Contenu connexe Similaire à Cisco Advanced Malware Protection для технических специалистов (20) Plus de Cisco Russia (20) Cisco Advanced Malware Protection для технических специалистов2. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 2
Современное вредоносное ПО не представляет собой единого целого
Этопреступноесообщество,котороепрячетсянавидномместе
и остаетсянезамеченнымприточечныхпроверках 3. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 3
коллективнойинформационнойбезопасности
Всеобъемлющая безопасность требует
защиты от нарушений
обнаружения нарушений
82тыс. новыхугрозкаждыйдень
свыше 180тыс. образцов файлов ежедневно
в 2013г. троянскиепрограммысоставляли8 из10 заражений
Источник: http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html 4. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 4
Cisco имеетлучшийв своемклассеактивпообеспечениюбезопасности, удовлетворяющийэтимтребованиям
10I000 0II0 00 0III000 II1010011 101 1100001 110
110000III000III0 I00I II0I III0011 0110011 101000 0110 00
I00I III0I III00II 0II00II I0I000 0110 00
Свыше180тыс. образцовфайловежедневно
СообществоFireAMPCommunity, свыше3млн
Улучшенноеотраслевоеобнаружениеи обнаружениеMicrosoft
СообществаразработчиковоткрытогоПО Snort и ClamAV
Незащищенныесетидляизученияприемовхакеров
ПрограммаSourcefireAEGIS
Частныеи публичныенаборыугроз
Динамическийанализ
101000 0II0 00 0III000 III0I00II II II0000I II0
1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00
100I II0I III00II 0II00II I0I000 0II0 00
Cisco® SIO
Sourcefire® VRT(Группаисследованияуязвимостей)
Cisco Collective Security Intelligence
Автоматическиеобновлениякаждые3—5 минут
1,6млндатчиковповсемумиру
100ТБданных, получаемыхежедневно
Более150млнразвернутыхоконечныхустройств
Более600инженеров, техническихспециалистови исследователей
35% мировоготрафикаэлектроннойпочты
13млрдвеб-запросов
Круглосуточноенепрерывноефункционирование
Более40языков
Эл. почта
Оконечныеустройства
Интернет
Сети
СистемапредотвращениявторженийIPS
Устройства
WWW 5. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 5
Cisco AMP обеспечивает три преимущества
3
Работает на протяжении всего периода атаки
2
Более комплексная защита
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективнаябезопасность
1
Более эффективный подход
ДО
ВО ВРЕМЯ
ПОСЛЕ
Сеть
Контент
Оконечное устройство 6. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 6
Cisco AMP обеспечивает более эффективный подход
Ретроспективная безопасность
Ограниченное во времени обнаружение
Непрерывная защита
Репутацияфайлаи поведенческоеобнаружение
Уникально для Cisco®AMP 7. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 7
Cisco AMP обеспечиваетзащитус помощьюфильтрациипорепутациии поведенческогообнаружения
Фильтрация по репутации
Поведенческое обнаружение
Динамический анализ
Обучениекомпьютеров
Нечеткиеидентифицирующиеметки
Расширенная аналитика
Идентичная
сигнатура
Признаки вторжения
Сопоставление потоков устройств
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективнаябезопасность 8. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 8
Динамический анализ
Обучениекомпьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная
сигнатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрация по репутации
Поведенческое обнаружение
Фильтрацияпорепутацииосновываетсянатрехфункциях
Collective Security Intelligence Cloud
Сигнатуранеизвестногофайлаанализируетсяи отправляетсяв облако
1
Сигнатура файла признана невредоносной и принята.
