Trend Micro: Deep Discovery

Платформа Trend Micro Deep Discovery для защиты от угроз позволяет обнаруживать, анализировать и нейтрализовать современные скрытые направленные атаки в режиме реального времени.

Решение Deep Discovery развертывается в виде отдельных компонентов или полноценной платформы информационной безопасности. Платформа Deep Discovery, лежащая в основе решения Trend Micro Network Defense, позволяет интегрировать существующую инфраструктуру безопасности в комплексную адаптируемую систему, которая защитит организацию от направленных атак.

2018

Сертификация Analyzer, Inspector и Email Inspector в Беларуси

Компания Trend Micro 7 ноября 2018 года объявила о прохождении сертификации в республике Беларусь сразу пяти продуктов компании — Trend Micro Deep Discovery Analyzer 6.1, Deep Discovery Inspector 5.1, Deep Discovery Email Inspector 3.1, Deep Security 11.0 и Enterprise Security for Endpoint Light.

Результаты испытаний, проведённых лабораторией ООО ИТТАС, подтвердили соответствие Trend Micro Deep Discovery Analyzer 6.1 требованиям регламента ТР 2013/027/BY. Deep Discovery Analyzer — это часть комплекса Advanced Threat Protection, которая создаёт специальную изолированную среду (так называемую «песочницу») для анализа и обнаружения целевых атак и защиты конечных точек, веб-шлюзов и сетей компаний с использованием веб-репутации и поведенческого анализа. В ходе работы программы все подозрительные объекты и URL-адреса направляются на анализ вручную либо в автоматическом режиме, чтобы помочь в обнаружении и защите от программ-вымогателей и вредоносного ПО, включая и так называемые «атаки нулевого дня». Продукт может использоваться как самостоятельное решение либо в комплексе с другим ПО Deep Discovery.

Сертификация обеспечивает широкое использование ПО Trend Micro в органах государственной власти и других структурах, где существует требование по применению строго сертифицированных продуктов, — отметил Роман Черненький, региональный менеджер Trend Micro в Украине, Беларуси и Молдове. — Trend Micro понимает важность этого аспекта для наших клиентов и делает всё возможное, чтобы обеспечить соответствие продуктов компании требованиям действующих технических регламентов.

Особенности и Компоненты

Особенности Deep Discovery на август 2018 года:

• Высокие показатели обнаружения благодаря использованию специализированных модулей и настраиваемой изолированной среды
• Углубленный анализ с сопоставлением локальных и глобальных данных об угрозах
• Оперативное реагирование с применением расширенных средств анализа происшествий на конечных устройствах и общих данных о признаках взлома или заражения

По данным на август 2018 года решение включает следующие компоненты:

• Deep Discovery Inspector
• Deep Discovery Email Inspector
• Deep Discovery Endpoint Sensor
• Deep Discovery Analyzer

Deep Discovery Inspector

Deep Discovery Inspector — это сетевое решение, обеспечивающее полный контроль трафика и позволяющее обнаруживать все проявления направленных атак. Deep Discovery Inspector отслеживает трафик на всех сетевых портах по более чем 100 протоколам, благодаря чему гарантируется максимально возможная степень защиты.

Специализированные модули обнаружения и настраиваемые изолированные среды позволяют выявлять и анализировать вредоносные программы, сеансы обмена данными с командными центрами, а также скрытые действия злоумышленников, которые не фиксируются стандартными средствами обеспечения безопасности. Углубленный анализ угроз помогает оперативно реагировать на ситуацию, а полученные данные автоматически передаются другим защитным программам, что позволяет создать настраиваемую систему защиты от злоумышленников, функционирующую в режиме реального времени.Михаил Белошапка, «Далее»: Тенденция укрупнения IT-рынка продолжится 5.2 т

Основные возможности

• Комплексная система сетевой безопасности
  • Трафик отслеживается на всех портах по более чем 100 протоколам, что позволяет обнаруживать атаки в любой точке сети.

• Обнаружение вредоносных программ, сеансов связи с командными центрами, а также действий злоумышленников
  • С помощью специализированных модулей обнаружения, правил корреляции и настраиваемой изолированной среды можно оценить все аспекты направленной атаки (а не только вредоносные программы).

