Задать вопрос

    Поставщик решений в области сетевой безопасности и корпоративной связи

Advanced Malware Protection

ПРЕИМУЩЕСТВА

  • Доступ к не имеющей аналогов глобальной базе аналитических данных по угрозам для усиления первой линии защиты.
  • Полный доступ к данным, необходимым для понимания причин и оценки масштаба вторжения.
  • Быстрое обнаружение угрозы, реагирование и ее устранение.
  • Возможность избежать повторного заражения и дорогостоящего восстановления системы.
  • Повсеместная защита — сетей, оконечных устройств, мобильных устройств, электронной почты, Интернета — до, во время и после атаки.

Современные вредоносные программы малозаметны, устойчивы и умеют обходить традиционные системы защиты. Службам информационной безопасности не просто защититься от атак, поскольку их технологии защиты не обладают инструментами контроля и управления, позволяющими быстро обнаружить и устранить угрозу еще до нанесения ущерба.

Сегодня статьи о кибератаках и взломах регулярно попадают на первые полосы информационных изданий. Современное глобальное сообщество хакеров создает все более совершенные вредоносные программы и внедряет их в корпоративные сети, проводя атаки сразу по нескольким направлениям. Такие многовекторные, четко ориентированные атаки могут обойти даже лучшие инструменты мгновенного контроля данных. Эти инструменты проверяют трафик и файлы в точке входа в сеть, однако они дают мало информации об угрозах, преодолевших систему первичного обнаружения. В результате специалисты по безопасности не могут оценить масштаб потенциальной угрозы, быстро отреагировать на происходящее и обезвредить вредоносное ПО до того, как оно нанесет значительный ущерб.

Система защиты от вредоносного ПО Cisco Advanced Malware Protection (AMP) — решение, ориентированное на полную защиту от вредоносных программ на всех этапах атаки. Система не только предотвращает нарушения, но и обладает инструментами мониторинга и управления для быстрого выявления, сдерживания и устранения угроз, которые преодолели первый уровень защиты. Все это при невысоких затратах и без ущерба для эффективности работы системы.

Обзор усовершенствованной системы Cisco для защиты от вредоносного ПО

Система AMP — это интеллектуальное, интегрированное решение корпоративного класса для расширенного анализа и защиты от вредоносного ПО. Пользователи системы получают надежную защиту информационной среды своей организации до, во время и после атаки.

  • До начала атаки система AMP использует глобальные аналитические данные по угрозам, которые поступают из отдела коллективной информационной безопасности компании Cisco, группы по информационной безопасности и исследованиям Talos, а также по каналам данных AMP Threat Grid. Это помогает усилить защиту от известных и неизвестных угроз.
  • Во время атаки система AMP использует аналитические данные, известные сигнатуры файлов и динамический анализ на основе технологии AMP Threat Grid, чтобы выявить и блокировать файлы, нарушающие политику безопасности, эксплойты и вредоносное ПО, пытающееся проникнуть в сеть.
  • После завершения атаки либо после первоначальной проверки файла система непрерывно контролирует и анализирует всю активность и трафик файла, независимо от его статуса, отслеживая любые признаки вредоносного поведения. Если файл, получивший ранее статус «неизвестный» или «безопасный», действует подозрительно, система AMP фиксирует это и отправляет сообщение в службу информационной безопасности с указанием потенциальной угрозы. AMP обеспечивает своевременное получение данных о том, откуда появилась вредоносная программа, какие системы она затронула и что делает в данный момент. Система предоставляет инструменты, которые позволяют быстро реагировать на проникновение и устранить его с помощью нескольких щелчков мыши. Такие инструменты позволяют службам информационной безопасности вовремя получать данные, помогая быстро обнаружить атаку, оценить масштаб вторжения и обезвредить вредоносный код до того, как он нанесет ущерб.