2
Сигнатуранеизвестногофайлаанализируетсяи отправляетсяв облако
3
Известно, что сигнатура файла является вредоносной; ей запрещается доступ в систему
4
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 9. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 9
Динамический анализ
Обучениекомпьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная
сигнатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрацияпорепутацииосновываетсянатрехфункциях
Collective Security Intelligence Cloud
Сигнатурафайлаанализируетсяи определяетсякаквредоносная
1
Доступ вредоносному файлу запрещен
2
Полиморфнаямодификациятогожефайлапытаетсяполучитьдоступв систему
3
Сигнатурыдвухфайловсравниваютсяи оказываютсяаналогичными
4
Доступполиморфноймодификациизапрещеннаоснованииегоходствас известнымвредоноснымПО
5
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 10. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 10
Динамический анализ
Обучениекомпьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
нтичная
натура
Признаки вторжения
Сопоставление потоков устройств
Фильтрацияпорепутацииосновываетсянатрехфункциях
Collective Security Intelligence Cloud
Метаданные неизвестного файла отправляются в облако для анализа
1
Метаданныепризнаютсяпотенциальновредоносными
2
Файлсравниваетсяс известнымвредоноснымПО и подтверждаетсякаквредоносный
3
Метаданные второго неизвестного файла отправляются в облако для анализа
4
Метаданные аналогичны известному безопасному файлу, потенциально безопасны
5
Файлподтверждаетсякакбезопасныйпослесравненияс аналогичнымбезопаснымфайлом
6
Дерево решений машинного обучения
Потенциальнобезопасныйфайл
ПотенциальновредоносноеПО
ПодтвержденноевредоносноеПО
Подтвержденный безопасный файл
Подтвержденный безопасный файл
Подтвержденное вредоносное ПО
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 11. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 11
Динамический анализ
Обучениекомпьютеров
четкие фицирую метки
Расширенная аналитика
Признаки вторжения
Сопоставление потоков устройств
Поведенческоеобнаружениеосновываетсяначетырехфункциях
Collective Security Intelligence Cloud
Неизвестный файл проанализирован, обнаружены признаки саморазмножения
1
Эти признаки саморазмноженияпередаются в облако
2
Неизвестный файл также производит независимые внешние передачи
3
Это поведение также отправляется в облако
4
Обэтихдействияхсообщаетсяпользователюдляидентификациифайлакакпотенциальновредоносного
5
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 12. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 12
Динамический анализ
чение пьютеров
Расширенная аналитика
Признаки вторжения
Сопоставление потоков устройств
Поведенческоеобнаружениеосновываетсяначетырехфункциях
Неизвестныефайлызагружаютсяв облако, гдемеханизмдинамическогоанализазапускаетихв изолированнойсреде
1
Двафайлаопределяютсякаквредоносные, одинподтвержденкакбезопасный
2
Сигнатурывредоносныхфайловобновляютсяв облакеинформациии добавляютсяв пользовательскуюбазу
3
Collective Security Intelligence Cloud
Коллективнаяпользователь- скаябаза
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 13. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 13
Динамический анализ
Расширенная аналитика
знаки жения
Сопоставление потоков устройств
Поведенческоеобнаружениеосновываетсяначетырехфункциях
Получает информацию онеопознанном ПО от устройств фильтрации по репутации
1
Анализирует файл в свете полученной информации иконтекста
3
ИдентифицируетвредоносноеПО и добавляетновуюсигнатурув пользовательскуюбазу
4
Получает контекст для неизвестного ПО от коллективной пользовательской базы
2
Коллективнаяпользователь-
скаябаза
Collective Security Intelligence Cloud
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 14. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 14
мический ализ
Расширенная аналитика
Сопоставление потоков устройств
Поведенческоеобнаружениеосновываетсяначетырехфункциях
Collective Security Intelligence Cloud
Обнаруживаютсядванеизвестныхфайла, связывающихсяс определеннымIP-адресом
2
Одинпередаетинформациюзапределысети, другойполучаеткомандыс этогоIP-адреса
3
Collective Security Intelligence Cloud распознаетвнешнийIP-адрескакподтвержденныйвредоносныйсайт
4
Из-заэтогонеизвестныефайлыидентифицируютсякаквредоносные
5
IP-адрес: 64.233.160.0
Сопоставлениепотоковустройствпроизводитмониторингисточникаи приемникавходящего/исходящеготрафикав сети
1
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 15. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 15
Cisco AMP обеспечивает более эффективный подход
