- Главная
- Работы
- Системы
- О компании
Cisco AMP: Платформа для борьбы с вредоносным кодом
Развитие киберпреступности в мировой информационной среде происходит параллельно с развитием технологий создания вредоносного программного обеспечения (ВПО). На сегодняшний день, ранее неплохо показавшая себя концепция сигнатурного анализа уже не обеспечивает должной степени защищенности (скорости и качества обнаружения угроз). Широкая распространенность бесфайлового вредоносного ПО, использующего уязвимости программ, также затруднила использование традиционных методов анализа угроз.
В центре внимания – анализ угроз!
Жизненный цикл атаки имеет три стадии и важно обеспечить комплексную защиту в каждой из них
Что известно о вредоносном ПО?
Cisco Advanced Malware Protection (AMP): обзор и детали
Программное обеспечение Cisco Advanced Malware Protection (AMP) предназначено для предотвращения атак на всем их жизненном цикле. АМР проводит точечное обнаружение, проверяя репутацию файла и анализируя его поведение, а также обеспечивает ретроспективную безопасность для непрерывной защиты.
Сisco AMP имеет следующие основные преимущества:
Cisco AMP обеспечивает полную защиту среды
Cisco Advanced Malware Protection (AMP): детали
Cisco AMP защищает с помощью репутационной фильтрации и анализа поведения файла.
Фильтрация по репутации основывается на трех функциях:
Сначала сигнатура неизвестного файла анализируется и отправляется в облако. Если известно, что сигнатура файла является вредоносной, то ей запрещается доступ в систему. Если доступ в систему пытается получить модификация того же файла, то при сравнении сигнатур они оказываются аналогичными и доступ в систему так же запрещается.
Метаданные неизвестного файла отправляется в облако для анализа и если они признаются потенциально опасными, то файл сравнивается с известным вредоносным ПО и подтверждается как вредоносный. Если метаданные аналогичны известному безопасному файлу, то файл подтверждается как безопасный.
Неизвестный файл проанализирован и обнаружены признаки саморазмножения. Эти данные передаются в облако. Об этих действиях сообщается пользователю для идентификации файла как потенциально вредоносного. Машинное обучение автоматизирует классификацию файлов на основе общих сложных признаков, а также позволяет находить и классифицировать то, что не под силу человеку, из-за возможности анализа больших объемов данных.
Поведенческое обнаружение основывается на четырех функциях:
Неизвестные файлы загружаются в облако, где механизм динамического анализа запускает их в изолированной среде.
Проводится анализ файла на основе информации о неопознанном ПО от устройств фильтрации по репутации и на основе контекста для неизвестного ПО на основе коллективной пользовательской базы. Если было идентифицировано вредоносное ПО, то оно добавляется в новую сигнатуру в пользовательской базе.
Сопоставляет потоки устройств и производит мониторинг источника и приемника, входящего/исходящего трафика в сети. При обнаружении неизвестного файла, связанного с определенным IP-адресом, то проводиться проверка внешнего IP-адреса. Если IP-адрес подтвержден как вредоносный, то файлы от него будут идентифицироваться как вредоносные.
Мониторятся внутренние и внешние сети, обновляются данные по репутации IP-адресов. Позволяет блокировать или предупреждать о любых сетевых действиях.
Cisco AMP обеспечивает ретроспективную защиту
Ретроспективная защита имеет следующие функции:
Ретроспективная защита основана на анализе при первом обнаружении файлов и дальнейшем анализе файла, чтобы видеть изменение ситуации. Обеспечивает контроль пути, действий или связей конкретного элемента ПО.
Анализирует данные, собранные ретроспекцией файлов, процессов и связи для обеспечения нового уровня интеллектуальных средств мониторинга угроз. С помощью связывания цепочки атак Cisco AMP способна распознать шаблоны и действия указанного файла и идентифицировать действия, производя поиск в среде.
Анализ поведения неизвестного файла, изучение его траектории, способом распространения, входной точки и затронутых систем. Аналитики изолированной зоны переделяют что файл вредоносный и уведомляют все устройства.
Запись траектории перемещения файла на устройстве и запись основной причины, происхождения и действия файла в системе. Эти данные позволяют указать точную причину и масштаб вторжения на устройство.
Позволяет производить быстрый поиск поведения неизвестного файла, давая возможность определить вредоносные файлы. Работает поиск нарушений с помощью использования индикаторов, для мониторинга и поиска конкретного поведения в среде.
Варианты реализации Cisco AMP
Вариант реагирования на обнаруженный вредоносный код зависит от варианта реализации Cisco AMP:
Режим аудита- разрешить запускать вредоносный код
Пассивный режим- не ждать ответа из облака и запускать вредоносный код (блокировать после)
Активный режим- ждать ответа из облака, не запуская файл
Пропустить, заблокировать или поместить в карантин
Пропустить, заблокировать или сохранить вредоносный код
Расследование и реагирование на инциденты с помощью Cisco AMP
Файлы, передаваемые по сети, можно захватывать и сохранять для дальнейшего анализа. Можно посмотреть полную информацию о вредоносном коде.
Помимо анализа уязвимостей, в AMP for Endpoints реализован механизм анализа уязвимого ПО на узлах (оконечных устройствах).
Ретроспективный анализ файлов позволяет определить какие системы были инфицированы, кто был инфицирован, когда и почему это произошло. Помимо этого, можно узнать, что было отправной точкой заражения.
Ретроспективный анализ процессов позволяет определить, как угроза попала на узел, что происходит на узле, как угроза взаимодействует с внешними узлами и какова последовательность событий.
Есть возможность ручного анализа, так как нередко возникает необходимость проанализировать файлы на различных носителях, а также проводить более глубокий анализ вредоносных программ.
Cisco AMP Threat Grid
Cisco AMP Threat Grid – это платформа для глубокого анализа вредоносного кода. Позволяет проводить детальный анализ вредоносного ПО и использовать типовые сценарии, интегрировать и автоматизировать механизмы обеспечения безопасности.
Развернуть Cisco AMP Threat Grid можно вне облака, а на территории заказчика, что позволяет проводить локальный анализ вредоносного ПО с полной поддержкой облака. Все данные остаются на территории заказчика. Непрерывный однонаправленный поток данных из облака для актуализации контекста.
Cisco AMP Private Cloud
В обычном варианте развертывания, обезличенный «отпечаток» файла с мета-данными данные пользователя и признаками компрометации помещается для анализа в облачную базу данных центра безопасности Cisco Systems. В том случае ,если политики безопасности компании не позволяют пересылать содержимое частных файлов ,или если каналы интернет не позволяют этого сделать из-за небольшой пропускной способности, компания Cisco предлагает развернуть на площадке компании «частное облако» FireAMP Private Cloud. В данном случае можно локально управлять политиками, траекторией файлов, траекторией процессов, пользовательскими сигнатурами, анализировать инциденты, генерировать отчеты, кешировать вердикты и управлять персональными данными.