями FireEye и принципами их функционирования. В основе лежит специализированная платформа, которая, среди прочего, реализует технологию Multi-Vector Virtual Execution (MVX). Все подозрительные объекты (почтовые вложения, загружаемые файлы, скрипты) запускаются в контролируемой виртуальной среде с целью выявления их нестандартного поведения и прочих признаков вредоносного кода (во избежание задержек трафика такие операции могут быть асинхронными). В отличие от других аналогичных подходов, в случае FireEye используются полноценные виртуальные машины, исполняющиеся поверх специализированного гипервизора, что позволяет получить максимально реалистичное представление об исследуемом коде.

На сегодняшний день заказчикам доступны все основные линейки программно-аппаратных решений FireEye, в частности: серии NX — для сетевой безопасности, EX — для защиты электронной посты, HX — для защиты конечных точек, а также PX и AX — для аудита и расследования инцидентов и пр. Кроме того, FireEye предлагает часть своих решений в виде SaaS. Такие сервисы строятся на тех же базовых принципах и способны предотвращать угрозы, поступающие через электронную почту и мобильные приложения, а также проводить их анализ.