Глобальный мониторинг угроз и динамический анализ вредоносного ПО

AMP построена на беспрецедентной системе информационной безопасности и динамического анализа вредоносного кода. Система коллективной информационной безопасности Cisco, группа по информационной безопасности и исследованиям Talos и каналы AMP Threat Grid — вот источники крупнейшей в отрасли базы данных, сформированной на основе мониторинга угроз и анализа больших данных. Эти данные передаются из облака в систему AMP, обеспечивая пользователю доступ к новейшим интеллектуальным средствам мониторинга для проактивной защиты от угроз. Преимущества для компаний:

  • 1,1 млн поступающих образцов вредоносных программ в день;
  • 1,6 млн датчиков по всему миру;
  • 100 Тбайт данных в день;
  • 13 млрд веб-запросов;
  • более 600 инженеров, технических специалистов и научных сотрудников;
  • круглосуточный режим работы.

Чтобы ускорить обнаружение вредоносного ПО, система AMP сопоставляет файлы, поведение, данные телеметрии и активность с надежной, контекстной базой знаний. Автоматизированный анализ AMP экономит время персонала, необходимое для выявления злонамеренных действий. Кроме того, специалисты по безопасности могут использовать самые современные интеллектуальные средства мониторинга угроз, позволяющие быстро понять происходящее, определить приоритеты и блокировать комплексные атаки.

Преимущества интеграции технологии Threat Grid в систему AMP:

  • точные, всесторонние данные об угрозах в стандартных форматах, которые легко использовать в существующих системах защиты;
  • анализ миллионов образцов вредоносного ПО каждый месяц и более 350 поведенческих индикаторов позволяют выявить миллиарды зараженных объектов;
  • понятная система оценки угроз помогает службам информационной безопасности правильно определять приоритеты.

Решение AMP использует все перечисленные интеллектуальные, аналитические инструменты, чтобы информировать тех, кто принимает решения, и автоматически выполнять действия от имени пользователя. Например, при постоянном обновлении данных система может блокировать известные вредоносные программы, типы файлов, нарушающие политику безопасности, динамические подключения из черного списка, о которых точно известно, что они вредоносные, а также блокировать попытки загрузки файлов c веб-сайтов и доменов, отнесенных к категории вредоносных.

Непрерывный анализ и ретроспективная безопасность

Большинство систем защиты от вредоносных программ для сетей и оконечных устройств проверяют файлы только в момент прохождения ими контрольной точки на входе в расширенную сеть. И на этом анализ прекращается. Но вредоносные программы становятся все более совершенными и умеют обходить первичную проверку. Засыпание, полиморфизм, шифрование, использование неизвестных протоколов — это лишь часть способов маскировки, используемых вредоносными программами. Невозможно защититься от того, о чем вы не знаете. Именно из-за отсутствия необходимой информации происходит большая часть нарушений безопасности. Службы информационной безопасности не замечают угрозу, когда она проходит точку входа в сеть, и не знают о ее присутствии. Они не располагают инструментами мониторинга для быстрого обнаружения и обезвреживания угрозы и замечают ее, только когда вредоносная программа уже достигла своей цели и нанесла ущерб системе.

Система Cisco AMP работает по-другому. Понимая, что методы мгновенного упреждающего обнаружения не дают 100-процентной гарантии, система AMP непрерывно анализирует файлы и трафик даже после прохождения ими первоначальной проверки. Она ведет мониторинг, анализ и запись активности
и коммуникаций всех файлов на оконечных устройствах, мобильных устройствах и в сети, что позволяет быстро выявить незаметные файлы с подозрительной или вредоносной активностью. При первом симптоме проблемы система AMP ретроспективно предупреждает службу информационной безопасности, сообщая подробные сведения о специфике угрозы. Тем самым она позволяет получить ответы на важные вопросы.

  • Откуда поступило вредоносное ПО?
  • Каковы метод атаки и точка вторжения?
  • Где находился код и какие системы затронуты?
  • Что вредоносное ПО уже сделало и что делает сейчас?
  • Как можно устранить угрозу и исключить ее первопричину?

Благодаря этой информации службы информационной безопасности могут быстро понять, что случилось, и принять меры, используя функции AMP по нейтрализации угроз и восстановлению системы. С помощью нескольких щелчков мыши в браузерной консоли центра управления AMP администратор может обезвредить вредоносную программу, заблокировав повторное выполнение файла на другом оконечном устройстве. Кроме того, система AMP, зная о том, где находился файл, может извлечь его из памяти и поместить в карантин для всех остальных пользователей. В случае проникновения вредоносного кода службам информационной безопасности больше не требуется самим создавать сложные системы для обезвреживания. То есть не нужно тратить время, деньги и ресурсы, подвергая опасности критически важные бизнес-функции. Благодаря AMP устранение вредоносного ПО проходит хирургически точно, без сопутствующего ущерба ИТ-системам и бизнесу.

