VMware Carbon Black Cloud

Продукт
Разработчики: VMware, Carbon Black
Дата последнего релиза: 2022/08/25
Технологии: SaaS - Программное обеспечение как услуга,  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

VMware Carbon Blackоблачная платформа защиты конечных точек (EPP).

2022: Обновление приводит к появлению «синего экрана смерти»

Компания VMware заявила, что обновление некоторых версий Carbon Black EDR приводит к появлению «синего экрана смерти» (BSOD). Из-за проблемы ПК начали загружаться с синим экраном, на некоторых из которых мигал код остановки «PFN_LIST_CORRUPT». Об этом стало известно 25 августа 2022 года.

Вероятно, проблема была вызвана изменением правил VMware после того, как компания Broadcom объявила о своем намерении приобрести VMware в рамках сделки, которая будет закрыта в 2023 году.

О проблеме стало известно 23 августа, когда багхантер Тим Гешвиндт заявил в Twitter, что в 50 организациях Carbon Black вызывает синие экраны смерти для устройств с версией датчиков 3.7.0.1253. По словам VMware, причиной стали некоторые обновленные наборы правил исследования угроз, развернутые в регионах на востоке США, в Азиатско-Тихоокеанском регионе и ЕС, которые не вызвали никаких проблем во время внутреннего тестирования.

По словам VMware, проблема затрагивает устройства с версиями датчиков от 3.6.xx до 3.7.xx. VMware отменила наборы правил и пообещала, что по мере регистрации устройства «получат обновленный набор правил и авторазрешение».TAdviser выпустил Гид по российским операционным системам 10.3 т

Администраторам следует перевести затронутые устройства в режим обхода через консоль Carbon Black Cloud, чтобы они могли успешно загрузиться и удалить набор правил. Однако, для некоторых пользователей может потребоваться дополнительный обходной путь. Им нужно отправить запрос в службу поддержки. Всем клиентам Carbon Black следует проверять наличие обновлений.

Пользователи продукта Carbon Black EDR устанавливают датчики на каждую конечную точку в своей организации, и датчики отслеживают процессы, активные сетевые подключения, изменяемые файлы и любые нежелательные изменения. Затем данные о событиях отправляются на сервер EDR для хранения и индексации[1].

2021: Единый фронт обороны. Облачная платформа для комплексной защиты конечных устройств VMware Carbon Black

Непрерывный рост угроз для корпоративных информационным систем ведет к наращиванию «арсенала» различных средств безопасности. На апрель 2021 года практически невозможно встретить компанию, которая пользуется, к примеру, лишь антивирусами. По данным исследовательской группы ESG Research почти 50% организаций использует не менее 25 (!) различных средств защиты. Очевидно, что в такой ситуации нарастают проблемы другого порядка. Как обеспечить оркестрацию этой армии разнородных систем? Где найти столько специалистов (и сколько же им надо платить), чтобы обслужить эти системы? Как разобраться, какое из оповещений и в какой системе является показателем атаки и принять адекватные меры? Как быть с тем, что производительность конечных устройств с ростом числа средств защиты все время падает и приходится постоянно докупать вычислительные мощности?

Таким образом, обратной стороной изобилия средств безопасности является существенные финансовые затраты, непомерная нагрузка на информационную систему и «замыливанние» реальных инцидентов.

Упростить и консолидировать

Естественной и закономерной реакцией на сложившуюся ситуацию должно было неизбежно стать появление простого и универсального продукта, способного препятствовать всем типам современных внешних атак, легко устанавливаемого и управляемого, не перегружающего корпоративные мощности. И такое решение было предложено компанией Carbon Black, которая в 2019 года стала частью в корпорацию VMware. Это решение для защиты от передовых киберугроз, причем как текущих, так и будущих. Его достаточно развернуть и настроить один раз, чтобы больше уже не возвращаться к теме установки, однако сами политики и события проверять нужно регулярно.

