vmware carbon black что это

VMware Carbon Black Cloud

*2021: Единый фронт обороны. Облачная платформа для комплексной защиты конечных устройств VMware Carbon Black

Непрерывный рост угроз для корпоративных информационным систем ведет к наращиванию «арсенала» различных средств безопасности. На апрель 2021 года практически невозможно встретить компанию, которая пользуется, к примеру, лишь антивирусами. По данным исследовательской группы ESG Research почти 50% организаций использует не менее 25 (!) различных средств защиты. Очевидно, что в такой ситуации нарастают проблемы другого порядка. Как обеспечить оркестрацию этой армии разнородных систем? Где найти столько специалистов (и сколько же им надо платить), чтобы обслужить эти системы? Как разобраться, какое из оповещений и в какой системе является показателем атаки и принять адекватные меры? Как быть с тем, что производительность конечных устройств с ростом числа средств защиты все время падает и приходится постоянно докупать вычислительные мощности?

Таким образом, обратной стороной изобилия средств безопасности является существенные финансовые затраты, непомерная нагрузка на информационную систему и «замыливанние» реальных инцидентов.

Упростить и консолидировать

Естественной и закономерной реакцией на сложившуюся ситуацию должно было неизбежно стать появление простого и универсального продукта, способного препятствовать всем типам современных внешних атак, легко устанавливаемого и управляемого, не перегружающего корпоративные мощности. И такое решение было предложено компанией Carbon Black, которая в 2019 года стала частью в корпорацию VMware. Это решение для защиты от передовых киберугроз, причем как текущих, так и будущих. Его достаточно развернуть и настроить один раз, чтобы больше уже не возвращаться к теме установки, однако сами политики и события проверять нужно регулярно.

Что представляет собой Carbon Black Cloud

Решение Carbon Black Cloud предупреждает о появлении любой подозрительной активности на конечном устройстве, например, попытки программы открыть другое приложение. В числе таких активностей:

Если в ходе мониторинга становится очевидно, что идет попытка выполнения злонамеренных действий, при попытке запуска вредоносного ПО все эти приложения блокируются.

Архитектура Carbon Black Cloud

Консоль управления Carbon Black Cloud работает на облачной платформе, где для пользователя доступны единый компактный агент, одна удобная облачная консоль и содержится полный набор конечных устройств. Такой подход кардинально отличается от применения множеств средств защиты, с необходимостью настройки для каждого из них отдельных конфигураций и политик.

Данные конечных устройств при этом можно использовать во всех средствах и службах VMware Carbon Black, а блогодаря интеграции и в продуктах других производителей. Таким образом создается единый источник достоверных данных для системы безопасности на всех уровнях.

Платформа легко масштабируется и непрерывно развивается, обеспечивая адекватную защиту от постоянно расширяющегося числа и типов угроз. При изменении требований добавление новых служб осуществляется быстро и легко, без необходимости дополнительных капитальных вложений или развертывания новых агентов.

Эта система также значительно упрощает процесс ведения отчетности.

Объединение аналитики об угрозах и поведенческой системы защиты

Уникальная возможность Carbon Black «понимать» и анализировать на основе машинного обучения методы работы и шаблоны поведения злоумышленников позволяет обнаруживать и предотвращать не только известные, но и абсолютно новые кибератаки. Платформа также дает наглядное представление о том, как эти атаки развиваются со временем. Для формирования такой поведенческой аналитики идет непрерывный сбор и нормализация данных с конечных устройств.

Запись данных реализована во многих средствах безопасности. Однако этот процесс, как правило, начинается только с момента обнаружении подозрительной активности. Это приводит к игнорированию важных данных о предыдущей активности или состоянии информационной среды, которые особенно важны для установления новой причины проблемы или шаблонов новых атак.

В отличии от такого ограниченного подхода Carbon Black непрерывно отслеживает активность конечных устройств, формируя полный и достоверный контекст, который анализирует с использованием методов машинного обучение и поведенческих моделей. Благодаря этому Carbon Black может обнаружить вредоносную активность, исходя из шаблонов и индикаторов угроз, анализа первопричин их появления – всех тех данных, которые недоступны для традиционных антивирусов.

Решение VMware Carbon Black Cloud способно обеспечить детальную визуализацию цепочки развития атаки, давая всестороннее представление о прошлых и текущих действиях. Это позволяет устранить пробелы и «слепые зоны» систем безопасности, повысить скорость восстановления.