• Настраиваемые изолированные среды
  • Для обнаружения направленных на организацию атак используются виртуальные образы, в точности соответствующие конфигурациям обслуживаемых систем.

• Глобальная система оповещения об угрозах
  • Trend Micro Smart Protection Network используется системами обнаружения и порталом Threat Connect для анализа атак.

• Широкий спектр защищаемых систем
  • Обнаружение атак в ОС Windows, Mac OS X, Android, Linux и других системах.

• Простота и гибкость благодаря использованию одного решения
  • Инфраструктура безопасности упрощается благодаря использованию единого решения, которое рассчитано на различные масштабы применения и развертывается в аппаратной либо виртуальной конфигурации.

• Оптимизация существующих систем защиты
  • Обеспечивает обмен данными о признаках взлома и заражения, а также автоматическое обновление продуктов Trend Micro и других производителей для защиты от дальнейших атак.

Deep Discovery Email Inspector

Deep Discovery Email Inspector — решение для защиты электронной почты на основе передовых технологий обнаружения угроз и создания изолированной среды, способных выявлять и блокировать целевые почтовые сообщения с фишинговым содержанием, которые являются предвестниками большинства направленных атак. Оно снижает риск атак, добавляя прозрачный уровень дополнительных проверок, на котором обнаруживаются вредоносный контент, вложения и URL-ссылки, не выявляемые стандартными решениями для защиты электронной почты.

Email Inspector функционирует в сети, взаимодействуя с существующими решениями для защиты почтовых шлюзов и серверов. Этот продукт может работать в режимах MTA (блокировка) и BCC (только отслеживание), и для его использования не нужно вносить изменения в политики или схему управления существующими решениями.

Основные возможности

• Анализ почтовых вложений
  • Вложения в сообщениях электронной почты проверяются с использованием различных модулей обнаружения и изолированной среды. Среди анализируемых вложений — различные исполняемые файлы Windows, документы Microsoft Office, PDF- и ZIP-файлы, веб-контент и разнообразные архивы.

• Обнаружение уязвимостей в документах
  • Специализированные технологии обнаружения и анализа в изолированных средах позволяют находить вредоносные программы и уязвимости в стандартных офисных документах.

• Настраиваемые изолированные среды
  • Для создания изолированной среды и анализа данных используются модели, в точности соответствующие программным конфигурациям обслуживаемых систем.

• Анализ вложенных URL-адресов
  • Мониторинг ссылок в сообщениях электронной почты осуществляется с помощью средств проверки репутации, анализа содержимого и изолированной среды.

• Проверка паролей
  • Для разблокировки защищенных паролем файлов и архивов применяются различные эвристические методы и предлагаемые клиентом ключевые слова.

• Гибкость управления и развертывания
  • Детальные политики проверки и обработки сообщений электронной почты позволяют защитить любую среду.

• Интеграция и обмен данными

Информация об обнаруженных угрозах (каналы связи с командными центрами, прочие признаки взлома и заражения) передается другим решениям для обеспечения безопасности.

Deep Discovery Endpoint Sensor

Deep Discovery Endpoint Sensor — средство для мониторинга безопасности на конечных устройствах с учетом контекста. Оно фиксирует действия на уровне системы и составляет подробные отчеты, с помощью которых аналитики угроз могут оперативно оценить характер и масштаб атаки. Аналитические сведения об атаках, полученные с помощью Deep Discovery, и другие признаки взлома и заражения позволяют сопоставлять данные мониторинга конечных устройств для обнаружения проникновений и определения всего контекста и хода атаки.

Для анализа могут применяться отдельные параметры, файлы OpenIOC и YARA либо информация об угрозах, полученная от других продуктов Trend Micro. Их можно вызывать из специальной консоли или диспетчера Control Manager.

Основные возможности

• Регистрация событий на конечных устройствах
  • Система Endpoint Sensor использует нетребовательный к ресурсам клиент, который фиксирует важные действия на конечных устройствах и события обмена данными на уровне ядра. Он отслеживает эти происшествия в контексте и динамике, что позволяет сформировать подробную историю, доступную аналитикам в режиме реального времени.

