Cisco Advanced Malware Protection для технических специалистов

Cisco Advanced Malware Protection
Обсуждение
Май 2014 г.

Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 2
Современное вредоносное ПО не представляет собой единого целого
Этопреступноесообщество,котороепрячетсянавидномместе
и остаетсянезамеченнымприточечныхпроверках

коллективнойинформационнойбезопасности
Всеобъемлющая безопасность требует
защиты от нарушений
обнаружения нарушений
82тыс. новыхугрозкаждыйдень
свыше 180тыс. образцов файлов ежедневно
в 2013г. троянскиепрограммысоставляли8 из10 заражений
Источник: http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html

Cisco имеетлучшийв своемклассеактивпообеспечениюбезопасности, удовлетворяющийэтимтребованиям
10I000 0II0 00 0III000 II1010011 101 1100001 110
110000III000III0 I00I II0I III0011 0110011 101000 0110 00
I00I III0I III00II 0II00II I0I000 0110 00
Свыше180тыс. образцовфайловежедневно
СообществоFireAMPCommunity, свыше3млн
Улучшенноеотраслевоеобнаружениеи обнаружениеMicrosoft
СообществаразработчиковоткрытогоПО Snort и ClamAV
Незащищенныесетидляизученияприемовхакеров
ПрограммаSourcefireAEGIS
Частныеи публичныенаборыугроз
Динамическийанализ
101000 0II0 00 0III000 III0I00II II II0000I II0
1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00
100I II0I III00II 0II00II I0I000 0II0 00
Cisco® SIO
Sourcefire® VRT(Группаисследованияуязвимостей)
Cisco Collective Security Intelligence
Автоматическиеобновлениякаждые3—5 минут
1,6млндатчиковповсемумиру
100ТБданных, получаемыхежедневно
Более150млнразвернутыхоконечныхустройств
Более600инженеров, техническихспециалистови исследователей
35% мировоготрафикаэлектроннойпочты
13млрдвеб-запросов
Круглосуточноенепрерывноефункционирование
Более40языков
Эл. почта
Оконечныеустройства
Интернет
Сети
СистемапредотвращениявторженийIPS
Устройства
WWW

Cisco AMP обеспечивает три преимущества
3
Работает на протяжении всего периода атаки
2
Более комплексная защита
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективнаябезопасность
1
Более эффективный подход
ДО
ВО ВРЕМЯ
ПОСЛЕ
Сеть
Контент
Оконечное устройство

Cisco AMP обеспечивает более эффективный подход
Ретроспективная безопасность
Ограниченное во времени обнаружение
Непрерывная защита
Репутацияфайлаи поведенческоеобнаружение
Уникально для Cisco®AMP

Cisco AMP обеспечиваетзащитус помощьюфильтрациипорепутациии поведенческогообнаружения
Фильтрация по репутации
Поведенческое обнаружение
Динамический анализ
Обучениекомпьютеров
Нечеткиеидентифицирующиеметки
Расширенная аналитика
Идентичная
сигнатура
Признаки вторжения
Сопоставление потоков устройств

Нечеткие идентифицирующие метки
сигнатура
Фильтрация по репутации
Поведенческое обнаружение
Фильтрацияпорепутацииосновываетсянатрехфункциях
Collective Security Intelligence Cloud
Сигнатуранеизвестногофайлаанализируетсяи отправляетсяв облако
1
Сигнатура файла признана невредоносной и принята.
2
Сигнатуранеизвестногофайлаанализируетсяи отправляетсяв облако
3
Известно, что сигнатура файла является вредоносной; ей запрещается доступ в систему
4

сигнатура
Сигнатурафайлаанализируетсяи определяетсякаквредоносная
1
Доступ вредоносному файлу запрещен
2
Полиморфнаямодификациятогожефайлапытаетсяполучитьдоступв систему
3
Сигнатурыдвухфайловсравниваютсяи оказываютсяаналогичными
4
Доступполиморфноймодификациизапрещеннаоснованииегоходствас известнымвредоноснымПО
5

нтичная
натура
Метаданные неизвестного файла отправляются в облако для анализа
1
Метаданныепризнаютсяпотенциальновредоносными
2
Файлсравниваетсяс известнымвредоноснымПО и подтверждаетсякаквредоносный
3
Метаданные второго неизвестного файла отправляются в облако для анализа
4
Метаданные аналогичны известному безопасному файлу, потенциально безопасны
5
Файлподтверждаетсякакбезопасныйпослесравненияс аналогичнымбезопаснымфайлом
6
Дерево решений машинного обучения
Потенциальнобезопасныйфайл
ПотенциальновредоносноеПО
ПодтвержденноевредоносноеПО
Подтвержденный безопасный файл
Подтвержденный безопасный файл
Подтвержденное вредоносное ПО