Очевидно, что, используя разрозненные средства безопасности, такого результата добиться невозможно. Это усложняет понимание всей картины активностей на конечных устройствах, отрывает время работы специалистов на сбор данных из нескольких систем.

Визуализация имеет огромное значение в ситуациях, когда необходим быстрый и четкий доступ к данным, превентивный поиск и оперативное устранение угроз. Отражение точных данных о текущем состоянии всех устройств дает возможность немедленно изолировать зараженные системы, удаленно подключиться к защищенной командной строке, собрать данные об атаке и последствиях инцидента, чтобы реализовать сценарии для их полного устранения.

Нередко случается, что Службы безопасности и ИТ-службы представляют собой два разных, слабо связанных между собой подразделений. В этом случае совместно используемые инструменты визуализации помогают сформировать единый подход к пониманию и устранению проблем, упрощая взаимодействие для более эффективной работы по предотвращению угроз информационной безопасности.

Единая среда управления политиками безопасности

В Carbon Black реализованы инструменты настройки политик безопасности, в соответствии с корпоративными требованиями. В рабочей среде можно формировать индивидуальные политики контроля для отдельных рабочих групп, разные требования к безопасности конечных устройств, определять периодичность обновления, настройки запуска и способы обработки событий.

Интеграция с другими средствами безопасности

Облачная платформа Carbon Black имеет открытые API-интерфейсы, что дает возможность интеграции с любыми другими действующими в компании корпоративными средствами безопасности. Это дает мультипликативный эффект, преумножая общий уровень безопасности компании, сокращая риски и время простоя. Существуют уже готовые интеграционные механизмы для продуктов IBM, Splunk, LogRhythm, и многих других, в том числе с такой популярной SIEM-платформой, как IBM QRadar.

Открытые API-интерфейсы также помогут в создании кастомизированных панелей мониторинга и отчетности, при формировании новых или изменения существующих процессов обеспечения безопасности.

Как оценили Carbon Black Cloud в Forrester

Одна из самых авторитетных международных исследовательских групп – Forrester в мае 2020 года проанализировала практические результаты использования VMware Carbon Black Cloud, поведя опрос 34 представителей крупных и средних компаний из разных индустрий. Удалось выяснить, что время окупаемости продукта не превысило 3 месяцев, рентабельность инвестиций составила 375%, на 15 часов в среднем снизилось время рассмотрения одного инцидента. Совокупная прибыль опрошенных компаний за счет применения VMware Carbon Black Cloud за 3 года выросла на 3,65 млн. долл., в том числе и за счет отказа от менее эффективных решений.

Общий экономический эффект (Total Economic Impact™) решения VMware Carbon Black Cloud можно прочитать в отчете.

2020: Автоматизированная корреляция с фреймворком Mitre ATT&CK и планируемый охват для Linux-машин

19 марта 2020 компания VMware представила обновленное решение VMware Carbon Black Cloud. VMware представила автоматизированную корреляцию фреймворка MITRE ATT&CK Technique ID (TIDs) – списка стандартных подходов, методик и процедур (TTP), которая встроена в VMware Carbon Black Cloud. Используя фреймворк MITRE ATT&CK заказчики могут искать в VMware Carbon Black Cloud конкретные TTP на основе методик MITRE ATT&CK, выявляя потенциальные угрозы и области улучшения в информационной безопасности.

Также VMware Carbon Black интегрирован с Microsoft Windows Anti-Malware Scanning Interface (AMSI), что улучшает контроль за ситуацией в инфраструктуре за счёт расшифровки обфусцированных команд. Благодаря этой интеграции заказчики смогут обеспечить прозрачность того, что выполняется интерпретаторами скриптов вроде PowerShell. Также заказчики смогут анализировать постоянно собираемую информацию об активности конечных точек и создавать собственные методики обнаружения на основе данных от AMSI, утверждают в VMware.

Со слов разработчика, VMware Carbon Black обеспечит перехват вредоносного ПО на Linux-машинах. Это особенность позволит клиентам мигрировать с других решений, созданных исключительно для Linux, и консолидировать свои программы для обеспечения безопасности. Пользователи платформы VMware Carbon Black Cloud смогут обеспечить комплексную защиту всех основных операционных систем — Windows, Mac и Linux.

Источник

Endpoint, Workload, & Container Protection Platform VMware Carbon Black Cloud

Transform your security with intelligent endpoint and workload protection that adapts to your needs.

