Ниже представлен обзор решения для автоматизированной идентификации, предотвращения, подавления вредоносного ПО и защиты всей экосистемы.
Усовершенствованное вредоносное ПО может нанести огромный вред организациям: от кражи данных посредством взлома личных данных до остановки критически важных операций.
Киберпреступные атаки — это сложные, постоянно развивающиеся разработки, направленные на создание новых и коварных методов проникновения и атаки.
Отчасти из-за постоянно растущей частоты публичных атак большинство организаций осознали необходимость улучшения своей инфраструктуры ИТ-безопасности.
По данным исследования ESG, 37% опрошенных организаций ставят улучшение в сфере кибербезопасности во главу приоритета развития своей ИТ-инфраструктуры на 2016 год. Организации должны оценить как способность выявлять угрозы для своей ИТ-инфраструктуры, так и способность противостоять им.
Большинство современных вредоносных программ являются скрытыми или программами нулевого дня.
Скрытые угрозы предназначены для проникновения в системы незамеченными, иногда оставаясь в системе в течение определенного периода времени.
Угрозы нулевого дня — это атаки, использующие ранее неизвестные уязвимости в сети, операционной системе или приложении, что затрудняет борьбу с ними.
Традиционно безопасность реализуется через межсетевой экран по периметру в сочетании со сканерами конечных точек (рабочих станций).
Межсетевые экраны по периметру блокировали простые типы атак, предотвращая несанкционированный доступ к внутренним системам, в то время как антивирусы конечных точек сканировали пользовательские устройства на наличие ранее известных или подозреваемых сигнатур вредоносного ПО.
Брандмауэры следующего поколения и программное обеспечение для защиты конечных точек увеличивают глубину проверки как по периметру, так и на конечных точках, но они по-прежнему полагаются на обнаружение известных атак.
Они просто не предназначены для обнаружения новых, ранее неизвестных атак.
Слишком часто организации не подозревают о таких угрозах до тех пор, пока не будет нанесен значительный ущерб.
Платформа Fortinet для предотвращения сложных угроз Fortinet разработала свою платформу Advanced Threat Defense Framework, чтобы обеспечить всестороннюю видимость всей сетевой активности, используя существующие и новые методы, посредством модульного подхода к интеграции своих продуктов безопасности в сети, приложениях, конечных точках и облачных сервисах.
Расширенная система защиты от угроз включает в себя:
• FortiGate — это межсетевой экран нового поколения, который обеспечивает глубокую проверку пакетов и обнаружение приложений для обеспечения сетевой безопасности и защиты от угроз.
• FortiWeb – межсетевой экран для веб-приложений, предназначенный для защиты приложений, доступных из Интернета.
Двусторонняя защита от сложных угроз, включая отказ в обслуживании, SQL-инъекцию, XSS, переполнение буфера, отравление cookie-файлов и большое количество других атак.
• FortiMail – шлюз безопасности для почты, защищает пользователей электронной почты от входящих угроз с помощью методов защиты от спама, фишинга и вредоносного ПО.
Безопасность исходящей электронной почты включает предотвращение утечки информации (DLP), шифрование на основе идентификации (IBE) и архивирование сообщений.
• FortiClient – защита конечных точек Windows, Mac, IOS и Android, включая, помимо прочего: защиту от вредоносных программ, контроль приложений, веб-фильтр, управление уязвимостями, двухфакторную аутентификацию и удаленный доступ.
• FortiSandbox – централизованный анализ и обнаружение потенциальных угроз с помощью эмуляции кода и выполнения этого кода в виртуальной безопасной среде.
Проверяет активность в дополнение к атрибутам для определения нежелательного поведения.
Динамически предпринимает действия для реагирования на инциденты и обновления защиты.
• FortiGuard – исследователи Fortinet используют информацию из глобальных источников для исследования угроз и атак, а также поддерживают облачную базу знаний для исследования угроз и их устранения.
