deep discovery - Arrow ECS Brasil

Trend Micro™
DEEP DISCOVERY
Detecção, análise detalhada e resposta rápida a ataques direcionados
As Ameaças Avançadas Persistentes (APTs) e os ataques direcionados já provaram sua
habilidade em escapar das defesas convencionais de segurança, permanecendo ocultos
por longos períodos e extraindo dados corporativos e propriedade intelectual. Analistas
e especialistas reconhecem essas questões e recomendam que as grandes empresas
redefinam suas políticas de segurança, adotando tecnologias especializadas na detecção
de ameaças e processos proativos de gestão de ameaças em tempo real.
O Trend Micro™ Deep Discovery 3.2 oferece visibilidade, insight e controle para
combater as APTs e os ataques direcionados. O Deep Discovery detecta e identifica
ameaças evasivas em tempo real. Em seguida, fornece análise detalhada e inteligência
acionável para você descobrir, corrigir e se defender dos ataques direcionados à sua
empresa.
O Deep Discovery está no centro da Defesa Personalizada Trend Micro: uma solução
completa que permite a você detectar, analisar, adaptar e responder aos ataques
direcionados contra sua empresa. Os mecanismos especializados de inspeção do Deep
Discovery e a simulação de "sandbox” personalizada identifica malwares de dia-zero,
comunicações maliciosas e atividades de invasores, invisíveis para as defesas de
segurança tradicionais. A análise profunda, contenção e remediação utilizam uma
inteligência relevante de ameaças, dando visibilidade sobre os eventos de segurança em
toda a rede. Além disso, é possível exportar atualizações de segurança para proteger
contra futuros ataques.
DETECTA E PROTEGE CONTRA
• Ataques direcionados e APTs
• Exploits de documentos e malware de
dia-zero
• Atividade de invasores na rede
• Ameaças da web (exploits, downloads
automáticos)
• Ameaças em emails (phishing,
spear-phishing)
• Extração de Dados
• Bots, cavalos de Troia, worms, keyloggers
• Aplicativos disruptivos
PRINCIPAIS BENEFÍCIOS
Detecção de Ataques Direcionados e APTs
Reduz o risco de danos e perda de dados
causados pelas APTs
Visibilidade em Toda a Rede
Revela e rastreia sua verdadeira postura
de segurança
Análise de Contexto em Profundidade
Identifica totalmente ameaças e fatores
de risco
Rápida Contenção e Resposta
Agiliza a recuperação com inteligência
acionável e exportações de atualização
de segurança
Base para uma Defesa Personalizada
Combate as ameaças direcionadas a você
utilizando simulações "sandbox ", inteligência
e atualizações personalizadas
A solução Deep Discovery possui dois componentes. O Deep Discovery Inspector fornece
inspeção de tráfego de rede, detecção de ameaças avançadas, análises e relatórios em
tempo real. O Deep Discovery Advisor, opcional, fornece análises abertas de "sandbox"
personalizadas e escaláveis, visibilidade sobre os eventos de segurança em toda a rede e
exportações de atualizações de segurança. Tudo em uma plataforma de inteligência
unificada.
PÁGINA 1 DE 4 • FICHA TÉCNICA • DEEP DISCOVERY 3.2
Deep Discovery Inspector
O Deep Discovery Inspector fornece inspeção de tráfego de rede, detecção avançada de ameaças, análises e relatórios em tempo real –
tudo com o objetivo de detectar APTs e ataques direcionados. O Deep Discovery Inspector utiliza um esquema de detecção de 3 níveis:
detecção inicial, simulação e correlação de ”sandbox” e, por último, uma correlação final para descobrir atividades evasivas dos
invasores, perceptíveis apenas durante um período prolongado.
Mecanismos especializados de detecção e correlação fornecem a proteção mais precisa e atualizada, com o apoio da inteligência global
de ameaças da Trend Micro Smart Protection Network e de nossos Pesquisadores de Ameaças dedicados. Os resultados são: altas taxas
de detecção, baixos falsos positivos e informações detalhadas de comunicações de incidentes elaboradas para agilizar a contenção de
um ataque.
PRINCIPAIS CARACTERÍSTICAS
Detecção Avançada de Ameaças
O Deep Discovery Inspector se concentra
em identificar conteúdos, comunicações
e comportamentos maliciosos que
sinalizam a atividade de invasores ou
malwares avançados, em todos os
estágios de um ataque. Isso é feito com
uma inspeção não invasiva, só de escuta,
de todos os tipos de tráfego de rede.
• Mecanismos dedicados de ameaças e
regras de correlação multi-nível
fornecem a melhor detecção e
minimizam os falsos positivos
• O Virtual Analyzer utiliza simulação de
“sandbox” personalizada para fornecer
detecção adicional e análises forenses
completas de conteúdo suspeito
• A inteligência da Smart Protection
Network e pesquisadores de ameaças
dedicados fornecem inteligência de
detecção e regras de correlação
continuamente atualizadas para
identificar ataques
Acompanhamento da Ameaça, Análise
e Ação
O Deep Discovery Inspector fornece
visibilidade e análise detalhada da
ameaça em tempo real de uma forma
intuitiva, permitindo que os profissionais
de segurança se concentrem nos riscos
reais, realizem análises forenses e
rapidamente corrijam problemas.
