FortiGuard jest zespołem wyszukującym i odpowiadającym na pojawiające się ciągle zagrożenia sieci. Team składający się z ponad  200 inżynierów bezpieczeństwa  i analityków zapewnia 24 godziny na dobę, 365 dni w roku pełną analizę aktualnych zagrożeń w Internecie. Ochrona klientów jest priorytetowym celem zespołu.

Od analizy do ochrony

FortiGuard używa wielu źródeł danych do gromadzenia informacji na temat złośliwego oprogramowania i licznych zagrożeń sieci. FortiGuard monitoruje urządzenia końcowe, które generują komunikaty opisujące nowe zagrożenia pojawiające się w sieci. Zespół Fortinet na postawie dogłębnej analizy tych danych tworzy i wdraża unikatowe szczepionki i sygnatury, które na bieżąco wysyła do urządzeń klientów.

Partnerzy: Partnerami FortiGuard są organizacje z całego świata, zarówno te prywatne jak i publiczne :

• CERT (Zespół ds. reagowania na przypadki naruszenia bezpieczeństwa teleinformatycznego) i CSIRT (Zespół ds. bezpieczeństwa komputerowego i reagowania na incydenty): FortiGuard współpracuje z zespołami CERT i CSIRT na całym świecie  regularnie wymieniając informacje na temat pojawiających się zagrożeń.
• FIRST (Forum Zespołów ds. Bezpieczeństwa i Reagowania na Wypadki): FIRST jest dużą grupą współpracującą z wieloma zespołami na całym świecie. W ramach organizacji wymieniane są najważniejsze informacje na temat zdarzeń naruszających bezpieczeństwo sieci. Najbardziej krytyczne komunikaty dotyczą pierwszych godzin po zarejestrowaniu nowych zagrożeń.
• VirusTotal: FortiGuard otrzymuje od VirusTotal specjalistyczne nagłówki RSS wspierane przez Google, które pomagają w identyfikacji szkodliwych plików online.

Wewnętrzne badania: FortiGuard Labs utrzymuje duży zespół badaczy zagrożeń z całego świata, zapewniając całodobowe wsparcie. Zespół zajmuje się całym spektrum badań: inwigilacja złośliwego oprogramowania i bonetów, inżynieria wsteczna złośliwego oprogramowania, generowanie sygnatur,  wyspecjalizowane badania nad atakami typu zero-day. Dodatkowo laboratoria FortiGuard studiują złożoność lub polimorfizm form złośliwego oprogramowania, które ulega modyfikacji podczas procesu replikacji.

Analityka: Ten kanał jest wykorzystywany do pobierania próbek bezpośrednio z odpowiednio skonfigurowanych urządzeń FortiGate, wtedy gdy podejrzana treść zostanie zidentyfikowana.

Portale usługowe

Zespół FortiGuard używa portali usługowych do odbierania i przekazywania informacji skierowanych do klientów Fortinet oraz  branży zabezpieczeń internetowych:

• Online AV Scanner and Submission Tool: Jeśli odkryjesz  podejrzany plik na swoim urządzeniu, lub podejrzewasz, że program pobrany z Internetu może być szkodliwy, możesz przesłać kopię do FortiGuard poprzez online submission tool. Plik jest wysyłany do serwera dedykowanego do skanowania, a wyniki są przesyłane e-mailem do Ciebie.
• Encyklopedia Malware (złośliwego oprogramowania) FortiGuard: Internetowa encyklopedia FortiGuard pozwala na wyszukanie szczegółowych informacji na temat interesujących nas zagrożeń. Encyklopedia obejmuje tematykę: malware, wirusów, luk i programów exploit (wykrywają błędy w oprogramowaniu), a także znanych zagrożeń ochrony przed włamaniami.
• Monitorowanie zagrożeń w czasie rzeczywistym: Monitor zagrożeń pozwala w czasie rzeczywistym podejrzeć dane z sieci FortiGuard. Wyświetla: aktywności botnetów, wirusy, włamania, spam biorąc pod uwagę codzienny i miesięczny ranking top 10 zagrożeń bieżąco raportowanych przez globalną sieć urządzeń FortiGate. Możesz przeglądać globalne rankingi zagrożeń lub sprecyzować dane regiony geograficzne.

