VMware AppDefense добавляет еще один уровень безопасности в виртуализированные среды.
VMware объявила о своем новом сервисе AppDefense на конференции VMworld 2017, целью которого является упрощение безопасности в виртуализированных средах. VMware AppDefense — это продукт для обеспечения безопасности конечных точек центра обработки данных, созданный для защиты любых приложений, работающих в виртуализированных средах. Он работает, понимая, как должно работать приложение, отслеживая любые изменения в предполагаемом состоянии, которые могут сигнализировать о нарушении безопасности, а затем автоматически реагируя. В отличие от большинства других программ защиты от вредоносных программ, AppDefense фокусируется на том, работает ли запущенное приложение должным образом. VMware определяет это как «обеспечение хорошего» вместо «преследования плохого» на конечных точках центра обработки данных.
AppDefense работает уже два года, перенося акцент безопасности с серверов и инфраструктуры на приложения и данные. Том Корн, старший вице-президент по продуктам безопасности в VMware, сказал TechRepublic, что «идея исходит из одного центрального вопроса: «Можете ли вы взглянуть на инфраструктуру через призму приложения — что вы действительно пытаетесь защитить?» ”
Конечно, сегодня предприятия еще больше инвестируют в свою безопасность, поскольку существует бесконечный шквал вредоносных программ, готовых заразить ваши машины. Из-за этого технологические компании, такие как VMware, работают над новыми продуктами, чтобы уменьшить потенциальные угрозы, с которыми приходится сталкиваться клиентам.
AppDefense был запущен после того, как ряд вредоносных угроз кибербезопасности неуклонно растет, таких как атаки программ-вымогателей WannaCry, которые угрожали сотням тысяч компьютеров, в том числе в крупных корпорациях.
Возможности VMware AppDefense
Хотя AppDefense утверждает, что не создает много предупреждений, у него есть ориентированные на приложения предупреждения для Центра операций безопасности (SOC), когда они необходимы.
Согласно их сайту, редкие, но важные оповещения, которые создает AppDefense, вместе с его системой автоматического реагирования «позволяют SOC сосредоточиться на обнаружении и устранении угроз из своей среды, а не на просеивании зашумленных данных и расследовании угроз, которых там нет. ».
AppDefense также помогает группам безопасности не теряться и не узнавать о новом приложении слишком поздно, создавая «общий источник достоверной информации между группами приложений и группами безопасности». Это помогает сделать приложения более безопасными за счет улучшения связи и проверок готовности.
Одним из основных преимуществ этого сервиса является то, что он может понять предполагаемое состояние приложения изнутри гипервизора vSphere, зная, как должны вести себя конечные точки центра обработки данных. Эта интеллектуальная информация позволяет VMware AppDefense мгновенно узнавать об изменениях, помогая определить, какие из них являются угрозами.
AppDefense также имеет автоматические ответы с использованием vSphere и VMware NSX, в том числе возможность блокировать взаимодействие процессов, приостанавливать или выключать конечную точку, а также создавать моментальные снимки конечной точки для судебного анализа.
Конечно, если бы сам AppDefense был скомпрометирован, это не было бы отличным дополнением к безопасности. Однако AppDefense устанавливается в гипервизор vSphere, поэтому он может постоянно отслеживать конечные точки центра обработки данных, оставаясь в изолированной защищенной среде.
Как работает VMware AppDefense?
Хотя в продукты VMware уже встроено несколько функций безопасности, AppDefense создан специально для защиты виртуальных машин. Это достигается путем понимания состояния подготовки и состояния выполнения любых приложений. По словам Корна, затем он работает, чтобы выяснить, каково предполагаемое поведение или цель этих приложений.
Идея заключается в том, что если модель безопасности может правильно предсказать ожидаемое поведение приложения, то она сможет лучше определить любые угрозы и «уменьшить поверхность атаки». После обнаружения предполагаемого поведения и состояния AppDefense может лучше обнаруживать любое нежелательное поведение.
Если VMware AppDefense считает, что приложение или операционная система подверглись заражению, продукт автоматически реагирует с помощью vSphere и NSX.
Старший главный аналитик и основатель службы кибербезопасности ESG Джон Олтсик объяснил в пресс-релизе VMware: «Уделяя особое внимание предполагаемому поведению в состоянии, AppDefense предлагает продуктивную альтернативу традиционной безопасности приложений и конечных точек».
Олцик пояснил, что VMware AppDefense «смещает акцент с простой защиты виртуальной инфраструктуры на использование возможностей vSphere в качестве творческих улучшений для приложений и безопасности инфраструктуры».
По словам Корна, потенциальные ответы этой службы варьируются от ее моментального снимка, помещения в карантин, повторного создания образа или вставки новых элементов управления. Кроме того, с момента запуска AppDefense предлагается множество различных возможных интеграций, включая IBM Security, RSA, CarbonBlack, SecureWorks и Puppet. Для получения дополнительной информации об интеграции каждой компании ознакомьтесь с пресс-релизом VMware.
Хотя некоторые люди могут сказать, что AppDefense — это то же самое, что и сторонний продукт от Bromium, разница в том, что такие продукты, как Bromium, работают вместе с виртуальными машинами, тогда как AppDefense находится внутри них.
Технология машинного обучения
По сути, технология машинного обучения AppDefense помогает виртуальной машине научиться правильному поведению, чтобы распознавать и предотвращать попытки злоумышленников. После того, как AppDefense узнает, как должно вести себя программное обеспечение, определенные пакеты могут запускаться на виртуальной машине без каких-либо проблем, но любое программное обеспечение, действия которого отличаются от ожидаемых виртуальной машиной, будет перенаправлено на другую виртуальную машину, где оно могут быть тщательно проверены и защищены.
Кроме того, если программное обеспечение работает очень далеко от нормы, оно вообще не будет запущено. Тем не менее, пользователи должны убедиться, что они запускают приложение в режиме мониторинга в течение нескольких недель, чтобы дать ему достаточно времени, чтобы изучить типичное поведение программного обеспечения, прежде чем полагаться на него.
Корн объясняет, что просто VMware хотела бы сделать для вычислений то, что микросегментация сделала для сети. «Чтобы иметь возможность сказать, — объясняет он, — для данного приложения должны происходить только эти вещи и ничего больше».
Хотя это было не так давно, первые последователи кажутся счастливыми. Директор по инфраструктуре и глава службы безопасности Межконфессионального медицинского центра Кристофер Френц сказал Fortune, что он «доволен тем, что он увидел при тестировании AppDefense», потому что он «преднамеренно настроил веб-сервер с известными уязвимостями и наблюдал, как это программное обеспечение останавливает их. ”
Использование VMware AppDefense вместе с ранее существовавшими функциями в сетевых продуктах NSX и хранилищах данных VSAN должно значительно повысить безопасность виртуальных машин. По сути, вы не можете полагаться только на AppDefense, но это новый и важный игрок в борьбе за безопасность. Только время покажет нам наверняка, насколько точно он предотвращает вредоносное ПО и атаки.