Cisco Advanced Malware Protection (AMP)

Cisco AMP jest systemem klasy EDR (Endpoint Detection&Response) służącym do kompleksowej ochrony przed złośliwym oprogramowaniem (malware).
Rozwiązanie aktywnie analizuje i śledzi aktywność plików wymienianych w sieci, na bieżąco badając kontekst zachodzących zdarzeń, koreluje te informacje z danymi telemetrycznymi, danymi ze środowiska sandbox, jest także zasilany modelami budowanymi przez Cisco Talos. 

Rozwiązanie ściśle współpracuje także z rozwiązaniem Cisco o nazwie Threat Grid -  wyizolowanym sandboxem, w którym badane jest  zachowanie podejrzanych plików i odnośników.

AMP jest zatem często pierwszą ale i ostatnią linią obrony przed atakami - zapewnia kompleksową ochronę organizacji we wszystkich jego fazach – przed, podczas i po ataku.

Ochrona przed atakiem - prewencja
AMP wykorzystuje cały zestaw technologii zapobiegawczych, aby zatrzymać złośliwe oprogramowanie w czasie rzeczywistym, chroniąc punkty końcowe przed atakami:
  • Reputacja plików: AMP zawiera bazę metadanych o wszystkich plikach kiedykolwiek przesłanych w środowisku Cisco niezależnie czy są one dysponowane jako dobre albo złe. W rezultacie znane złośliwe oprogramowanie jest szybko i łatwo poddane kwarantannie w punkcie wejścia bez potrzeby skanowania, które obciąża procesor i spowalnia pracę.
  • Antywirus: AMP zawiera stale aktualizowane silniki antywirusowe dla systemów Windows, Mac oraz Linux. Wszystkie urządzenia końcowe korzystają z wykrywania opartego na sygnaturach. Baza danych sygnatur antywirusowych znajduje się lokalnie na każdym urządzeniu, co oznacza, że nie wymaga połączenia z chmurą. Zapewnia to ochronę stacji końcowych zarówno w trybie online, jak i offline.
  • Wykrywanie oprogramowania polimorficznego: autorzy malware’u często piszą różne odmiany tego samego oprogramowania, aby uniknąć popularnych technik wykrywania. AMP potrafi wykrywać te warianty poprzez metody fingerprintingu. Metoda ta wyszukuje podobieństwa między zawartością podejrzanego pliku, a zawartością znanych rodzin złośliwego oprogramowania i alarmuje jeśli wykryje podobieństwa.
  • Wykorzystanie machine learning do analizy: Funkcje uczenia maszynowego w AMP są zasilane przez modele budowane przez Cisco Talos, co w rezultacie pomaga w wykrywaniu nieznanego wcześniej złośliwego oprogramowania w punkcie wejścia.
  • Ochrona przed exploitami: Funkcja zapobiegania exploitom chronić punkty końcowe przed atakami polegającymi na wstrzykiwaniu kodu do pamięci komputera
Wykrywanie ataków
Rozwiązanie AMP stale monitoruje punkty końcowe, aby pomóc wykrywać nowe i nieznane zagrożenia.
  • Ochrona przed złośliwymi działaniami: AMP stale monitoruje całą aktywność endpointa i umożliwia natychmiastowe blokowanie programu, który zachowuje się w sposób podejrzany. Na przykład, gdy zachowanie punktu końcowego wskazuje na obecność oprogramowania ransomware, szkodliwe procesy zostają zakończone, zapobiegając szyfrowaniu dysków i zatrzymując atak.
  • Wskaźniki kompromitacji oparte na chmurze: Grupa Cisco Talos stale analizuje złośliwe oprogramowanie, aby odkrywać nowe typy zagrożeń i budować profile behawioralne dla pojawiających się zagrożeń, zwanych wskaźnikami kompromitacji (Indicator of Compromise - IoC). AMP pomaga administratorom w identyfikacji systemów, które zostały naruszone przekazując dane forensic takie jak lokalizacje plików lub modyfikacje wartości kluczy rejestru.