• Различные параметры поиска
  • На конечных устройствах можно контролировать определенные сеансы обмена данными, конкретные вредоносные программы, операции с реестром и учетными записями, запущенные процессы и другие параметры.

• Различные уровни контекстного анализа и результатов
  • На интерактивных панелях мониторинга можно контролировать динамику происшествий в режиме изолированной среды, разброс событий по времени на различных конечных устройствах, детализацию результатов, а также экспортировать результаты анализа.

• Поиск и анализ в автономном режиме и с помощью диспетчера Trend Micro
  • Поисковые запросы можно выполнять с помощью консоли Endpoint Sensor или диспетчера Control Manager, используя данные о признаках взлома и заражения, а также информацию о событиях из других продуктов.

• Локально, удаленно и в облачной среде
  • Endpoint Sensor формирует подробные отчеты о происшествиях на уровне системы на всех серверах, рабочих станциях и ноутбуках на базе ОС Windows, независимо от их расположения.

Deep Discovery Analyzer

Deep Discovery Analyzer — это сервер для анализа данных в настраиваемой изолированной среде. Он повышает степень защиты от направленных атак, обеспечиваемой продуктами Trend Micro и решениями других поставщиков. Deep Discovery Analyzer сразу интегрируется с решениями Trend Micro для защиты электронной почты и работы в интернете. Этот продукт также позволяет расширить или централизовать процессы анализа в изолированной среде, реализованные в других решениях Deep Discovery.

Кроме того, он поддерживает API веб-служб для интеграции с любыми продуктами, а также функцию ручной отправки данных об угрозах. Создаваемые с помощью этого решения настраиваемые изолированные среды в точности соответствуют программным конфигурациям целевых компьютеров, что помогает выявлять угрозы и снижает число ложных обнаружений.

Основные возможности

• Масштабируемые службы изолированной среды
  • Производительность оптимизируется за счет использования масштабируемого решения, которое обслуживает электронную почту, сеть, конечные устройства и любые другие источники вредоносных образцов. Технологии кластеризации высокого уровня доступности обеспечивают масштабируемость и надежность.

• Настраиваемые изолированные среды
  • Настройки изолированной среды при моделировании и анализе в точности соответствуют программной конфигурации системы клиента, что обеспечивает оптимальные показатели обнаружения и малое количество ложных срабатываний. Сканирование осуществляется на основе правил IOC или YARA.

• Анализ разнообразных файлов и URL-адресов
  • Решение анализирует различные исполняемые файлы Windows, документы Microsoft Office, PDF-файлы, веб-контент и сжатые файлы с применением нескольких модулей обнаружения и настраиваемой изолированной среды.

• Обнаружение уязвимостей в документах
  • Решение выявляет вредоносные программы и уязвимости, которые часто встречаются в офисных документах распространенных форматов, используя для этого специализированные средства обнаружения и изолированную среду.

• Анализ URL-адресов
  • Система выполняет сканирование страниц и анализ URL-адресов, заданных пользователем или внесенных автоматически с помощью Web API, в изолированной среде.

• Подробная отчетность
  • Полные результаты анализа, включая подробные сведения о действиях вредоносных образцов и обмене данными с командными центрами, предоставляются пользователю через централизованную систему информационных панелей и отчетности.

• Интеграция с продуктами Trend Micro
  • Поддерживается простая интеграция с решением Deep Discovery и продуктами Trend Micro для защиты электронной почты и работы в интернете.

• API веб-служб и отправка данных вручную
  • Решение принимает образцы угроз от любой системы обеспечения безопасности или авторизованного исследователя угроз. Возможна настройка приоритетов для отправленных вручную данных.

• Интеграция с системой Network Defense
  • Новые данные об обнаруженных признаках угроз и проникновения автоматически передаются другим решениям Trend Micro и сторонним продуктам для обеспечения безопасности.

2014: Описание Deep Discovery

По данным на апрель 2014 года, Deep Discovery — специализированная система сетевой защиты.

