Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6300 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Обеспечение безопасности рабочих станций корпоративной инфраструктуры с помощью VMware Carbon Black

Обеспечение безопасности рабочих станций корпоративной инфраструктуры с помощью VMware Carbon Black

Обеспечение безопасности рабочих станций корпоративной инфраструктуры с помощью VMware Carbon Black

Автор: Александр Самойленко
Дата: 20/07/2020

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

В октябре прошлого года компания VMware объявила о покупке компании Carbon Black, занимающейся информационной безопасностью на уровне облака (cloud-native endpoint protection platform, EPP). Решение это позволяет обнаруживать угрозы на стороне рабочих станций, анализировать их на стороне облака и предпринимать действия по защите инфраструктуры десктопов предприятия. Это не антивирус, не сетевой экран, а комплексное средство, анализирующее работу приложений и сетевых соединений на рабочих станциях и делающее выводы о наличии тех или иных подозрительных активностей. То есть, эта штука позволит бороться как с zero-day угрозами, так и с кастомными атаками, разработанными под конкретное предприятие.

При этом покупка Carbon Black компанией VMware дала еще вот какой позитивный эффект: если раньше для Carbon Black требовался легковесный, но все же агент, то теперь развертывание этих функций доступно через VMware Tools, а значит снимаются вопросы по отдельным рабочим процессам обслуживания агентов. Поэтому недаром VMware заплатила больше двух миллиардов долларов за такой актив.

Давайте же посмотрим, как это все работает. Решение Carbon Black предназначено для операций в четырех сферах:

  • Антивирусная защита
  • Обнаружение нетипичных атак (never-seen-before attacks) с использованием проактивных методов (Endpoint Detection and Response)
  • Managed detection - обнаружение новых угроз в режиме 24/7 с привлечением экспертов, анализ причин возникновения угроз и ежемесячная отчетность
  • Аудит систем на предмет соответствия и возможность исправления потенциально опасных конфигураций

Многие из вас знают, что у VMware есть решение AppDefense, которое выполняет похожие функции. Разница концепций здесь в следующем: AppDefense использует модель positive security, которая фокусируется на нормальном поведении "хороших" приложений и выявляет их отклонения от нормы, а Carbon Black сразу смотрит на неправильное поведение любых приложений (negative security model) и фокусируется на аналитике выявленных угроз и предпринятию действий по их устранению. Ну и надо понимать, что AppDefense работает на уровне гипервизора ESXi (более высоком), а Carbon Black - на уровне агента в гостевой ОС (более низком):

Еще одна особенность Carbon Black - это алертинг в реальном времени и визуализация цепочки атаки для специалистов по информационной безопасности, которые могут наблюдать за действиями атакующего, видеть их источник и блокировать.

Происходит это в рамках следующего рабочего процесса:

  • Carbon Black Cloud Sensor развертывается на рабочих станциях
  • Данные об обнаруженной угрозе отправляются в облако VMware Carbon Black Cloud
  • В облаке также происходит постоянное обновление данных о возможных угрозах
  • Аналитический движок проверяет данные о подозрительном поведении на базе правил
  • В случае срабатывания триггеров для настроенных правил происходит выполнение преднастроенного действия через UEM API (например, помещение устройства на карантин или удаление приложения)

При этом, как вы видите, в процессе эксплуатации решения Carbon Black администраторы также взаимодействуют с платформами Workspace ONE UEM и ONE Intelligence.

CB оказывается наиболее эффективным решением при обнаружении атак типа ransomware, бесфайловых удаленных атак и прочих сложных вещах, которые иногда разрабатываются для атаки конкретной корпорации.

В видео ниже показан пример VMware по симуляции ransomware-атаки и ее отработки решением Carbon Cloud:

Давайте посмотрим, что происходит в этом примере, чтобы наглядно понять назначение решения CB. Итак, запускается симулятор атаки, и тут же происходит блокировка данного malware:

Далее на компьютере пользователя происходит регистрация подозрительной dll-библиотеки, что через несколько секунд отлавливается со стороны Carbon Black:

В это же самое время команде ИТ-безопасности отправляются нотификации о том, на каком устройстве произошла подозрительная активность, и публикуется ссылка на описание проблемы. Удобнее всего здесь использовать интеграцию со Slack:

В качестве реакции на такую активность в гостевой ОС можно настроить помещение устройства на карантин, что означает полное отключение его от сети и коммуникация с ним только через UEM API.

Если перейти по ссылке из нотификации в Slack, то администратор увидит подробное хронологическое описание событий, составляющих сущность атаки:

Также в описании каждого из опасных событий указано, что данная операция была заблокирована со стороны CB (в том числе все попытки сетевой коммуникации после помещения устройства на карантин):

В разделе Alerts администратор сможет увидеть все события в агрегированном виде, относящиеся к конкретной атаке:

Отсюда можно инициировать "расследование" происходящего, которое позволит визуализовать дерево событий, которые происходили (в том числе и IP-адреса назначения):

В разделе Endpoints видны все рабочие станции и их статус. Мы видим помещенные на карантин устройства и можем выполнять с ними различные действия:

Например, можно зайти в раздел Live Response, где можно в консоли выполнить нужные команды (например, редактировать раздел автозагрузки гостевой ОС):

В консоли VMware Workspace ONE UEM также видно, что устройство помещено на карантин:

Ну а в консоли VMware Workspace ONE Intelligence происходит работа с процедурами автоматизации обработки таких ситуаций. Например, администратор может задать правила помещения устройств на карантин и выполнения других действий - серьезность угрозы, тип ОС и другие условия.

Таким же образом, используя UEM API, можно послать письмо администратору, создать тикет в ServiceNow или послать нотификацию в Slack.

Таким образом, связка решений VMware Workspace ONE UEM + ONE Intelligence + Carbon Black обеспечивает эффективную защиту инфраструктуры предприятия от различных угроз, которые обычно не замечаются антивирусами и сетевыми экранами (например, кастомные атаки на инфраструктуру конкретной компании). Кроме того, интеграция CB с решением VMware NSX позволяет обеспечить и защиту сетевой среды и всех соединений, а не только работать с уровня гостевой ОС.

При этом, согласно рекомендациям VMware, использование Carbon Black дополняет решение AppDefence, которое работает на более высоком уровне и на стороне датацентра интегрируется с решениями семейства vRealize. Но, видимо, в конечном итоге оба продукта будут объединены в какое-то более общее единое решение.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Broadcom Offtopic Microsoft Veeam Cloud StarWind VMachines NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V VMUG Private AI HCX vSAN VCPP VCF Workstation Labs Backup Explore vDefend Data Protection ONE Tanzu AI Intel Live Recovery VCP V2V Aria NSX DPU Update EUC Avi Community Skyline Host Client GenAI Chargeback Horizon SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Docs Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Director Memory SIOC Troubleshooting Stretched Bugs ESA Android Python Upgrade ML Hub Guardrails CLI Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Работа с дисками виртуальных машин VMware.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2025, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge