23 декабря 2014
Технические специалисты компании «ITbiz» провели тестирование FireЕye FX. FireEye FX — это платформа для защиты от атак, распространяющихся через файлы различного формата. Данная платформа анализирует содержимое сетевых файловых хранилищ с целью обнаружения и последующего карантина угроз, которые могли быть занесены вручную, посредством web или mail, тем самым препятствуя их дальнейшему распространению, которые пропускают традиционные средства информационной безопасности, такие как NG Firewall, IPS, антивирусы и шлюзы. Продвинутые направленные атаки используют сложное вредоносное ПО и APT тактики, которые не только проникают сквозь защиту, но и распространяются по всей сети, закладывая фундамент для последующих атак.
FireEye FX анализирует общие папки используя технологию FireEye Multi—Vector Virtual Execution (MVX), которая обнаруживает zero-day вредоносный код, встроенный в наиболее популярные форматы файлов. Устройство может осуществлять сканирование рекурсивно, по расписанию или по запросу. В процессе сканирования все обнаруженные вредоносные объекты отправляются в карантин.
Собрав тестовый стенд, получилась следующая топология:
Фото в лаборатории компании «ITbiz» :
После предварительных менеджмент настроек, переходим непосредственно к тестированию продукта.
Ниже показаны вкладки настроек и элементы мониторинга:
Первое, что было сделано, это создано сетевой ресурс (cifs/smb), который был смонтирован для анализа в FX.
Далее, был создан сетевой ресурс для карантина:
Запустить сканирование файлов возможно разово или по расписанию. В данном примере сканирование было запущено сразу. Сетевой ресурс был создан специально для тестирования. На нем были собраны разные файлы (зараженные/вредоносные и чистые), а так же нескольких типов exe/dll и заархивированные.Спустя время, сканирование подошло к концу, что дало возможность проанализировать результат.
Общий итог по сканированию ресурса:
Вкладка Show Quarantine Files отображает список вредоносов:
А так же, возможно просмотреть детализированную информацию о каждом из этих объектов:
Последним этапом является выгрузка отчетов в формате PDF:
В заключении данного обзора получен результат:
- Защита общих папок от продвинутых угроз – платформа работает в режиме активного карантина (защиты) или в режиме анализа (мониторинг).
- Поддержка нескольких режимов сканирования – сканирование может быть рекурсивным, установленным по расписанию или назначенным по запросу для CIFS и NFS совместимых общих папок
- Поддержка множества типов файлов – используя технологию MVX, FX обнаруживает и блокирует продвинутые направленные атаки, которые встроены в наиболее популярные типы файлов (PDF, MS Office, vCards, ZIP/RAR/TNEF и т.д) и медиаконтент (QuickTime, MP3, Real Player, JPG, PNG, etc.).
- Возможность применять в различных ситуациях – осуществляет выборочное сканирование файлов, жестких дисков, доверенных и не доверенных файловых доменов и обеспечивает защиту бэкапов
- Интеграция с NX, EX и AX устройствами – вредоносный контент обнаруженный с помощью FX может быть перенаправлен на другую платформу FireEye для мгновенного реагирования на возникающую угрозу.
В предыдущем обзоре было представлено решение комплексной защиты периметра на базе оборудования FireEye NX, CM, EX.
Компания «ITbiz» является официальным партнером FireEye на территории Украины, обеспечивает поставку и полное обслуживание данного оборудования.