Непрерывный анализ, непрерывный поиск угроз и ретроспективная безопасность позволяют записывать активность каждого файла в системе. Таким образом, если предположительно «безопасный» файл становится «опасным», его можно выявить и просмотреть историю действий, чтобы найти источник угрозы и методы воздействия. Система AMP обладает возможностями быстрого реагирования и восстановления системы, которые позволяют отразить угрозу. Кроме того, система AMP фиксирует всю поступающую информацию — от сигнатур угроз до активности файлов — и добавляет данные в базу угроз, чтобы повысить эффективность первой линии защиты, поскольку вредоносный файл и подобные ему файлы в следующий раз не смогут ее обойти.

Таким образом службы информационной безопасности получают инструменты углубленного мониторинга и контроля, которые позволяют быстро и эффективно обнаруживать атаки и незамеченные вредоносные программы. Это помогает понять причину и оценить масштаб вторжения, быстро отразить атаку (даже атаку нулевого дня) до того, как будет нанесен ущерб, и предотвратить подобные атаки в будущем.

Основные характеристики

Непрерывный анализ угроз и ретроспективная безопасность становятся возможными благодаря использованию следующих надежных функций.

  • Индикаторы компрометации (Indications of compromise, IoC). Сопоставление файлов и данных телеметрии, а также определение приоритетов согласно уровню потенциальной опасности. AMP автоматически сопоставляет данные о событиях в системе безопасности из разных источников, например события о вторжении или данные о вредоносном ПО, чтобы помочь специалистам по безопасности связать события с более крупными, скоординированными атаками и определить, какие инциденты наиболее опасны.
  • Репутация файла. Объединение усовершенствованных средств анализа и коллективных баз данных помогает определить, является ли файл источником заражения, требующим более пристального внимания.
  • Динамический анализ вредоносного ПО. Безопасная среда для запуска, анализа и тестирования вредоносного кода позволяет находить ранее неизвестные угрозы нулевого дня. Интеграция песочницы и технологии динамического анализа AMP Threat Grid в систему AMP позволяет проводить всесторонний анализ угрозы на основе более широкого набора поведенческих индикаторов.
  • Ретроспективное обнаружение. Система отправляет уведомление, если размещение файла меняется после проведения его анализа. Это позволяет вовремя получать данные и контролировать вредоносные программы, которые обошли первоначальную защиту.
  • Слежение за файлом. Перемещение файла непрерывно отслеживается, чтобы обеспечить контроль и сократить время, необходимое для оценки масштаба вторжения.
  • Слежение за устройством. Система непрерывно отслеживает исполняемые файлы и сеансы связи как на уровне устройств, так и системы в целом, позволяя быстро понять первопричину и просмотреть историю событий, которые предшествовали заражению.
  • Гибкий поиск. Обеспечивает простой неограниченный поиск по файлам, телеметрическим данным и коллективным базам информационной безопасности, помогая понять контекст и масштабы угрозы.
  • Распространение. Система показывает все запущенные файлы, сортируя их по степени распространения и помогая выделить ранее пропущенные угрозы, ставшие видимыми благодаря небольшому количеству пользователей. Файлы, запускаемые только несколькими пользователями, могут быть вредоносными (например, целевая усовершенствованная непрерывная угроза) или сомнительными приложениями, которые только засоряют расширенную сеть.
  • Индикаторы компрометации оконечного устройства. Пользователи могут создавать собственные индикаторы взлома, чтобы отслеживать целевую атаку. Эти индикаторы позволяют службам информационной безопасности глубже изучить малоизвестные угрозы, нацеленные на приложения, которые используются в информационной среде организации.
  • Уязвимость. Система отображает список уязвимого программного обеспечения, узлы, содержащие это программное обеспечение, и узлы, которые, вероятнее всего, станут объектом атаки. Действуя на основе интеллектуальных средств мониторинга угроз и анализа данных, система AMP определяет уязвимое программное обеспечение, на которое нацелена атака, а также потенциальный эксплойт, предоставляя пользователю упорядоченный список узлов для обновления.
  • Управление эпидемиями. Контроль над подозрительными файлами или эпидемиями с возможностью устранить их, не ожидая обновления. Функция управления эпидемиями:
    • простые пользовательские алгоритмы поиска для блокировки определенных файлов во всех или только выбранных системах;
    • расширенные пользовательские сигнатуры для блокировки семейств полиморфных вредоносных кодов;
    • список блокировки программ для усиления политики безопасности приложений или ограничения активности зараженных программ, которые используются в качестве шлюза для вредоносного кода, а также предотвращения повторного заражения;
    • список разрешенных программ, который обеспечивает работу критически важных приложений, независимо от происходящего в системе;
    • корреляция трафика устройства, которая обрывает обратную связь вредоносного кода с источником, даже для удаленных оконечных устройств вне корпоративной сети.

