Sistema de Protección de Malware para Email de FireEye
Seguridad para email de próxima generación para combatir el malware
avanzado, del día cero y ataques específicos APT
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Fire eye web_mps_ds
1. Sistema de Protección de Malware Web de FireEye
Seguridad Web de próxima generación para combatir el malware
avanzado, del día cero y ataques específicos APT
El Sistema de Protección de Malware Web de FireEye™ (MPS) se despliega detrás de otras Gateways de
seguridad para detener a los ataques del día cero donde las políticas basadas en las firmas de los firewalls, IPS,
AV y Web Gateways fallan. Está frente al tráfico saliente para mantener a salvo los datos y los sistemas sensibles.
Un Nuevo Escenario de Amenazas un anfitrión comprometido, o bot. Los administradores
Hoy en día, sucede a menudo que los atacantes ingresan en también se enteran de cuáles sistemas hay que reparar.
las redes como tráfico Web, secuestran recursos, realizan un
reconocimiento y luego establecen un control de largo Puntos Destacables
plazo sobre los endpoints. Ÿ Despliegue en línea (Modo bloqueo/monitoreo) o fuera
El Sistema de Protección de Malware Web de FireEye lucha de banda (solo monitoreo)
contra el malware avanzado, del día cero y los ataques Ÿ Ejecuta con seguridad código desconocido y objetos
específicos APT que evaden agresivamente las defensas Web sospechosos para bloquear ataques incluyendo
tradicionales – incluso firewall de próxima generación- que archivos con imágenes maliciosas, PDF y Flash.
comprometen a la mayoría de las redes corporativas. Ÿ Corta transmisiones de malware hacia afuera a través de
Inspecciones en el Acceso de Entrada múltiples protocolos para frustrar el filtrado de datos,
botnets y APTs
Bloquean Malware Web Conocido Ÿ Rastrea la trayectoria de ejecución completa de los
Los dispositivos de seguridad Web de FireEye utilizan varias ataques del día cero y de los ataques conocidos dando
técnicas para detectar código conocido y sospechoso, mayor manejo a los analistas
eliminando los molestos falsos positivos que invaden a las Ÿ Sustituye análisis de falsos positivos ineficaces por
tecnologías de seguridad tradicionales. Primero, la investigaciones de eventos reales enfocadas con laser
inspección profunda de paquetes descarta las amenazas Ÿ Trabaja con la protección de email de FireEye para
conocidas basadas en las firmas. Después, viene una identificar y bloquear ataques ocultos de “spear
mirada heurística agresiva que busca objetos Web phishing”
sospechosos y códigos ejecutables.
Un Ambiente de Ejecución Virtual Revela
Amenazas Desconocidas y del Día Cero
Para decidir si el código sospechoso es malware verdadero,
el motor de ejecución virtual polifásico (VX) examina,
captura y confirma el malware del día cero y ataques
específicos. En vez de estimar simplemente el riesgo con
heurística, que puede generar tanto falsos positivos como
falsos negativos, FireEye corre el malware sospechoso en
una ambiente de endpoint virtual completamente
equipado para descubrir la verdadera naturaleza del
ataque.
El Bloqueo del Acceso de Salida Frustra el Robo
de Datos & Botnets
Un subproducto de este análisis valioso y automatizado de
FireEye es la captura de detalles sobre las conexiones
externas de cada ataque. FireEye utiliza esta información
para cerrar transmisiones hacia afuera que llevan las
El tablero de control te permite entender el tráfico del
credenciales, claves y otros datos que pueden controlar a
malware en la Web y navegar eventos de amenazas.
“El Sistema de Protección de Malware de FireEye era el único producto que se centraba en la interpretación en tiempo real de
intentos específicos de códigos potencialmente maliciosos, versus la rigidez del enfoque basado en la firma o del enfoque
heurístico difícil de administrar que ofrece el resto.”
— Director de TI, Firma de Servicios Legales
2. Sistema de Protección de Malware Web de FireEye
Análisis Dinámico en Tiempo Real de lo Desconecta el Malware que llama a Casa
Desconocido A través de la captura de malware en la entrada, más las
El motor VX ejecuta objetos Web y binarios potencialmente actualizaciones de la Protección de Malware en la Nube de
maliciosos para confirmar un ataque y eliminar los falsos FireEye, el dispositivo reconoce y bloquea el malware que
positivos. Contrariamente a una simple “sandbox”, el motor intenta comunicarse hacia fuera. Basado en la fuente y el
VX ejecuta el código contra una gama de buscadores, destino puede bloquear direcciones de IP, puertos y
plug-ins, aplicaciones y ambientes operativos, buscando protocolos, incluyendo el HTTP, el FTP o el IRC.
cualquier muestra de actividad o tentativa inusual de Contrariamente a las otras protecciones perimetrales,
explotar una vulnerabilidad. Por ejemplo, el motor de VXE asegura tanto contra las amenazas y botnets conocidos
puede identificar condiciones del desborde del buffer, como los desconocidos, que consiguen hacer pie en su red
donde un atacante puede llegar a inyectar software y llamar a su hogar. Por ejemplo, puede descubrir
malicioso a un anfitrión. Con su virtualización y su profunda dinámicamente un canal previamente desconocido de
instrumentación, puede supervisar el código a través de callback observando un ataque de entrada. El MPS Web
toda la trayectoria de ejecución. Puede detectar un intento creará entonces reglas de detección y bloqueo para ese
de violar una vulnerabilidad de un plug-in de un buscador canal.
del día cero, un ataque oculto en Javascript, una escalada Sin Reglas de Adaptación, sin Falsos Positivos
de privilegios dentro del Windows y corrupción de memoria Este dispositivo de fácil manejo y sin intervención del cliente
para facilitar la ejecución del código arbitrario. se implementa en 30 minutos y no requiere de
Compartiendo Inteligencia a través de la Nube absolutamente ninguna adaptación. Modos flexibles de
La inteligencia resultante sobre el malware generada implementación, incluyendo monitoreo fuera de banda vía
dinámicamente y en tiempo real puede ayudar a todos los un puerto SPAN, monitoreo en línea o bloqueo activo en
dispositivos de FireEye a proteger la red local. La inteligencia línea, permiten pasar de ver qué es lo que a la seguridad del
dinámicamente generada del malware incluye Gateway le estaba faltando a bloquear activamente los
coordenadas del callback, tales como direcciones de IP y ataques y las transmisiones externas. Al proporcionar una
puertos, así como también características de la detección y bloqueo del malware altamente exacta,
comunicación, tales como el protocolo del malware que es FireEye elimina las molestas falsas alertas. Deja a los
utilizado. Esta inteligencia se puede compartir globalmente administradores sólo con los incidentes verdaderos que
a través la Protección contra el Malware en la Nube de merecen su atención, que pueden ser bloqueados tanto en
FireEye para notificar a todos los suscriptores sobre las dirección de entrada como de salida. Tan sólo un simple
nuevas amenazas. click es necesario para pasar de modo monitoreo a
bloqueo.