В уходящем году вендоры, работающие на рынке ИТ-безопасности, посвятили свои усилия дальнейшему укреплению защиты на всех уровнях, от облака и корпоративной сети до клиентских систем и смартфонов, предложив новые инструменты, помогающие оценить риск, централизовать администрирование, автоматизировать операции защиты и расширить спектр охваченных управлением устройств.
Совершенствование средств обнаружения и анализирования киберугроз было главным прицелом вендоров в 2018 году, оно коснулось сбора и маркирования данных, обеспечения пропорционального реагирования и сопоставления действий атакующих с базой знаний киберугроз.
CRN/США выбрал десять лучших, по мнению Тест-центра, новых инструментов кибербезопасности, появившихся в этом году, Семь из них предложены компаниями, которые базируются в районе залива Сан-Франциско, один — компанией из Техаса, один — вендором из Массачусетса, и еще один — разработчиком из Великобритании. Все эти вендоры рассчитывают на поставщиков решений, которые помогут заказчикам внедрить новые, еще более эффективные средства защиты.
CB ThreatHunter (Carbon Black)
В октябре компания Carbon Black (Уолтем, шт. Массачусетс) выпустила CB ThreatHunter, который предоставит новые функции обнаружения угроз и реагирования на инциденты Центрам мониторинга информационной безопасности (SOC) и командам ИБ.
CB ThreatHunter осуществляет сбор нефильтрованных данных, позволяя службам ИБ заблаговременно выявлять угрозы и подозрительное поведение, блокировать запущенные атаки, быстро устранить нанесенный вред и ликвидировать пробелы в обороне. Проверки и расследования, занимавшие раньше дни и недели, могут теперь выполняться с помощью CB ThreatHunter за считанные минуты, говорит компания.
Большинство существующих систем EDR (обнаружения и нейтрализации угроз на клиентских устройствах) и реагирования на ИБ-инциденты способны собирать лишь ограниченный набор ретроспективных данных. Как результат, центры ИБ и группы реагирования не могут получить информацию, необходимую им для изучения, упреждающего выявления атак и устранения их последствий, говорит компания.
Check Point CloudGuard
В феврале Check Point Software Technologies (Тель-Авив / Сан-Карлос, шт. Калифорния) представила семейство продуктов для защиты облачных вычислений в ответ на рост количества краж аккаунтов и поливекторных атак на облачные рабочие нагрузки и приложения.
CloudGuard способен защитить организации от кибератак на рабочие нагрузки облачной инфраструктуры и SaaS-приложения. CloudGuard интегрируется с облачными платформами IaaS и предложениями поставщиков облачных SaaS-приложений, защищая любое облако, сервис или приложение от сложно построенных атак, вредоносного ПО и эксплойтов «нулевого дня».
CloudGuard внедряется как SaaS в один клик, помогая организациям оставаться гибкими и подвижными, а динамические обновления политик и автоматическое предоставление ресурсов обеспечивают быстрое масштабирование защиты облачной IaaS в соответствии с современными требованиями бизнеса.
CrowdStrike Falcon X
Falcon X, представленный компанией CrowdStrike (Саннивейл, шт. Калифорния) в апреле, автоматизирует анализирование киберугроз и помогает обеспечить управляемый анализ и автоматизацию центра мониторинга ИБ крупным и мелким организациям.
Falcon X объединяет в себе изолированный прогон потенциально вредоносного ПО, поиск вредоносных программ и анализ киберугроз в виде интегрированного предложения, которое может выполнять всесторонний анализ атак за считанные секунды вместо часов, а то и дней. Продукт выявляет признаки атаки для всех обнаруженных в сети угроз, а также для всех их известных модификаций.
Четыре месяца спустя компания выпустила Falcon X Premium, и теперь группы кибербезопасности могут автоматически анализировать вредоносное ПО, обнаруженное на клиентских устройствах, находить соответствующие образцы по базе данных поисковой системы и пополнять базу знаний результатами анализа киберугроз.
FireEye Helix
В октябре компания FireEye (Милпитас, шт. Калифорния) выпустила новый релиз Helix, который поможет заказчикам автоматизировать операции по обеспечению безопасности и осуществлять мониторинг облачной инфраструктуры на платформах AWS, Azure и Oracle Cloud.
Новая версия FireEye Helix объединяет интегрированные функции SIEM (управления событиями и данными информационной безопасности) с расширенной оркестровкой безопасности, помогая автоматизировать текущие операции. Helix предлагает заказчикам единую платформу для обнаружения киберугроз и автоматизации реагирования, упрощая также генерирование отчетности по комплаенсу, отмечает компания.
Давние вендоры SIEM часто используют ограниченный подход к обнаружению, говорит компания, перегружая заказчиков множеством предупреждений, но не давая действенных инструментов, чтобы на них реагировать. В противовес этому Helix использует теперь заранее подготовленные сценарии, помогая аналитикам свести к минимуму ручные, повторяющиеся или подверженные ошибкам действия, такие как проверка оповещений или пополнение базы данных, говорит компания.
Dynamic Data Protection (Forcepoint)
Dynamic Data Protection, представленный компанией Forcepoint (Остин, шт. Техас) в апреле, предназначен непрерывно оценивать риски и автоматически вводить политики пропорционального реагирования, которое можно масштабировать как в сторону ужесточения, так и смягчения. Эта возможность обеспечивается ориентированной на человека аналитикой поведения, которая понимает взаимодействие с данными пользователей, машин и аккаунтов.