PÁGINA 2 DE 4 • FICHA TÉCNICA • DEEP DISCOVERY 3.2
Console de Ameaças em Tempo Real
Fornece visibilidade de ameaças e
análises detalhadas
• Widgets de rápido acesso fornecem
informações críticas num relance
• Análises detalhadas de características,
comportamento e comunicações do
ataque
• O GeoTrack identifica as origens da
comunicação maliciosa
Watch List
A Watch List fornece monitoramento
focado no risco de ameaças de alta
gravidade e de recursos de alto valor
• Rastreamento focado em atividades
suspeitas e em eventos nos hosts
designados
• Hosts a serem rastreados
determinados pela detecção da ameaça
ou pela seleção do cliente
• Linha do tempo do evento rastreia as
atividades do ataque envolvendo os
hosts alvos
Threat Connect
O Threat Connect fornece a inteligência
de ameaça necessária para entender e
conter um ataque
• Acesso direto ao portal de inteligência
da Trend Micro para um ataque ou
malware específico
• Características detalhadas da ameaça;
recomendações de contenção e
remediação
• Orientação sobre um antivírus ou outra
atualização de assinatura disponível
para esta ameaça
Gerenciamento SIEM
A integração com as principais
plataformas SIEM proporciona melhor
gerenciamento de ameaças em toda a
empresa a partir de um único console
SIEM
• As detecções na rede, incidentes
confirmados e dados contextuais são
relatados ao SIEM
• A visibilidade profunda na rede reforça
a correlação e o perfil
multi-dimensional do ataque
• Gerenciamento e detecção de ameaças
em toda a empresa fornecido pelo SIEM
como o console central
Implementação Flexível de Alta
Capacidade
O Deep Discovery Inspector apresenta
uma arquitetura de alto desempenho
projetada para atender aos exigentes e
diversos requisitos de capacidade dos
clientes de todos os tamanhos. O
produto está disponível em diversos
hardwares, softwares e virtual
appliances suportando desde estruturas
corporativas multi-gigabit até escritórios
em locais remotos.
Deep Discovery Advisor
O Deep Discovery Advisor fornece análises abertas de
"sandbox" personalizadas escaláveis, visibilidade sobre
os eventos de segurança em toda a rede e exportações
de atualizações de segurança. Tudo em uma plataforma
de inteligência unificada.
O Advisor aumenta o poder de análise do Deep
Discovery Inspector e habilita uma proteção adaptável e
recursos de rápida resposta da Defesa Personalizada.
PRINCIPAIS CARACTERÍSTICAS
Threat Analyzer
O Threat Analyzer é um componente
opcional projetado para oferecer
simulações e análises profundas de
amostras de arquivos potencialmente
maliciosos, inclusive executáveis e
documentos comuns do escritório. Ele
pode aumentar e centralizar a simulação
do Deep Discovery Inspector e também
fornecer detecção e análises de
segurança avançadas para profissionais
ou para qualquer produto/serviço de
segurança, através de uma interface de
serviços aberta na web.
• A simulação e análise detalhada de
ameaças utilizam uma simulação
“sandbox” e outros mecanismos
avançados de detecção para classificar
e analisar profundamente os arquivos
enviados
• Os ambientes de execução de
“sandbox” personalizados permitem
que o cliente crie e analise imagens
alvo totalmente personalizadas que
correspondem precisamente aos seus
ambientes de host
• Arquitetura escalável suporta
capacidade adicional de até 50.000
amostras/dia
• Envios de amostras de forma manual,
automatizada e aberta suportam
envios por meio de analistas de
segurança e também “loopback”
automático dos produtos da Trend
Micro, de outros fabricantes ou de
produtos personalizados
• A integração com o Deep Discovery
Inspector e com outros produtos da
Trend Micro fornecem opções de
detecção e análise ampliadas para os
clientes
PÁGINA 3 DE 4 • FICHA TÉCNICA • DEEP DISCOVERY 3.2
Threat Intelligence Center
O Threat Intelligence Center é um
ambiente completo de análise para
dados de eventos vindos do Threat
Analyzer, além de eventos e registros de
segurança coletados do Deep Discovery
Inspector, de outros produtos Trend
Micro e de outros fabricantes. Utilizando
essas fontes e a inteligência integrada
do Threat Connect, o Threat Intelligence
Center fornece visualizações detalhadas
para conduzir avaliações, contenção e
remediação de incidentes baseadas em
risco.
