VMware Carbon Black Cloud

VMware Carbon Black – облачная платформа защиты конечных точек (EPP).

2022: Обновление приводит к появлению «синего экрана смерти»

Компания VMware заявила, что обновление некоторых версий Carbon Black EDR приводит к появлению «синего экрана смерти» (BSOD). Из-за проблемы ПК начали загружаться с синим экраном, на некоторых из которых мигал код остановки «PFN_LIST_CORRUPT». Об этом стало известно 25 августа 2022 года.

Вероятно, проблема была вызвана изменением правил VMware после того, как компания Broadcom объявила о своем намерении приобрести VMware в рамках сделки, которая будет закрыта в 2023 году.

О проблеме стало известно 23 августа, когда багхантер Тим Гешвиндт заявил в Twitter, что в 50 организациях Carbon Black вызывает синие экраны смерти для устройств с версией датчиков 3.7.0.1253. По словам VMware, причиной стали некоторые обновленные наборы правил исследования угроз, развернутые в регионах на востоке США, в Азиатско-Тихоокеанском регионе и ЕС, которые не вызвали никаких проблем во время внутреннего тестирования.

По словам VMware, проблема затрагивает устройства с версиями датчиков от 3.6.xx до 3.7.xx. VMware отменила наборы правил и пообещала, что по мере регистрации устройства «получат обновленный набор правил и авторазрешение».Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 15.2 т

Администраторам следует перевести затронутые устройства в режим обхода через консоль Carbon Black Cloud, чтобы они могли успешно загрузиться и удалить набор правил. Однако, для некоторых пользователей может потребоваться дополнительный обходной путь. Им нужно отправить запрос в службу поддержки. Всем клиентам Carbon Black следует проверять наличие обновлений.

Пользователи продукта Carbon Black EDR устанавливают датчики на каждую конечную точку в своей организации, и датчики отслеживают процессы, активные сетевые подключения, изменяемые файлы и любые нежелательные изменения. Затем данные о событиях отправляются на сервер EDR для хранения и индексации^[1].

2021: Единый фронт обороны. Облачная платформа для комплексной защиты конечных устройств VMware Carbon Black

Непрерывный рост угроз для корпоративных информационным систем ведет к наращиванию «арсенала» различных средств безопасности. На апрель 2021 года практически невозможно встретить компанию, которая пользуется, к примеру, лишь антивирусами. По данным исследовательской группы ESG Research почти 50% организаций использует не менее 25 (!) различных средств защиты. Очевидно, что в такой ситуации нарастают проблемы другого порядка. Как обеспечить оркестрацию этой армии разнородных систем? Где найти столько специалистов (и сколько же им надо платить), чтобы обслужить эти системы? Как разобраться, какое из оповещений и в какой системе является показателем атаки и принять адекватные меры? Как быть с тем, что производительность конечных устройств с ростом числа средств защиты все время падает и приходится постоянно докупать вычислительные мощности?

Таким образом, обратной стороной изобилия средств безопасности является существенные финансовые затраты, непомерная нагрузка на информационную систему и «замыливанние» реальных инцидентов.

Упростить и консолидировать

Естественной и закономерной реакцией на сложившуюся ситуацию должно было неизбежно стать появление простого и универсального продукта, способного препятствовать всем типам современных внешних атак, легко устанавливаемого и управляемого, не перегружающего корпоративные мощности. И такое решение было предложено компанией Carbon Black, которая в 2019 года стала частью в корпорацию VMware. Это решение для защиты от передовых киберугроз, причем как текущих, так и будущих. Его достаточно развернуть и настроить один раз, чтобы больше уже не возвращаться к теме установки, однако сами политики и события проверять нужно регулярно.

Что представляет собой Carbon Black Cloud

VMware Carbon Black - это облачная платформа для комплексной защиты конечных устройств (EPP). VMware Carbon Black ведет непрерывный мониторинг и запись действий, происходящих на рабочих местах пользователей в режиме реального времени, визуализирует активность вредоносного ПО и превентивно его блокирует. Для повышения эффективности в облачной платформе используются ML модели и оптимизированная аналитика.