Что представляет собой Carbon Black Cloud

VMware Carbon Black - это облачная платформа для комплексной защиты конечных устройств (EPP). VMware Carbon Black ведет непрерывный мониторинг и запись действий, происходящих на рабочих местах пользователей в режиме реального времени, визуализирует активность вредоносного ПО и превентивно его блокирует. Для повышения эффективности в облачной платформе используются ML модели и оптимизированная аналитика.

Уровни защиты

Решение Carbon Black Cloud предупреждает о появлении любой подозрительной активности на конечном устройстве, например, попытки программы открыть другое приложение. В числе таких активностей:

  • Атаки вредоносного ПО
  • Фишинговые атаки
  • Скрытые программы-шантажисты
  • Внутренние или внешние целевые угрозы

Если в ходе мониторинга становится очевидно, что идет попытка выполнения злонамеренных действий, при попытке запуска вредоносного ПО все эти приложения блокируются.

Архитектура Carbon Black Cloud

Консоль управления Carbon Black Cloud работает на облачной платформе, где для пользователя доступны единый компактный агент, одна удобная облачная консоль и содержится полный набор конечных устройств. Такой подход кардинально отличается от применения множеств средств защиты, с необходимостью настройки для каждого из них отдельных конфигураций и политик.

Данные конечных устройств при этом можно использовать во всех средствах и службах VMware Carbon Black, а блогодаря интеграции и в продуктах других производителей. Таким образом создается единый источник достоверных данных для системы безопасности на всех уровнях.

Платформа легко масштабируется и непрерывно развивается, обеспечивая адекватную защиту от постоянно расширяющегося числа и типов угроз. При изменении требований добавление новых служб осуществляется быстро и легко, без необходимости дополнительных капитальных вложений или развертывания новых агентов.

  • Антивирус следующего поколения VMware Carbon Black и поведенческая система обнаружения и нейтрализации атак на конечные точки (EDR) – анализируют данные конечных устройств, осуществляют поиск угроз и обеспечивают реагирование на инциденты, используя для этого технологии машинного обучения и поведенческие модели. Это позволяет обнаружить вредоносную активность на самых ранних этапах и предотвратить атаки на критически важные системы. С помощью этого блока происходит непрерывная визуализация и сопоставление полной информации о событиях конечных устройств и основных операционных центров защиты, а также выбор способа анализа и предотвращения угроз, базирующийся на корпоративных политиках безопасности конкретной компании.
  • Система аудита и восстановления дает возможность специалистам Служб безопасности и ИТв реальном времени проводить аудит и анализ состояния систем, защищая корпоративную ИТ-систему от наиболее вероятных угроз и.

Эта система также значительно упрощает процесс ведения отчетности.

Объединение аналитики об угрозах и поведенческой системы защиты

Уникальная возможность Carbon Black «понимать» и анализировать на основе машинного обучения методы работы и шаблоны поведения злоумышленников позволяет обнаруживать и предотвращать не только известные, но и абсолютно новые кибератаки. Платформа также дает наглядное представление о том, как эти атаки развиваются со временем. Для формирования такой поведенческой аналитики идет непрерывный сбор и нормализация данных с конечных устройств.

Запись данных реализована во многих средствах безопасности. Однако этот процесс, как правило, начинается только с момента обнаружении подозрительной активности. Это приводит к игнорированию важных данных о предыдущей активности или состоянии информационной среды, которые особенно важны для установления новой причины проблемы или шаблонов новых атак.

В отличии от такого ограниченного подхода Carbon Black непрерывно отслеживает активность конечных устройств, формируя полный и достоверный контекст, который анализирует с использованием методов машинного обучение и поведенческих моделей. Благодаря этому Carbon Black может обнаружить вредоносную активность, исходя из шаблонов и индикаторов угроз, анализа первопричин их появления – всех тех данных, которые недоступны для традиционных антивирусов.