Ретроспективная безопасность
Ограниченное во времени обнаружение
Непрерывная защита
Репутацияфайлаи поведенческоеобнаружение
Уникально для Cisco®AMP 16. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 16
Cisco AMP обеспечиваетзащитус помощьюретроспективнойбезопасности
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 17. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 17
Почему необходима непрерывная защита
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная подача
Непрерывный анализ
Потоктелеметрическихданных
Интернет
WWW
Оконечные устройства
Сеть
Эл. почта
Устройства
СистемапредотвращениявторженийIPS
Идентифицирующиеметкии метаданныефайла
Файловый и сетевой ввод/вывод
Информация о процессе
Объеми контрольныеточки 18. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 18
Почему необходима непрерывная защита
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность
Контекст
Применение
Непрерывный анализ
Кто
Что
Где
Когда
Как
История событий
Collective Security Intelligence 19. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 19
Cisco AMP обеспечиваетзащитус помощьюретроспективнойбезопасности
Траектория
Поведенческиепризнакивторжения
Поискнарушений
Ретроспекция
Создание
цепочек атак
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 20. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 20
Траектория
Поведенческиепризнакивторжения
Поискнарушений
Ретроспекция
Создание
цепочек атак
Ретроспективнаябезопасностьоснованана…
Выполняет анализ при первом обнаружении файлов
1
Постоянноанализируетфайлс течениемвремени, чтобывидетьизмененияситуации
2
Обеспечивает непревзойденный контроль пути, действий или связей, касающихся конкретного элемента ПО
3
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 21. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 21
Траектория
Поведенческиепризнакивторжения
Поискнарушений
Ретроспекция
Создание
цепочек атак
Ретроспективнаябезопасностьоснованана…
Использует ретроспективные возможности тремя способами:
Ретроспективный анализ файлов
Записывает траекторию ПО от устройства к устройству
Ретроспективный анализ файлов
1
Ретроспекция процесса
2
Ретроспекциясвязи
3
Ретроспекцияпроцесса
Производитмониторингактивностиввода/выводадлявсехустройствв системе
Ретроспекциясвязей
Производитмониторинг, какиеприложениявыполняютдействия
Созданиецепочкиатак
Анализируетданные, собранныеретроспекциейфайлов, процессови связидляобеспеченияновогоуровняинтеллектуальныхсредствмониторингаугроз
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 22. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 22
Траектория
Поведенческиепризнакивторжения
Поискнарушений
роспекция
Создание
цепочекатак
Ретроспективнаябезопасностьоснованана…
Поведенческие признаки вторжения используют ретроспекцию для мониторинга систем на наличие подозрительной и неожиданной активности
Неизвестныйфайлдопущенв сеть
1
Неизвестный файл копирует себя на несколько машин
2
Копирует содержимое с жесткого диска
3
Отправляет скопированное содержимое на неизвестный IP-адрес
4
С помощьюсвязыванияцепочкиатакCisco®AMP способнараспознатьшаблоныи действия
указанногофайлаи идентифицироватьдействия, производяпоискв среде, а непометкамилисигнатурамфайлов
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 23. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 23
Траектория
Поведенческиепризнакивторжения
Поискнарушений
оздание
очек атак
Ретроспективнаябезопасностьоснованана…
Траекторияфайлаавтоматическизаписываетвремя, способ, входнуюточку, затронутыесистемыи распространениефайла
Неизвестныйфайлзагружаетсяна устройство
1
Сигнатуразаписываетсяи отправляетсяв облакодляанализа
2
Неизвестныйфайлперемещаетсяпо сетинаразныеустройства
3
Аналитикиизолированнойзоныопределяют, чтофайлвредоносный, и уведомляютвсеустройства
4
Траекторияфайлаобеспечиваетулучшеннуюнаглядностьмасштабазаражения
5
Вычислительныересурсы
Виртуальнаямашина
Мобильныесистемы
Мобильныесистемы
Виртуальнаямашина
Вычислительныересурсы
Сеть
Мобильныесистемы
Мобильныесистемы
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность
Collective Security Intelligence Cloud 24. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 24
Траектория
енческиезнакижения
Поискнарушений
Вычислительныересурсы
Неизвестныйфайлзагружаетсяна конкретноеустройство
1
Файлперемещаетсянаустройстве, выполняяразличныеоперации
2
Приэтомтраекторияустройствазаписываетосновнуюпричину, происхождениеи действияфайловнамашине
3
Этиданныеуказываютточнуюпричинуи масштабвторжениянаустройство
4
Ретроспективнаябезопасностьоснованана…
