Cloud Container Protection VMware Carbon Black Container
Enable continuous visibility, container security, and compliance for the full lifecycle of Kubernetes applications for any public cloud or on-premise deployment.
Automate DevSecOps with Full Lifecycle Container Security
Bridging the Developer and Security Divide
Collaboration recommendations for IT, development, and security teams
Security Hygiene for DevOps
Security needs to be an inherent part of the DevOps process and automated during development so you can deploy quality applications faster.
Full Lifecycle Container Security at the Speed of DevOps
Complete Visibility into Kubernetes Security Posture
Provide the visibility and control that Application Security and DevOps teams need to secure Kubernetes clusters and the applications deployed on them.
Scan Container Images for Vulnerabilities at Build
Provide visibility into all containers running in production and ensure they have been scanned to enforce security policies. Restrict registries and ensure only approved images are deployed to production.
Automate and Customize Compliance Policy
Create automated, customizable policies to enforce secure configuration and ensure compliance with organizational requirements and industry standards such as CIS benchmarking.
Governance & Enforcement
Enforce policies from build to deployment to detect vulnerabilities and misconfigurations and prevent them from being deployed to production. Focus on the most severe risks to Kubernetes environments.
Use Cases
Kubernetes security posture management
Planning your security strategy starts with understanding your environment. This requires visibility into running workloads, how they are configured, and how your Kubernetes environment is configured. You also need to prioritize the risk associated with each workload to effectively focus your remediation efforts. How can you gain situational intelligence and simplify your Kubernetes security posture management?
Workload visibility and hardening
Kubernetes continues to gain traction as the leading open-source platform for managing containerized workloads and services. However, the increased agility, portability and scalability are juxtaposed with susceptibility to vulnerabilities specific to Kubernetes environments. Gain insights into the vulnerabilities, how they came to be, and mistakes to avoid – all to help you strengthen your security posture.
Container image scanning and vulnerability management
When you secure apps early in development, you reduce vulnerabilities in production. Learn how to integrate security into your DevOps processes to easily deploy quality apps faster.
Automate container builds, sourcing, scanning and guardrails. Get visibility into your security posture across Kubernetes clusters and Dev teams. Prioritize remediation based on risk profiles and increase efficiency.
Endpoint, Workload, & Container Protection Platform VMware Carbon Black Cloud
Transform your security with intelligent endpoint and workload protection that adapts to your needs.
Cloud Native Security that Adapts to Your Needs
Maturing Security into Resiliency
A quiet sea change is occurring that fundamentally embeds security integrity into IT by design. Through this, the Security Operations Center can achieve a more resilient posture to defend their infrastructure against the constantly evolving threat landscape.
Security Innovation
Cyberattacks continue to grow more sophisticated and prolific in numbers while teams are being asked to secure a highly distributed organization. Advancements in security technology play a critical role in defending organizations from advanced threats.
Advanced Cybersecurity Fueled by Behavioral Analytics
Modernize Your Endpoint Protection
Legacy approaches to prevention leave organizations exposed. Cybercriminals constantly update tactics and obscure their actions within common tools and processes. You need an endpoint platform that helps you spot the minor fluctuations that hide malicious attacks and adapt prevention in response.
Recognizing the Good, the Bad and the Gray
While other endpoint security products only collect a dataset related to what is known bad, we continuously collect endpoint activity data because attackers intentionally try to look normal to hide their attacks. Analyze attackers’ behavior patterns to detect and stop never-seen-before attacks.
Attackers Bypass Traditional Endpoint Security
Most of today’s cyberattacks now encompass tactics such as lateral movement, island hopping and destructive attacks. Advanced hacking capabilities and services for sale on the dark web compound the issue. These realities pose a tremendous risk to targets with decentralized systems protecting high-value assets, including money, intellectual property, and state secrets.
Simplify Your Security Stack
VMware Carbon Black Cloud consolidates multiple endpoint security capabilities using one endpoint agent and console, cutting the management headaches and console thrashing required when responding to potential incidents. Minimize downtime responding to incidents and return critical CPU cycles back to the business.
