Задать вопрос

    Поставщик решений в области сетевой безопасности и корпоративной связи

Защита оконечных устройств с помощью AMP

Защита оконечных устройств с помощью AMP

Обзор продукта

При современном уровне профессионализма хакеров и развития вредоносного ПО вам необходимо защищать оконечные устройства до, во время и после атаки. Решение Cisco® Advanced Malware Protection (AMP) для оконечных устройств не только осуществляет обнаружение угроз на базе контрольных точек, но и обеспечивает уровень контроля, при котором вы можете устранять угрозы повышенной сложности, преодолевшие другие уровни защиты. Пользователи системы получают надежную защиту информационной среды своей организации до, во время и после атаки. Cisco AMP для оконечных устройств — это интеллектуальное решение корпоративного класса для расширенного анализа и защиты от вредоносного ПО. Оно основано на телеметрической модели, использующей большие данные, непрерывный анализ и усовершенствованные средства аналитики для обнаружения, отслеживания, анализа, контроля и блокирования эпидемий вредоносного ПО на всех оконечных устройствах: компьютерах PC, Mac, мобильных устройствах и виртуальных системах.

Основные преимущества:

  • Безопасность, выходящая за рамки защиты в определенный момент времени: Cisco AMP для оконечных устройств не ограничивается проверкой пакетов в определенный момент времени, а непрерывно анализирует файлы и трафик. Благодаря этому возможна ретроспективная безопасность. Вы можете заглянуть в прошлое и отследить процессы, активность файлов и связи, чтобы понять весь объем заражения, выявить исходную причину и восстановить работу систем. Результат: более эффективная и всесторонняя защита для вашей организации.
  • Мониторинг, обеспечивающий непревзойденный контроль: Cisco AMP для оконечных устройств это больше, чем ретроспекция. Эта система выводит аналитику на новый уровень, сопоставляя различные формы ретроспекции, чтобы выстроить ряд действий, доступный для анализа в режиме реального времени. Затем она может выполнить поиск шаблонов вредоносного поведения на отдельном оконечном устройстве или для всех оконечных устройств в среде.
  • Расширенный анализ вредоносного поведения во времени: Cisco AMP для оконечных устройств обеспечивает автоматизацию благодаря расширенным средствам обнаружения вредоносного поведения, которые показывают области заражения и риска с учетом приоритетности.
  • Расследование, которые превращает «добычу» в «охотника»: Cisco AMP для оконечных устройств смещает фокус расследования с поиска фактов и улик на целенаправленное отслеживание вторжений на основе фактических событий — обнаружения угроз и поведенческих индикаторов компрометации (IoC).
  • По-настоящему простое сдерживание: Cisco AMP для оконечных устройств обеспечивает контроль цепочки событий и контекст, которые дополняют инструментальные панели и отображение траекторий. С помощью AMP можно выбирать отдельные приложения, файлы, вредоносное ПО и прочие исходные причины. Разрушить цепочку атаки можно не только быстро, но и легко.
  • Эффективные контекстные инструментальные панели: отчеты не ограничиваются перечислением и группировкой событий. Отчеты Cisco AMP для оконечных устройств включают в себя инструментальные панели и тренды (см. рис. 1), отражающие значимость для бизнеса и влияние рисков в перспективе.
  • Интегрированные платформы, которые вместе работают лучше: Cisco AMP для оконечных устройств можно полностью интегрировать с решением Cisco AMP для сетей, расширяя возможности контроля за ресурсами всей организации.

Рис. 1. Эффективные контекстные инструментальные панели

Эффективные контекстные инструментальные панели

Расширение возможностей мониторинга и управления для эффективной безопасности

Организации стремятся найти решение, которое будет работать на протяжении всего жизненного цикла усовершенствованного вредоносного ПО: обеспечивать защиту от новейших угроз, реагировать на инциденты и выполнять восстановление, не требуя значительных затрат и не снижая производственную эффективность. Дополнительные трудности создает несогласованность работы средств обнаружения и блокирования угроз, а также средств реагирования на инциденты и восстановления.

Часто в результате этой несогласованности организация не видит полного масштаба заражения и опаздывает с мерами реагирования и восстановления. А вследствие недостаточных связей между технологиями такие меры могут не затронуть зараженные системы и первопричины, что приводит к постоянным повторным заражениям.

В результате специалисты по безопасности не могут оценить глубину проникновения вредоносного ПО в сеть, с трудом устраняют последствия атаки и не способны ответить на фундаментальные вопросы:

  • Каковы метод атаки и точка вторжения?
  • Какие системы были затронуты?
  • Каковы последствия угрозы?
  • Можем ли мы устранить угрозу и исключить ее первопричину?
  • Как мы будем выполнять восстановление после атаки?
  • Как предотвратить угрозы в дальнейшем?

Cisco AMP для оконечных устройств обнаруживает, анализирует, блокирует и устраняет вредоносное ПО.