FortiGate, FortiWeb и FortiMail — наиболее распространенные решения, доступные как в аппаратной, так и в программной форме, а также приложение FortiClient, используемое на конечных устройствах для удовлетворения потребностей организаций любого размера.
Каждый продукт ATP Framework может действовать как автономное решение или комбинироваться с другими продуктами для повышения защиты за счет совместимости.
В полностью интегрированной платформе продукты защиты от угроз сети и конечных точек отправляют потенциально опасные данные в FortiSandbox для анализа, который, в свою очередь, передает инструкции о том, как действовать с данными, обратно в эти продукты, а также в лаборатории FortiGuard Labs для распространения среди продуктов Fortinet. Fortinet описывает свои продукты в три этапа, чтобы обеспечить скоординированную защиту: предотвращение, обнаружение и смягчение последствий.
• Предотвращение.
Предотвращайте атаки различных известных и весьма подозрительных угроз.
• Идентификация – выявление ранее неизвестных угроз и распространение информации об угрозе для более быстрого реагирования.
• Смягчение последствий – изучение и анализ новых данных; создайте подпись и превратите неизвестное в известное для предотвращения в будущем.
Выявление Основной подход Advanced Threat Detection Framework от Fortinet заключается в выявлении неизвестных угроз и перенаправлении их в FortiSandbox для выявления поведения, тактики, методов и процедур, используемых при кибератаках.
FortiSandbox использует виртуальные машины в качестве инструментов для оценки потенциальных угроз со стороны исполняемых файлов, сжатых файлов (zip-файлов), данных приложений, таких как Adobe Flash, Adobe PDF и JavaScript и т. д. Однако выполнение каждого подозрительного файла на виртуальной машине может быть ресурсоемким.
и потратьте некоторое время.
Это может ограничить общее количество подозрительных файлов, которые можно оценить, что существенно повлияет на производительность.
Fortinet использует множество различных методов повышения эффективности.
Перед выполнением в песочнице подозрительные файлы могут быть подвергнуты предварительной фильтрации, включая отбор антивирусным ядром, запросы к облачному сервису FortiGuard, независимое от ОС моделирование, что возможно благодаря запатентованному Fortinet языку распознавания образов Compact Pattern Recognition Language (CPRL).
CPRL — это система глубокой проверки кода и распознавания образов, которая значительно расширяет возможности расширенной защиты от угроз (APT) и методов расширенного уклонения (AET), которые возможны при традиционном анализе сигнатур.
Каждая угроза, обнаруженная в «Песочнице», включает информацию о методе, использованном для идентификации: • AV-сканирование — угроза была выявлена путем сравнения файла с известными сигнатурами FortiClient (FortiGate/FortiMail) и совпадение было подтверждено.
• Cloud Query — если подпись файла неизвестна FortiClient (FortiGate/FortiMail), ее можно сравнить с сигнатурами FortiGuard, облачной службы Fortinet с расширенной базой знаний об угрозах.
• «Песочница» — угроза была обнаружена, когда FortiSandbox оценил поведение файла.
Помимо методов идентификации, также указывается рейтинг риска (чистый, низкий риск, высокий риск или вредоносный).
Результаты тестирования включают множество подробностей о коде и его рейтинге, включая сводную оценку поведения, снимки экрана вредоносного ПО и возможность загрузки дополнительной информации в форме журнала.
Например, поведение, приводящее к высокому рейтингу риска, включает в себя: • Исполняемый файл пытался подключиться к удаленному серверу C&C ботнета.
• Исполняемые удаленные файлы.
• Исполняемый файл порождает процессы.
• Пользователи, зараженные исполняемым файлом, заметят HTTP-соединения с определенными URL-адресами/IP-адресами.
• Пользователи, зараженные исполняемым файлом, заметят «DNS-запросы» для определенных доменных имен.
FortiSandbox может извлекать объекты для анализа непосредственно из сетевого трафика или получать их от других продуктов Fortinet, которые уже проверяют трафик.
