Secure Endpoint

Cisco Secure Endpoint (wcześniej Cisco AMP for Endpoint)

Cisco Secure Endpoint jest systemem klasy EDR (Endpoint Detection&Response) służącym do kompleksowej ochrony przed złośliwym oprogramowaniem (malware).
Rozwiązanie aktywnie analizuje i śledzi aktywność plików wymienianych w sieci, na bieżąco badając kontekst zachodzących zdarzeń, koreluje te informacje z danymi telemetrycznymi, danymi ze środowiska sandbox, jest także zasilany modelami budowanymi przez Cisco Talos.

Rozwiązanie ściśle współpracuje także z rozwiązaniem Cisco o nazwie Threat Grid - wyizolowanym sandboxem, w którym badane jest zachowanie podejrzanych plików i odnośników.

Cisco Secure Endpoint jest zatem często pierwszą ale i ostatnią linią obrony przed atakami - zapewnia kompleksową ochronę organizacji we wszystkich jego fazach – przed, podczas i po ataku.

Ochrona przed atakiem - prewencja

AMP wykorzystuje cały zestaw technologii zapobiegawczych, aby zatrzymać złośliwe oprogramowanie w czasie rzeczywistym, chroniąc punkty końcowe przed atakami:

Reputacja plików: AMP zawiera bazę metadanych o wszystkich plikach kiedykolwiek przesłanych w środowisku Cisco niezależnie czy są one dysponowane jako dobre albo złe. W rezultacie znane złośliwe oprogramowanie jest szybko i łatwo poddane kwarantannie w punkcie wejścia bez potrzeby skanowania, które obciąża procesor i spowalnia pracę.

Antywirus: AMP zawiera stale aktualizowane silniki antywirusowe dla systemów Windows, Mac oraz Linux. Wszystkie urządzenia końcowe korzystają z wykrywania opartego na sygnaturach. Baza danych sygnatur antywirusowych znajduje się lokalnie na każdym urządzeniu, co oznacza, że nie wymaga połączenia z chmurą. Zapewnia to ochronę stacji końcowych zarówno w trybie online, jak i offline.

Wykrywanie oprogramowania polimorficznego: autorzy malware’u często piszą różne odmiany tego samego oprogramowania, aby uniknąć popularnych technik wykrywania. AMP potrafi wykrywać te warianty poprzez metody fingerprintingu. Metoda ta wyszukuje podobieństwa między zawartością podejrzanego pliku, a zawartością znanych rodzin złośliwego oprogramowania i alarmuje jeśli wykryje podobieństwa.

Wykorzystanie machine learning do analizy: Funkcje uczenia maszynowego w AMP są zasilane przez modele budowane przez Cisco Talos, co w rezultacie pomaga w wykrywaniu nieznanego wcześniej złośliwego oprogramowania w punkcie wejścia.

Ochrona przed exploitami: Funkcja zapobiegania exploitom chronić punkty końcowe przed atakami polegającymi na wstrzykiwaniu kodu do pamięci komputera

Wykrywanie ataków

Rozwiązanie AMP stale monitoruje punkty końcowe, aby pomóc wykrywać nowe i nieznane zagrożenia.

Ochrona przed złośliwymi działaniami: AMP stale monitoruje całą aktywność endpointa i umożliwia natychmiastowe blokowanie programu, który zachowuje się w sposób podejrzany. Na przykład, gdy zachowanie punktu końcowego wskazuje na obecność oprogramowania ransomware, szkodliwe procesy zostają zakończone, zapobiegając szyfrowaniu dysków i zatrzymując atak.

Wskaźniki kompromitacji oparte na chmurze: Grupa Cisco Talos stale analizuje złośliwe oprogramowanie, aby odkrywać nowe typy zagrożeń i budować profile behawioralne dla pojawiających się zagrożeń, zwanych wskaźnikami kompromitacji (Indicator of Compromise - IoC). AMP pomaga administratorom w identyfikacji systemów, które zostały naruszone przekazując dane forensic takie jak lokalizacje plików lub modyfikacje wartości kluczy rejestru.

