Разработчики: | Trend Micro |
Технологии: | ИБ - Антивирусы, ИБ - Антиспам, ИБ - Межсетевые экраны |
Содержание |
Платформа Trend Micro Deep Discovery для защиты от угроз позволяет обнаруживать, анализировать и нейтрализовать современные скрытые направленные атаки в режиме реального времени.
Решение Deep Discovery развертывается в виде отдельных компонентов или полноценной платформы информационной безопасности. Платформа Deep Discovery, лежащая в основе решения Trend Micro Network Defense, позволяет интегрировать существующую инфраструктуру безопасности в комплексную адаптируемую систему, которая защитит организацию от направленных атак.
2018
Сертификация Analyzer, Inspector и Email Inspector в Беларуси
Компания Trend Micro 7 ноября 2018 года объявила о прохождении сертификации в республике Беларусь сразу пяти продуктов компании — Trend Micro Deep Discovery Analyzer 6.1, Deep Discovery Inspector 5.1, Deep Discovery Email Inspector 3.1, Deep Security 11.0 и Enterprise Security for Endpoint Light.
Результаты испытаний, проведённых лабораторией ООО ИТТАС, подтвердили соответствие Trend Micro Deep Discovery Analyzer 6.1 требованиям регламента ТР 2013/027/BY. Deep Discovery Analyzer — это часть комплекса Advanced Threat Protection, которая создаёт специальную изолированную среду (так называемую «песочницу») для анализа и обнаружения целевых атак и защиты конечных точек, веб-шлюзов и сетей компаний с использованием веб-репутации и поведенческого анализа. В ходе работы программы все подозрительные объекты и URL-адреса направляются на анализ вручную либо в автоматическом режиме, чтобы помочь в обнаружении и защите от программ-вымогателей и вредоносного ПО, включая и так называемые «атаки нулевого дня». Продукт может использоваться как самостоятельное решение либо в комплексе с другим ПО Deep Discovery.
Сертификация обеспечивает широкое использование ПО Trend Micro в органах государственной власти и других структурах, где существует требование по применению строго сертифицированных продуктов, — отметил Роман Черненький, региональный менеджер Trend Micro в Украине, Беларуси и Молдове. — Trend Micro понимает важность этого аспекта для наших клиентов и делает всё возможное, чтобы обеспечить соответствие продуктов компании требованиям действующих технических регламентов. |
Особенности и Компоненты
Особенности Deep Discovery на август 2018 года:
- Высокие показатели обнаружения благодаря использованию специализированных модулей и настраиваемой изолированной среды
- Углубленный анализ с сопоставлением локальных и глобальных данных об угрозах
- Оперативное реагирование с применением расширенных средств анализа происшествий на конечных устройствах и общих данных о признаках взлома или заражения
По данным на август 2018 года решение включает следующие компоненты:
- Deep Discovery Inspector
- Deep Discovery Email Inspector
- Deep Discovery Endpoint Sensor
- Deep Discovery Analyzer
Deep Discovery Inspector
Deep Discovery Inspector — это сетевое решение, обеспечивающее полный контроль трафика и позволяющее обнаруживать все проявления направленных атак. Deep Discovery Inspector отслеживает трафик на всех сетевых портах по более чем 100 протоколам, благодаря чему гарантируется максимально возможная степень защиты.
Специализированные модули обнаружения и настраиваемые изолированные среды позволяют выявлять и анализировать вредоносные программы, сеансы обмена данными с командными центрами, а также скрытые действия злоумышленников, которые не фиксируются стандартными средствами обеспечения безопасности. Углубленный анализ угроз помогает оперативно реагировать на ситуацию, а полученные данные автоматически передаются другим защитным программам, что позволяет создать настраиваемую систему защиты от злоумышленников, функционирующую в режиме реального времени.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
Основные возможности
- Комплексная система сетевой безопасности
- Трафик отслеживается на всех портах по более чем 100 протоколам, что позволяет обнаруживать атаки в любой точке сети.
- Обнаружение вредоносных программ, сеансов связи с командными центрами, а также действий злоумышленников
- С помощью специализированных модулей обнаружения, правил корреляции и настраиваемой изолированной среды можно оценить все аспекты направленной атаки (а не только вредоносные программы).
- Настраиваемые изолированные среды
- Для обнаружения направленных на организацию атак используются виртуальные образы, в точности соответствующие конфигурациям обслуживаемых систем.
- Глобальная система оповещения об угрозах
- Trend Micro Smart Protection Network используется системами обнаружения и порталом Threat Connect для анализа атак.
- Широкий спектр защищаемых систем
- Простота и гибкость благодаря использованию одного решения
- Инфраструктура безопасности упрощается благодаря использованию единого решения, которое рассчитано на различные масштабы применения и развертывается в аппаратной либо виртуальной конфигурации.
