Cisco Advanced Malware Protection dla Punktów Końcowych

Przegląd produktów

Cisco Advanced Malware Protection (AMP) dla punktów końcowych integruje funkcje zapobiegania, wykrywania i reagowania w jednym rozwiązaniu, wykorzystując moc analiz w chmurze. AMP dla punktów końcowych będzie chronić urządzenia z systemem Windows, Mac, Linux, Android i iOS za pośrednictwem publicznej lub prywatnej instalacji w chmurze.

Korzyści

W szybko rozwijającym się świecie szkodliwego oprogramowania zagrożenia stają się coraz trudniejsze do wykrycia. 1% tych zagrożeń to najbardziej zaawansowane zagrożenia, które ostatecznie przedostaną się by siać spustoszenie w twojej sieci i mogą potencjalnie pozostać niewykryte. AMP dla punktów końcowych zapewnia kompleksową ochronę przed tym 1%. To oprogramowanie zabezpieczające zapobiega naruszeniom, blokuje złośliwe oprogramowanie w punkcie wejścia, stale monitoruje i analizuje działania związane z plikami i procesami. Wszystko to by szybko wykrywać, poznawać i naprawiać zagrożenia, które mogą ominąć pierwszą linię obrony.

Zapobieganie

Zatrzymanie zagrożeń w najwcześniejszym momencie zapewnia minimalne uszkodzenia punktów końcowych i krótsze przestoje po naruszeniu. AMP dla punktów końcowych wykorzystuje solidny zestaw technologii zapobiegawczych, aby zatrzymać złośliwe oprogramowanie, w czasie rzeczywistym, chroniąc punkty końcowe przed najczęstszymi atakami.

Reputacja plików: AMP dla punktów końcowych zawiera obszerną bazę danych każdego pliku, który kiedykolwiek był widziany i odpowiadającą mu dobrą lub złą dyspozycję. W rezultacie znane złośliwe oprogramowanie jest szybko i łatwo poddawane kwarantannie w punkcie wejścia bez skanowania wymagającego intensywnego przetwarzania.

Antywirus: AMP dla punktów końcowych zawiera stale aktualizowane, oparte na definicjach silników antywirusów dla punktów końcowych Windows i Mac lub Linux. Wszystkie punkty końcowe korzystają z niestandardowego wykrywania opartego na sygnaturach, dzięki czemu administratorzy mogą zapewnić niezawodne funkcje kontrolne i wymuszać tworzenie czarnych list. Baza danych sygnatur antywirusowych znajduje się lokalnie na każdym punkcie końcowym, co oznacza, że nie działa w oparciu o łączność w chmurze. Zapewnia to ochronę punktów końcowych zarówno w trybie online, jak i offline.

Polimorficzne wykrywanie szkodliwego oprogramowania: Twórcy złośliwego oprogramowania często piszą różne odmiany tego samego złośliwego oprogramowania, aby uniknąć typowych technik wykrywania. AMP dla punktów końcowych może wykryć te odmiany lub polimorficzne złośliwe oprogramowanie poprzez loose fingerprinting. loose fingerprinting będzie szukać podobieństw między treścią podejrzanego pliku a zawartością znanych rodzin złośliwego oprogramowania i zostanie skazany, jeśli istnieje znaczna zgodność.

Analiza uczenia maszynowego: AMP dla punktów końcowych jest testowany przez algorytmy, aby "nauczyć się" rozpoznawać złośliwe pliki i aktywność w oparciu o atrybuty znanego szkodliwego oprogramowania. Funkcje uczenia maszynowego w AMP dla punktów końcowych są zasilane przez kompleksowy zestaw danych Cisco Talos, aby zapewnić lepszy, dokładniejszy model. Wspólnie uczenie maszynowe w AMP dla punktów końcowych może pomóc wykryć nieznane wcześniej złośliwe oprogramowanie w punkcie wejścia.

Zapobieganie exploitom: ataki pamięci mogą przeniknąć punkty końcowe, a złośliwe oprogramowanie unika obrony bezpieczeństwa, wykorzystując luki w aplikacjach i procesach systemu operacyjnego. Funkcja zapobiegania exploitowi będzie chronić punkty końcowe przed atakami wykorzystującymi ataki polegające na wykorzystaniu pamięci.

