McAfee Threat Intelligence Exchange

Компании сегодня все чаще подвергаются сложным направленным атакам, при которых злоумышленники используют любые уязвимости ИТ-инфраструктуры. Поэтому необходима единая всеобъемлющая защита, охватывающая все объекты ИТ и ИБ, учитывающая актуальную информацию об атаках и обладающая способностью быстрого реагирования на инциденты.

Система McAfee® Threat Intelligence Exchange (TIE) сокращает период между обнаружением угроз и реагированием на них с дней и недель до нескольких секунд. В режиме реального времени TIE собирает информацию от всех имеющихся в организации средств защиты, а также из глобальных ресурсов McAfee Global Threat Intelligence (GTI) и сторонних источников. Информация о новых событиях, угрозах и уязвимостях мгновенно становится доступной для всех систем ИБ в компании, обеспечивая их согласованную работу.

При обнаружении любым компонентом ИБ неизвестного файла, TIE позволяет легко определить его репутацию на основе атрибутов и комбинированной информации об угрозах. Если необходимо получить дополнительную информацию о файле, он автоматически пересылается в решение McAfee Advanced Threat Defense (ATD -«песочницу» нового типа), где незамедлительно определяется его потенциальная вредоносность с использованием методов динамического и статического анализа кода. Полученные данные документируются и пересылаются на все другие средства защиты в экосистеме ИБ компании.

Угрозы, события и признаки взлома, обнаруженные с помощью TIE, могут быть использованы решением SIEM McAfee Enterprise Security Manager для углубленного анализа. Совместный доступ к журналам событий безопасности и автоматически отлеживаемые списки событий повышают эффективность системы ИБ.

Решение McAfee TIE включает:

  • Модуль для системы антивирусного сканирования McAfee® VirusScan® Enterprise, позволяющий управлять политиками блокирования файлов или сертификатов на основе их репутации. С помощью этого модуля сканер также передает неизвестные файлы в ATD для их детального анализа.
  • Серверное приложение, которое консолидирует информацию о репутации сертификатов и файлов, индикаторах угроз и т.п., и затем рассылает эту информацию другим системам ИБ.
  • Модули (брокеры) обмена информации с системами ИБ в сети на основе технологии McAfee Data Exchange Layer.

Основные преимущества:

  • Быстрое обнаружение потенциально вредоносного кода и мгновенное реагирование на угрозы на основе локальной и глобальной аналитики.
  • Моментальное оповещение всех компонентов системы ИБ о сложных направленных атаках. Точная и своевременная информация о том, какие устройства или системы подверглись атаке, как угроза распространяется в среде ИТ.
  • Немедленное блокирование или разрешение использования файлов во всей организации на основе их репутации или критериев риска, заданных политикой ИБ.
  • Решения по неизвестным файлам принимаются не только на основе информации об угрозах, но и на основании контекстных характеристик ИТ: конечных точек, атрибутов файла, процесса и среды выполнения.
  • Снижение стоимости владения ИБ. McAfee TIE объединяет уже имеющиеся в компании средства ИБ в целях повышения уровня защищенности, при этом автоматизируются и ускоряются важнейшие процессы ИБ.
  • Легкая интеграция разрозненных систем ИБ с помощью единой шины обмена информацией McAfee Data Exchange Layer.