- Оптимизация существующих систем защиты
- Обеспечивает обмен данными о признаках взлома и заражения, а также автоматическое обновление продуктов Trend Micro и других производителей для защиты от дальнейших атак.
Deep Discovery Email Inspector
Deep Discovery Email Inspector — решение для защиты электронной почты на основе передовых технологий обнаружения угроз и создания изолированной среды, способных выявлять и блокировать целевые почтовые сообщения с фишинговым содержанием, которые являются предвестниками большинства направленных атак. Оно снижает риск атак, добавляя прозрачный уровень дополнительных проверок, на котором обнаруживаются вредоносный контент, вложения и URL-ссылки, не выявляемые стандартными решениями для защиты электронной почты.
Email Inspector функционирует в сети, взаимодействуя с существующими решениями для защиты почтовых шлюзов и серверов. Этот продукт может работать в режимах MTA (блокировка) и BCC (только отслеживание), и для его использования не нужно вносить изменения в политики или схему управления существующими решениями.
Основные возможности
- Анализ почтовых вложений
- Вложения в сообщениях электронной почты проверяются с использованием различных модулей обнаружения и изолированной среды. Среди анализируемых вложений — различные исполняемые файлы Windows, документы Microsoft Office, PDF- и ZIP-файлы, веб-контент и разнообразные архивы.
- Обнаружение уязвимостей в документах
- Специализированные технологии обнаружения и анализа в изолированных средах позволяют находить вредоносные программы и уязвимости в стандартных офисных документах.
- Настраиваемые изолированные среды
- Для создания изолированной среды и анализа данных используются модели, в точности соответствующие программным конфигурациям обслуживаемых систем.
- Анализ вложенных URL-адресов
- Мониторинг ссылок в сообщениях электронной почты осуществляется с помощью средств проверки репутации, анализа содержимого и изолированной среды.
- Проверка паролей
- Для разблокировки защищенных паролем файлов и архивов применяются различные эвристические методы и предлагаемые клиентом ключевые слова.
- Гибкость управления и развертывания
- Детальные политики проверки и обработки сообщений электронной почты позволяют защитить любую среду.
- Интеграция и обмен данными
Информация об обнаруженных угрозах (каналы связи с командными центрами, прочие признаки взлома и заражения) передается другим решениям для обеспечения безопасности.
Deep Discovery Endpoint Sensor
Deep Discovery Endpoint Sensor — средство для мониторинга безопасности на конечных устройствах с учетом контекста. Оно фиксирует действия на уровне системы и составляет подробные отчеты, с помощью которых аналитики угроз могут оперативно оценить характер и масштаб атаки. Аналитические сведения об атаках, полученные с помощью Deep Discovery, и другие признаки взлома и заражения позволяют сопоставлять данные мониторинга конечных устройств для обнаружения проникновений и определения всего контекста и хода атаки.
Для анализа могут применяться отдельные параметры, файлы OpenIOC и YARA либо информация об угрозах, полученная от других продуктов Trend Micro. Их можно вызывать из специальной консоли или диспетчера Control Manager.
Основные возможности
- Регистрация событий на конечных устройствах
- Система Endpoint Sensor использует нетребовательный к ресурсам клиент, который фиксирует важные действия на конечных устройствах и события обмена данными на уровне ядра. Он отслеживает эти происшествия в контексте и динамике, что позволяет сформировать подробную историю, доступную аналитикам в режиме реального времени.
- Различные параметры поиска
- На конечных устройствах можно контролировать определенные сеансы обмена данными, конкретные вредоносные программы, операции с реестром и учетными записями, запущенные процессы и другие параметры.
- Различные уровни контекстного анализа и результатов
- На интерактивных панелях мониторинга можно контролировать динамику происшествий в режиме изолированной среды, разброс событий по времени на различных конечных устройствах, детализацию результатов, а также экспортировать результаты анализа.
- Поиск и анализ в автономном режиме и с помощью диспетчера Trend Micro
- Поисковые запросы можно выполнять с помощью консоли Endpoint Sensor или диспетчера Control Manager, используя данные о признаках взлома и заражения, а также информацию о событиях из других продуктов.
- Локально, удаленно и в облачной среде
- Endpoint Sensor формирует подробные отчеты о происшествиях на уровне системы на всех серверах, рабочих станциях и ноутбуках на базе ОС Windows, независимо от их расположения.
Deep Discovery Analyzer
Deep Discovery Analyzer — это сервер для анализа данных в настраиваемой изолированной среде. Он повышает степень защиты от направленных атак, обеспечиваемой продуктами Trend Micro и решениями других поставщиков. Deep Discovery Analyzer сразу интегрируется с решениями Trend Micro для защиты электронной почты и работы в интернете. Этот продукт также позволяет расширить или централизовать процессы анализа в изолированной среде, реализованные в других решениях Deep Discovery.
