В октябре прошлого года компания VMware объявила о покупке компании Carbon Black, занимающейся информационной безопасностью на уровне облака (cloud-native endpoint protection platform, EPP). Решение это позволяет обнаруживать угрозы на стороне рабочих станций, анализировать их на стороне облака и предпринимать действия по защите инфраструктуры десктопов предприятия. Это не антивирус, не сетевой экран, а комплексное средство, анализирующее работу приложений и сетевых соединений на рабочих станциях и делающее выводы о наличии тех или иных подозрительных активностей. То есть, эта штука позволит бороться как с zero-day угрозами, так и с кастомными атаками, разработанными под конкретное предприятие.
При этом покупка Carbon Black компанией VMware дала еще вот какой позитивный эффект: если раньше для Carbon Black требовался легковесный, но все же агент, то теперь развертывание этих функций доступно через VMware Tools, а значит снимаются вопросы по отдельным рабочим процессам обслуживания агентов. Поэтому недаром VMware заплатила больше двух миллиардов долларов за такой актив.
Давайте же посмотрим, как это все работает. Решение Carbon Black предназначено для операций в четырех сферах:
Антивирусная защита
Обнаружение нетипичных атак (never-seen-before attacks) с использованием проактивных методов (Endpoint Detection and Response)
Managed detection - обнаружение новых угроз в режиме 24/7 с привлечением экспертов, анализ причин возникновения угроз и ежемесячная отчетность
Аудит систем на предмет соответствия и возможность исправления потенциально опасных конфигураций
Многие из вас знают, что у VMware есть решение AppDefense, которое выполняет похожие функции. Разница концепций здесь в следующем: AppDefense использует модель positive security, которая фокусируется на нормальном поведении "хороших" приложений и выявляет их отклонения от нормы, а Carbon Black сразу смотрит на неправильное поведение любых приложений (negative security model) и фокусируется на аналитике выявленных угроз и предпринятию действий по их устранению. Ну и надо понимать, что AppDefense работает на уровне гипервизора ESXi (более высоком), а Carbon Black - на уровне агента в гостевой ОС (более низком):
Еще одна особенность Carbon Black - это алертинг в реальном времени и визуализация цепочки атаки для специалистов по информационной безопасности, которые могут наблюдать за действиями атакующего, видеть их источник и блокировать.
Происходит это в рамках следующего рабочего процесса:
Carbon Black Cloud Sensor развертывается на рабочих станциях
Данные об обнаруженной угрозе отправляются в облако VMware Carbon Black Cloud
В облаке также происходит постоянное обновление данных о возможных угрозах
Аналитический движок проверяет данные о подозрительном поведении на базе правил
В случае срабатывания триггеров для настроенных правил происходит выполнение преднастроенного действия через UEM API (например, помещение устройства на карантин или удаление приложения)
При этом, как вы видите, в процессе эксплуатации решения Carbon Black администраторы также взаимодействуют с платформами Workspace ONE UEM и ONE Intelligence.
CB оказывается наиболее эффективным решением при обнаружении атак типа ransomware, бесфайловых удаленных атак и прочих сложных вещах, которые иногда разрабатываются для атаки конкретной корпорации.
В видео ниже показан пример VMware по симуляции ransomware-атаки и ее отработки решением Carbon Cloud:
Давайте посмотрим, что происходит в этом примере, чтобы наглядно понять назначение решения CB. Итак, запускается симулятор атаки, и тут же происходит блокировка данного malware:
Далее на компьютере пользователя происходит регистрация подозрительной dll-библиотеки, что через несколько секунд отлавливается со стороны Carbon Black:
В это же самое время команде ИТ-безопасности отправляются нотификации о том, на каком устройстве произошла подозрительная активность, и публикуется ссылка на описание проблемы. Удобнее всего здесь использовать интеграцию со Slack:
В качестве реакции на такую активность в гостевой ОС можно настроить помещение устройства на карантин, что означает полное отключение его от сети и коммуникация с ним только через UEM API.
Если перейти по ссылке из нотификации в Slack, то администратор увидит подробное хронологическое описание событий, составляющих сущность атаки:
Также в описании каждого из опасных событий указано, что данная операция была заблокирована со стороны CB (в том числе все попытки сетевой коммуникации после помещения устройства на карантин):
В разделе Alerts администратор сможет увидеть все события в агрегированном виде, относящиеся к конкретной атаке:
Отсюда можно инициировать "расследование" происходящего, которое позволит визуализовать дерево событий, которые происходили (в том числе и IP-адреса назначения):
В разделе Endpoints видны все рабочие станции и их статус. Мы видим помещенные на карантин устройства и можем выполнять с ними различные действия:
Например, можно зайти в раздел Live Response, где можно в консоли выполнить нужные команды (например, редактировать раздел автозагрузки гостевой ОС):
В консоли VMware Workspace ONE UEM также видно, что устройство помещено на карантин:
Ну а в консоли VMware Workspace ONE Intelligence происходит работа с процедурами автоматизации обработки таких ситуаций. Например, администратор может задать правила помещения устройств на карантин и выполнения других действий - серьезность угрозы, тип ОС и другие условия.
Таким же образом, используя UEM API, можно послать письмо администратору, создать тикет в ServiceNow или послать нотификацию в Slack.
Таким образом, связка решений VMware Workspace ONE UEM + ONE Intelligence + Carbon Black обеспечивает эффективную защиту инфраструктуры предприятия от различных угроз, которые обычно не замечаются антивирусами и сетевыми экранами (например, кастомные атаки на инфраструктуру конкретной компании). Кроме того, интеграция CB с решением VMware NSX позволяет обеспечить и защиту сетевой среды и всех соединений, а не только работать с уровня гостевой ОС.
При этом, согласно рекомендациям VMware, использование Carbon Black дополняет решение AppDefence, которое работает на более высоком уровне и на стороне датацентра интегрируется с решениями семейства vRealize. Но, видимо, в конечном итоге оба продукта будут объединены в какое-то более общее единое решение.