Уровни защиты

Решение Carbon Black Cloud предупреждает о появлении любой подозрительной активности на конечном устройстве, например, попытки программы открыть другое приложение. В числе таких активностей:

• Атаки вредоносного ПО
• Фишинговые атаки
• Скрытые программы-шантажисты
• Внутренние или внешние целевые угрозы

Если в ходе мониторинга становится очевидно, что идет попытка выполнения злонамеренных действий, при попытке запуска вредоносного ПО все эти приложения блокируются.

Архитектура Carbon Black Cloud

Консоль управления Carbon Black Cloud работает на облачной платформе, где для пользователя доступны единый компактный агент, одна удобная облачная консоль и содержится полный набор конечных устройств. Такой подход кардинально отличается от применения множеств средств защиты, с необходимостью настройки для каждого из них отдельных конфигураций и политик.

Данные конечных устройств при этом можно использовать во всех средствах и службах VMware Carbon Black, а блогодаря интеграции и в продуктах других производителей. Таким образом создается единый источник достоверных данных для системы безопасности на всех уровнях.

Платформа легко масштабируется и непрерывно развивается, обеспечивая адекватную защиту от постоянно расширяющегося числа и типов угроз. При изменении требований добавление новых служб осуществляется быстро и легко, без необходимости дополнительных капитальных вложений или развертывания новых агентов.

• Антивирус следующего поколения VMware Carbon Black и поведенческая система обнаружения и нейтрализации атак на конечные точки (EDR) – анализируют данные конечных устройств, осуществляют поиск угроз и обеспечивают реагирование на инциденты, используя для этого технологии машинного обучения и поведенческие модели. Это позволяет обнаружить вредоносную активность на самых ранних этапах и предотвратить атаки на критически важные системы. С помощью этого блока происходит непрерывная визуализация и сопоставление полной информации о событиях конечных устройств и основных операционных центров защиты, а также выбор способа анализа и предотвращения угроз, базирующийся на корпоративных политиках безопасности конкретной компании.
• Система аудита и восстановления дает возможность специалистам Служб безопасности и ИТв реальном времени проводить аудит и анализ состояния систем, защищая корпоративную ИТ-систему от наиболее вероятных угроз и.

Эта система также значительно упрощает процесс ведения отчетности.

Объединение аналитики об угрозах и поведенческой системы защиты

Уникальная возможность Carbon Black «понимать» и анализировать на основе машинного обучения методы работы и шаблоны поведения злоумышленников позволяет обнаруживать и предотвращать не только известные, но и абсолютно новые кибератаки. Платформа также дает наглядное представление о том, как эти атаки развиваются со временем. Для формирования такой поведенческой аналитики идет непрерывный сбор и нормализация данных с конечных устройств.

Запись данных реализована во многих средствах безопасности. Однако этот процесс, как правило, начинается только с момента обнаружении подозрительной активности. Это приводит к игнорированию важных данных о предыдущей активности или состоянии информационной среды, которые особенно важны для установления новой причины проблемы или шаблонов новых атак.

В отличии от такого ограниченного подхода Carbon Black непрерывно отслеживает активность конечных устройств, формируя полный и достоверный контекст, который анализирует с использованием методов машинного обучение и поведенческих моделей. Благодаря этому Carbon Black может обнаружить вредоносную активность, исходя из шаблонов и индикаторов угроз, анализа первопричин их появления – всех тех данных, которые недоступны для традиционных антивирусов.

Визуализация

Решение VMware Carbon Black Cloud способно обеспечить детальную визуализацию цепочки развития атаки, давая всестороннее представление о прошлых и текущих действиях. Это позволяет устранить пробелы и «слепые зоны» систем безопасности, повысить скорость восстановления.

Очевидно, что, используя разрозненные средства безопасности, такого результата добиться невозможно. Это усложняет понимание всей картины активностей на конечных устройствах, отрывает время работы специалистов на сбор данных из нескольких систем.

Визуализация имеет огромное значение в ситуациях, когда необходим быстрый и четкий доступ к данным, превентивный поиск и оперативное устранение угроз. Отражение точных данных о текущем состоянии всех устройств дает возможность немедленно изолировать зараженные системы, удаленно подключиться к защищенной командной строке, собрать данные об атаке и последствиях инцидента, чтобы реализовать сценарии для их полного устранения.

