Dynamic Threat Intelligence

SCHEDA PRODOTTO
Dynamic Threat Intelligence
Scambio globale in tempo reale dei dati sulle
minacce per identificare e bloccare gli
attacchi zero-day
IN PRIMO PIANO
• Condivisione globale di informazioni in
forma anonima sulle minacce emergenti
basate su web, email e file
• Le aziende possono iscriversi per ricevere
feed di dati sul malware zero-day e sugli
attacchi mirati avanzati per affiancare
l’identificazione in tempo reale e bloccare
i nuovi attacchi informatici
• Aggiornamenti costanti sulle
destinazioni di callback dei malware di
recente identificazione per bloccare in
tempo reale le comunicazioni dei nuovi
malware identificati
• L’iscrizione e la condivisione di
informazioni relative alle minacce è
opzionale; gli utenti possono decidere
cosa condividere
SECURITY
REIMAGINED
FireEye® FireEye® Dynamic Threat Intelligence™ (DTI) è una rete globale
che collega le piattaforme FireEye per la prevenzione delle minacce al fine
di fornire uno scambio in tempo reale dei dati relativi agli attacchi
informatici odierni.
FireEye DTI fornisce alle piattaforme degli iscritti le informazioni più recenti
sugli attacchi informatici avanzati e sulle destinazioni di callback del malware,
permettendo alle piattaforme FireEye di riconoscere proattivamente le nuove
minacce e bloccare gli attacchi.
Condivisione in tempo reale delle informazioni sulle minacce globali
FireEye DTI interconnette le piattaforme FireEye distribuite all’interno delle
reti dei clienti, dei partner tecnologici e dei fornitori di servizi in tutto il
mondo. FireEye DTI opera come un hub di distribuzione globaleper
condividere in modo efficace informazioni sulle minacce generate
automaticamente quali nuovi profili malware, exploit di vulnerabilità e tattiche
di evasione, oltre a nuove scoperte sulle minacce da parte del FireEye APT
Discovery Center e feed di sicurezza di terze parti opportunamente verificati.
Sfruttando il cloud di FireEye DTI, la piattaforma di prevenzione delle minacce
di FireEye è più efficiente nel rilevare gli attacchi zero-day sconosciuti ed
estremamente mirati utilizzati da crimine informatico, spionaggio informatico,
attività di ricognizione informatica così come da malware noto.
Come funziona: blocca le nuove tipologie di attacchi informatici
La piattaforma per la prevenzione delle minacce di FireEye, che include le
piattaforme FireEye NX, EX, FX, CM e AX, offre prevenzione integrata delle
minacce multi-vettore utilizzando analisi degli attacchi per bloccare tutte le
fasi di un attacco avanzato. All’interno della piattaforma, il motore FireEye
Multi-Vector Virtual Execution™ (MVX) crea informazioni dinamiche sulle
minacce in base all’analisi del traffico web sospetto, allegati di posta
elettronica e file.
L’infrastruttura cloud FireEye DTI acquisisce, in forma anonima, informazioni
sul malware generate in locale dall’analisi del motore FireEye MVX e le rende
disponibili alla comunità globale FireEye. La piattaforma FireEye CM viene
quindi utilizzata per distribuire le informazioni dinamiche relative alle minacce
su ogni piattaforma per fornire prevenzione in tempo reale su tutte le
appliance FireEye installate.
Il cloud FireEye Dynamic Threat Intelligence condivide
le informazioni relative al malware con i ricercatori e
le piattaforme FireEye
Le aziende che si iscrivono al cloud FireEye DTI ricevono dati sulle minacce
dalla base globale dei partecipanti e possono a loro volta decidere di inviare, in
forma anonima, i dati sulle minacce. È possibile decidere la quantità e il livello
Dynamic Threat Intelligence Scambio globale in tempo reale dei dati sulle minacce per identificare e bloccare gli attacchi zero-day
di dettaglio delle informazioni che si desidera condividere. Per
esempio, un’azienda può scegliere di non inviare le informazioni
relative a un attacco informatico perpetrato a suo danno, ma di
ricevere comunque informazioni sulle minacce in tempo reale
dal cloud FireEye DTI.
L’analisi dinamica protegge da attacchi
zero-day sconosciuti
Il motore FireEye MVX acquisisce, verifica e conferma il
malware zero-day e gli attacchi mirati eseguendo codice
binario e oggetti web sospetti rispetto a una serie di browser,
plug-in, applicazioni e ambienti operativi. Il motore FireEye
MVX conferma che è in corso un attacco tracciando lo
sfruttamento della vulnerabilità, l’alterazione della memoria
che facilita l’esecuzione arbitraria di codice e altre azioni
dannose. Mentre l’attacco virtuale è in esecuzione, acquisisce
le connessioni dinamiche di callback utilizzate dall’attacco
zero-day e quindi crea delle regole adatte a bloccarle.
Integrando l’attività della piattaforma FireEye su molteplici
vettori di attacco, i clienti dispongono di un’analisi completa
dell’attacco relativamente a sistema operativo, web, email e
altre minacce volte a colpire le applicazioni. Questo approccio
integrato assicura la protezione più completa contro il
malware zero-day utilizzato dagli attacchi mirati avanzati così
come dalle minacce note.
•
Destinazioni di callback del malware (indirizzo IP di
destinazione, protocolli, porte) utilizzate per prelevare i
dati ed eseguire comandi localmente da parte dei
criminali informatici
•
Caratteristiche del protocollo di comunicazione del
malware, quali i comandi personalizzati utilizzati per
instaurare le sessioni di trasmissione
Blocchi sulla base di fatti per evitare falsi positivi
e negativi
A differenza delle reti di intelligence sulle minacce basate su
reputazione e rischio, che fanno congetture errate sul codice
potenzialmente pericoloso e trasmettono le firme, la
piattaforma FireEye conferma l’attività dannosa prima di
bloccare o autorizzare il traffico identificato. Le valutazioni
acquisite dalla piattaforma FireEye sono definitive poiché il
codice sospetto è testato in modo completo all’interno del
motore brevettato FireEye MVX. Un esempio illustra il valore
degli aggiornamenti informativi in tempo reale:
1.
Una piattaforma FireEye identifica un indirizzo IP dannoso
che funge da server CnC (Command and Control) e inizia a
bloccare le chiamate in uscita verso quell’indirizzo
2.
La piattaforma notifica automaticamente al cloud FireEye
DTI l’indirizzo IP di destinazione, la porta e il protocollo
utilizzati dal malware nel tentativo di connessione
3.
Le piattaforme FireEye che partecipano al cloud FireEye
DTI ricevono aggiornamenti regolari e bloccano i tentativi
di connessione del malware a quell’indirizzo IP che utilizza
la stessa porta e lo stesso protocollo
4.
Ai sistemi compromessi presso i clienti che utilizzano cloud
FireEye DTI viene impedito di contattare il server CnC
della botnet
Informazioni dettagliate sulle minacce emergenti
Le informazioni sulle minacce includono:
•
Profili di attacco del malware (MD5 di codice malware,
comportamenti della rete, tattiche di evasione) che
identificano gli attacchi confermati e ormai noti
•
Analisi di file condivisi, allegati email e indirizzi URL
FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | 408.321.6300 | 877.FIREEYE (347.3393) | [email protected] | www.fireeye.com
© 2014 FireEye, Inc. Tutti i diritti riservati. FireEye è un marchio di FireEye, Inc. Altri
marchi, nomi di prodotto e servizi possono essere rivendicati come proprietà di terzi.
DS.DTIC.IT.082014