В облаке Carbon Black на апрель 2021 года анализируются:
  • более 200 террабайт данных конечных устройств
  • свыше 500 миллиардов событий безопасности ежедневно

Визуализация

Решение VMware Carbon Black Cloud способно обеспечить детальную визуализацию цепочки развития атаки, давая всестороннее представление о прошлых и текущих действиях. Это позволяет устранить пробелы и «слепые зоны» систем безопасности, повысить скорость восстановления.

Очевидно, что, используя разрозненные средства безопасности, такого результата добиться невозможно. Это усложняет понимание всей картины активностей на конечных устройствах, отрывает время работы специалистов на сбор данных из нескольких систем.

Image:Визуализация_атаки_целевого_фишинга.png
Рис.1 Визуализация атаки целевого фишинга

Визуализация имеет огромное значение в ситуациях, когда необходим быстрый и четкий доступ к данным, превентивный поиск и оперативное устранение угроз. Отражение точных данных о текущем состоянии всех устройств дает возможность немедленно изолировать зараженные системы, удаленно подключиться к защищенной командной строке, собрать данные об атаке и последствиях инцидента, чтобы реализовать сценарии для их полного устранения.

Нередко случается, что Службы безопасности и ИТ-службы представляют собой два разных, слабо связанных между собой подразделений. В этом случае совместно используемые инструменты визуализации помогают сформировать единый подход к пониманию и устранению проблем, упрощая взаимодействие для более эффективной работы по предотвращению угроз информационной безопасности.

Единая среда управления политиками безопасности

В Carbon Black реализованы инструменты настройки политик безопасности, в соответствии с корпоративными требованиями. В рабочей среде можно формировать индивидуальные политики контроля для отдельных рабочих групп, разные требования к безопасности конечных устройств, определять периодичность обновления, настройки запуска и способы обработки событий.

Интеграция с другими средствами безопасности

Облачная платформа Carbon Black имеет открытые API-интерфейсы, что дает возможность интеграции с любыми другими действующими в компании корпоративными средствами безопасности. Это дает мультипликативный эффект, преумножая общий уровень безопасности компании, сокращая риски и время простоя. Существуют уже готовые интеграционные механизмы для продуктов IBM, Splunk, LogRhythm, и многих других, в том числе с такой популярной SIEM-платформой, как IBM QRadar.

Открытые API-интерфейсы также помогут в создании кастомизированных панелей мониторинга и отчетности, при формировании новых или изменения существующих процессов обеспечения безопасности.

Как оценили Carbon Black Cloud в Forrester

Одна из самых авторитетных международных исследовательских групп – Forrester в мае 2020 года проанализировала практические результаты использования VMware Carbon Black Cloud, поведя опрос 34 представителей крупных и средних компаний из разных индустрий. Удалось выяснить, что время окупаемости продукта не превысило 3 месяцев, рентабельность инвестиций составила 375%, на 15 часов в среднем снизилось время рассмотрения одного инцидента. Совокупная прибыль опрошенных компаний за счет применения VMware Carbon Black Cloud за 3 года выросла на 3,65 млн. долл., в том числе и за счет отказа от менее эффективных решений.

Общий экономический эффект (Total Economic Impact™) решения VMware Carbon Black Cloud можно прочитать в отчете.

2020: Автоматизированная корреляция с фреймворком Mitre ATT&CK и планируемый охват для Linux-машин

19 марта 2020 компания VMware представила обновленное решение VMware Carbon Black Cloud. VMware представила автоматизированную корреляцию фреймворка MITRE ATT&CK Technique ID (TIDs) – списка стандартных подходов, методик и процедур (TTP), которая встроена в VMware Carbon Black Cloud. Используя фреймворк MITRE ATT&CK заказчики могут искать в VMware Carbon Black Cloud конкретные TTP на основе методик MITRE ATT&CK, выявляя потенциальные угрозы и области улучшения в информационной безопасности.