четкие фицирую метки
Поведенческоеобнаружениеосновываетсяначетырехфункциях
Неизвестный файл проанализирован, обнаружены признаки саморазмножения
1
Эти признаки саморазмноженияпередаются в облако
2
Неизвестный файл также производит независимые внешние передачи
3
Это поведение также отправляется в облако
4
Обэтихдействияхсообщаетсяпользователюдляидентификациифайлакакпотенциальновредоносного
5

чение пьютеров
Неизвестныефайлызагружаютсяв облако, гдемеханизмдинамическогоанализазапускаетихв изолированнойсреде
1
Двафайлаопределяютсякаквредоносные, одинподтвержденкакбезопасный
2
Сигнатурывредоносныхфайловобновляютсяв облакеинформациии добавляютсяв пользовательскуюбазу
3
Коллективнаяпользователь- скаябаза

знаки жения
Получает информацию онеопознанном ПО от устройств фильтрации по репутации
1
Анализирует файл в свете полученной информации иконтекста
3
ИдентифицируетвредоносноеПО и добавляетновуюсигнатурув пользовательскуюбазу
4
Получает контекст для неизвестного ПО от коллективной пользовательской базы
2
Коллективнаяпользователь-
скаябаза

мический ализ
Обнаруживаютсядванеизвестныхфайла, связывающихсяс определеннымIP-адресом
2
Одинпередаетинформациюзапределысети, другойполучаеткомандыс этогоIP-адреса
3
Collective Security Intelligence Cloud распознаетвнешнийIP-адрескакподтвержденныйвредоносныйсайт
4
Из-заэтогонеизвестныефайлыидентифицируютсякаквредоносные
5
IP-адрес: 64.233.160.0
Сопоставлениепотоковустройствпроизводитмониторингисточникаи приемникавходящего/исходящеготрафикав сети
1

Cisco AMP обеспечивает более эффективный подход
Непрерывная защита
Репутацияфайлаи поведенческоеобнаружение
Уникально для Cisco®AMP

Cisco AMP обеспечиваетзащитус помощьюретроспективнойбезопасности

Почему необходима непрерывная защита
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная подача
Непрерывный анализ
Потоктелеметрическихданных
Интернет
WWW
Оконечные устройства
Сеть
Эл. почта
СистемапредотвращениявторженийIPS
Идентифицирующиеметкии метаданныефайла
Файловый и сетевой ввод/вывод
Информация о процессе
Объеми контрольныеточки

Почему необходима непрерывная защита
Контекст
Применение
Непрерывный анализ
Кто
Что
Где
Когда
Как
История событий
Collective Security Intelligence

Cisco AMP обеспечиваетзащитус помощьюретроспективнойбезопасности
Траектория
Поведенческиепризнакивторжения
Поискнарушений
Ретроспекция
Создание
цепочек атак

Создание
Ретроспективнаябезопасностьоснованана…
Выполняет анализ при первом обнаружении файлов
1
Постоянноанализируетфайлс течениемвремени, чтобывидетьизмененияситуации
2
Обеспечивает непревзойденный контроль пути, действий или связей, касающихся конкретного элемента ПО
3

Создание
Использует ретроспективные возможности тремя способами:
Ретроспективный анализ файлов
Записывает траекторию ПО от устройства к устройству
Ретроспективный анализ файлов
1
Ретроспекция процесса
2
Ретроспекциясвязи
3
Ретроспекцияпроцесса
Производитмониторингактивностиввода/выводадлявсехустройствв системе
Ретроспекциясвязей
Производитмониторинг, какиеприложениявыполняютдействия
Созданиецепочкиатак
Анализируетданные, собранныеретроспекциейфайлов, процессови связидляобеспеченияновогоуровняинтеллектуальныхсредствмониторингаугроз

роспекция
Создание
цепочекатак
Поведенческие признаки вторжения используют ретроспекцию для мониторинга систем на наличие подозрительной и неожиданной активности
Неизвестныйфайлдопущенв сеть
1
Неизвестный файл копирует себя на несколько машин
2
Копирует содержимое с жесткого диска
3
Отправляет скопированное содержимое на неизвестный IP-адрес
4
С помощьюсвязыванияцепочкиатакCisco®AMP способнараспознатьшаблоныи действия
указанногофайлаи идентифицироватьдействия, производяпоискв среде, а непометкамилисигнатурамфайлов

