McAfee Advanced Threat Defense

Сложные направленные атаки готовятся длительное время и нацелены на конкретные организации. Злоумышленники, изучая цель атаки, разрабатывают специальные алгоритмы для обмана и обхода защиты. Для того чтобы обнаружить такую угрозу недостаточно применять традиционные средства ИБ. Необходимы комплексные системы защиты и анализа поведения программ в изолированной среде.

Решение McAfee Advanced Threat Defense (ATD) обнаруживает направленные атаки и активирует интегрированные средства защиты для немедленного реагирования на угрозу. В отличие от стандартных решений типа «песочница», система использует расширенные инструменты обнаружения угроз.

В дополнение к динамическому анализу поведения программ, сигнатурным методам и анализу репутации, ATD производит глубокий статический анализ кода.  Мощные функции распаковки кода позволяют системе добраться до исходного исполняемого алгоритма, а методы классификации и анализа паттернов выявляют способы обхода «песочницы», например, отложенного или условного выполнения.

По различным признакам, таким как переменные окружения или установленные приложения, вредоносный код может определять, что он работает в «песочнице» и успешно обходить защиту. Для противодействия этому, ATD использует настраиваемые образы ОС и эмулирует среду, используемую в данной организации. Система запрашивает у McAfee Policy Orchestrator® (McAfee ePO™) необходимые целевые параметры, включая приложения и версии.

При обнаружении угрозы ATD мгновенно сообщает о ней всем средствам ИБ, интегрированным напрямую или через решение McAfee Threat Intelligence Exchange (TIE). Это позволяет автоматически изменить политики и запретить похожие экземпляры файлов во всей организации. Результаты анализа, проведенного ATD, отображаются в журналах и отчетности связанных продуктов. Применение TIE позволяет рабочим станциям и серверам получать обновления аналитики по угрозам даже будучи отключенными от глобальной сети. Кроме того, локальный модуль TIE для McAfee® VirusScan® Enterprise может отправлять подозрительные файлы в ATD для глубокого анализа.

Решение  поставляется  в виде специализированного программно-аппаратного устройства, выпускаемого в двух конфигурациях:

-стандартной: ATD-3000 (до 150 000 объектов в сутки);

-высоко-производительной: ATD-6000 (до 250 000 объектов в сутки).

Основные преимущества:

  • Эффективное отражение сложных направленных атак за счет многоуровневых методов обнаружения вредоносного кода, включая глубокий статический анализ.
  • Высокая производительность без снижения уровня защиты. Поэтапный анализ, включая сигнатуры, использование глобальных источников McAfee Global Threat Intelligence, позволяет отбраковывать файлы на первых шагах, без запуска эмулятора среды.
  • Сокращение интервала между обнаружением атаки и ее отражением в масштабе всей ИТ-среды за счет тесной интеграции между всеми системами ИБ, а также благодаря поддержке открытых стандартов OpenIOC и STIX.
  • Снижение стоимости защиты от направленных атак и угроз. Централизованная система глубокого анализа кода доступна как общий ресурс для всех средств ИБ. Нет необходимости в установке и поддержке дополнительных устройств.
  • Автоматизация и оптимизация процессов безопасности за счет координации различных компонентов ИБ и связи их единую систему защиты компании, что также позволяет быстрее реагировать на угрозы и одновременно сократить затраты.