Wykrycie

Mimo że techniki ochrony przed złośliwym oprogramowaniem są niezbędne do stworzenia kompletnego rozwiązania bezpieczeństwa punktu końcowego nowej generacji, zwalczanie zaawansowanych zagrożeń wymaga dodatkowych działań. AMP dla punktów końcowych stale monitoruje punkty końcowe, aby pomóc wykrywać nowe i nieznane zagrożenia.

Ochrona przed złośliwym działaniem: AMP dla punktów końcowych stale monitoruje wszystkie działania punktów końcowych i zapewnia wykrywanie w czasie wykonywania oraz blokowanie nieprawidłowego działania działającego programu na punkcie końcowym. Na przykład, gdy zachowanie punktu końcowego wskazuje na oprogramowanie ransomware, zakłócające procesy są kończone, zapobiegając szyfrowaniu punktów końcowych i zatrzymując atak.

Wskaźniki kompromisowe oparte na chmurze: firma Cisco, wiodąca w branży organizacja zajmująca się analizą zagrożeń, Talos, stale analizuje złośliwe oprogramowanie, aby wykrywać nowe typy zagrożeń i tworzyć profile behawioralne i kryminalistyczne dla pojawiających się zagrożeń, inaczej określanych jako Indicators of Compromise (IoC). Dane kryminalistyczne, takie jak lokalizacja plików lub modyfikacje wartości kluczy rejestru, są danymi, które AMP dla punktów końcowych może wykorzystać, aby pomóc administratorom zidentyfikować systemy, które zostały naruszone.

Wspomagane IoC na poziomie hosta: Administratorzy mogą pisać własne niestandardowe IoC w celu użycia w odpowiedzi na incydenty, aby skanować wskaźniki postompromise w całym wdrożeniu punktu końcowego. Niestandardowe IoC są pisane w otwartym formacie standardowym (OpenIOC), co ułatwia wykorzystanie danych z wszelkich istniejących danych wywiadowczych.

Luki w zabezpieczeniach: AMP dla punktów końcowych identyfikuje wrażliwe oprogramowanie w twoim środowisku, aby zmniejszyć powierzchnię ataku. Punkty końcowe zawierające wrażliwe oprogramowanie są wymienione i mają priorytet w oparciu o ocenę CVE (częstości występowania i narażenia) w branży: im większa jest podatność na atak, tym bardziej widoczna będzie ta lista. Daje to administratorom listę wszystkich hostów, które muszą zostać załatane, aby zapobiec przyszłym exploitom.

Mała częstość występowania: AMP dla punktów końcowych automatycznie rozpoznaje pliki wykonywalne, które występują w niewielkich ilościach na punktach końcowych i analizuje je w naszej piaskownicy w chmurze, aby wykryć nowe zagrożenia. Ukierunkowane szkodliwe oprogramowanie lub zaawansowane, trwałe zagrożenia często będą latać pod radarem i rozpoczynać tylko na kilku punktach końcowych, ale przy niskiej częstości występowania AMP dla punktów końcowych automatycznie zagrozi polowaniom, aby pomóc w łatwym wykryciu 1% zagrożeń, które w przeciwnym razie pozostałyby niezauważone.

Inteligencja poznawcza: AMP dla punktów końcowych wykonuje detekcje bez agentów po wdrożeniu wraz ze zgodnym proxy sieciowym za pomocą inteligencji poznawczej. Wykorzystuje uczenie maszynowe i sztuczną inteligencję do korelowania ruchu generowanego przez użytkowników w celu niezawodnego identyfikowania ruchu poleceń i kontroli, eksfiltracji danych i ewentualnie niechcianych aplikacji działających już w środowisku. Na przykład ataki typu "injection injection", które nie pozostawiają śladu pliku na punkcie końcowym, można zidentyfikować na podstawie ich ruchu w sieci, który poznawcza inteligencja będzie widzieć i analizować. Pozbawiona agentów inteligencja poznawcza zapewnia także administratorom widoczność w urządzeniach podłączonych do Internetu, które nie mogą mieć zainstalowanego na nich tradycyjnego agenta zabezpieczeń punktów końcowych.

Odpowiedź

Wraz ze wzrostem liczby i różnorodności zaawansowanych zagrożeń, które miały opóźnić zastosowanie środków zapobiegawczych, możliwość naruszenia powinna być traktowana jako ewentualność. Przy takim nastawieniu powinien zostać wdrożony potężny zestaw narzędzi ułatwiający identyfikację zainfekowanych punktów końcowych i zrozumienie zakresu ataku. Oprócz wielu funkcji zapobiegania i wykrywania, protokół AMP dla punktów końcowych oferuje szczegółowe narzędzia do sprawdzania punktów końcowych i odpowiedzi, które pozwalają szybko i skutecznie radzić sobie z naruszeniami bezpieczeństwa.