Описание

Решение обладает уникальными возможностями для обнаружения и идентификации скрытых угроз, глубокого анализа и получения оперативных данных, которые необходимы для защиты организации от атаки:

• Снижение степени риска и уменьшение ущерба от сложных постоянных угроз
• Защита от современных угроз
• Повышение уровня безопасности и контроля сети
• Противодействие атакам с помощью полнофункциональной адаптируемой системы защиты

Deep Discovery — основной компонент решения Trend Micro для настраиваемой защиты, которое способно не только выявлять и анализировать современные постоянные угрозы, но и быстро адаптироваться, а также оперативно реагировать на такие атаки. Deep Discovery проводит мониторинг всей сети с использованием настраиваемой изолированной среды и релевантных оперативных сведений, что позволяет выявлять атаки на ранних стадиях, быстро их локализовывать и соответствующим образом обновлять систему безопасности для повышения уровня защиты в последующих фазах атаки. Решение относится к классу Anti-APT – средств обнаружения целенаправленных атак – и задействуется все большим количеством государственных и частных организаций, заботящихся о сохранности данных и эффективности работы IT-инфраструктуры.

Проверенная методика, используемая в решении Deep Discovery, гарантирует максимально эффективное обнаружение при минимальном количестве ложных срабатываний, а также широчайший охват угроз благодаря обнаружению вредоносного содержимого, операций обмена данными и других злонамеренных действий на каждой стадии атаки. Благодаря полезным функциям Deep Discovery, таким как обнаружение и подробный анализ вредоносных программ и скрытых действий злоумышленников, коммерческие предприятия и государственные учреждения получают больше информации для борьбы со сложными постоянными угрозами и направленными атаками в непрерывно эволюционирующих компьютерных средах.

• Отслеживание вредоносного содержимого, действий и подозрительных операций обмена данными в характерных для вашей ИТ-среды условиях.
• Использование методов обнаружения, разработанных специально для вашей конфигурации узлов.
• Формирование индивидуальных обновлений для систем безопасности защищаемых объектов по результатам подробного анализа угроз.
• Предоставление релевантной информации для оперативного реагирования.

Состав решения

Deep Discovery состоит из двух компонентов:

• Deep Discovery Inspector проверяет сетевой трафик, выявляет сложные угрозы, проводит анализ в реальном времени и выдает сведения в форме отчетов.
• Deep Discovery Advisor сочетает в себе аналитические функции, которые позволяют производить открытый масштабируемый анализ угроз в изолированной среде, получать сведения о событиях безопасности по всей сети и создавать файлы экспорта обновлений для системы безопасности.

Особенности

В отличие от решений, защищающих определенную уязвимую область (например, электронную почту), Deep Discovery обеспечивает контроль всей сети, предоставляет необходимые данные и поддерживает функции управления, необходимые для эффективного противодействия современным постоянным угрозам и направленным атакам. Система позволяет интегрировать всю инфраструктуру обеспечения безопасности и получить уникальную адаптируемую комплексную систему защиты. Эта настраиваемая система защиты обнаруживает и идентифицирует скрытые угрозы в режиме реального времени, поддерживает функции глубокого анализа и предоставляет релевантные оперативные данные, необходимые для защиты информации, сети и пользователей.

Модули обнаружения и технология изолированной среды Deep Discovery обеспечивают выявление современных вредоносных программ, сеансов обмена данными с командным сервером, а также действий злоумышленников, направленных на любое устройство в сети, включая устройства на платформах Android, Mac и Windows.

Deep Discovery работает на базе глобальной платформы анализа данных об угрозах Trend Micro Smart Protection Network, которую использует в своих международных расследованиях Интерпол. Обнаружив атаку, система предоставляет вам данные, необходимые для оперативной оценки степени опасности и ответных действий.

Deep Discovery — единая платформа, контролирующая интернет-трафик, электронную почту и практически любые каналы обмена данными в сети. Типичная система Deep Discovery, которую можно гибко развернуть на основе аппаратных или виртуальных устройств, обеспечивает полную защиту по цене примерно вдвое меньшей, чем у конкурентных (при этом менее эффективных) решений.

Характеристики

Deep Discovery Inspector

• Model 1000: аппаратное устройство 1 Гбит/с
• Model 500: аппаратное устройство 500 Мбит/с
• Model VM: программное устройство VMware

Аппаратное устройство Deep Discovery Advisor

• Объединяется в кластер из 5 экземпляров