Более 5550 заметок о виртуализации, виртуальных машинах VMware, Microsoft и Xen, а также Kubernetes
VM Guru / Articles / Обеспечение безопасности рабочих станций корпоративной инфраструктуры с помощью VMware Carbon Black
Обеспечение безопасности рабочих станций корпоративной инфраструктуры с помощью VMware Carbon Black
Обеспечение безопасности рабочих станций корпоративной инфраструктуры с помощью VMware Carbon Black
Автор: Александр Самойленко Дата: 20/07/2020
В октябре прошлого года компания VMware объявила о покупке компании Carbon Black, занимающейся информационной безопасностью на уровне облака (cloud-native endpoint protection platform, EPP). Решение это позволяет обнаруживать угрозы на стороне рабочих станций, анализировать их на стороне облака и предпринимать действия по защите инфраструктуры десктопов предприятия. Это не антивирус, не сетевой экран, а комплексное средство, анализирующее работу приложений и сетевых соединений на рабочих станциях и делающее выводы о наличии тех или иных подозрительных активностей. То есть, эта штука позволит бороться как с zero-day угрозами, так и с кастомными атаками, разработанными под конкретное предприятие.
При этом покупка Carbon Black компанией VMware дала еще вот какой позитивный эффект: если раньше для Carbon Black требовался легковесный, но все же агент, то теперь развертывание этих функций доступно через VMware Tools, а значит снимаются вопросы по отдельным рабочим процессам обслуживания агентов. Поэтому недаром VMware заплатила больше двух миллиардов долларов за такой актив.
Давайте же посмотрим, как это все работает. Решение Carbon Black предназначено для операций в четырех сферах:
Происходит это в рамках следующего рабочего процесса:
При этом, как вы видите, в процессе эксплуатации решения Carbon Black администраторы также взаимодействуют с платформами Workspace ONE UEM и ONE Intelligence.
CB оказывается наиболее эффективным решением при обнаружении атак типа ransomware, бесфайловых удаленных атак и прочих сложных вещах, которые иногда разрабатываются для атаки конкретной корпорации.
В видео ниже показан пример VMware по симуляции ransomware-атаки и ее отработки решением Carbon Cloud:
Давайте посмотрим, что происходит в этом примере, чтобы наглядно понять назначение решения CB. Итак, запускается симулятор атаки, и тут же происходит блокировка данного malware:
Далее на компьютере пользователя происходит регистрация подозрительной dll-библиотеки, что через несколько секунд отлавливается со стороны Carbon Black:
В это же самое время команде ИТ-безопасности отправляются нотификации о том, на каком устройстве произошла подозрительная активность, и публикуется ссылка на описание проблемы. Удобнее всего здесь использовать интеграцию со Slack:
В качестве реакции на такую активность в гостевой ОС можно настроить помещение устройства на карантин, что означает полное отключение его от сети и коммуникация с ним только через UEM API.
Если перейти по ссылке из нотификации в Slack, то администратор увидит подробное хронологическое описание событий, составляющих сущность атаки:
Также в описании каждого из опасных событий указано, что данная операция была заблокирована со стороны CB (в том числе все попытки сетевой коммуникации после помещения устройства на карантин):
В разделе Alerts администратор сможет увидеть все события в агрегированном виде, относящиеся к конкретной атаке:
Отсюда можно инициировать «расследование» происходящего, которое позволит визуализовать дерево событий, которые происходили (в том числе и IP-адреса назначения):
В разделе Endpoints видны все рабочие станции и их статус. Мы видим помещенные на карантин устройства и можем выполнять с ними различные действия:
Например, можно зайти в раздел Live Response, где можно в консоли выполнить нужные команды (например, редактировать раздел автозагрузки гостевой ОС):
В консоли VMware Workspace ONE UEM также видно, что устройство помещено на карантин:
Таким же образом, используя UEM API, можно послать письмо администратору, создать тикет в ServiceNow или послать нотификацию в Slack.
