25 ноя 2014

Компания «ITbiz» представляет технический обзор оборудования FireEye FX

23 декабря 2014

Технические специалисты компании «ITbiz»  провели тестирование FireЕye FXFireEye FX – это платформа для защиты от атак, распространяющихся через файлы различного формата. Данная платформа анализирует содержимое сетевых файловых хранилищ с целью обнаружения и последующего карантина угроз, которые могли быть занесены вручную, посредством web или mail, тем самым препятствуя их дальнейшему распространению, которые пропускают традиционные средства информационной безопасности, такие как NG Firewall, IPS, антивирусы и шлюзы. Продвинутые направленные атаки используют сложное вредоносное ПО и APT тактики, которые не только проникают сквозь защиту, но и распространяются по всей сети, закладывая фундамент для последующих атак.

FireEye FX анализирует общие папки используя технологию FireEye MultiVector Virtual Execution (MVX), которая обнаруживает zero-day вредоносный код, встроенный в наиболее популярные форматы файлов. Устройство может осуществлять сканирование рекурсивно, по расписанию или по запросу. В процессе сканирования все обнаруженные  вредоносные объекты отправляются в карантин.  

Собрав тестовый стенд, получилась следующая топология:

pic1

Фото в лаборатории компании «ITbiz» :

pic2

После предварительных менеджмент настроек, переходим непосредственно к тестированию продукта.

Ниже показаны вкладки настроек и элементы мониторинга:

pic3

Первое, что было сделано, это создано сетевой ресурс (cifs/smb), который был смонтирован для анализа в FX.

pic4

Далее, был создан сетевой ресурс для карантина:

pic5

Запустить сканирование файлов возможно разово или по расписанию. В данном примере сканирование было запущено сразу. Сетевой ресурс был создан специально для тестирования. На нем были собраны разные файлы (зараженные/вредоносные и чистые), а так же нескольких типов exe/dll и заархивированные.Спустя время, сканирование подошло к концу, что дало возможность проанализировать результат.

Общий итог по сканированию ресурса:

pic6

Вкладка Show Quarantine Files отображает список вредоносов:

pic7

А так же, возможно просмотреть детализированную информацию о каждом из этих объектов:

pic8

pic10Последним этапом является выгрузка отчетов в формате PDF:

pic9

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

В заключении данного обзора получен результат:

  1. Защита общих папок от продвинутых угроз – платформа работает в режиме активного карантина (защиты) или в режиме анализа (мониторинг).
  2. Поддержка нескольких режимов сканирования – сканирование может быть рекурсивным, установленным по расписанию или назначенным по запросу для CIFS и NFS совместимых общих папок
  3. Поддержка множества типов файлов – используя технологию MVX, FX обнаруживает и блокирует продвинутые направленные атаки, которые встроены в наиболее популярные типы файлов (PDF, MS Office, vCards, ZIP/RAR/TNEF и т.д) и медиаконтент (QuickTime, MP3, Real Player, JPG, PNG, etc.).
  4. Возможность применять в различных ситуациях – осуществляет выборочное сканирование файлов, жестких дисков, доверенных и не доверенных файловых доменов и обеспечивает защиту бэкапов
  5. Интеграция с NXEX и AX устройствами – вредоносный контент обнаруженный с помощью FX может быть перенаправлен на другую платформу FireEye для мгновенного реагирования на возникающую угрозу.

В предыдущем обзоре было представлено решение комплексной защиты периметра на базе оборудования FireEye NXCMEX

Компания «ITbiz» является официальным партнером FireEye на территории Украины, обеспечивает  поставку  и полное обслуживание данного оборудования.

 


Опубликовано © Itbiz