Диск 1
Диск 2
Диск 3
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 25. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 25
Траектория
енческиезнакижения
Поискнарушений
Ретроспективнаябезопасностьоснованана…
Поискнарушений—этовозможностьиспользованияиндикаторов, создаваемыхповеденческимиинтегрированнымицентрамиуправления, длямониторингаи поискаконкретногоповеденияв среде
1
Приидентификацииповеденческихинтегрированныхцентровуправленияихможноиспользоватьдляпоискаи идентификацииналичияилиотсутствияэтогоповеденияв каком-либодругомместе
2
Этафункцияпозволяетпроизводитьбыстрыйпоискповедения, а несигнатуры, даваявозможностьопределятьфайлы, остающиесянеизвестными, ноявляющиесявредоносными
3
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность 26. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 26
Cisco AMP обеспечивает три преимущества
3
Работает на протяжении всего периода атаки
2
Более комплексная защита
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность
1
Более эффективный подход
ДО
ВО ВРЕМЯ
ПОСЛЕ
Сеть
Контент
Оконечное устройство 27. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 27
Всесторонняя защита среды с помощью Cisco AMP
Вектор угрозы
Эл. почтаи Интернет
Сети
Устройства
Назначение
НовыеилисуществующиезаказчикиEmail илиWeb Security Cisco
ЗаказчикиIPS/NGFW
Windows, Mac, Android, виртуальныемашины
Метод
Лицензияс ESA илиWSA
Самостоятельноерешение
-или-
ВключитьAMP наустройствеFirePOWER
Установитьнаоконечныеустройства
Cisco® Advanced Malware Protection
Защита Cisco® AMP
Контент
Сеть
Оконечноеустройство 28. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 28
Различные платформы
•
Обнаружениеи блокировкавредоносногоПО, пытающегосяпроникнутьчерезшлюзэлектроннойпочтыиливеб-шлюз
•
Получениеподробнойотчетности, отслеживаниеURL-адреса/сообщенийи определениеприоритетоввосстановления
•
Расширениек существующемуустройствуилив облаке
Cisco®AMP
длясодержимого
•
Определениевходнойточки, распространения, использованныхпротоколов, затронутыхпользователейи хостов
•
Получениеподробнойкартинывредоноснойактивностис контекстуальнымиданными
•
КонтрольустройствBYOD в сети
Cisco AMP
для сетей
•
Поискзаражения, отслеживаниеегоперемещения, анализегоповедения
•
Быстроеуменьшениеущербаи устранениерискаповторногозаражения
•
Определениеместоположенияпризнаковвторжениянауровнесетии системы
Cisco AMP для оконечных устройств 29. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 29
Защита сетей
Сеть
Оконечное устройство
Контент
Сетеваяплатформаиспользуетпризнакивторжения, анализируетфайлы, а в данномпримереанализируеттраекториюфайла, чтобыточнопоказать, каквредоносныефайлыперемещалисьв среде. 30. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 30
Защита оконечных устройств
Платформаоконечныхустройствимееттраекториюустройства, гибкийпоиски контрольэпидемии, которыев данномпримерепоказываюткарантиннедавнообнаруженноговредоносногоПО наустройстве, имеющемустановленныйконнекторFireAMP.
Сеть
Оконечное устройство
Контент 31. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 31
Защита веб и эл. почты
Cisco®AMP длясодержимогозащищаетотинтернет-угрози угрозизэл. почты, создаваяретроспективныеуведомленияприобнаружениивредоносногоПО иливредоносныхсигнатур.
Сеть
Оконечное устройство
Контент 32. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 32
Полная защита среды с помощью Cisco AMP
Каждый вариант развертывания предлагает расширенную защиту для конкретного вектора угрозы
Учитывание вектора угрозы
Посколькузараженияпризваныраспространяться, защитыотодногоилидвухвектороватакнедостаточнодлясовременныхугроз
Предотвращение заражения
СовместноеразвертываниеCisco® AMP длясодержимого, сетии оконечныхустройств—этолучшеедоступноесредстводляполнойзащитысреды, карантинаи восстановления
Работая вместе 33. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 33
Cisco AMP обеспечивает три преимущества
3
Работаетнапротяжениивсегопериодаатаки
2
Болеекомплекснаязащита
Cisco®Collective Security Intelligence
Ограниченноевовремениобнаружение
Ретроспективная безопасность
1
Более эффективный подход
ДО
ВО ВРЕМЯ
ПОСЛЕ
Сеть
Контент
Оконечное устройство 34. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 34
БлокированиеугроздоихпроникновенияПримервнедренияв американскомбанке
Метод
Опытнойкомандепообеспечениюбезопасностииз7человек, обслуживающихсвыше120точек, требоваласьулучшеннаяаналитикадлябыстройидентификациии остановкиугроз. Имевшиесясредствазащитыуведомлялисотрудникови заносилиподробностив журнал, нонемоглипомочьв изучениипроблемы.