Также VMware Carbon Black интегрирован с Microsoft Windows Anti-Malware Scanning Interface (AMSI), что улучшает контроль за ситуацией в инфраструктуре за счёт расшифровки обфусцированных команд. Благодаря этой интеграции заказчики смогут обеспечить прозрачность того, что выполняется интерпретаторами скриптов вроде PowerShell. Также заказчики смогут анализировать постоянно собираемую информацию об активности конечных точек и создавать собственные методики обнаружения на основе данных от AMSI, утверждают в VMware.

Со слов разработчика, VMware Carbon Black обеспечит перехват вредоносного ПО на Linux-машинах. Это особенность позволит клиентам мигрировать с других решений, созданных исключительно для Linux, и консолидировать свои программы для обеспечения безопасности. Пользователи платформы VMware Carbon Black Cloud смогут обеспечить комплексную защиту всех основных операционных системWindows, Mac и Linux.

На дополнительные вопросы о решении VMware Carbon Black Cloud готовы ответить в компании Softline: Николай Луковкин, менеджер по развитию бизнеса VMware Тел.: +7 (903) 284 93 79, +7 (906) 778 28 23 e-mail: Nikolay.Lukovkin@softline.com



СМ. ТАКЖЕ (4)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) (1767)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (1643)
  TrueConf (Труконф) (1593)
  Террасофт (Terrasoft, ТС-Консалтинг) (1147)
  Directum (Директум) (606)
  Другие (8591)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (244)
  Террасофт (Terrasoft, ТС-Консалтинг) (186)
  ВидеоМост (VideoMost) (181)
  Directum (Директум) (110)
  QuickBPM (83)
  Другие (759)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (230)
  ВидеоМост (VideoMost) (101)
  Directum (Директум) (80)
  1С-Рарус (30)
  Projecto (Проджекто) (26)
  Другие (561)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (179)
  Directum (Директум) (84)
  Naumen (Наумен консалтинг) (22)
  Первый Бит (22)
  Адванта Консалтинг (Advanta) (20)
  Другие (394)

  Directum (Директум) (111)
  Первый Бит (14)
  БизнесАвтоматика НПЦ (12)
  Naumen (Наумен консалтинг) (11)
  B2B-Center (Центр развития экономики) (10)
  Другие (174)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С Акционерное общество (35, 2812)
  ВидеоМост (VideoMost) (3, 1818)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (4, 1766)
  TrueConf (Труконф) (3, 1609)
  Creatio (12, 1238)
  Другие (1931, 7339)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 327)
  Directum (Директум) (2, 233)
  Creatio (1, 200)
  ВидеоМост (VideoMost) (2, 183)
  1С Акционерное общество (13, 145)
  Другие (154, 503)

  Directum (Директум) (2, 236)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 233)
  ВидеоМост (VideoMost) (1, 102)
  1С Акционерное общество (9, 98)
  Projecto (Проджекто) (1, 26)
  Другие (95, 340)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 180)
  Directum (Директум) (1, 147)
  1С Акционерное общество (12, 86)
  Naumen (Наумен консалтинг) (5, 22)
  1С-Битрикс (1, 21)
  Другие (80, 260)

  Directum (Директум) (1, 119)
  1С Акционерное общество (7, 46)
  1С-Битрикс (1, 17)
  Naumen (Наумен консалтинг) (3, 14)
  БизнесАвтоматика НПЦ (5, 12)
  Другие (60, 136)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) ВКС - 1817
  TrueConf Server - 1593
  ELMA BPM Suite - 1431
  Directum RX - 987
  Creatio (ранее bpm’online) - 944
  Другие 8457

  ELMA BPM Suite - 241
  Directum RX - 233
  Creatio (ранее bpm’online) - 200
  ВидеоМост (VideoMost) ВКС - 182
  1С:ERP Управление предприятием 2 - 113
  Другие 571

  Directum RX - 236
  ELMA BPM Suite - 151
  ВидеоМост (VideoMost) ВКС - 102
  ELMA365 - 83
  1С:ERP Управление предприятием 2 - 68
  Другие 361

