Steeds meer bedreigingen worden niet meer herkend door traditionele systemen zoals malware scanners, antivirus en IDS/IPS systemen. FireEye biedt oplossingen om deze zogenaamde Advanced Persistent Threats (APT’s) te detecteren en te blokkeren.

FireEye oplossingen

De oplossingen van FireEye kunnen gebruikt worden om automatisch verkeer te controleren op onbekende bedreigen. De oplossingen zijn onder te verdelen in:

NX appliance – controle webverkeer
EX appliance – controle emailverkeer
FX appliance – controle fileservers

Daarnaast is er de handmatige analyse appliance om zelf mogelijke bedreigingen te laten analyseren (AX appliance). Een voordeel van de NX, EX, FX en AX appliances is dat deze allemaal centraal beheerd worden, waardoor correlatie tussen de verkeersstromen kan plaatsvinden. Denk bijvoorbeeld aan een spear phising email met een gevaarlijke link. Deze wordt geanalyseerd door de EX appliance, waarna de NX appliance het webverkeer in de gaten houdt. Wanneer er ergens een gebruiker daadwerkelijk op de gevaarlijke link klikt, wordt deze handeling geblokkeerd.

FireEye

Good security is a marathon, not a sprint

In security, it’s all too easy to get distracted by the latest trend, fad, or buzz. But what does it take to really improve an organization’s security posture? It takes a strategic, methodical, and calculated approach to security. This BOOTx talk will discuss approaching security as a marathon, rather than a sprint.

FireEye’s eigen detectie systeem

FireEye maakt gebruik van een zelfontwikkelde, geavanceerde hypervisor waarbij potentiële bedreigingen in de sandbox omgeving tot uitvoering worden gebracht. De bedreiging heeft niet in de gaten dat dit op een analyse systeem gebeurt, in plaats van op het mogelijke doelwit. Het gedrag van het object wordt in de sandbox geanalyseerd, waarna FireEye op basis van het gedrag bepaalt of het object goedaardig of kwaadaardig is. Door de FireEye software continu te ontwikkelen, worden ook de nieuwste bedreigingen (APT’s) herkend.

Endpoint Security

Naast de detectie systemen beschikt FireEye ook over een oplossing waarbij alle endpoint systemen in een infrastructuur gecontroleerd worden. Deze oplossing maakt inzichtelijk of bepaalde endpoints slachtoffer zijn van APT’s. De endpoint security oplossing van FireEye controleert of een Indicator of Compromise (IoC) aanwezig is en kan, wanneer dit het geval is, een systeem van het netwerk afsluiten.

Security Operations Center

FireEye beschikt tot slot over een aantal SOC oplossingen (PX appliance) om grote hoeveelheden dataverkeer op te slaan in de vorm van een full packet capture. Deze capture wordt snel geanalyseerd met een analyse systeem (AS appliance). Hiermee kan forensics uitgevoerd worden, waarbij niet alleen het type bedreiging herkend wordt, maar ook waar deze vandaan komt en wat er precies buitgemaakt is.

FireEye platinum partner SecureLink is FireEye Platinum Partner. Een invitation-only partnership level gereserveerd voor FireEye partners die zich inzetten voor een groeiend partnership met FireEye en over diepte én breedte capaciteiten beschikken op het gebied van techniek en sales.

FireEye series

FireEye biedt diverse series om Advanced Persistent Threats (APT’s) te detecteren en te blokkeren met elk een eigen aandachtsterrein.

De FireEye NX appliances zijn bedoeld om web verkeer te controleren op onbekende malware en APT’s. De NX appliance kan op verschillende manieren ingezet worden, namelijk:

  • Inline, bijvoorbeeld aan de client kant van de firewall of de proxy, en zal analyse uitvoeren op verkeer. Dit is de door SecureLink geadviseerde inzet omdat de NX in deze opzet ook kan blokkeren (detection & prevention).
  • SPAN, waarbij het verkeer op de juiste plaatsen in het netwerk gekopieerd wordt en door de NX geanalyseerd wordt. De NX kan dan niet blokkeren en zal alleen detecteren (detection).