• Análise detalhada dos incidentes e
eventos por meio de ferramentas
avançadas de análise, visualização,
investigação e busca
• Monitoramento e investigação focados
no risco
• A coleta de eventos/logs de segurança
em toda a rede da maioria dos
produtos da Trend Micro e de outros
fabricantes garante uma avaliação
completa dos riscos e medidas eficazes
de contenção e remediação
• A inteligência do Threat Connect é
automaticamente integrada aos
resultados da análise, fornecendo
características detalhadas das
ameaças e inteligência relevante ao
contexto para contenção e remoção
• O relatório centralizado do Deep
Discovery Inspector consolida os
resultados de detecção das múltiplas
unidades do Deep Discovery Inspector
em um único painel e em relatórios
personalizáveis
• Conexão com as principais plataformas
SIEM para um melhor gerenciamento
de ameaças em toda a empresa a partir
de um único console SIEM
Security Update Server
O Security Update Server fornece os
meios para exportar informações de
bloqueios úteis à segurança, obtidas a
partir da simulação do Threat Analyzer.
Essas informações incluem endereços
IP/URL recém identificados e códigos
“hash” de arquivos que podem ser úteis
para uma série de produtos de
segurança. O Deep Discovery Inspector
e alguns outros produtos da Trend Micro
recebem essas informações
automaticamente. As informações
também podem ser exportadas
manualmente através de arquivos CSF.
Como o Deep Discovery Funciona
O Deep Discovery foi projetado para detectar APTs e ataques direcionados:
identificando conteúdos, comunicações e comportamentos maliciosos que podem
sinalizar um malware avançado ou atividades de invasores em todos os estágios de um
ataque.
O Deep Discovery utiliza um esquema de detecção de 3 níveis: detecção inicial,
simulação e correlação personalizada, e uma correlação final para reduzir os falsos
positivos e descobrir atividades evasivas. Os mecanismos de detecção e regras de
correlação contam com a inteligência global de ameaças da Trend Micro Smart
Protection Network e Pesquisadores de Ameaças dedicados. Os resultados são: uma alta
taxa de detecção, baixos falsos positivos e uma detalhada inteligência de incidentes para
agilizar a contenção de um ataque.
DETECÇÃO DO ATAQUE
MÉTODOS DE DETECÇÃO
• Decodificação e descompressão de
arquivos anexados
• Simulação de “sandbox” de arquivos suspeitos
• Detecção de kits de exploit de navegadores
• Verificação de malware (Assinatura e
Heurística)
Conteúdo
Malicioso
• Emails contendo exploits em
documentos anexados
• Downloads automáticos
• Malwares conhecidos e de
dia-zero
Comunicação
Suspeita
• Comunicação de comando e
controle para todos os malwares,
bots, downloaders, ladrões de
dados, worms e ameaças
combinadas
• Análise de destino (URL, IP, domínio,
email, canal IRC, etc.) via blacklisting e
whitelisting dinâmicas
• Atividade backdoor por um atacante
• Regras de comunicação “fingerprints”
Comportamento
do Ataque
• Reputação de URL da Smart Protection
Network™
• Atividade de malware: propagação, • Análise heurística baseada em regras
download, spam, etc
• Identificação e análise de centenas
de protocolos e aplicativos, inclusive
• Atividade do invasor: escanear,
baseados em HTTP
força bruta, exploração de serviço
• Extração de Dados
SERVIÇOS DE GESTÃO DE RISCO
Os especialistas da Trend Micro aumentam
sua capacidade de resposta e conhecimento
de segurança com um monitoramento
proativo, remediação e serviços de
consultoria para maior redução de sua
exposição a riscos e custos de gerenciamento
de segurança.
ESPECIFICAÇÕES
Deep Discovery Inspector
• Modelo 1000: Hardware Appliance de 1 Gbps
• Modelo 500: Hardware Appliance de 500
Mbps
• Modelo VM: VMware Software Appliance
Hardware Appliance para
o Deep Discovery Advisor
• Podem ser agrupados em até 5 unidades
Uma Defesa Personalizada contra Seus Invasores
A detecção de ameaças personalizada do Deep Discovery está no centro de uma defesa
eficaz contra os ataques direcionados à sua empresa. Mas a Trend Micro também integrou a
detecção avançada de malware do Deep Discovery Advisor com produtos Trend Micro
selecionados para melhorar sua proteção nos estágios inicias de um ataque. Além disso,
para fornecer a proteção adaptável de uma defesa personalizada, os resultados detalhados
das análises do Deep Discovery Advisor são usados para atualizar os produtos Trend Micro,
reforçando imediatamente sua defesa contra futuros ataques.
• Análises personalizadas e detecção de ataque no nível da rede
• Soluções de segurança com detecção personalizada de malwares
• Atualizações de segurança personalizadas para proteção adaptável
• Inteligência acionável baseada numa análise de contexto completa para agilizar a resposta
©2012, Trend Micro Incorporated. Todos os direitos reservados. Trend
Micro e o logotipo Trend Micro t-ball são denominações comerciais ou
marcas registradas da Trend Micro Incorporated. Todos os outros nomes
de produtos ou empresas são denominações comerciais ou marcas
registradas de seus respectivos titulares. As informações contidas neste
documento estão sujeitas a alterações sem aviso prévio.
[DS01_DD3.2_121002_BR]
PÁGINA 4 DE 4 • FICHA TÉCNICA • DEEP DISCOVERY 3.2