Варианты развертывания в любой точке мира

Киберпреступники используют для своих атак множество различных точек входа в информационную систему организации. Чтобы эффективно находить незаметные угрозы, компаниям необходимо получать данные о как можно большем количестве векторов атаки. AMP можно развернуть на различных контрольных точках по всей расширенной сети. Организации могут развернуть это решение там, где им необходимо, с учетом конкретных требований к безопасности. Доступны следующие дополнительные возможности.

Название продукта

Сведения

Cisco AMP для оконечных устройств

Защита PC, Mac, мобильных устройств и виртуальных сред, благодаря легкому подключению системы AMP, которая не влияет на производительность работы пользователей.

Cisco AMP для сетей

Разверните AMP как сетевое решение, интегрированное в систему предотвращения вторжений Cisco FirePOWERTM NGIPS.

Cisco AMP на базе межсетевых экранов ASA с сервисами FirePOWER

Интегрируйте возможности AMP в межсетевой экран Cisco ASA.

Виртуальное устройство в частном облаке Cisco AMP

Разверните AMP как локальное изолированное решение, специально созданное для организаций с высоким уровнем конфиденциальности, которые ограничивают доступ к общедоступному облаку.

Cisco AMP с системами CWS, ESA или WSA

В системе защиты облаков от интернет-угроз Cisco Cloud Web Security (CWS), на устройствах обеспечения безопасности электронной почты Email Security Appliance (ESA) и веб-трафика Web Security Appliance (WSA) функции AMP можно использовать для ретроспективного анализа вредоносного ПО.

Cisco AMP Threat Grid

Технология AMP Threat Grid интегрирована с решением Cisco AMP для расширения динамического анализа вредоносных программ. Она может быть развернута как автономное решение для динамического анализа и интеллектуального мониторинга угроз.

Преимущества решений Cisco

Сегодня вопрос заключается не в том, смогут ли взломать вашу защиту, а в том, когда это будет сделано. Мгновенный контроль данных сам по себе никогда не сможет со 100-процентной вероятностью находить и блокировать все атаки. Современные вредоносные программы малозаметны, и хакеры, которые их создают, умеют перехитрить систему мгновенной проверки и в любое время проникнуть в любую организацию. Даже если система блокирует 99 процентов угроз, найдется одна программа, которая сможет преодолеть защитный барьер. Поэтому в случае нарушения системы безопасности организациям необходимы готовые к действию инструменты для быстрого обнаружения угрозы, быстрого реагирования на нее и восстановления системы.

Cisco AMP — интеллектуальное, интегрированное решение корпоративного класса для расширенного анализа вредоносных кодов и защиты от них. Это решение использует анализ глобальных угроз для усиления защиты сети и средства динамического анализа, чтобы блокировать вредоносные файлы в реальном времени, а также обеспечивает непрерывный мониторинг и анализ поведения и трафика всех файлов. Возможности данного решения обеспечивают непревзойденный контроль активности потенциальных угроз и дают пользователю инструменты для быстрого выявления и устранения вредоносного кода. Организация получает защиту до, во время и после атаки. Систему можно развернуть в филиалах (для сети, оконечных устройств, мобильных устройств, шлюзов электронной почты и интернет- трафика, виртуальных сред). Таким образом ваша организация сможет получать данные о критических точках входа атак и разворачивать решение там, где необходимо, с учетом конкретных требований к безопасности.

Задать вопрос по продукту