Таким образом, связка решений VMware Workspace ONE UEM + ONE Intelligence + Carbon Black обеспечивает эффективную защиту инфраструктуры предприятия от различных угроз, которые обычно не замечаются антивирусами и сетевыми экранами (например, кастомные атаки на инфраструктуру конкретной компании). Кроме того, интеграция CB с решением VMware NSX позволяет обеспечить и защиту сетевой среды и всех соединений, а не только работать с уровня гостевой ОС.
При этом, согласно рекомендациям VMware, использование Carbon Black дополняет решение AppDefence, которое работает на более высоком уровне и на стороне датацентра интегрируется с решениями семейства vRealize. Но, видимо, в конечном итоге оба продукта будут объединены в какое-то более общее единое решение.
Чтобы оставлять комментарии, вы должны быть зарегистрированы на сайте.
Endpoint Protection Platform VMware Carbon Black Endpoint
VMware Carbon Black Endpoint consolidates multiple endpoint security capabilities using one agent and console, helping you operate faster and more effectively.
Cloud-native Endpoint Security That Adapts To Your Needs
Improving Endpoint Security Efficacy
Learn about our vision for Endpoint Security and how we are innovating with VMware Carbon Black Endpoint to help improve your security efficacy.
The Latest Attacks and How to Spot Them
Learn how the Carbon Black Managed Detection team identifies emerging threats and analyzes attack trends with daily exposure to malicious campaigns and tactics.
VMware Carbon Black Cloud: Endpoint Protection that Adapts to Your Business
Modernize Your Endpoint Protection
Legacy approaches to prevention leave organizations exposed. Cybercriminals constantly update tactics. You need an endpoint platform that helps you spot the minor fluctuations that hide malicious attacks and adapt prevention in response.
Recognizing the Good, the Bad and the Gray
While other endpoint security products only collect a dataset related to what is known bad, we continuously collect endpoint activity data because attackers intentionally try to look normal to hide their attacks.
Attackers Bypass Traditional Endpoint Security
Most of today’s cyberattacks now encompass tactics such as lateral movement, island hopping and destructive attacks. Advanced hacking capabilities and services for sale on the dark web compound the issue.
Simplify Your Security Stack
VMware Carbon Black Endpoint consolidates multiple endpoint security capabilities using one endpoint agent and console. Minimize downtime responding to incidents and return critical CPU cycles back to the business.
Use Cases
Enterprise AV Replacement
Time to respond is essential when combating today’s advanced and persistent threats. Reduce exposure to ongoing threats, move quickly and fortify your defenses. VMware Carbon Black empowers enterprises with higher levels of control and visibility. Remediate on any endpoint from a central and intuitive console. Unify and simplify your security stack.
Reduce Downtime
Upgrade your antivirus to a modern, cloud-native solution that offers protection from today’s advanced attacks and empower your Security Operations teams by providing the right tools to reduce downtime and give back valuable time.
Threat Hunting
Get sophisticated detection combined with custom and cloud native threat intelligence, automated watchlists, and integrations with the rest of your security stack to efficiently scale your hunt across the enterprise. Stay steps ahead of advanced threats.
Meet Industry Requirements
Meet industry requirements and prove security control assurance across the cybersecurity kill chain with our endpoint, application and device protection solutions.
Protect Against Ransomware
Advanced prevention stops current and future ransomware variants by monitoring streams of events related to a ransomware outbreak. Lure all types of ransomware into a trap, even unknown and file-less varieties, to spot and stop it before it attacks critical files and shares.
*2021: Единый фронт обороны. Облачная платформа для комплексной защиты конечных устройств VMware Carbon Black
Непрерывный рост угроз для корпоративных информационным систем ведет к наращиванию «арсенала» различных средств безопасности. На апрель 2021 года практически невозможно встретить компанию, которая пользуется, к примеру, лишь антивирусами. По данным исследовательской группы ESG Research почти 50% организаций использует не менее 25 (!) различных средств защиты. Очевидно, что в такой ситуации нарастают проблемы другого порядка. Как обеспечить оркестрацию этой армии разнородных систем? Где найти столько специалистов (и сколько же им надо платить), чтобы обслужить эти системы? Как разобраться, какое из оповещений и в какой системе является показателем атаки и принять адекватные меры? Как быть с тем, что производительность конечных устройств с ростом числа средств защиты все время падает и приходится постоянно докупать вычислительные мощности?