Задача
Метод
Расширенныесистемыпредотвращениявторженийс FireAMPдляоконечныхустройств.
Решение
Метод
ПослеустановкиFireAMPцеленаправленнаяатакабылаобнаруженаи устраненазаполдня. Черезнеделюпослепервоначальнойатакиновыебизнес-процессыи аналитика, реализованныес помощьюFireAMP, помоглинемедленноминимизироватьвторуюцеленаправленнуюатаку.
Результат
ДО 35. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 35
Защита от угроз во время атакиПример внедрения FVC
ВО ВРЕМЯ
Метод
ПредыдущеегромоздкоерешениезащитыотвредоносногоПО неимелоцентрализованногоуправления, поэтомуИТ- персоналубылотяжелопроводитьмониторинги эффективноустранятьпроблемыс сетью.
Задача
Метод
Дляуменьшениягромоздкости, обеспеченияцентрализованногоуправленияи удаленногоконтроляв режимереальноговременинаоконечныеустройствабылаустановленаFireAMP.
Решение
Метод
ПанельуправленияFireAMPпомоглакомандеобнаруживатьи предотвращатьугрозыгораздобыстреечемраньше. То, чтораньшезанималочасы, теперьтребовало2—3 минуты. Благодаряудаленномууправлениюкомандатакжемогларешатьмногиепроблемыдистанционно, сохраняяпроизводительностьсотрудников.
Результат 36. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 36
Определениемасштабаи восстановлениепосленарушенияПримервнедренияв энергосистеме
Метод
Компаниячастостановитсяжертвойцеленаправленныхфишинговыхатакс признакамизаражения, производимогоизмножестваисточников.
Задача
Метод
FireAMPбыладобавленав систему, ужеиспользующуюFirePOWER, чтобыдатьвозможностьотслеживать
иизучатьподозрительнуюактивностьфайлов.
Решение
Метод
КомпанияполучилаполныйконтрольнадзаражениямивредоноснымПО, определилавекторатак, оценилапоследствиядлясетии принялаоперативныерешениягораздобыстрее, чемв ручномрежиме.
Результат
ПОСЛЕ 37. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 37
Cisco AMP обеспечивает три преимущества
3
Работает на протяжении всего периода атаки
2
Более комплексная защита
Cisco®Collective Security Intelligence
Ограниченное во времени обнаружение
Ретроспективнаябезопасность
1
Более эффективный подход
ДО
ВО ВРЕМЯ
ПОСЛЕ
Сеть
Контент
Оконечное устройство 38. Определение подверженности угрозам
Определите текущий уровень веб- защиты и защиты электронной почты
Определите текущий уровень сетевой защиты
Определите текущий уровень защиты оконечных устройств
1.
2.
3. 39. Начинайте работу прямо сейчас!
Определитьпредпочтительноеразвертываниедоказательстваценности(POV)
Определить временные рамки и дату установки POV
Определитьтребованияк оборудованиюи измененияконфигурации
ВыбратьпродолжительностьPOV и доставку
Запланировать начальную встречу
1.
2.
3.
4.
5. 43. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 43
НеизвестныйфайлнаходитсяпоIP-адресу: 10.4.10.183. ОнбылзагруженчерезFirefox 44. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 44
В 10:57 неизвестныйфайлс IP-адреса10.4.10.183 былпереданнаIP-адрес10.5.11.8 45. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 45
Семь часов спустя файл был передан через бизнес- приложение на третье устройство (10.3.4.51) 46. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 46
Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66) 47. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 47
РешениеCisco®Collective Security Intelligence Cloud определило, чтоэтотфайлявляетсявредоносным. Длявсехустройствбылонемедленносозданоретроспективноесобытие 48. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 48
Тотчасжеустройствос коннекторомFireAMPсреагировалонаретроспективноесобытиеи немедленноостановилои поместилов карантинтолькочтоопределенноевредоносноеПО 49. Конфиденциальная информация C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены. корпорации Cisco 49
Через8часовпослепервойатакивредоносноеПО пыталосьповторнопроникнутьв системучерезисходнуювходнуюточку, нобылораспознанои заблокировано