Одни лишь точечные проверки никогда не будут эффективными на 100 процентов. Достаточно одной угрозе избежать обнаружения, и вся среда будет заражена. Используя адресное, вредоносное ПО с учетом контекста, опытные злоумышленники имеют достаточно ресурсов, опыта и настойчивости, чтобы обойти средства защиты в определенный момент времени и в любое время создать угрозу для любой организации. К тому же, проверка в определенный момент времени не позволяет оценить масштаб и глубину проникновения, вследствие чего организация не имеет возможности предотвратить распространение заражения и повторение атаки.

Cisco AMP для оконечных устройств выходит за пределы проверки пакетов в определенный момент времени, поддерживая набор функций обнаружения в сочетании с аналитикой больших данных, и непрерывно анализирует файлы и трафик на оконечных устройствах на предмет усовершенствованного вредоносного ПО. Современные технологии машинного обучения анализируют более 400 характеристик, связанных с каждым файлом, для обнаружения и блокирования вредоносного ПО. Это сочетание обеспечивает защиту, которая превосходит традиционные проверки в определенный момент времени. Ретроспективная безопасность, способность возвратиться к точке в прошлом — это возможность обнаружить файлы, которые становятся вредоносными после точки вторжения.

Рис. 2. Проверки в определенный момент времени в сравнении с непрерывным анализом и ретроспективной безопасностью

Проверки в определенный момент времени в сравнении с непрерывным анализом и ретроспективной безопасностью

См. «Как никогда раньше» и «Контроль вредоносного ПО»

Современное вредоносное ПО сложно, как никогда раньше. Быстро развиваясь, оно может избежать обнаружения после вторжения в систему и стать «стартовой площадкой» для дальнейших атак злоумышленников. Засыпание, полиморфизм, шифрование, использование неизвестных протоколов — это лишь часть способов маскировки, используемых вредоносными программами. Непрерывный анализ и ретроспективная защита, обеспечиваемые решением Cisco AMP для оконечных устройств, позволят вам обнаружить «неуловимое» вредоносное ПО, а также найти ответы на следующие главные вопросы в борьбе против современных угроз.

Каковы метод атаки и точка вторжения? Какие системы были затронуты?

Мощные инновационные функции, такие как контроль траектории файлов и траектории устройств (рис. 3), используют аналитику больших данных и непрерывный анализ АМР, чтобы находить системы, поврежденные вредоносным ПО (включая ту, с которой началось заражение), и исходные причины потенциального заражения. С их помощью вы быстрее понять масштаб проблемы, определив шлюзы вредоносного ПО и пути, по которым злоумышленники проникают в другие системы.

Рис. 3. Глубокий анализ с траекторией устройств

Глубокий анализ с траекторией устройств

Каковы последствия угрозы?

Анализ файлов решения Cisco AMP для оконечных устройств (рис. 4), поддерживаемый системой аналитики безопасности Cisco Talos и технологией песочницы Threat Grid, проводится в хорошо защищенной, изолированной среде, где можно изучать поведение вредоносного ПО и подозрительных файлов. В ходе анализа создается подробная информация о поведении файла, включая агрессивность, оригинальное имя файла, снимки экранов выполнения вредоносного ПО, записи выборочных пакетов. Эти сведения помогут лучше понять, что нужно для сдерживания эпидемии и блокирования будущих атак.

Рис. 4. Анализ файлов

Анализ файлов

Функция траектории устройств помогает выполнить дальнейший анализ распространения угрозы на компьютере, отслеживая файловую и сетевую активность на оконечном устройстве в хронологическом порядке. Вы получаете полную картину событий, которые привели к заражению и последовали за ним, включая родительские процессы, подключения к удаленным узлам, а также неизвестные файлы, которые могли быть загружены вредоносным ПО.

Индикаторы компрометации (IoC) могут быть едва различимы и требуют незамедлительного расследования раньше, чем злоумышленник их уничтожит и продолжит атаку. С помощью функции гибкого поиска с незамедлительным выводом результатов, которую поддерживает Cisco AMP для оконечных устройств, специалисты по безопасности могут быстро определить масштаб атаки, не сканируя оконечные устройства и не извлекая из них данные.

Можем ли мы устранить угрозу и исключить первопричины? Можем ли мы предотвратить угрозы в дальнейшем?

Функция контроля эпидемий, поддерживаемая Cisco AMP для оконечных устройств, — это набор эффективных средств, с помощью которых можно предотвратить распространение вредоносного ПО и связанных с ним действий (например, обратные вызовы и выполнение внедренных файлов), не ожидая обновлений от вашего поставщика решений безопасности. Благодаря этому вы можете сразу после расследования перейти к этапу контроля в несколько щелчков мыши, существенно сокращая время, в течение которого угроза может распространяться и наносить дальнейший ущерб, а также время, которое обычно требуется для развертывания средств контроля.

Более того, решение AMP может автоматически выполнить восстановление систем, без полного сканирования. Технология непрерывно сопоставляет файлы, проанализированные в прошлом, с новейшими данными аналитики и мониторинга угроз и помещает в карантин все файлы, ранее считавшиеся чистыми или непроверенными, а сейчас известными как угрозы.