Таким образом, обратной стороной изобилия средств безопасности является существенные финансовые затраты, непомерная нагрузка на информационную систему и «замыливанние» реальных инцидентов.
Упростить и консолидировать
Естественной и закономерной реакцией на сложившуюся ситуацию должно было неизбежно стать появление простого и универсального продукта, способного препятствовать всем типам современных внешних атак, легко устанавливаемого и управляемого, не перегружающего корпоративные мощности. И такое решение было предложено компанией Carbon Black, которая в 2019 года стала частью в корпорацию VMware. Это решение для защиты от передовых киберугроз, причем как текущих, так и будущих. Его достаточно развернуть и настроить один раз, чтобы больше уже не возвращаться к теме установки, однако сами политики и события проверять нужно регулярно.
Что представляет собой Carbon Black Cloud
Решение Carbon Black Cloud предупреждает о появлении любой подозрительной активности на конечном устройстве, например, попытки программы открыть другое приложение. В числе таких активностей:
Если в ходе мониторинга становится очевидно, что идет попытка выполнения злонамеренных действий, при попытке запуска вредоносного ПО все эти приложения блокируются.
Архитектура Carbon Black Cloud
Консоль управления Carbon Black Cloud работает на облачной платформе, где для пользователя доступны единый компактный агент, одна удобная облачная консоль и содержится полный набор конечных устройств. Такой подход кардинально отличается от применения множеств средств защиты, с необходимостью настройки для каждого из них отдельных конфигураций и политик.
Данные конечных устройств при этом можно использовать во всех средствах и службах VMware Carbon Black, а блогодаря интеграции и в продуктах других производителей. Таким образом создается единый источник достоверных данных для системы безопасности на всех уровнях.
Платформа легко масштабируется и непрерывно развивается, обеспечивая адекватную защиту от постоянно расширяющегося числа и типов угроз. При изменении требований добавление новых служб осуществляется быстро и легко, без необходимости дополнительных капитальных вложений или развертывания новых агентов.
Эта система также значительно упрощает процесс ведения отчетности.
Объединение аналитики об угрозах и поведенческой системы защиты
Уникальная возможность Carbon Black «понимать» и анализировать на основе машинного обучения методы работы и шаблоны поведения злоумышленников позволяет обнаруживать и предотвращать не только известные, но и абсолютно новые кибератаки. Платформа также дает наглядное представление о том, как эти атаки развиваются со временем. Для формирования такой поведенческой аналитики идет непрерывный сбор и нормализация данных с конечных устройств.
Запись данных реализована во многих средствах безопасности. Однако этот процесс, как правило, начинается только с момента обнаружении подозрительной активности. Это приводит к игнорированию важных данных о предыдущей активности или состоянии информационной среды, которые особенно важны для установления новой причины проблемы или шаблонов новых атак.
В отличии от такого ограниченного подхода Carbon Black непрерывно отслеживает активность конечных устройств, формируя полный и достоверный контекст, который анализирует с использованием методов машинного обучение и поведенческих моделей. Благодаря этому Carbon Black может обнаружить вредоносную активность, исходя из шаблонов и индикаторов угроз, анализа первопричин их появления – всех тех данных, которые недоступны для традиционных антивирусов.
Решение VMware Carbon Black Cloud способно обеспечить детальную визуализацию цепочки развития атаки, давая всестороннее представление о прошлых и текущих действиях. Это позволяет устранить пробелы и «слепые зоны» систем безопасности, повысить скорость восстановления.
Очевидно, что, используя разрозненные средства безопасности, такого результата добиться невозможно. Это усложняет понимание всей картины активностей на конечных устройствах, отрывает время работы специалистов на сбор данных из нескольких систем.