Продукт вводит анонимную и постоянно обновляемую оценку поведенческого риска, устанавливая базовый уровень «нормального» поведения для каждого конечного пользователя в корпоративной или неуправляемой сети. После этого интеллектуальные системы Forcepoint, информированные об индивидуальной оценке риска, применяют ряд контрмер безопасности для устранения выявленного риска.
Будучи первым в отрасли инструментом с функцией автоматического и динамически адаптируемого реагирования, Forcepoint DDP высвобождает персонал анализа киберугроз, позволяя сосредоточиться на более важных задачах.
FortiOS 6.0 (Fortinet)
В феврале Fortinet (Саннивейл, шт. Калифорния) ввела более 200 новых функций и возможностей в свою FortiOS 6.0, интегрированную платформу (fabric) кибербезопасности третьего поколения. Она обеспечивает централизованное управление всем портфелем с точки зрения аналитики и SIEM.
Этот инструментарий Fortinet для SD-WAN ведет мониторинг приложений, а не пакетов, опираясь на анализ с учетом путей, гарантируя этим, что заказчики получат надлежащее обслуживание для своих наиболее важных приложений. В версии FortiOS 6.0 расширены также облачные коннекторы, чтобы обеспечить прозрачность частных облаков Cisco ACI и VMware NSX, общедоступных облаков Amazon Web Services и Microsoft Azure и SaaS-облаков Salesforce.com и Office 365.
Fortinet ввела также тегирование в версии FortiOS 6.0, позволяя маркировать объекты, интерфейсы, межсетевые экраны и устройства с помощью цветового кодирования. Благодаря этому пользователи получают возможность широко применять политики, чтобы гарантировать, что не защищенные мобильные устройства не смогут получить доступ к интеллектуальной собственности.
McAfee MVision
В июле McAfee (Санта-Клара, шт. Калифорния) вышла на арену мобильной безопасности и представила новые, масштабируемые решения по автоматизации и оркестровке защиты клиентских устройств, способные удовлетворить потребности крупных организаций.
В ее новой линейке MVision расширен перечень устройств, которыми можно управлять, а сам портфель предложений сделан более простым, инклюзивным и всеохватывающим. Инструменты MVision для мобильных, клиентских устройств и оркестровщик ePO (ePolicy Orchestrator) сведены воедино и предлагаются заказчикам на основе годовой подписки, сообщает McAfee.
Три месяца спустя компания представила MVision EDR (систему обнаружения и реагирования), которая берет контекстную информацию и данные, присутствующие на клиентском устройстве, и перемещает их в облако, что позволяет вводить аналитику и автоматизацию. Компания представила также облачные и унифицированные решения по защите данных под вывеской MVision, чтобы повысить прозрачность всей экосистемы.
Capture Cloud Platform (SonicWall)
Платформа Capture Cloud компании SonicWall (Милпитас, шт. Калифорния) дебютировала в апреле, тесно увязывая безопасность, администрирование, аналитику и анализ киберугроз в реальном времени в рамках всего портфеля продуктов для сети, электронной почты, мобильных устройств и в облаке.
Компания использует алгоритмы машинного обучения для анализа данных, классификации и блокирования известных вредоносных программ, прежде чем они смогут инфицировать сеть. Неизвестные файлы отправляются в облачную платформу Capture Cloud, где они анализируются с использованием гипервизора, эмуляции и виртуализации, при этом вредоносное ПО «нулевого дня» блокируется практически в реальном времени.
Одним из ключевых компонентов платформы является Capture Security Center, который позволяет управлять всеми действиями и службами защиты SonicWall из одной экранной панели.
Intercept X (Sophos)
В январе компания Sophos (Абингдон, Великобритания) выпустила новейшую версию своего приложения для защиты от эксплойтов, Intercept X, включающего технологию глубинного обучения для повышения эффективности обнаружения вредоносных программ.
Встроенное в новую версию глубинное обучение позволит более точно отбирать и маркировать данные, поскольку теперь Intercept X способен обрабатывать сотни миллионов образцов вместо десятков миллионов раньше. Как результат, Intercept X сможет делать более точные прогнозы с более высокой скоростью и меньшим количеством ложных обнаружений по сравнению с традиционным машинным обучением.
Девять месяцев спустя компания ввела в Intercept X средства EDR (обнаружения на клиентских устройствах и реагирования), чтобы сделать отслеживание угроз доступным для организаций с более скромными ресурсами. Предоставление организациям любого размера возможностей Центра мониторинга ИБ (SOC) сократит время, в течение которого взломщик может оставаться незамеченным в сети, отмечает компания.
Managed Cloud Defense (Symantec)
В октябре Symantec (Маунтин-Вью, шт. Калифорния) представила платформу Managed Cloud Defense, которая выявляет проблемы в облаке и реагирует на них, сопоставляя действия в ходе атак со своей глобальной сетью исследования киберугроз (Global Intelligence Network).
Managed Cloud Defense проводит также удаленные расследования, управляет поиском угроз и содержит облачные инстансы. Изначально встроенная интеграция с Amazon Web Services и Microsoft Azure обеспечивает большую прозрачность и позволяет вести мониторинг облачных платформ, указывает компания.
Продукт обеспечивает также мониторинг облачных пользователей и приложений для теневых ИТ, добавляет Symantec, а также удаленное расследование инцидентов, меры по локализации и целенаправленный поиск угроз для быстрого реагирования. А мониторинг разрешений облака S3 в Managed Cloud Defense может помочь защитить хранилище критически важных облачных данных, отмечает Symantec.