Защита оконечных устройств, мобильных устройств, виртуальных систем и сети

Решение Cisco AMP для оконечных устройств обеспечивает защиту от усовершенствованного вредоносного ПО и расширяет возможности аналитики на всех таких устройствах: персональных компьютерах, компьютерах Мас, мобильных устройствах, виртуальных системах. Архитектура его компактного коннектора использует аналитику больших данных, что упрощает требования к эшелонированной защите от усовершенствованного вредоносного ПО. Это устраняет необходимость в традиционной противовирусной защите, которая может существенно ограничивать производительность и ресурсы оконечных устройств.

К тому же, Cisco AMP для оконечных устройств интегрируется с Cisco AMP для сетей, обеспечивая всестороннюю защиту с единой инструментальной панели для распределенных сетей, а также оконечных устройств. Благодаря непрерывному анализу, ретроспективной защите и индикаторам компрометации из разных источников вы можете обнаруживать скрытые атаки, которым удается проникнуть с оконечных устройств внутрь сети, соотносить соответствующие события для ускорения реагирования и повысить эффективность контроля и управления.

Масштабируемая защита для всей корпорации

Решение AMP оптимизировано для корпоративного уровня. Что касается конфиденциальности, все коннекторы Cisco AMP для оконечных устройств используют метаданные для анализа. Фактические файлы не требуются и не направляются в облако для анализа. Для организаций с жесткими требованиями конфиденциальности предлагается вариант частного облака. Это единое решение, разворачиваемое на территории заказчика, обеспечивает всестороннюю защиту от усовершенствованного вредоносного ПО на основе аналитики больших данных, непрерывного анализа и аналитики безопасности.

Что касается управляемости, консольный интерфейс Cisco AMP для оконечных устройств предусматривает средства управления, развертывания, настройки политик, отчетности для систем Windows, Мас, мобильных устройств и виртуальных систем.

Что касается производительности, решение Cisco AMP для оконечных устройств, устанавливаемое на ПК, компьютерах Мас, мобильных устройствах, в виртуальных средах, использует архитектуру компактного коннектора, требуя меньше ресурсов хранения, вычислений и памяти, чем прочие решения по безопасности, и укоряя выполнение мер защиты от атак.

Полноценная аналитика безопасности

Решение Cisco AMP для оконечных устройств построено на анализе больших данных и уникальной системе аналитики информации о безопасности. Системы аналитики угроз Cisco Security Intelligence Operations, Talos Security Intelligence and Research Group и AMP Threat Grid вместе представляют собой крупнейший в отрасли кластер источников аналитики угроз в режиме реального времени, с самым большим охватом, самыми широкими возможностями мониторинга угроз и поддержки различных платформ обеспечения безопасности. Эти данные передаются из облака в систему AMP, обеспечивая пользователю доступ к актуальной аналитике угроз.

Благодаря интеграции нашей технологии AMP Threat Grid с решением AMP для оконечных устройств можно получить более 350 уникальных индикаторов поведения для оценки действий по передаче файлов (а не только их структуры) и обнаружения неизвестного вредоносного ПО. Решение проверяет связанный HTTP- и DNS-трафик, TCP/IP-потоки, затрагиваемые процессы, действия с реестром. Каждый день система AMP Threat Grid предоставляет пользователям контент с учетом контекста: более 8 миллионов образцов анализируются ежемесячно, благодаря чему выявляются миллиарды вредоносных объектов. Кроме этого, каналы передачи контента системы AMP Threat Grid (реализуемые в стандартных форматах для быстрой интеграции с существующими технологиями безопасности) позволяют организации генерировать контекстную аналитику с учетом особенностей такой организации.

Cisco AMP — лидер независимых испытаний

Cisco занимает ведущие позиции на карте ценности систем обнаружения нарушений, составленной NSS Labs (отчет NSS Labs о сравнительном анализе систем обнаружения нарушений). По результатам этого сравнительного испытания решение AMP:

  • лидировало по общей частоте обнаружений;
  • показало лучшее время обнаружения;
  • имеет самую низкую стоимость владения в расчете на защищенный Мбит/c;
  • вышло на верхнюю позицию карты ценности.

Результаты испытаний, проведенных NSS Labs, доказывают, что Cisco AMP для оконечных устройств обеспечивает высочайшую эффективность защиты и наилучшее отношение эффективности к стоимости.

В табл. 1 перечислены лучшие в своем классе возможности решения Cisco AMP для оконечных устройств. В табл. 2 перечислены программные требования.

Характеристики и преимущества Cisco AMP для оконечных устройств Возможность Преимущества

Характеристики и преимущества Cisco AMP для оконечных устройств Возможность Преимущества

Таблица 2. Программные требования

Программные требования

Поддержка и совместимость платформ
Cisco AMP для оконечных устройств включает лицензии и подписки на Cisco AMP для оконечных устройств (варианты на 1 и 3 года), а также компактный инструмент подключения. Решение Cisco AMP для оконечных устройств совместимо с Cisco AMP для сетей.