Intel Security
open

Использование признаков атаки

Возможность выявлять и нейтрализовать атаки на ранней стадии

Обзор

Когда счет идет на минуты. Противодействие угрозам с использованием восьми основных признаков атаки

Читать отчет

Динамическая картина, позволяющая оперативно реагировать на инциденты

Работа по реагированию на инциденты заключается в локализации атак, снижении уровня риска, восстановлении последовательности событий и устранении последствий атак. Но изучение характеристик атаки позволяет получать полезную информацию («признаки атаки» — indicators of attack, IoA), дающую возможность не ограничивать меры реагирования работой по восстановлению систем после атак, а активно препятствовать успешному их проведению. Признак взлома (indicator of compromise — IoC) описывает отдельное, статическое событие, вредоносный характер которого подтвержден, а признак атаки является вредоносным или невредоносным только по отношению к конкретной ситуации. Если IoC используется для проведения компьютерно-технической экспертизы постфактум, то IoA дает возможность моментально реагировать на инциденты на любом этапе атаки.

Выполняемый McAfee и ее партнерами поиск и анализ признаков атак, а также рассылка информации о них в системы обнаружения, локализации и устранения угроз помогают аналитикам безопасности получать устойчивое преимущество в борьбе с эволюционирующими киберугрозами.

Загрузить краткий обзор решения

Обнаружение атак на как можно более ранних стадиях

Сбор контекстных данных, которые в противном случае были бы утрачены

Для выявления признаков атаки необходимо обеспечить сохранность контекстных данных. Собирая контекстные данные и дополняя их другой важной информацией, McAfee Threat Intelligence Exchange и McAfee Enterprise Security Manager формируют признаки атаки, позволяющие сразу принимать меры реагирования.

Выявление и отбор событий первостепенной важности для немедленного рассмотрения

Использование усовершенствованной системы динамической оценки угроз и рисков позволяет сократить количество ложных положительных результатов и направить внимание аналитиков безопасности на важные события. Наличие подробных характеристик событий позволяет выявлять траектории атак, зараженные узлы и уязвимые системы.

Мгновенное реагирование благодаря надежной автоматизации

На основе полученной информации об угрозах соответствующие процессы могут автоматически и выборочно блокировать, прерывать, отслеживать и регистрировать действия.

Восстановление всей последовательности событий

Возможность восстановить по частям все события атаки позволяет получить полное представление о маршруте и намерениях целенаправленной атаки.

Повышение эффективности политик, правил и средств защиты

Возможность прогнозировать поведение атак, обучать защитные продукты и вносить предложения по изменению политик и средств защиты позволяет избегать повторения подобных атак в будущем.

Сложные направленные атаки. Тут нужна система

Читать информационный документ

Продукты

Защита конечных точек

Интеграция с McAfee Threat Intelligence Exchange позволяет давать оценку неизвестным файлам. Агент, развернутый на конечных точках, может допускать выполнение файла, блокировать выполнение файла или удалять файл, предварительно завершив запущенный процесс. Обнаруженные неизвестные файлы регистрируются, и если в последствии будет установлено, что тот или иной неизвестный файл является компонентом атаки, агент, развернутый на конечных точках, сможет очистить зараженные узлы.

Защита сетей

Мы предлагаем большое количество средств сетевой защиты, способных собирать и анализировать информацию об угрозах. Использование информации об угрозах, поступающей из большого количества разных источников, позволяет иметь представление о внутренних и внешних угрозах в режиме реального времени. Образцы неизвестных вредоносных программ, получаемые с конечных точек и шлюзов, анализируются с помощью средств динамического (в «песочнице») и статического анализа кода. Вы сможете собирать контекстную информацию о пользователях, приложениях и данных, анализировать трафик и отправлять подозрительные события и файлы на дальнейший анализ.

Управление безопасностью

Решения для управления безопасностью позволяют рассчитывать базовый уровень событий, поступающих от датчиков на конечных точках, объединять события для анализа и снабжать их контекстом, сохраняя тем самым крайне важные данные, которые в противном случае просто пропали бы. Решения в категории SIEM собирают и сопоставляют информацию о событиях, поведении и предупреждениях, поступающую из сотен разных источников, формируя на их основе признаки атаки. Полученные таким образом оценки дают возможность запускать процессы реагирования на угрозы, локализации атак, снижения рисков и восстановления систем.

Сопутствующие продукты и решения

Услуги

McAfee Foundstone помогает предприятиям любого размера находить наиболее эффективные способы поддержания высокого уровня безопасности. Наши группы специалистов по безопасности проводят оценки уязвимости сетей, выявляют бреши в программах обеспечения информационной безопасности, предлагают стратегии по обеспечению нормативно-правового соответствия и помогают в разработке мер для подготовки организаций к аварийным ситуациям.