оздание
очек атак
Траекторияфайлаавтоматическизаписываетвремя, способ, входнуюточку, затронутыесистемыи распространениефайла
Неизвестныйфайлзагружаетсяна устройство
1
Сигнатуразаписываетсяи отправляетсяв облакодляанализа
2
Неизвестныйфайлперемещаетсяпо сетинаразныеустройства
3
Аналитикиизолированнойзоныопределяют, чтофайлвредоносный, и уведомляютвсеустройства
4
Траекторияфайлаобеспечиваетулучшеннуюнаглядностьмасштабазаражения
5
Вычислительныересурсы
Виртуальнаямашина
Мобильныесистемы
Виртуальнаямашина
Сеть

енческиезнакижения
Неизвестныйфайлзагружаетсяна конкретноеустройство
1
Файлперемещаетсянаустройстве, выполняяразличныеоперации
2
Приэтомтраекторияустройствазаписываетосновнуюпричину, происхождениеи действияфайловнамашине
3
Этиданныеуказываютточнуюпричинуи масштабвторжениянаустройство
4
Диск 1
Диск 2
Диск 3

енческиезнакижения
Поискнарушений—этовозможностьиспользованияиндикаторов, создаваемыхповеденческимиинтегрированнымицентрамиуправления, длямониторингаи поискаконкретногоповеденияв среде
1
Приидентификацииповеденческихинтегрированныхцентровуправленияихможноиспользоватьдляпоискаи идентификацииналичияилиотсутствияэтогоповеденияв каком-либодругомместе
2
Этафункцияпозволяетпроизводитьбыстрыйпоискповедения, а несигнатуры, даваявозможностьопределятьфайлы, остающиесянеизвестными, ноявляющиесявредоносными
3

3
2
1
ДО
ВО ВРЕМЯ
ПОСЛЕ
Сеть
Контент

Всесторонняя защита среды с помощью Cisco AMP
Вектор угрозы
Эл. почтаи Интернет
Сети
Назначение
НовыеилисуществующиезаказчикиEmail илиWeb Security Cisco
ЗаказчикиIPS/NGFW
Windows, Mac, Android, виртуальныемашины
Метод
Лицензияс ESA илиWSA
Самостоятельноерешение
-или-
ВключитьAMP наустройствеFirePOWER
Установитьнаоконечныеустройства
Cisco® Advanced Malware Protection
Защита Cisco® AMP
Контент
Сеть
Оконечноеустройство

Различные платформы
•
Обнаружениеи блокировкавредоносногоПО, пытающегосяпроникнутьчерезшлюзэлектроннойпочтыиливеб-шлюз
•
Получениеподробнойотчетности, отслеживаниеURL-адреса/сообщенийи определениеприоритетоввосстановления
•
Расширениек существующемуустройствуилив облаке
Cisco®AMP
длясодержимого
•
Определениевходнойточки, распространения, использованныхпротоколов, затронутыхпользователейи хостов
•
Получениеподробнойкартинывредоноснойактивностис контекстуальнымиданными
•
КонтрольустройствBYOD в сети
Cisco AMP
для сетей
•
Поискзаражения, отслеживаниеегоперемещения, анализегоповедения
•
Быстроеуменьшениеущербаи устранениерискаповторногозаражения
•
Определениеместоположенияпризнаковвторжениянауровнесетии системы
Cisco AMP для оконечных устройств

Защита сетей
Сеть
Контент
Сетеваяплатформаиспользуетпризнакивторжения, анализируетфайлы, а в данномпримереанализируеттраекториюфайла, чтобыточнопоказать, каквредоносныефайлыперемещалисьв среде.

Защита оконечных устройств
Платформаоконечныхустройствимееттраекториюустройства, гибкийпоиски контрольэпидемии, которыев данномпримерепоказываюткарантиннедавнообнаруженноговредоносногоПО наустройстве, имеющемустановленныйконнекторFireAMP.
Сеть
Контент

Защита веб и эл. почты
Cisco®AMP длясодержимогозащищаетотинтернет-угрози угрозизэл. почты, создаваяретроспективныеуведомленияприобнаружениивредоносногоПО иливредоносныхсигнатур.
Сеть
Контент

Полная защита среды с помощью Cisco AMP
Каждый вариант развертывания предлагает расширенную защиту для конкретного вектора угрозы
Учитывание вектора угрозы
Посколькузараженияпризваныраспространяться, защитыотодногоилидвухвектороватакнедостаточнодлясовременныхугроз
Предотвращение заражения
СовместноеразвертываниеCisco® AMP длясодержимого, сетии оконечныхустройств—этолучшеедоступноесредстводляполнойзащитысреды, карантинаи восстановления
Работая вместе