Нередко случается, что Службы безопасности и ИТ-службы представляют собой два разных, слабо связанных между собой подразделений. В этом случае совместно используемые инструменты визуализации помогают сформировать единый подход к пониманию и устранению проблем, упрощая взаимодействие для более эффективной работы по предотвращению угроз информационной безопасности.

Единая среда управления политиками безопасности

В Carbon Black реализованы инструменты настройки политик безопасности, в соответствии с корпоративными требованиями. В рабочей среде можно формировать индивидуальные политики контроля для отдельных рабочих групп, разные требования к безопасности конечных устройств, определять периодичность обновления, настройки запуска и способы обработки событий.

Интеграция с другими средствами безопасности

Облачная платформа Carbon Black имеет открытые API-интерфейсы, что дает возможность интеграции с любыми другими действующими в компании корпоративными средствами безопасности. Это дает мультипликативный эффект, преумножая общий уровень безопасности компании, сокращая риски и время простоя. Существуют уже готовые интеграционные механизмы для продуктов IBM, Splunk, LogRhythm, и многих других, в том числе с такой популярной SIEM-платформой, как IBM QRadar.

Открытые API-интерфейсы также помогут в создании кастомизированных панелей мониторинга и отчетности, при формировании новых или изменения существующих процессов обеспечения безопасности.

Как оценили Carbon Black Cloud в Forrester

Одна из самых авторитетных международных исследовательских групп – Forrester в мае 2020 года проанализировала практические результаты использования VMware Carbon Black Cloud, поведя опрос 34 представителей крупных и средних компаний из разных индустрий. Удалось выяснить, что время окупаемости продукта не превысило 3 месяцев, рентабельность инвестиций составила 375%, на 15 часов в среднем снизилось время рассмотрения одного инцидента. Совокупная прибыль опрошенных компаний за счет применения VMware Carbon Black Cloud за 3 года выросла на 3,65 млн. долл., в том числе и за счет отказа от менее эффективных решений.

Общий экономический эффект (Total Economic Impact™) решения VMware Carbon Black Cloud можно прочитать в отчете.

2020: Автоматизированная корреляция с фреймворком Mitre ATT&CK и планируемый охват для Linux-машин

19 марта 2020 компания VMware представила обновленное решение VMware Carbon Black Cloud. VMware представила автоматизированную корреляцию фреймворка MITRE ATT&CK Technique ID (TIDs) – списка стандартных подходов, методик и процедур (TTP), которая встроена в VMware Carbon Black Cloud. Используя фреймворк MITRE ATT&CK заказчики могут искать в VMware Carbon Black Cloud конкретные TTP на основе методик MITRE ATT&CK, выявляя потенциальные угрозы и области улучшения в информационной безопасности.

Также VMware Carbon Black интегрирован с Microsoft Windows Anti-Malware Scanning Interface (AMSI), что улучшает контроль за ситуацией в инфраструктуре за счёт расшифровки обфусцированных команд. Благодаря этой интеграции заказчики смогут обеспечить прозрачность того, что выполняется интерпретаторами скриптов вроде PowerShell. Также заказчики смогут анализировать постоянно собираемую информацию об активности конечных точек и создавать собственные методики обнаружения на основе данных от AMSI, утверждают в VMware.

Со слов разработчика, VMware Carbon Black обеспечит перехват вредоносного ПО на Linux-машинах. Это особенность позволит клиентам мигрировать с других решений, созданных исключительно для Linux, и консолидировать свои программы для обеспечения безопасности. Пользователи платформы VMware Carbon Black Cloud смогут обеспечить комплексную защиту всех основных операционных систем — Windows, Mac и Linux.

На дополнительные вопросы о решении VMware Carbon Black Cloud готовы ответить в компании Softline: Николай Луковкин, менеджер по развитию бизнеса VMware Тел.: +7 (903) 284 93 79, +7 (906) 778 28 23 e-mail: Nikolay.Lukovkin@softline.com