事件响应技术的威力
FireEyeMandiant 在使用现有用户安全技术的同时,可充分运用 FireEye 技术的积累,突破传统安全的限制,增加事件响应的可视性、响应速度和服务水平,运用定制技术彻底提高事件响应服务能力。FireEye 允许在数小时内着手实施远程安全检测,既减少了响应时间,又减少了“靴子落地”的时间和花销。
为了实现快速全面的检测,Mandiant 事件响应团队通过混合部署多种技术满足客户检测需求。这些类技术所相应具有的防御能力,在检测过程中可帮助客户抵御额外增加的攻击。Mandiant 目前采用 FireEye 的以下技术:
-
终端安全(HX)设备或云解决方案提供终端可视性。HX 在同一终端代理当中提供 检测、发现、修复等整合功能。Mandiant 综合利用这些功能,来检测最初客户提供的线索,寻找历史安全事件的轨迹,实时监测安全事件。
-
网络调查(PX)设备提供完整数据包捕获,允许 Mandiant 检测更多安全事件,检测命令和控制复查,评估信息泄漏和数据窃取。
-
FireEye 网络安全(NX)设备或云解决方案提供少签名多向量虚拟执行引擎,对流向企业的恶意代码进行动态分析和分类。
-
邮件安全(EX 系列)设备或云解决方案(由 FireEye ETP 方案提供)有针对性地检测邮件攻击。Mandiant 利用 EX,可以跨越各种复杂操作系统、应用和 Web 浏览器,分析邮件附件和 URLs,识别正在进行中的攻击。当 EX 以实时在线方式部署时,Mandiant 能够阻止和过滤钓鱼邮件的入侵。
将 FireEye 技术与客户现有技术相结合带来优势互补的额外好处就是令客户现有技术当中的不足,恰好由 FireEye 技术来弥补。
终端检测和响应(EDR)方案并不常用,也没有被全面部署。Mandiant 发现,在需要的基础上部署 EDR 从来都是正确的方案。追溯攻击者需要对每一个终端设备具有可视性,这样无论在哪里都能识别攻击者的迹象。
传统 IDPS 方案几乎无所不在,在识别早期入侵行为,如扫描、利用企图,恶意代码等方面成效显著,但是在检测横向攻击等后利用行为时,能力受到限制。
SIEM 方案并不能整合所有系统的日志资料,因为这是不切实际的。而 FireEye HX 方案能够快速有效访问服务器或驻留在终端设备上的应用日志。Mandiant 的调研显示,将日志转发到 SIEM 中依然存在差距。此外,日志采集和索引输出会影响数据的完整性和在一个 SIEM 客户端高效搜索信息的能力。
Mandiant 与多个国家数以万计的受到攻击的终端保持联系。例如,在客户收到第三方通知的四个小时之内,我们就可以将 FireEye 终端技术部署在18,000个系统中,从而识别入侵迹象。6天后,我们可完成大部分调研,包括80个终端的深度分析。11天后,客户的业务恢复如常。