Кроме того, он поддерживает API веб-служб для интеграции с любыми продуктами, а также функцию ручной отправки данных об угрозах. Создаваемые с помощью этого решения настраиваемые изолированные среды в точности соответствуют программным конфигурациям целевых компьютеров, что помогает выявлять угрозы и снижает число ложных обнаружений.
Основные возможности
- Масштабируемые службы изолированной среды
- Производительность оптимизируется за счет использования масштабируемого решения, которое обслуживает электронную почту, сеть, конечные устройства и любые другие источники вредоносных образцов. Технологии кластеризации высокого уровня доступности обеспечивают масштабируемость и надежность.
- Настраиваемые изолированные среды
- Настройки изолированной среды при моделировании и анализе в точности соответствуют программной конфигурации системы клиента, что обеспечивает оптимальные показатели обнаружения и малое количество ложных срабатываний. Сканирование осуществляется на основе правил IOC или YARA.
- Анализ разнообразных файлов и URL-адресов
- Решение анализирует различные исполняемые файлы Windows, документы Microsoft Office, PDF-файлы, веб-контент и сжатые файлы с применением нескольких модулей обнаружения и настраиваемой изолированной среды.
- Обнаружение уязвимостей в документах
- Решение выявляет вредоносные программы и уязвимости, которые часто встречаются в офисных документах распространенных форматов, используя для этого специализированные средства обнаружения и изолированную среду.
- Анализ URL-адресов
- Система выполняет сканирование страниц и анализ URL-адресов, заданных пользователем или внесенных автоматически с помощью Web API, в изолированной среде.
- Подробная отчетность
- Полные результаты анализа, включая подробные сведения о действиях вредоносных образцов и обмене данными с командными центрами, предоставляются пользователю через централизованную систему информационных панелей и отчетности.
- Интеграция с продуктами Trend Micro
- Поддерживается простая интеграция с решением Deep Discovery и продуктами Trend Micro для защиты электронной почты и работы в интернете.
- API веб-служб и отправка данных вручную
- Решение принимает образцы угроз от любой системы обеспечения безопасности или авторизованного исследователя угроз. Возможна настройка приоритетов для отправленных вручную данных.
- Интеграция с системой Network Defense
- Новые данные об обнаруженных признаках угроз и проникновения автоматически передаются другим решениям Trend Micro и сторонним продуктам для обеспечения безопасности.
2014: Описание Deep Discovery
По данным на апрель 2014 года, Deep Discovery — специализированная система сетевой защиты.
Описание
Решение обладает уникальными возможностями для обнаружения и идентификации скрытых угроз, глубокого анализа и получения оперативных данных, которые необходимы для защиты организации от атаки:
- Снижение степени риска и уменьшение ущерба от сложных постоянных угроз
- Защита от современных угроз
- Повышение уровня безопасности и контроля сети
- Противодействие атакам с помощью полнофункциональной адаптируемой системы защиты
Deep Discovery — основной компонент решения Trend Micro для настраиваемой защиты, которое способно не только выявлять и анализировать современные постоянные угрозы, но и быстро адаптироваться, а также оперативно реагировать на такие атаки. Deep Discovery проводит мониторинг всей сети с использованием настраиваемой изолированной среды и релевантных оперативных сведений, что позволяет выявлять атаки на ранних стадиях, быстро их локализовывать и соответствующим образом обновлять систему безопасности для повышения уровня защиты в последующих фазах атаки. Решение относится к классу Anti-APT – средств обнаружения целенаправленных атак – и задействуется все большим количеством государственных и частных организаций, заботящихся о сохранности данных и эффективности работы IT-инфраструктуры.
Проверенная методика, используемая в решении Deep Discovery, гарантирует максимально эффективное обнаружение при минимальном количестве ложных срабатываний, а также широчайший охват угроз благодаря обнаружению вредоносного содержимого, операций обмена данными и других злонамеренных действий на каждой стадии атаки. Благодаря полезным функциям Deep Discovery, таким как обнаружение и подробный анализ вредоносных программ и скрытых действий злоумышленников, коммерческие предприятия и государственные учреждения получают больше информации для борьбы со сложными постоянными угрозами и направленными атаками в непрерывно эволюционирующих компьютерных средах.
- Отслеживание вредоносного содержимого, действий и подозрительных операций обмена данными в характерных для вашей ИТ-среды условиях.
- Использование методов обнаружения, разработанных специально для вашей конфигурации узлов.
- Формирование индивидуальных обновлений для систем безопасности защищаемых объектов по результатам подробного анализа угроз.
