1. Головна
  2. Новини
  3. VMware Carbon Black – безпека робочих станцій корпоративної інфраструктури

VMware Carbon Black – безпека робочих станцій корпоративної інфраструктури

0

У жовтні минулого року компанія VMware оголосила про придбання компанії Carbon Black, що займається інформаційною безпекою на рівні хмари (cloud-native endpoint protection platform, EPP). Це рішення дозволяє виявляти загрози з боку робочих станцій, аналізувати їх з боку хмари і вживати заходів щодо захисту інфраструктури десктопів підприємства. Це не антивірус, не мережевий екран, а комплексний засіб, що аналізує роботу додатків і мережевих з’єднань на робочих станціях і робить висновки про наявність тих чи інших підозрілих активностей. Тобто, ця штука дозволить боротися як з zero-day погрозами, так і з кастомними атаками, розробленими під конкретне підприємство.

При цьому придбання Carbon Black компанією VMware дала ще ось який позитивний ефект: якщо раніше для Carbon Black був потрібний легкий, але все ж агент, то тепер розгортання цих функцій доступно через VMware Tools, а значить знімаються питання по окремим робочим процесам обслуговування агентів. Тому недарма VMware заплатили більше двох мільярдів доларів за такий актив.

Давайте ж розглянемо, як це все працює. Рішення Carbon Black призначене для операцій в чотирьох сферах:

  • Антивірусний захист.
  • Виявлення нетипових атак (never-seen-before attacks) з використанням проактивних методів (Endpoint Detection and Response).
  • Managed detection – виявлення нових загроз в режимі 24/7 з залученням експертів, аналіз причин виникнення загроз і щомісячна звітність.
  • Аудит систем на предмет відповідності і можливість виправлення потенційно небезпечних конфігурацій.

Багато з вас знають, що у VMware є рішення AppDefense, яке виконує схожі функції. Різниця концепцій тут в наступному: AppDefense використовує модель positive security, яка фокусується на нормальній поведінці “хороших” додатків і виявляє їх відхилення від норми, а Carbon Black одразу дивиться на неправильну поведінку будь-яких додатків (negative security model) і фокусується на аналітиці виявлених загроз і вжиті заходи щодо їх усунення. Ну і треба розуміти, що AppDefense працює на рівні гіпервізора ESXi (більш високому), а Carbon Black – на рівні агента в гостьовій ОС (нижчому):

Ще одна особливість Carbon Black – це алертінг в реальному часі і візуалізація ланцюжка атаки для фахівців з інформаційної безпеки, які можуть спостерігати за діями атакуючого, бачити їх джерело і блокувати.

Відбувається це в рамках наступного робочого процесу:

• Carbon Black Cloud Sensor розгортається на робочих станціях

• Дані про виявлену загрозу відправляються в хмару VMware Carbon Black Cloud

• В хмарі також відбувається постійне оновлення даних про можливі загрози

• Аналітичний движок перевіряє дані про підозріл поведінки на базі правил

• У випадку спрацьовування тригерів для налаштованих правил відбувається виконання переднастроєних дій через UEM API (наприклад, переміщення пристрою на карантин або видалення додатку)

При цьому, як ви бачите, в процесі експлуатації рішення Carbon Black адміністратори також взаємодіють з платформами Workspace ONE UEM і ONE Intelligence.

Carbon Black (СВ) виявляється найбільш ефективним рішенням при виявленні атак типу ransomware, безфайлових віддалених атак і інших складних речах, які іноді розробляються для атаки конкретної корпорації.

На зображенні нижче показаний приклад VMware по симуляції ransomware-атаки і її відпрацювання рішенням Carbon Cloud:

Давайте подивимося, що відбувається в цьому прикладі, щоб наочно зрозуміти призначення рішення CB. Отже, запускається симулятор атаки і тут же відбувається блокування даного malware:

Далі на комп’ютері користувача відбувається реєстрація підозрілої dll-бібліотеки, що через декілька секунд відловлюється з боку Carbon Black:

У цей же самий час команді ІТ-безпеки відправляються нотифікації про те, на якому пристрої сталася підозріла активність і публікується посилання на опис проблеми. Найзручніше тут використовувати інтеграцію з Slack:

Як реакція на таку активність в гостьовій ОС можна налаштувати переміщення пристрою на карантин, що означає повне відключення його від мережі і комунікація з ним тільки через UEM API.

Якщо перейти за посиланням з нотифікації в Slack, то адміністратор побачить докладний хронологічний опис подій, що становить сутність атаки:

Також в описі кожного з небезпечних подій зазначено, що дана операція була заблокована з боку CB (в тому числі всі спроби мережевої комунікації після переміщення пристрою на карантин):

У розділі Alerts адміністратор зможе побачити всі події в агрегованому вигляді, що відносяться до конкретної атаки:

Звідси можна ініціювати “розслідування”, що відбувається, яке дозволить візуалізувати дерево подій, які відбувалися (в тому числі і IP-адреси призначення):

У розділі Endpoints видно всі робочі станції та їх статус. Ми бачимо поміщені на карантин пристрої і можемо виконувати з ними різні дії:

Наприклад, можна зайти в розділ Live Response, де можна в консолі виконати потрібні команди (наприклад, редагувати розділ автозавантаження гостьової ОС):

В консолі VMware Workspace ONE UEM також видно, що пристрій поміщено на карантин:

Ну а в консолі VMware Workspace ONE Intelligence відбувається робота з процедурами автоматизації обробки таких ситуацій. Наприклад, адміністратор може задати правила переміщення пристроїв на карантин і виконання інших дій – серйозність загрози, тип ОС та інші умови.

Таким же чином, використовуючи UEM API, можна надіслати листа адміністратору, створити тікет в ServiceNow або надіслати нотифікацію в Slack.

Таким чином, зв’язка рішень VMware Workspace ONE UEM + ONE Intelligence + Carbon Black забезпечує ефективний захист інфраструктури підприємства від різних загроз, які зазвичай не помічаються антивірусами і мережевими екранами (наприклад, кастомні атаки на інфраструктуру конкретної компанії). Крім того, інтеграція CB з рішенням VMware NSX дозволяє забезпечити і захист мережевого середовища і всіх з’єднань, а не лише працювати з рівню гостьової ОС.

При цьому, згідно з рекомендаціями VMware, використання Carbon Black доповнює рішення AppDefence, яке працює на більш високому рівні і на стороні датацентру інтегрується з рішеннями родини vRealize. Але, мабуть, в кінцевому підсумку обидва продукти будуть об’єднані в якесь більш загальне єдине рішення.

За додатковою інформацією та консультаціями звертайтеся за тел. +38 044 277 23 23, електронною адресою vmware@wiseit.com.ua або до вашого облікового менеджеру.

Предыдущая новость
Wise IT підтвердили партнерський статус Microsoft з трьома компетенціями рівню Silver на 2021-2022 роки
Следующая новость
Знайомство з агентами Veeam: призначення і приклади використання 5 клієнтів

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Fill out this field
Fill out this field
Будь ласка, введіть правильний email.
You need to agree with the terms to proceed

Схожі новини

Меню