Настройка основных продуктов Fortinet ATP Framework (FortiGate, FortiWeb и FortiMail) для интеграции с FortiSandbox очень проста; администратору просто нужно ввести IP-адрес FortiSandbox в модуле конфигурации песочницы.
Следующим и последним шагом является авторизация подключения продукта Fortinet в интерфейсе FortiSandbox. 
FortiSandbox также является расширением FortiClient. Администраторы могут настроить FortiClient вручную или централизованно настроить профиль безопасности конечной точки в FortiGate или FortiClient EMS. Этот профиль будет применен к группе конечных точек в текущей среде.
Почему это важно Очевидно, что единый подход, сочетающий в себе несколько методов обнаружения и оценки угроз с возможностью перенаправления файлов в «песочницу» для дополнительного анализа, может обеспечить важный дополнительный уровень защиты и закрыть бреши, которые легко используются новыми и ранее неизвестными угрозами.
.
смягчение последствий Единый подход Fortinet к безопасности предназначен для смягчения ранее неизвестных угроз и атак, обнаруженных FortiSandbox. В контексте кибербезопасности смягчение последствий определяется как снижение вероятности неблагоприятных событий и/или уменьшение воздействия и последствий.
Все продукты Fortinet, которые могут работать с FortiSandbox, отправляют объекты на анализ и используют данные, полученные от FortiSandbox, для ускорения реагирования и снижения выявленных угроз.
В качестве примера приведен снимок интерфейса FortiSandbox, на котором отображается отчет о пяти случаях подозрительного поведения.
На изображении видно, что вредоносное ПО ведет себя как руткит, создавая свои копии и удаляясь после выполнения.
Поскольку такое поведение может быть весьма деструктивным, оно выделено красным.
В разделе «Созданные файлы» показаны все файлы, созданные вредоносным ПО, с указанием их проверочных сумм MD5. Потенциально опасные действия, такие как создание собственной копии, выделены красным.
Вкладка результатов также позволяет администратору загрузить копию исходного файла из FortiSandbox, а также журнал с подробным описанием всех действий анализируемого файла, снимки экрана и все перехваченные пакеты из трафика, инициированного вредоносным ПО.
После принятия положительного решения о том, что файл является вредоносным, меры по снижению риска могут быть автоматическими или основаны на политиках, которые можно установить на каждой контрольной точке.
На следующем снимке показаны возможные настройки FortiClient. 
Смягчение может применяться в любой точке экосистемы.
FortiGate, FortiWeb и FortiMail предоставляют возможность карантина.
На следующем снимке показано, что FortiGate имеет возможность изолировать как зараженное устройство, так и источник.
FortiWeb имеет те же возможности.
Почему это важно: Комплексная экосистема безопасности Fortinet обеспечивает консолидированное смягчение последствий и восстановление после активности вредоносных программ, позволяя администраторам автоматически реагировать на инциденты, требующие вмешательства.
Взаимодействие продуктов Fortinet с FortiSandbox позволяет реализовать такую автоматизацию по всем направлениям угроз.
На основании информации с точек контроля зараженные системы очищаются и изолируются.
Профилактика Наименее проблемной атакой является та, которую удалось предотвратить.
Усовершенствованная система защиты от угроз Fortinet автоматизирует и консолидирует анализ подозрительных файлов на всех контрольных точках из нескольких потенциальных векторов, используя методы, включающие прямую проверку трафика и взаимодействие с FortiGate, FortiClient, FortiWeb и FortiMail. Взаимодействие с другими продуктами Fortinet снижает нагрузку на FortiSandbox и сводит к минимуму необходимость ручного и трудоемкого реагирования для предотвращения атак.
Помимо использования в этих продуктах традиционных технологий предотвращения угроз для блокировки известных угроз и атак (таких как контроль приложений, предотвращение вторжений, веб-фильтрация, антивирус и защита от спама), FortiSandbox играет очень важную роль в предотвращении наиболее сложных и неизвестных угроз.