- Предоставление релевантной информации для оперативного реагирования.
Состав решения
Deep Discovery состоит из двух компонентов:
- Deep Discovery Inspector проверяет сетевой трафик, выявляет сложные угрозы, проводит анализ в реальном времени и выдает сведения в форме отчетов.
- Deep Discovery Advisor сочетает в себе аналитические функции, которые позволяют производить открытый масштабируемый анализ угроз в изолированной среде, получать сведения о событиях безопасности по всей сети и создавать файлы экспорта обновлений для системы безопасности.
Особенности
В отличие от решений, защищающих определенную уязвимую область (например, электронную почту), Deep Discovery обеспечивает контроль всей сети, предоставляет необходимые данные и поддерживает функции управления, необходимые для эффективного противодействия современным постоянным угрозам и направленным атакам. Система позволяет интегрировать всю инфраструктуру обеспечения безопасности и получить уникальную адаптируемую комплексную систему защиты. Эта настраиваемая система защиты обнаруживает и идентифицирует скрытые угрозы в режиме реального времени, поддерживает функции глубокого анализа и предоставляет релевантные оперативные данные, необходимые для защиты информации, сети и пользователей.
Модули обнаружения и технология изолированной среды Deep Discovery обеспечивают выявление современных вредоносных программ, сеансов обмена данными с командным сервером, а также действий злоумышленников, направленных на любое устройство в сети, включая устройства на платформах Android, Mac и Windows.
Deep Discovery работает на базе глобальной платформы анализа данных об угрозах Trend Micro Smart Protection Network, которую использует в своих международных расследованиях Интерпол. Обнаружив атаку, система предоставляет вам данные, необходимые для оперативной оценки степени опасности и ответных действий.
Deep Discovery — единая платформа, контролирующая интернет-трафик, электронную почту и практически любые каналы обмена данными в сети. Типичная система Deep Discovery, которую можно гибко развернуть на основе аппаратных или виртуальных устройств, обеспечивает полную защиту по цене примерно вдвое меньшей, чем у конкурентных (при этом менее эффективных) решений.
Характеристики
Deep Discovery Inspector
- Model 1000: аппаратное устройство 1 Гбит/с
- Model 500: аппаратное устройство 500 Мбит/с
- Model VM: программное устройство VMware
Аппаратное устройство Deep Discovery Advisor
- Объединяется в кластер из 5 экземпляров
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (40)
Другие (1191)
Смарт-Софт (Smart-Soft) (5)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
BI.Zone (Безопасная Информационная Зона, Бизон) (2)
Аксофт (Axoft) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 169)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (714, 494)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
Curator (Эйч-Эль-Эль) ранее Qrator Labs (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
Positive Technologies (Позитив Текнолоджиз) (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
X-Labs (Икс Лабз) (1, 1)
Код Безопасности (1, 1)
Другие (4, 4)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 666
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
Другие 16
Solar MSS - 3
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (203)
ESET (ИСЕТ Софтвеа) (118)
Лаборатория Касперского (Kaspersky) (77)
Инфосистемы Джет (55)
ДиалогНаука (51)
Другие (893)
Национальный аттестационный центр (НАЦ) (4)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (53)
А-Реал Консалтинг (3)
Лаборатория Касперского (Kaspersky) (2)
TUV Austria (2)
Wone IT (ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (40)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (42, 366)
ESET (ИСЕТ Софтвеа) (21, 141)
Доктор Веб (Dr.Web) (17, 61)
UserGate, Юзергейт (ранее Entensys) (3, 19)
Fortinet (11, 15)
Другие (365, 140)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Лаборатория Касперского (Kaspersky) (2, 3)
Fortinet (2, 1)
Ростелеком (1, 1)
Другие (3, 3)
Лаборатория Касперского (Kaspersky) (4, 5)
А-Реал Консалтинг (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
UserGate, Юзергейт (ранее Entensys) (1, 1)
R-Vision (Р-Вижн) (1, 1)
Другие (1, 1)
Лаборатория Касперского (Kaspersky) (2, 4)
UserGate, Юзергейт (ранее Entensys) (1, 4)
CloudLinux (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (0, 0)
UserGate, Юзергейт (ранее Entensys) (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Лаборатория Касперского (Kaspersky) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Business Space Security - 87
Kaspersky Security - 81
Kaspersky Endpoint Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Другие 432
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Kaspersky Industrial CyberSecurity (KICS) - 2
Trend Micro: Deep Discovery - 2
Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
FortiGate - 1
Другие 5
Kaspersky Endpoint Security - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Kaspersky Industrial CyberSecurity (KICS) - 1
Kaspersky ASAP Automated Security Awareness Platform - 1
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1
Другие 3