В 2019 году VMware объявила о крупнейших приобретениях в своей истории. Одним из них стала Carbon Black – компания, которая занималась разработкой систем безопасности нового поколения, предназначенных для облачных платформ. Цель этой покупки была видна невооруженным взглядом: лидер сегмента виртуализации стремился закрыть бреши в безопасности конечных точек.

Carbon Black

К моменту сделки с VMware история Carbon Black насчитывала 16 лет. Компания была основана в 2002 году и занималась разработкой средств защиты от вредоносных программ и решений для аудита корпоративных хардверных инфраструктур. Рынок этот весьма непрост: в конкурентах у Carbon Black оказались такие гиганты, как Symantec или Fortinet. Правда, во второй половине 2010-х годов на нем случилось сразу несколько заметных поглощений.

Не стала исключением и Carbon Black. Она находилась в особых отношениях сразу с двумя гигантами, VMware и IBM, и откровенно занималась поиском путей продажи своего бизнеса. Для этого даже были наняты консультанты из Morgan Stanley. Не исключено, что выход компании на биржу был одной из мер, стимулирующих будущих инвесторов. Как бы то ни было, но в начале прошлого года сделка была завершена и Carbon Black стала частью VMware.

VMware Carbon Black Cloud

Сделка была необходима и самой VMware, и Carbon Black. Первая нуждалась в собственном решении, обеспечивающем комплексную безопасность, а для решения Carbon Black Cloud давно требовалось удобное средство развертывания.

Здесь важно упомянуть об одной особенности Carbon Black. Дело в том, что это решение развертывается не на гипервизоре (для него у VMware и раньше было собственное решение, App Defence), а на более низком уровне – в качестве агента в гостевой сети. И переход под крыло гиганта виртуализации помог решить серьезную проблему, связанную с развертыванием решения. Теперь оно стало гораздо проще, осуществить его можно через VMware Tools, что, заодно, упрощает и настройку решения.

Немного философии

Разработчики Carbon Black Cloud исходят из простого посыла: каждое пользовательское устройство в нынешний мобильный век становится элементом периметра компании. Получив контроль над ним, злоумышленники захватывают плацдарм для последующего штурма инфраструктуры. А значит, и защищать всю инфраструктуру нужно на конечных точках, будь это рабочая станция или мобильное устройство, имеющее доступ к корпоративным системам.

Но отнимать и без того ограниченные вычислительные мощности пользовательских устройств для того, чтобы проанализировать угрозы – слишком дорогое удовольствие. Поэтому агенты решения только мониторят обстановку и, если сталкиваются с проблемами, мгновенно докладывают в «командный» центр – облако. И все дальнейшие действия, необходимые для защиты, предпринимаются уже оттуда.  

Как работает VMware Carbon Black Cloud

Отличительная черта Carbon Black Cloud – комплексный характер решения. Оно предлагает защиту сразу на четырех уровнях. Это – антивирус, средства проактивного обнаружения атак на конечные точки пользователей, система мониторинга новых угроз и решение для аудита системы для обнаружения уязвимостей и исправления ошибок в конфигурации. 

Если большинство других решений, контролируя приложения, исходят из норм, которые характеризуют их нормальную работу, то Carbon Black фокусируется как раз на аномалиях. Решение анализирует их, определяет угрозы и ищет пути их устранения.

Такой сценарий позволяет не только бороться с известными угрозами, но и вести предиктивную защиту, предотвращая кастомизированные атаки, которые готовятся «в расчете» на конкретную жертву. 

Carbon Black Cloud ведет постоянный мониторинг, выдает предупреждения при выявлении атак и даже визуализирует их цепочки в панели управления. Системные администраторы при этом в прямом режиме могут видеть и ход атаки, и ее источник. А значит – блокировать нападение, а не бороться с его последствиями.

Схема работы Carbon Black Cloud проста. Агенты решения (Carbon Black Cloud Sensor) развертываются на рабочих станциях в инфраструктуре предприятия и начинают вести мониторинг. При обнаружении угрозы данные о ней отсылаются в облако VMware Carbon Black Cloud (в нем, кроме того, хранятся и постоянно обновляются данные о возможных угрозах). Здесь в дело включается аналитика, которая проверяет данные о зафиксированном агентами аномальном поведении приложений. 

Если информация об угрозе не подтверждается, то сигнал просто фиксируется в журнале. Если же система обнаруживает соответствие данных об атаке другим ее признакам, то решение мгновенно вводит в действие сценарий реагирования: удаляет приложение или приостанавливает его работу, помещает устройство в карантин и т. п.)

Такой алгоритм работы Carbon Black оказывается наиболее эффективным в борьбе с бесфайловыми удаленными атаками, угрозами класса ransomware (то есть, троянами-вымогателями) и, конечно, атаками, сценарии которых разрабатываются «под конкретные условия» и с расчетом на конкретных жертв.

Carbon Black оказалась для VMware настоящей находкой. Теперь компания может обеспечить своим заказчикам защиту на всех уровнях: «сверху», на уровне инфраструктуры – при помощи VMware App Defence, и «снизу» – на уровне пользовательских устройств - с использованием Carbon Black. Преступника видно по его нехарактерным действиям и повадкам. Умение их обнаружить – и есть главная фишка VMware Carbon Black. Несмотря на то, что данное ПО в России пока не продается, надеемся, что совсем скоро оценить его преимущества сможет каждый.