Cloud Native Security that Adapts to Your Needs

Maturing Security into Resiliency

A quiet sea change is occurring that fundamentally embeds security integrity into IT by design. Through this, the Security Operations Center can achieve a more resilient posture to defend their infrastructure against the constantly evolving threat landscape.

Security Innovation

Cyberattacks continue to grow more sophisticated and prolific in numbers while teams are being asked to secure a highly distributed organization. Advancements in security technology play a critical role in defending organizations from advanced threats.

Advanced Cybersecurity Fueled by Behavioral Analytics

Modernize Your Endpoint Protection

Legacy approaches to prevention leave organizations exposed. Cybercriminals constantly update tactics and obscure their actions within common tools and processes. You need an endpoint platform that helps you spot the minor fluctuations that hide malicious attacks and adapt prevention in response.

Recognizing the Good, the Bad and the Gray

While other endpoint security products only collect a dataset related to what is known bad, we continuously collect endpoint activity data because attackers intentionally try to look normal to hide their attacks. Analyze attackers’ behavior patterns to detect and stop never-seen-before attacks.

Attackers Bypass Traditional Endpoint Security

Most of today’s cyberattacks now encompass tactics such as lateral movement, island hopping and destructive attacks. Advanced hacking capabilities and services for sale on the dark web compound the issue. These realities pose a tremendous risk to targets with decentralized systems protecting high-value assets, including money, intellectual property, and state secrets.

Simplify Your Security Stack

VMware Carbon Black Cloud consolidates multiple endpoint security capabilities using one endpoint agent and console, cutting the management headaches and console thrashing required when responding to potential incidents. Minimize downtime responding to incidents and return critical CPU cycles back to the business.

Источник

Виртуализация vSphere, Hyper-V, Xen и Red Hat

Более 5540 заметок о виртуализации, виртуальных машинах VMware, Microsoft и Xen, а также Kubernetes

VM Guru / Articles / Обеспечение безопасности рабочих станций корпоративной инфраструктуры с помощью VMware Carbon Black

Обеспечение безопасности рабочих станций корпоративной инфраструктуры с помощью VMware Carbon Black

Автор: Александр Самойленко
Дата: 20/07/2020

В октябре прошлого года компания VMware объявила о покупке компании Carbon Black, занимающейся информационной безопасностью на уровне облака (cloud-native endpoint protection platform, EPP). Решение это позволяет обнаруживать угрозы на стороне рабочих станций, анализировать их на стороне облака и предпринимать действия по защите инфраструктуры десктопов предприятия. Это не антивирус, не сетевой экран, а комплексное средство, анализирующее работу приложений и сетевых соединений на рабочих станциях и делающее выводы о наличии тех или иных подозрительных активностей. То есть, эта штука позволит бороться как с zero-day угрозами, так и с кастомными атаками, разработанными под конкретное предприятие.

При этом покупка Carbon Black компанией VMware дала еще вот какой позитивный эффект: если раньше для Carbon Black требовался легковесный, но все же агент, то теперь развертывание этих функций доступно через VMware Tools, а значит снимаются вопросы по отдельным рабочим процессам обслуживания агентов. Поэтому недаром VMware заплатила больше двух миллиардов долларов за такой актив.

Давайте же посмотрим, как это все работает. Решение Carbon Black предназначено для операций в четырех сферах:

Происходит это в рамках следующего рабочего процесса:

При этом, как вы видите, в процессе эксплуатации решения Carbon Black администраторы также взаимодействуют с платформами Workspace ONE UEM и ONE Intelligence.

CB оказывается наиболее эффективным решением при обнаружении атак типа ransomware, бесфайловых удаленных атак и прочих сложных вещах, которые иногда разрабатываются для атаки конкретной корпорации.

В видео ниже показан пример VMware по симуляции ransomware-атаки и ее отработки решением Carbon Cloud:

Давайте посмотрим, что происходит в этом примере, чтобы наглядно понять назначение решения CB. Итак, запускается симулятор атаки, и тут же происходит блокировка данного malware:

Далее на компьютере пользователя происходит регистрация подозрительной dll-библиотеки, что через несколько секунд отлавливается со стороны Carbon Black:

В это же самое время команде ИТ-безопасности отправляются нотификации о том, на каком устройстве произошла подозрительная активность, и публикуется ссылка на описание проблемы. Удобнее всего здесь использовать интеграцию со Slack:

В качестве реакции на такую активность в гостевой ОС можно настроить помещение устройства на карантин, что означает полное отключение его от сети и коммуникация с ним только через UEM API.