Baza wiedzy FortiGuard

Nasza baza wiedzy jest repozytorium wszystkich informacji, gromadzonych przez nas przy każdym wykryciu nowego zagrożenia, które następnie analizujemy i zwalczamy. Przez ponad dekadę, nasza baza wiedzy zebrała setki milionów próbek złośliwego kodu. Inżynierowie FortiGuard, analitycy oraz inteligentne systemy dodają do bazy średnio 160 tysięcy nowych próbek każdego dnia w roku.

Korelacja i analiza

Prosty wirus ewoluował na przestrzeni niewielkiego okresu czasu do postaci zaawansowanych form złośliwego oprogramowania i innych tego typu zagrożeń. Zespół FortiGuard analizuje i tworzy pakiety ochronne nie tylko dla wirusów, ale także dla bonetów, wykrywania włamań i zabezpieczeń przed nimi, filtrowania stron WWW, ataków DDoS  (Distributed Denial od Service), ataków typu phishing, wykrywania słabych punktów w bazach danych (vulnerabilities), błędów w oprogramowaniu - programy exploit, reputacji IP oraz antyspamu. Często spotykamy się ze złośliwym oprogramowaniem, które wykorzystuje wiele komponentów takich jak: próbki malware, które mogą posiadać elementy wirusów, składniki spamowe, włamaniowe oraz bonety (z którymi powiązane są polecenia i informacje służące do sterowania).

Tworzenie opisów i weryfikacja

Każdorazowo gdy dokonamy analizy nowego zagrożenia, generujemy pakiety ochronne zabezpieczające przed nim.

FortiGuard korzysta z unikatowego i silnie zastrzeżonego języka programowania o nazwie Compact Pattern Recognition Language (CPRL), który daje naszym analitykom możliwość opisu całych rodzin złośliwego oprogramowania korzystając wyłącznie z pojedynczej  próbki malware, zamiast tradycyjnego rozwiązania opartego na modelu ?jedna sygnatura, jeden wariant?, używanego przez innych producentów. Dzięki temu możemy zapewnić ochronę nie tylko przed obecnymi zagrożeniami, ale również przed złośliwym oprogramowaniem typu zero-day.

Po zbadaniu zagrożenia i stworzeniu programu CPRL, zespół FortiGuard przeprowadza  dogłębne testy. Testy te zapewniają, że postały program wykrywa dokładnie to czego się od niego oczekuje. Równocześnie eliminują ryzyko występowania błędnych trafień (false positive) poprzez sprawdzanie baz o znanej czystej zawartości (bez zainfekowanych plików). Klasyfikowanie ?zdrowych? plików jako złośliwe oprogramowanie nigdy nie jest pożądanym działaniem programów antywirusowych.

Dostarczanie pakietów

Kiedy aktualizacja zostanie przetestowana i dopuszczona do wydania, pakiet jest wypuszczany do głównych serwerów dystrybucyjnych FortiGuard. Po otrzymaniu aktualizacji przez główne serwery, jest ona dystrybuowana do sieci serwerów warstwy drugiej. Warstwa ta zapewnia dostarczenie aktualizacji bezpośrednio do urządzeń klienta.

Sieć dystrybucyjna 

FortiGuard Distribution Network jest globalną siecią serwerów dystrybuujących aktualizacje do urządzeń Fortinet: FortiGate, FortiMail, FortiWeb i FortiDDOS. Istnieje dziewięć głównych serwerów FDN i prawie 100 serwerów poziomu drugiego w centrach przetwarzania i przechowywania danych na całym świecie. Klienci z dużymi bazami instalacyjnymi mogą zdecydować się na użycie urządzenia FortiManager w celu odbierania i wysyłania aktualizacji do urządzeń. FortiManager jest trzecim poziomem w hierarchii sieci dystrybucyjnej FortiGuard.

Premier Signature Service

Usługa Premier Signature zapewnia skuteczniejsze wykrywanie wirusów i wsparcie analizy zagrożeń, które pomagają ograniczyć włamania i zaawansowane ataki ukierunkowane. Dzięki Premier Signature można zgłosić żądanie o niestandardową ochronę antywirusową, ochronę przed włamaniami lub sygnatury kontroli aplikacji. Jest to możliwe przez 24 godziny na dobę, siedem dni w tygodniu otrzymując priorytetowe wsparcie z gwarantowanymi czasami reakcji.

Dane w czasie rzeczywistym

Monitor zagrożeń jest dostępny w każdej chwili online. Zapewnia dostęp do wszystkich informacji o FortiGuard i wiadomości na temat aktualnych zagrożeń, które można śledzić na bieżąco w Internecie.