Pulpity nawigacyjne i skrzynka odbiorcza: raporty nie są ograniczone do wyliczania i agregowania zdarzeń. Aktywne kokpity menedżerskie wbudowane w AMP dla punktów końcowych umożliwiają usprawnione zarządzanie i szybszą reakcję. Zdarzenia i punkty końcowe są klasyfikowane według priorytetów i przypisywane do przepływów pracy, aby śledzić postępy w dochodzeniu.

Rysunek 1. Panel kontrolny AMP dla punktów końcowych

Analiza kryminalna: potężne narzędzia, takie jak trajektoria pliku i trajektoria urządzenia, wykorzystują ciągłe możliwości analizy AMP, aby pokazać pełen zakres zagrożenia. AMP identyfikuje wszystkie aplikacje, procesy i systemy podlegające usterce, aby wskazać punkt zerowy pacjenta, a także metodę i punkt wejścia. Te możliwości pomagają szybko zrozumieć zakres problemu, identyfikując bramy złośliwego oprogramowania i ścieżkę, którą napastnicy wykorzystują, aby uzyskać przyczółek na inne systemy.

Rysunek 2. Trajektoria urządzenia AMP dla punktów końcowych

Analiza dynamiczna: AMP dla punktów końcowych obejmuje wbudowane, wysoce bezpieczne środowisko środowiska sandboxing, zasilane przez sieć Cisco Threat Grid, w celu analizy zachowania podejrzanych plików. Analiza plików generuje szczegółowe informacje o plikach, w tym o nasileniu zachowań, oryginalnej nazwie pliku, zrzutach ekranu wykonywania złośliwego oprogramowania i przechwytywaniach przykładowych pakietów. Uzbrojony w te informacje, będziesz lepiej rozumieć, co jest konieczne, aby powstrzymać wybuch choroby i zablokować przyszłe ataki.

Retrospektywne zabezpieczenia: AMP dla Endpoints wykorzystuje opatentowaną technologię, która automatycznie odsłania zaawansowane zagrożenia, które wpłynęły do twojego środowiska. Oparte na ciągłym monitorowaniu, AMP dla punktów końcowych koreluje nowe informacje o zagrożeniach z Twoją przeszłą historią i automatycznie poddaje pliki kwarantannie w momencie, gdy zaczynają wykazywać złośliwe działanie. Ta automatyczna reakcja na najnowsze zagrożenia zapewnia szybszy czas wykrywania i znacznie ogranicza rozprzestrzenianie się złośliwego oprogramowania.

Widoczność wiersza poleceń: uzyskanie widoczności argumentów wiersza poleceń pomaga określić, czy legalne aplikacje, w tym narzędzia Windows, są wykorzystywane do złośliwych celów. AMP dla punktów końcowych może wykryć trudne do wykrycia zachowanie, takie jak użycie vssadmin do usuwania kopii w tle lub wyłączania bezpiecznych butów; Exploity oparte na PowerShell; eskalacja uprawnień; modyfikacje list kontroli dostępu; i próby wyliczenia systemów.

Cisco AMP dla punktów końcowych testowany przez inne firmy

W testach NSS Labs Advanced Endpoint Protection, AMP dla Endpoints pokazał się jako lider bezpieczeństwa punktów końcowych, zdobywając "zalecaną" ocenę ze względu na wysoką skuteczność zabezpieczeń i wiodący całkowity koszt posiadania. Oprogramowanie zabezpieczające:

● Zablokowano 100% ataków internetowych

● Zablokował 100% ataków przeprowadzanych za pośrednictwem poczty e-mail

● Generował całkowity całkowity koszt posiadania

● Nie uzyskano fałszywych alarmów

Obsługa platform i kompatybilność

AMP dla punktów końcowych jest kompatybilny z następującymi systemami operacyjnymi

  •    Microsoft

◦     Windows 7

◦     Windows 8, 8.1

◦     Windows 10

◦     Windows Server 2008 R2, 2012, 2012 R2, 2016

  •    Linux

◦     Red Hat Enterprise Linux or CentOS 6.x 7.x

  •    Android

◦     Android 2.1 (Éclair) to 6.0 (Marshmallow)

  •    Apple

◦     iOS 11 and above

◦     OSX 10.11

◦     MacOS 10.12, 10.13

Pozostaw komentarz