  • Wskaźniki kompromitacji (IoC) oparte na hoście: administratorzy mogą pisać własne niestandardowe IoC do użycia w odpowiedzi na zaistniały incydent, aby przeskanować pod ich kątem całą sieć. Niestandardowe IoC są pisane w otwartym formacie (OpenIOC), co ułatwia wykorzystanie danych z dowolnych istniejących źródeł o feedach.
  • Podatności: AMP identyfikuje podatności na stacjach końcowych, aby zmniejszyć ryzyko ataku. Urządzenia z uruchomionym podatnym oprogramowaniem są klasyfikowane na podstawie oceny branżowej CVE (Common Vulnerabilities and Exposure): im poważniejsza luka, tym wyżej zostanie zaznaczona na liście. Administratorom otrzymują listę z wyróżnieniem które podatności należy wyeliminować w pierwszej kolejności aby nie narazić się na ich eksploitację.
  • Rzadkie występowanie (Low prevalence): AMP automatycznie rozpoznaje pliki wykonywalne, które występują rzadko na urządzeniach końcowych, a następnie analizuje próbki w środowisku sandbox, aby odkryć nowe zagrożenia. Ukierunkowane złośliwe oprogramowanie lub ataki APT często pozostają nieuchwytne dla systemów bezpieczeństwa bowiem atakują tylko kilka urządzeń z niewielką częstotliwością. Dzięki tej funkcji AMP pomaga w wykrywaniu tego 1% zagrożeń, które zostają niezauważone przez inne systemy.
Obrona po ataku
Filozofia działania Cisco AMP opiera się na założeniu, że zapobiegawcze metody wykrywania i blokowania nie są w 100% skuteczne, dlatego stale analizuje pliki i ruch. AMP monitoruje, analizuje i rejestruje całą aktywność plików i komunikację na urządzeniach końcowych, urządzeniach mobilnych i w sieci, aby szybko wykryć ukryte zagrożenia, które wykazują podejrzane lub złośliwe zachowanie.
  • Pulpity nawigacyjne: raporty nie ograniczają się do enumeracji i agregowania zdarzeń. Zdarzenia i urządzenia są podzielone na kategorie według priorytetów i powiązane z przepływami pracy w celu śledzenia postępów podczas dochodzenia.
  • Analizy śledcze: AMP wykorzystuje narzędzia takie jak trajektoria plików i trajektoria urządzeń, aby pokazać pełny zakres zagrożenia. Przy pierwszych oznakach problemów AMP alarmuje zespoły bezpieczeństwa i dostarcza szczegółowych informacji na temat zachowania zagrożenia, aby można było odpowiedzieć na kluczowe pytania bezpieczeństwa, takie jak:
    • Skąd pochodzi złośliwe oprogramowanie?
    • Jaka była metoda i punkt wejścia?
    • Jakie systemy zostały dotknięte?
    • Jak zatrzymać niebezpieczeństwo i wyeliminować pierwotną przyczynę?

  • Analiza dynamiczna: wbudowane, bezpieczne środowisko sandbox, obsługiwane przez Cisco Threat Grid służy do analizy zachowania podejrzanych plików. Po analizie dostarczane są szczegółowe informacje o plikach, zrzuty ekranu z wykonywanego złośliwego oprogramowania i próbki przechwyconych pakietów.
  • Analiza retrospektywna: AMP wykorzystuje opatentowaną technologię, która automatycznie wykrywa zaawansowane zagrożenia, które dostały się do środowiska organizacji. Ciągle monitorując zachowanie się plików AMP koreluje nowe informacje o zagrożeniach z danymi historycznymi i automatycznie poddaje pliki kwarantannie, gdy tylko zaczną wykazywać złośliwe zachowanie. Ta automatyczna reakcja na najnowsze zagrożenia zapewnia szybszy czas na wykrycie i znacznie ogranicza rozprzestrzenianie się złośliwego oprogramowania.

Pobierz dodatkowe materiały


Datasheet: Opis najważniejszych funkcjonalności rozwiązania Cisco AMP
Pobierz datasheet

Masz pytania?


passus@passus.com

+48 695 444 803