Визуализация имеет огромное значение в ситуациях, когда необходим быстрый и четкий доступ к данным, превентивный поиск и оперативное устранение угроз. Отражение точных данных о текущем состоянии всех устройств дает возможность немедленно изолировать зараженные системы, удаленно подключиться к защищенной командной строке, собрать данные об атаке и последствиях инцидента, чтобы реализовать сценарии для их полного устранения.
Нередко случается, что Службы безопасности и ИТ-службы представляют собой два разных, слабо связанных между собой подразделений. В этом случае совместно используемые инструменты визуализации помогают сформировать единый подход к пониманию и устранению проблем, упрощая взаимодействие для более эффективной работы по предотвращению угроз информационной безопасности.
Единая среда управления политиками безопасности
В Carbon Black реализованы инструменты настройки политик безопасности, в соответствии с корпоративными требованиями. В рабочей среде можно формировать индивидуальные политики контроля для отдельных рабочих групп, разные требования к безопасности конечных устройств, определять периодичность обновления, настройки запуска и способы обработки событий.
Интеграция с другими средствами безопасности
Облачная платформа Carbon Black имеет открытые API-интерфейсы, что дает возможность интеграции с любыми другими действующими в компании корпоративными средствами безопасности. Это дает мультипликативный эффект, преумножая общий уровень безопасности компании, сокращая риски и время простоя. Существуют уже готовые интеграционные механизмы для продуктов IBM, Splunk, LogRhythm, и многих других, в том числе с такой популярной SIEM-платформой, как IBM QRadar.
Открытые API-интерфейсы также помогут в создании кастомизированных панелей мониторинга и отчетности, при формировании новых или изменения существующих процессов обеспечения безопасности.
Как оценили Carbon Black Cloud в Forrester
Одна из самых авторитетных международных исследовательских групп – Forrester в мае 2020 года проанализировала практические результаты использования VMware Carbon Black Cloud, поведя опрос 34 представителей крупных и средних компаний из разных индустрий. Удалось выяснить, что время окупаемости продукта не превысило 3 месяцев, рентабельность инвестиций составила 375%, на 15 часов в среднем снизилось время рассмотрения одного инцидента. Совокупная прибыль опрошенных компаний за счет применения VMware Carbon Black Cloud за 3 года выросла на 3,65 млн. долл., в том числе и за счет отказа от менее эффективных решений.
Общий экономический эффект (Total Economic Impact™) решения VMware Carbon Black Cloud можно прочитать в отчете.
2020: Автоматизированная корреляция с фреймворком Mitre ATT&CK и планируемый охват для Linux-машин
19 марта 2020 компания VMware представила обновленное решение VMware Carbon Black Cloud. VMware представила автоматизированную корреляцию фреймворка MITRE ATT&CK Technique ID (TIDs) – списка стандартных подходов, методик и процедур (TTP), которая встроена в VMware Carbon Black Cloud. Используя фреймворк MITRE ATT&CK заказчики могут искать в VMware Carbon Black Cloud конкретные TTP на основе методик MITRE ATT&CK, выявляя потенциальные угрозы и области улучшения в информационной безопасности.
Также VMware Carbon Black интегрирован с Microsoft Windows Anti-Malware Scanning Interface (AMSI), что улучшает контроль за ситуацией в инфраструктуре за счёт расшифровки обфусцированных команд. Благодаря этой интеграции заказчики смогут обеспечить прозрачность того, что выполняется интерпретаторами скриптов вроде PowerShell. Также заказчики смогут анализировать постоянно собираемую информацию об активности конечных точек и создавать собственные методики обнаружения на основе данных от AMSI, утверждают в VMware.
Со слов разработчика, VMware Carbon Black обеспечит перехват вредоносного ПО на Linux-машинах. Это особенность позволит клиентам мигрировать с других решений, созданных исключительно для Linux, и консолидировать свои программы для обеспечения безопасности. Пользователи платформы VMware Carbon Black Cloud смогут обеспечить комплексную защиту всех основных операционных систем — Windows, Mac и Linux.
