Компания Intel Security (McAfee) объявила о разработке новой базовой технологии Data Exchange Layer (DXL) – обмена сообщениям безопасности между разными средствами защиты, установленными в корпоративной сети. Намечено обеспечить двусторонний обмен информацией между всеми этими средствами. Основная цель их взаимодействия – автоматизация реакции корпоративной системы защиты на вредоносные воздействия.
Томас Максейнер, директор и специалист по корпоративным технологиям Intel Security в регионе EMEA, отмечает, что, анализируя файлы, антивирус фиксирует по каждому из них примерно 40 характеристик. Они сохраняются в центральном хранилище шины Threat Intelligence Exchange (TIE) и передаются всем «подписчикам», среди которых могут быть системы корреляции событий, обнаружения вторжений и межсетевые экраны, которые анализируют разные поля файла для определения подозрительной активности. Если что-то пошло не так, антивирус получает команду вычистить на компьютере вредоносные файлы, а межсетевой экран – сигнал о необходимости заблокировать порты для предотвращения дальнейшего распространения заразы.
Сама Intel Security уже предлагает некоторые компоненты для построения такой автоматизированной системы защиты. Это – анализатор поведения кода в виртуальной среде Advanced Threat Defense (ATD), собственная система корреляции событий Advanced Correlation Engine (ACE), собственная репутационная база по файлам, IP- и почтовым адресам Global Threat Intelligence (GTI) и др.
Для демонстрации возможностей технологии компания организовала демо-центр в Амстердаме, в котором все компоненты защиты информационной системы Intel Security интегрированы и настроены на совместную эффективную работу. В демо-центре специалисты Intel Security готовы показать, как именно реагирует инфраструктура, основанная на DXL, на самые сложные неизвестные угрозы, с которыми может столкнуться предприятие при целевой атаке. Система не только оперативно выявляет подозрительное программное обеспечение, но и анализирует пути его проникновения в информационную систему и пытается локализовать дальнейшее распространение вредоносного ПО.
Собственно, Intel Security наметила три фазы внедрения DXL на рынке: сначала все собственные продукты компании будут переписаны ее разработчиками с использованием этой технологии, затем будет предложено поддержать DXL членам альянса Security Innovation Alliance, в который входят 160 компаний, и, наконец, поддержать технологию предложат пятёрке наиболее крупных производителей средств защиты. Первый из этих этапов уже начался, ко второму планируется перейти еще до конца текущего года, а к третьему – в середине следующего.
Если компания сумеет реализовать этот план, рынок информационной безопасности сильно изменится, поскольку клиенты смогут создавать автоматизированные системы защиты, компоненты которых будут прозрачно интегрироваться друг с другом. К слову, ранее создавать универсальную шину взаимодействия средств защиты пытались минимум две компании – Check Point и Microsoft, но их решения оказались замкнутыми в рамках собственной инфраструктуры. У Intel Security есть опыт продвижения на рынке ее технологических решений как «стандартной архитектуры», однако пока трудно оценить реалистичность новых планов компании.