FortiMail и FortiClient автоматически хранят неизвестные файлы и ждут анализа от FortiSandbox, прежде чем разрешить доставку или установку, минуя необходимость устранения угроз.
FortiGate и FortiClient можно настроить на получение обновлений сигнатур непосредственно из FortiSandbox. Это полезно для предотвращения распространения целевых атак и многоэтапных атак, компоненты которых активно раскрываются FortiSandbox до того, как они повлияют на конечных пользователей.
Наконец, FortiSandbox имеет возможность опционально обмениваться данными анализа с FortiGuard, позволяя распределять сигнатуры по всему портфелю безопасности Fortinet, а не только внутри конкретной экосистемы.
Такой подход усиливает защиту всего сообщества пользователей Fortinet. 
Почему это важно: Нарушения безопасности становятся все более распространенными: целевые атаки и атаки нулевого дня противостоят традиционным автономным решениям.
Организации, полагающиеся на решения такого типа, потенциально могут быть уязвимы для атак с серьезными финансовыми и операционными последствиями.
Предотвращение позволяет организациям выйти из режима реагирования и сосредоточиться на упреждающих стратегических усилиях по улучшению состояния своей безопасности.
Используя расширенные возможности обнаружения FortiSandbox и глубокие знания об атаках от FortiGuard Labs, организации получают инструменты, необходимые для предотвращения атак до того, как они произойдут. Окончательно Каждое корпоративное вычислительное устройство, от смартфонов и планшетов до ноутбуков, настольных компьютеров и служб приложений, подвержено нарушениям безопасности.
Атаки затрагивают организации всех размеров без разбора, а их последствия могут быть разрушительными для операционной деятельности, репутации компании и банковских счетов.
Затраты, возникающие в результате успешных атак, могут включать не только перезапуск операций и решение проблем безопасности, но также юридическую ответственность и штрафы со стороны регулирующих органов.
Усовершенствованная система защиты от угроз Fortinet проста в понимании и управлении.
Модульный подход Fortinet с автономными продуктами, которые можно комбинировать для обеспечения предотвращения, обнаружения и смягчения последствий, может улучшить обнаружение и защиту от сложных атак по сравнению с автономными системами безопасности других поставщиков.
Интеграцию продуктов Fortinet в целую экосистему довольно легко настроить благодаря интуитивно понятному интерфейсу и большому количеству общедоступной документации.
После настройки анализ неизвестных файлов, независимо от того, как они попали в экосистему, происходит автоматически.
Графический интерфейс FortiSandbox обеспечивает интуитивно понятный доступ к понятной и понятной информации.
FortiSandbox позволяет четко и легко понять ваш текущий уровень безопасности.
Решение Fortinet предлагает функциональность, возможности и возможности подключения, которые удовлетворяют весь спектр требований безопасности организации, позволяя командам безопасности обнаруживать, предотвращать и смягчать угрозы.
Возможность работать как отдельные продукты или объединяться в полноценную платформу обеспечивает гибкость, которую можно внедрить практически в любую систему.
Компании, которые ищут более гибкие и эффективные решения для улучшения своей безопасности, будут удовлетворены инфраструктурой Advanced Threat Protection Framework от Fortinet. Распространение решений Fortinet в Украина , Армения , Грузия , Казахстан , Азербайджан , Кыргызстан , Таджикистан , Туркменистан , Узбекистан , страны СНГ .
Теги: #Fortinet framework #защита от сложных угроз #информационная безопасность и сети #информационная безопасность
-
Лучшее Ftp-Приложение Для Mac
19 Oct, 24 -
Мифы О Пингвинах
19 Oct, 24 -
Проблемные Личности Среди Тестировщиков
19 Oct, 24 -
Забрасывание Троянов Под Видом Счета-Фактуры
19 Oct, 24 -
Плюсы И Минусы Xamarin
19 Oct, 24