3
Работаетнапротяжениивсегопериодаатаки
2
Болеекомплекснаязащита
1
ДО
ВО ВРЕМЯ
ПОСЛЕ
Сеть
Контент

БлокированиеугроздоихпроникновенияПримервнедренияв американскомбанке
Метод
Опытнойкомандепообеспечениюбезопасностииз7человек, обслуживающихсвыше120точек, требоваласьулучшеннаяаналитикадлябыстройидентификациии остановкиугроз. Имевшиесясредствазащитыуведомлялисотрудникови заносилиподробностив журнал, нонемоглипомочьв изучениипроблемы.
Задача
Метод
Расширенныесистемыпредотвращениявторженийс FireAMPдляоконечныхустройств.
Решение
Метод
ПослеустановкиFireAMPцеленаправленнаяатакабылаобнаруженаи устраненазаполдня. Черезнеделюпослепервоначальнойатакиновыебизнес-процессыи аналитика, реализованныес помощьюFireAMP, помоглинемедленноминимизироватьвторуюцеленаправленнуюатаку.
Результат
ДО

Защита от угроз во время атакиПример внедрения FVC
ВО ВРЕМЯ
Метод
ПредыдущеегромоздкоерешениезащитыотвредоносногоПО неимелоцентрализованногоуправления, поэтомуИТ- персоналубылотяжелопроводитьмониторинги эффективноустранятьпроблемыс сетью.
Задача
Метод
Дляуменьшениягромоздкости, обеспеченияцентрализованногоуправленияи удаленногоконтроляв режимереальноговременинаоконечныеустройствабылаустановленаFireAMP.
Решение
Метод
ПанельуправленияFireAMPпомоглакомандеобнаруживатьи предотвращатьугрозыгораздобыстреечемраньше. То, чтораньшезанималочасы, теперьтребовало2—3 минуты. Благодаряудаленномууправлениюкомандатакжемогларешатьмногиепроблемыдистанционно, сохраняяпроизводительностьсотрудников.
Результат

Определениемасштабаи восстановлениепосленарушенияПримервнедренияв энергосистеме
Метод
Компаниячастостановитсяжертвойцеленаправленныхфишинговыхатакс признакамизаражения, производимогоизмножестваисточников.
Задача
Метод
FireAMPбыладобавленав систему, ужеиспользующуюFirePOWER, чтобыдатьвозможностьотслеживать
иизучатьподозрительнуюактивностьфайлов.
Решение
Метод
КомпанияполучилаполныйконтрольнадзаражениямивредоноснымПО, определилавекторатак, оценилапоследствиядлясетии принялаоперативныерешениягораздобыстрее, чемв ручномрежиме.
Результат
ПОСЛЕ

3
2
1
ДО
ВО ВРЕМЯ
ПОСЛЕ
Сеть
Контент

Определение подверженности угрозам
Определите текущий уровень веб- защиты и защиты электронной почты
Определите текущий уровень сетевой защиты
Определите текущий уровень защиты оконечных устройств
1.
2.
3.

Начинайте работу прямо сейчас!
Определитьпредпочтительноеразвертываниедоказательстваценности(POV)
Определить временные рамки и дату установки POV
Определитьтребованияк оборудованиюи измененияконфигурации
ВыбратьпродолжительностьPOV и доставку
Запланировать начальную встречу
1.
2.
3.
4.
5.

Благодарим
за внимание!

КакработаетCisco AMP: примервнедрениятраекториифайла

НеизвестныйфайлнаходитсяпоIP-адресу: 10.4.10.183. ОнбылзагруженчерезFirefox

В 10:57 неизвестныйфайлс IP-адреса10.4.10.183 былпереданнаIP-адрес10.5.11.8

Семь часов спустя файл был передан через бизнес- приложение на третье устройство (10.3.4.51)

Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)

РешениеCisco®Collective Security Intelligence Cloud определило, чтоэтотфайлявляетсявредоносным. Длявсехустройствбылонемедленносозданоретроспективноесобытие

Тотчасжеустройствос коннекторомFireAMPсреагировалонаретроспективноесобытиеи немедленноостановилои поместилов карантинтолькочтоопределенноевредоносноеПО

Через8часовпослепервойатакивредоносноеПО пыталосьповторнопроникнутьв системучерезисходнуювходнуюточку, нобылораспознанои заблокировано

Cisco Advanced Malware Protection для технических специалистов

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Cisco Advanced Malware Protection для технических специалистов

Similaire à Cisco Advanced Malware Protection для технических специалистов (20)

Plus de Cisco Russia

Plus de Cisco Russia (20)

Cisco Advanced Malware Protection для технических специалистов