Защита корпоративных рабочих станций с помощью VMware Carbon Black

 

Введение

В октябре 2019 года VMware приобрела Carbon Black, ведущего поставщика облачных систем безопасности нового поколения, специализирующегося на облачных платформах endpoint protection platforms (EPP). Это решение, в частности, обнаруживает угрозы на уровне рабочей станции, анализирует их на облачном уровне и в конечном итоге предпринимает необходимые шаги для защиты инфраструктуры настольных компьютеров предприятия. Это не просто антивирус или брандмауэр, а сложная система мониторинга сетевых подключений и приложений, выполняющих подозрительные действия.

В принципе, для этого решения не имеет значения, говорим ли мы об угрозах нулевого дня или глубоко настроенных атаках, специально адаптированных для конкретного предприятия.

Дело в том, что это приобретение, похоже, работает для всех: раньше вам требовался бы отдельный агент (легкий агент, но все же) для работы сажи; теперь все, что вам нужно, - это инструменты VMware, а это значит, что вы можете оставить всю эту головную боль развертывания и поддержки агентов позади. Излишне говорить, что VMware заключила довольно выгодную сделку, заплатив всего два с половиной миллиарда долларов.

Давайте обсудим детали

Пришло время заглянуть под капот и выяснить, как все это работает. В первую очередь, раствор сажи предназначен для использования в этих четырех направлениях:

• Антивирусная защита;
• Обнаружение и остановка невиданных ранее атак с использованием методов проактивной защиты (обнаружение конечных точек и реагирование на них);
• Обнаружение новых угроз 24/7 с помощью управляемого обнаружения: команда квалифицированных специалистов по безопасности, анализ источника угрозы и проверка его вместе с ежемесячными отчетами – все это на столе;
• Аудит системы, чтобы распознать потенциально опасные конфигурации и быть впереди кривой.

Я знаю, я знаю. Похоже, что у VMware есть аналогичное решение; в конце концов, AppDefense существует уже некоторое время. Есть только одно крошечное различие, которое делает все различия в мире: AppDefense основан на положительной модели безопасности, а сажа основана на отрицательной. Что это значит?

AppDefense отслеживает приложения, чтобы обнаружить любые аномалии и отклонения от «хорошего» поведения. В то же время сажа ориентирована на «плохое» поведение любого приложения, чтобы идентифицировать угрозу, определить ее причину и захватить ее. Вы не должны забывать, что AppDefense работает на уровне ESXi, а Carbon Black также работает на уровне гостевой ОС:

Еще одна интересная особенность Carbon Black-это оповещение и визуализация в режиме реального времени, чтобы команда опытных специалистов по ИТ-безопасности могла отслеживать действия злоумышленника, отслеживать их до источника и блокировать его раз и навсегда.

И вот как это происходит:

• Датчик Carbon Black Cloud развертывается на рабочей станции;
• Информация об угрозе отправляется в облако VMware Carbon Black Cloud;
• Облако постоянно обновляет любую информацию о возможных угрозах;
• Анализ подозрительного поведения на основе правил;
• Если что-то запускает настроенные правила, это приводит к предварительно настроенным превентивным действиям через UEM API (например, помещению устройства в карантин или удалению приложения);

Кроме того, как вы можете видеть при работе с решением Carbon Black, администраторы работают с Workspace ONE UEM и ONE Intelligence одновременно.

CB просто кажется наиболее эффективным решением, когда речь заходит о вымогателях, вредоносных программах без файлов и многих других более сложных вещах, которые явно предназначены для конкретной корпоративной инфраструктуры.

Вы можете проверить это ниже, где VMware показывает моделирование атаки вымогателей и как Carbon Cloud справляется с этой проблемой:

1	<iframe width=" 600 " height=" 338 " src="https://www.youtube.com/embed/bAZIxhkuJhU" frameborder=" 0 " allow=" акселерометр; автозапуск; зашифрованный носитель; гироскоп; картинка в картинке " allowfullscreen>></iframe>

Давайте поближе посмотрим на то, что здесь происходит.

Итак, имитация атаки была запущена, и вредоносное ПО мгновенно и немедленно заблокировано:

Кроме того, подозрительная библиотека DLL пытается зарегистрироваться на ноутбуке пользователя. Однако, если не повезет, потому что он тоже попадает в Carbon Black:

В то же самое время команда ИТ-безопасности получает уведомление об атаке, где именно она произошла, и ссылку на ее подробное описание. Лучше всего использовать интеграцию с Slack:

Подходящей реакцией на такую активность в вашей гостевой ОС является карантин устройства (полное отключение его от сети и общение только через UEM API).

Следуя ссылке Slack, уведомление предоставит администратору подробный журнал с хронологией событий и любыми необходимыми подробностями:

Кроме того, в описании каждого опасного события вы можете найти упоминание о том, что оно было заблокировано углеродным блоком (включая все усилия сетевой связи после того, как устройство было помещено в карантин):

В разделе оповещения администратор может проверить каждую конкретную атаку на наличие всех событий в агрегированном порядке:

Именно тогда вы можете начать " расследование”, отслеживая всю цепочку событий, чтобы визуализировать всю цепочку событий (включая IP-адреса назначения):

В разделе endpoints представлены все рабочие станции и их статусы. Вы можете видеть все карантинные устройства и управлять ими тоже:

Например, вы можете перейти к Live Response и выполнить любое необходимое действие через консоль (например, изменить раздел автозапуска гостевой ОС):

В VMware Workspace ONE UEM вы также можете увидеть, что устройство помещено в карантин:

Наконец, в консоли VMware Workspace ONE Intelligence console можно автоматизировать процедуру реагирования в случае возникновения таких событий. Например, администратор может установить определенные правила для автоматического помещения устройства в карантин и другие действия в зависимости от серьезности угрозы, типа операционной системы и т. д.

о же самое относится и к API UEM: вы можете отправить электронное письмо администратору, создать тикет в ServiceNow или просто отправить уведомление Slack.

Выводы

Как вы можете понять сейчас, работа с VMware Workspace ONE UEM + ONE Intelligence + Carbon Black solution set позволяет вам получить уровень защиты от различных угроз, которые обычно не могут соответствовать брандмауэрам и антивирусам (например, специально настроенные индивидуальные атаки). Кроме того, интеграция Carbon Black с VMware NSX обеспечит вам защиту всей сетевой среды и последующих подключений, таким образом выходя за пределы уровня гостевой ОС.

Самое интересное, что сажа и AppDefense не являются взаимоисключающими! VMware рекомендовала попробовать и использовать их вместе, что предположительно должно расширить охват, так как AppDefense работает на более высоком уровне и на стороне центра обработки данных может работать с решениями из семейства vRealize. Однако, похоже, что эти решения рано или поздно породят какой-то третий вариант, который объединит функции обоих продуктов.