De NX appliance wordt gesized op basis van aantal users, sessies en de vereiste bandbreedte en schaalt tot 10Gbps.

Specifiek voor email berichten wordt de EX appliance gebruikt. Met de EX appliance wordt een email bericht en de attachments van het bericht geanalyseerd met FireEye technologie. Ook de EX appliance kan op verschillende manieren in het netwerk geplaatst worden:

  • SMTP route, al het berichten verkeer wordt door de reeds aanwezige infrastructuur op SPAM gecontroleerd (de EX hoeft de SPAM dan niet te analyseren) en wordt door middel van een SMTP route dan door de FireEye appliance gestuurd. De FireEye doet analyse en kan als het bericht schoon is deze door middel van een SMTP route doorsturen naar de interne mail omgeving. Dit is de door SecureLink geadviseerde opzet. De EX kan op deze manier het bericht vasthouden en pas als zeker is dat het schoon is het bericht doorsturen. De EX wordt op deze manier op de meest effectieve manier ingezet (detection & prevention).
  • Inline, de EX wordt net als bij de NX in het netwerkpad van het mail verkeer geplaatst, en kan op deze manier berichten analyseren. Er kan naast analyse ook geblokkeerd worden (detection & prevention), echter is de impact op de netwerkomgeving groter dan bij de SMTP route opzet.
  • BCC, de aanwezige mail omgeving maakt een BCC van het bericht en stuurt deze naar de EX voor analyse. Er wordt alleen analyse gedaan, er kan niet geblokkeerd worden (detection).

De EX appliance wordt gesized op het aantal mail boxen dat beschermd moet worden.

De Centrale Management appliance van FireEye in de vorm van de CM zorgt voor correlatie tussen de verschillende FireEye appliances. De CM biedt een centraal dashboard voor alle appliances en kan deze appliances ook aansturen. Bijvoorbeeld de EX detecteert een gevaarlijke URL in een mailbericht en stuurt een signaal naar de NX, zodat de web appliance mogelijk verkeer naar deze gevaarlijke URL extra in de gaten houdt.

Voor de Security Operations Centers (SOC)’s is de AX series bedoeld. Met de AX appliance kan een operator zelf een sample aanbieden voor analyse of kan dit door middel van de restful API gedaan worden.

De AX wordt gesized op het aantal malware samples dat gelijktijdig geanalyseerd moet worden.

De FX appliance controleert een netwerk file system op bedreigingen. Door een share in de gaten te houden en alleen de mutaties te analyseren wordt op deze manier een netwerk opslag locatie veilig gehouden. De FX wordt vaak ingezet als een (publieke) web applicatie de mogelijkheid biedt om bestanden up te loaden.

De FX wordt gesized op het aantal files dat per dag geanalyseerd moet worden.

De PX is een network forensics platform of full packet capture oplossing waarbij al het in- en uitgaande verkeer van een verbinding voor langere tijd opgeslagen wordt om geanalyseerd te worden of om context te geven aan een bedreiging. De PX slaat dus niet alleen meta data van verkeer op, maar de volledige inhoud van het netwerk verkeer. Indien een omgeving gecompromitteerd is kan met de PX gekeken worden wie het gedaan heeft, wat er precies gebeurd is en welke intellectual property er mogelijk buitgemaakt is.

De PX wordt gesized op basis van opslag capaciteit en de hoeveelheid netwerkverkeer dat per seconde opgeslagen moet worden.

Met de Investigation Analysis apparatuur wordt het mogelijk om snel door alle data te zoeken. De IA kan geïntegreerd worden in SIEM omgevingen en maakt het mogelijk bedreigingen zeer snel van context te voorzien.