Если перейти по ссылке из нотификации в Slack, то администратор увидит подробное хронологическое описание событий, составляющих сущность атаки:

Также в описании каждого из опасных событий указано, что данная операция была заблокирована со стороны CB (в том числе все попытки сетевой коммуникации после помещения устройства на карантин):

В разделе Alerts администратор сможет увидеть все события в агрегированном виде, относящиеся к конкретной атаке:

Отсюда можно инициировать «расследование» происходящего, которое позволит визуализовать дерево событий, которые происходили (в том числе и IP-адреса назначения):

В разделе Endpoints видны все рабочие станции и их статус. Мы видим помещенные на карантин устройства и можем выполнять с ними различные действия:

Например, можно зайти в раздел Live Response, где можно в консоли выполнить нужные команды (например, редактировать раздел автозагрузки гостевой ОС):

В консоли VMware Workspace ONE UEM также видно, что устройство помещено на карантин:

Таким же образом, используя UEM API, можно послать письмо администратору, создать тикет в ServiceNow или послать нотификацию в Slack.

Таким образом, связка решений VMware Workspace ONE UEM + ONE Intelligence + Carbon Black обеспечивает эффективную защиту инфраструктуры предприятия от различных угроз, которые обычно не замечаются антивирусами и сетевыми экранами (например, кастомные атаки на инфраструктуру конкретной компании). Кроме того, интеграция CB с решением VMware NSX позволяет обеспечить и защиту сетевой среды и всех соединений, а не только работать с уровня гостевой ОС.

При этом, согласно рекомендациям VMware, использование Carbon Black дополняет решение AppDefence, которое работает на более высоком уровне и на стороне датацентра интегрируется с решениями семейства vRealize. Но, видимо, в конечном итоге оба продукта будут объединены в какое-то более общее единое решение.

Чтобы оставлять комментарии, вы должны быть зарегистрированы на сайте.

Вебинары VMC о виртуализации:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

Источник

Cloud Container Protection VMware Carbon Black Container

Enable continuous visibility, container security, and compliance for the full lifecycle of Kubernetes applications for any public cloud or on-premise deployment.

Automate DevSecOps with Full Lifecycle Container Security

Bridging the Developer and Security Divide

Collaboration recommendations for IT, development, and security teams

Security Hygiene for DevOps

Security needs to be an inherent part of the DevOps process and automated during development so you can deploy quality applications faster.

Full Lifecycle Container Security at the Speed of DevOps

Complete Visibility into Kubernetes Security Posture

Provide the visibility and control that Application Security and DevOps teams need to secure Kubernetes clusters and the applications deployed on them.

Scan Container Images for Vulnerabilities at Build

Provide visibility into all containers running in production and ensure they have been scanned to enforce security policies. Restrict registries and ensure only approved images are deployed to production.

Automate and Customize Compliance Policy

Create automated, customizable policies to enforce secure configuration and ensure compliance with organizational requirements and industry standards such as CIS benchmarking.

Governance & Enforcement

Enforce policies from build to deployment to detect vulnerabilities and misconfigurations and prevent them from being deployed to production. Focus on the most severe risks to Kubernetes environments.

Use Cases

Kubernetes security posture management

Planning your security strategy starts with understanding your environment. This requires visibility into running workloads, how they are configured, and how your Kubernetes environment is configured. You also need to prioritize the risk associated with each workload to effectively focus your remediation efforts. How can you gain situational intelligence and simplify your Kubernetes security posture management?

Workload visibility and hardening

Kubernetes continues to gain traction as the leading open-source platform for managing containerized workloads and services. However, the increased agility, portability and scalability are juxtaposed with susceptibility to vulnerabilities specific to Kubernetes environments. Gain insights into the vulnerabilities, how they came to be, and mistakes to avoid – all to help you strengthen your security posture.

Container image scanning and vulnerability management

When you secure apps early in development, you reduce vulnerabilities in production. Learn how to integrate security into your DevOps processes to easily deploy quality apps faster.

Automate container builds, sourcing, scanning and guardrails. Get visibility into your security posture across Kubernetes clusters and Dev teams. Prioritize remediation based on risk profiles and increase efficiency.

Источник