Wskaźniki kompromitacji (IoC) oparte na hoście: administratorzy mogą pisać własne niestandardowe IoC do użycia w odpowiedzi na zaistniały incydent, aby przeskanować pod ich kątem całą sieć. Niestandardowe IoC są pisane w otwartym formacie (OpenIOC), co ułatwia wykorzystanie danych z dowolnych istniejących źródeł o feedach.

Podatności: AMP identyfikuje podatności na stacjach końcowych, aby zmniejszyć ryzyko ataku. Urządzenia z uruchomionym podatnym oprogramowaniem są klasyfikowane na podstawie oceny branżowej CVE (Common Vulnerabilities and Exposure): im poważniejsza luka, tym wyżej zostanie zaznaczona na liście. Administratorom otrzymują listę z wyróżnieniem które podatności należy wyeliminować w pierwszej kolejności aby nie narazić się na ich eksploitację.

Rzadkie występowanie (Low prevalence): AMP automatycznie rozpoznaje pliki wykonywalne, które występują rzadko na urządzeniach końcowych, a następnie analizuje próbki w środowisku sandbox, aby odkryć nowe zagrożenia. Ukierunkowane złośliwe oprogramowanie lub ataki APT często pozostają nieuchwytne dla systemów bezpieczeństwa bowiem atakują tylko kilka urządzeń z niewielką częstotliwością. Dzięki tej funkcji AMP pomaga w wykrywaniu tego 1% zagrożeń, które zostają niezauważone przez inne systemy.

Obrona po ataku

Filozofia działania Cisco AMP opiera się na założeniu, że zapobiegawcze metody wykrywania i blokowania nie są w 100% skuteczne, dlatego stale analizuje pliki i ruch. AMP monitoruje, analizuje i rejestruje całą aktywność plików i komunikację na urządzeniach końcowych, urządzeniach mobilnych i w sieci, aby szybko wykryć ukryte zagrożenia, które wykazują podejrzane lub złośliwe zachowanie.

Pulpity nawigacyjne: raporty nie ograniczają się do enumeracji i agregowania zdarzeń. Zdarzenia i urządzenia są podzielone na kategorie według priorytetów i powiązane z przepływami pracy w celu śledzenia postępów podczas dochodzenia.

Analizy śledcze: AMP wykorzystuje narzędzia takie jak trajektoria plików i trajektoria urządzeń, aby pokazać pełny zakres zagrożenia. Przy pierwszych oznakach problemów AMP alarmuje zespoły bezpieczeństwa i dostarcza szczegółowych informacji na temat zachowania zagrożenia, aby można było odpowiedzieć na kluczowe pytania bezpieczeństwa, takie jak:
- Skąd pochodzi złośliwe oprogramowanie?
- Jaka była metoda i punkt wejścia?
- Jakie systemy zostały dotknięte?
- Jak zatrzymać niebezpieczeństwo i wyeliminować pierwotną przyczynę?
Analiza dynamiczna: wbudowane, bezpieczne środowisko sandbox, obsługiwane przez Cisco Threat Grid służy do analizy zachowania podejrzanych plików. Po analizie dostarczane są szczegółowe informacje o plikach, zrzuty ekranu z wykonywanego złośliwego oprogramowania i próbki przechwyconych pakietów.

Analiza retrospektywna: AMP wykorzystuje opatentowaną technologię, która automatycznie wykrywa zaawansowane zagrożenia, które dostały się do środowiska organizacji. Ciągle monitorując zachowanie się plików AMP koreluje nowe informacje o zagrożeniach z danymi historycznymi i automatycznie poddaje pliki kwarantannie, gdy tylko zaczną wykazywać złośliwe zachowanie. Ta automatyczna reakcja na najnowsze zagrożenia zapewnia szybszy czas na wykrycie i znacznie ogranicza rozprzestrzenianie się złośliwego oprogramowania.

Pobierz dodatkowe materiały

Datasheet: Opis najważniejszych funkcjonalności rozwiązania Cisco Secure Endpoint
Pobierz datasheet

Masz pytania?

passus@passus.com

+48 695 444 803

Napisz do nas

Sidebar

Cisco Secure Endpoint (wcześniej Cisco AMP for Endpoint)

Pobierz dodatkowe materiały

Masz pytania?