FORTINET, dostawca zaawansowanych rozwiązań bezpieczeństwa sieciowego, wprowadził do swojej oferty FortiSandbox-3000D – urządzenie zapobiegające zaawansowanym atakom ukierunkowanym typu ATA i APT. Łączy ono w sobie dwupoziomowe środowisko sandbox, dynamiczną analizę danych o zagrożeniach, konsolę czasu rzeczywistego i szczegółowe raporty, tworząc jedno – zintegrowane z zaporami sieciowymi następnej generacji FortiGate i bramami poczty elektronicznej FortiMail – rozwiązanie.
FortiSandbox-3000D można wdrożyć samodzielnie bez konieczności zmiany konfiguracji sieci, jak również zintegrować z platformami FortiGate i FortiMail w celu poprawy skuteczności wykrywania i eliminowania zagrożeń.
Zapory sieciowe następnej generacji (NGFW) FortiGate pełnią rolę pierwszej linii obrony — skanują zagrożenia i eliminują je. Wraz z rozwiązaniem FortiSandbox obydwa urządzenia są w stanie identyfikować pliki podejrzane lub o wysokim ryzyku, a następnie poddawać je zaawansowanej inspekcji. Istnieje również możliwość aktualizacji zabezpieczeń na podstawie pełnego cyklu życia wykrytych ataków – mówi Sebastian Krystyniecki, inżynier systemowy Fortinet Polska.
W nowej wersji rozwiązania FortiMail 5, bramy poczty elektronicznej Fortinet również mogą identyfikować pliki podejrzane lub o wysokim ryzyku dołączane do wiadomości e-mail, a następnie przesyłać je do rozwiązania FortiSandbox w celu przeprowadzenia inspekcji zaawansowanej – dodaje Sebastian Krystyniecki.
Rozwiązanie FortiSandbox konsoliduje specjalistyczne usługi wykrywania zagrożeń i analizy danych w ramach różnych protokołów i funkcji, tworząc jedno narzędzie charakteryzujące się wysoką wydajnością i przystępną ceną. Podstawowym elementem rozwiązania jest dwupoziomowe środowisko sandbox, które skutecznie radzi sobie z coraz popularniejszymi technikami unikania wykrycia zagrożeń z poziomu maszyny wirtualnej (VM) i z coraz bardziej zaawansowanymi atakami wymagającymi fachowej i rozbudowanej inspekcji.
Najgroźniejsi cyberprzestępcy coraz częściej omijają tradycyjne rozwiązania zwalczające złośliwe oprogramowanie i uzyskują stały dostęp do danych przedsiębiorstw za pośrednictwem ich sieci. Precyzyjnie ukierunkowane ataki unikają zabezpieczeń opartych na sygnaturach, wykorzystując takie techniki, jak kompresja, szyfrowanie, polimorfizm i nie tylko – wskazuje John Grady, kierownik ds. badań w dziale zabezpieczeń międzynarodowej korporacji badawczej IDC.
Niektóre warianty złośliwego oprogramowania są w stanie wykrywać środowiska wirtualne i wykorzystywać technologie usypiania w celu radykalnego utrudnienia identyfikacji. Zabezpieczanie przed współczesnymi atakami wymaga kompleksowego i zintegrowanego podejścia, wykraczającego daleko poza dotychczasowe rozwiązania zwalczające takie oprogramowanie, dotychczas wykorzystywane wirtualne środowiska sandbox i niezależne systemy monitorowania. Rozwiązanie FortiSandbox to ważny krok w tym kierunku –podsumowuje John Grady.
Najważniejsze funkcje rozwiązania FortiSandbox:
- Dynamicznie realizowana ochrona przed malware’em w oparciu o zapytania kierowane do serwerów FortiGuard: możliwość pobierania aktualizacji z laboratoriów FortiGuard Labs i kierowania zapytań do laboratoriów w czasie rzeczywistym – inteligentne i natychmiastowe wykrywanie istniejących i potencjalnych zagrożeń;
- Emulowanie kodu: funkcja ta realizuje uproszczoną inspekcję w środowisku sandbox w czasie rzeczywistym, obejmującą złośliwe oprogramowanie wykorzystujące techniki unikania środowiska sandbox i/lub uruchamiane wyłącznie w przypadku określonych wersji oprogramowania;
- W pełni wirtualne środowisko: kontrolowane środowisko wykonawcze (runtime evironment), analizujące podejrzany lub wysokiego ryzyka kod i badające pełny cykl życia zagrożeń;
- Zaawansowany wgląd w dane: możliwość kompleksowej analizy różnego rodzaju działań dotyczących sieci, systemu i plików, w podziale na kategorie ryzyka – co znacznie przyspiesza reakcję na incydenty;
- Wykrywanie prób komunikacji zwrotnej: funkcja analizuje ruch w sieci pod kątem żądań odwiedzania złośliwych serwisów internetowych, nawiązywania komunikacji z serwerami kontroli i sterowania (serwery C&C) oraz innych działań noszących znamiona naruszenia bezpieczeństwa danych;
- Analizy ręczne: funkcja ta pozwala administratorom zabezpieczeń ręcznie testować próbki złośliwego oprogramowania w wirtualnym środowisku na urządzeniu FortiSandbox bez konieczności korzystania z osobnego rozwiązania;
- Opcjonalne przesyłanie danych do laboratorium FortiGuard: raporty dotyczące śledzenia przebiegu działania zagrożeń, złośliwe pliki i inne informacje można przesyłać do laboratoriów FortiGuard Labs w celu uzyskania rekomendacji w zakresie środków zaradczych i aktualizacji zabezpieczeń.
Rozwiązanie FortiSandbox zostało opracowane jako bezpośrednia reakcja na zagrożenia APT, wykorzystujące bardzo zaawansowane techniki pomijania zabezpieczeń – stwierdza Mariusz Rzepka, Fortinet Territory Manager na Polskę, Białoruś i Ukrainę.
Nasze wieloletnie doświadczenia w badaniu zagrożeń i rozwoju zabezpieczeń pokazują, że inspekcja operacji na plikach, stanowiąca uzupełnienie analizy opartej na atrybutach, to niezbędne metody zwalczania zaawansowanych zagrożeń APT. Nasi klienci mają obecnie możliwość w prosty sposób przeprowadzać szczegółowe analizy określonych zagrożeń wymierzonych w ich sieci. Dodatkową korzyścią jest integracja z naszymi rozwiązaniami FortiGate i FortiMail, dzięki której zagrożenia można eliminować w czasie rzeczywistym –dodaje Mariusz Rzepka.
źródło: Fortinet