  ELMA365 - 161
  Directum RX - 147
  1С:ERP Управление предприятием 2 - 52
  ELMA BPM Suite - 22
  1С-Битрикс24 - 21
  Другие 295

  Directum RX - 119
  1С:ERP Управление предприятием 2 - 31
  1С-Битрикс24 - 17
  B2B-Center: Мои поставщики - 10
  HRlink Система электронного кадрового документооборота - 9
  Другие 148

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (92)
  Positive Technologies (Позитив Текнолоджиз) (23)
  SearchInform (СёрчИнформ) (16)
  Инфосистемы Джет (16)
  Softline (Софтлайн) (14)
  Другие (140)

  Интеллектуальная безопасность ГК (бренд Security Vision) (6)
  R-Vision (Р-Вижн) (3)
  Softline (Софтлайн) (3)
  Инфосекьюрити (Infosecurity) (2)
  Инфосистемы Джет (2)
  Другие (10)

  Интеллектуальная безопасность ГК (бренд Security Vision) (13)
  Positive Technologies (Позитив Текнолоджиз) (6)
  CyberOK (СайберОК) (4)
  InnoSTage (Инностейдж) (4)
  Уральский центр систем безопасности (УЦСБ) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (3)
  Лаборатория Касперского (Kaspersky) (2)
  МТС RED (Серенити Сайбер Секьюрити) ранее МТС Кибербезопасность (2)
  Softline (Софтлайн) (2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (8)
  Softline (Софтлайн) (5)
  Positive Technologies (Позитив Текнолоджиз) (4)
  Перспективный мониторинг (2)
  Газинформсервис (ГИС) (1)
  Другие (11)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
  Positive Technologies (Позитив Текнолоджиз) (17, 39)
  SearchInform (СёрчИнформ) (2, 17)
  Лаборатория Касперского (Kaspersky) (8, 13)
  Micro Focus (5, 13)
  Другие (276, 110)

  Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  R-Vision (Р-Вижн) (1, 3)
  Инфосекьюрити (Infosecurity) (2, 2)
  IBM (2, 2)
  Другие (7, 8)

  Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
  InnoSTage (Инностейдж) (2, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  SearchInform (СёрчИнформ) (1, 2)
  Уральский центр систем безопасности (УЦСБ) (1, 2)
  Другие (5, 5)

  Лаборатория Касперского (Kaspersky) (3, 3)
  SearchInform (СёрчИнформ) (1, 3)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
  Киберполигон (1, 1)
  Мобильные ТелеСистемы (МТС) (1, 1)
  Другие (9, 9)

  SearchInform (СёрчИнформ) (1, 9)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Перспективный мониторинг (1, 3)
  Лаборатория Касперского (Kaspersky) (3, 2)
  Русием (RuSIEM) (1, 2)
  Другие (6, 6)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Security Vision Security Operation Center (SOC) - 37
  MaxPatrol SIEM - 33
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
  СёрчИнформ SIEM - 17
  HPE ArcSight ESM (Security Information and Event Management, SIEM) - 11
  Другие 155

  R‑Vision SOAR (ранее R-Vision IRP) - 3
  Ngenix Облачная платформа - 2
  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
  MaxPatrol SIEM - 2
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  Другие 13

  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
  Innostage SOAR (ранее Innostage IRP) - 4
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
  CyberART Сервисная служба киберзащиты - 4
  Security Vision Incident Response Platform (Security Vision IRP) SOAR - 2
  Другие 13

  СёрчИнформ SIEM - 3
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  МТС RED SOC - 1
  Перспективный мониторинг: Ampire Киберполигон - 1
  Инфосекьюрити ISOC - 1
  Другие 11

  СёрчИнформ SIEM - 9
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3
  Перспективный мониторинг: Ampire Киберполигон - 3
  MaxPatrol SIEM - 2
  RuSIEM Система сбора информации и событий от ИТ-систем - 2
  Другие 10