McAfee Active Response

В современном мире растут темпы появления новых типов кибер-атак и их нацеленность на конкретные организации. Злоумышленники  предварительно собирают информацию об инфраструктуре жертвы, чтобы свести к минимуму возможность обнаружения средствами традиционной защиты. Для снижения воздействия атак на бизнес необходимы комплексные средства, помогающие обнаружить присутствие злоумышленников, быстро провести расследование и внести необходимые исправления в политики ИБ.

Решение McAfee Active Response непрерывно собирает и анализирует информацию от рабочих компьютеров и серверов, что позволяет быстрее выявлять случаи нарушения безопасности и обеспечивает адаптивную защиту от угроз. Для этого используются следующие инструменты:

  • Коллекторы собирают и визуализируют данные от элементов ИТ-инфраструктуры и позволяют обнаружить возможные признаки атак.
  • Триггеры, задаваемые с помощью простых инструкций  и правил, непрерывно наблюдают за важными параметрами и событиями.
  • Реакции выполняются при срабатывании триггера и представляют собой настраиваемые последовательности действий, позволяющие обнаруживать и устранять угрозы.
  • Централизованная консоль  McAfee ePolicy Orchestrator (ePO) обеспечивает контроль и наблюдение за всеми операционными платформами организации.

McAfee Active Response позволяет обнаруживать угрозы не только в уже запущенных процессах, но и в тех, которые в данный момент не активны, или даже удалены. Настраиваемые коллекторы выполняют детальный поиск во всех системах. Триггеры могут быть настроены на события, возможные в будущем. Реакции могут рассылать заранее заданные оповещения и активировать действия в соответствии со стратегией ИБ компании.

Active Response работает в тесной интеграции с модулем McAfee Threat Intelligence Exchange (TIE), отвечающим за обмен данными между компонентами Intel Security. Это позволяет блокировать  неизвестные «серые» файлы, проникшие за периметр ИБ. При обнаружении подозрительного файла компонентой Advanced Threat Defense, или после предупреждения со стороны служб McAfee GTI (Global Threat Intelligence), TIE оповещает все интегрированные компоненты ИБ о новой угрозе. По запросу администратора Active Response проведет мгновенную проверку всех рабочих станций и серверов на наличие похожих файлов и автоматически устранит угрозу.

Вредоносный код, спрятанный в документах (PDF, Flash, PNG) и архивах, не всегда может быть обнаружен стандартными антивирусными средствами. На основе различных атрибутов Active Response может выполнять автоматический поиск и блокирование таких файлов-контейнеров во всей ИТ-инфраструктуре.       

Основные преимущества:

  • Повышение эффективности ИБ за счет автоматизации отслеживания изменений в ИТ среде, обнаружения признаков атак, рассылки информации об угрозах, запуска необходимых действий по реагированию и расследованию инцидентов.

 

  • Гибкость и адаптируемость инфраструктуры ИБ к новым атакам: Active Response помогает выполнять нестандартный поиск для обнаружение угроз, изменять конфигурацию и поведение компонент Intel Security для ответа на угрозы.  

 

  • Непрерывный поиск и защита всех систем внутри периметра организации и на мобильных устройствах:  постоянно работающие коллекторы и триггеры, оповещают о появлении подозрительных действий, файлов или нарушении политик.