Cisco Advanced Malware Protection (Cisco AMP for Endpoints) (AMP)

2018: Апрельское обновление AMP for Endpoints

Компания Cisco 25 апреля 2018 года объявила о расширении списка доступных функций облачного решения защиты оконечных точек Cisco Advanced Malware Protection (AMP) for Endpoints, которое предотвращает атаки и помогает выявлять необнаруженные угрозы, способные нанести ущерб бизнесу.

Так, среди появившихся в AMP for Endpoints возможностей:

• Комплексные механизмы выявления угроз и противодействия им, в том числе таким современным угрозам, как программы-вымогатели и вирусный майнинг криптовалют.
  • Теперь Cisco защищает от угроз, даже если пользователь отключился от сети. Функция защиты от эксплойтов борется с бесфайловыми атаками, в том числе с такими, которые располагаются исключительно в памяти устройства, а функция предотвращения вредоносной деятельности останавливает программы-вымогатели, прерывая исполняемые процессы и предотвращая их распространение.
  • Проанализировав различные варианты программ-вымогателей, аналитики Cisco выявили используемые в них общие методы шифрования. На основе полученных данных был разработан механизм защиты бизнеса от шифрования данных программами-вымогателями и от их распространения.
  • Наблюдаемый в последнее время рост популярности бесфайлового вредоносного ПО частично объясняется трудностью его обнаружения, отметили в Cisco. В решение Cisco AMP непосредственно встроен защитный механизм, который не требует никакой настройки и корректировки для борьбы с подобными угрозами. Механизм защищает от использования уязвимостей, для которых отсутствуют обновления, и работает круглосуточно даже при переходе пользователей в режим офaлайн.

• Cisco Visibility — приложение для исследования угроз.
  • Облачное приложение, встроенное в консоль управления оконечными устройствами, упрощает и ускоряет процесс исследования инцидентов безопасности, облегчая работу аналитиков, которые теперь смогут быстро расследовать инциденты в требуемом масштабе. Приложение собирает, нормализует и дополняет события безопасности, давая визуальное представление масштабов происшествия от оконечных точек до сети и облака.
  • С целью упрощения расследований, уменьшения сложности и сокращения сроков классификации инцидентов и устранения последствий решение Cisco Visibility объединяет внутренние события безопасности и аварийные данные внутренней инфраструктуры безопасности организации с аналитическими данными по угрозам, получаемым от Cisco Talos и сторонних организаций.
  • При выполнении стандартных задач Cisco Visibility минимизирует необходимость переключения между множеством консолей. Пользователю достаточно сделать несколько щелчков мышью, чтобы углубиться в данные от Talos, Cisco Umbrella Investigate, Threat Grid, AMP и других источников для понимания того, каким образом наблюдаемые события существуют в среде и как они соотносятся друг с другом.

2016: AMP for Endpoints

9 февраля 2016 года в корпоративном блоге компании Cisco появилась информация о модернизации возможностей решения, повышении его эффективности и удобства в использовании, помогая тем самым службам ИБ повысить защиту от сложных на атак^[1].

Скриншот окна приложения (2015)

Основные изменения Cisco AMP for Endpoints:

• поддержка Windows 10;
• поддержка Mac OS X 10.11 El Capitan;
• новый API-интерфейс решения AMP для оконечных устройств;
• обновления для виртуального устройства AMP в частном облаке.

AMP для оконечных устройств может работать на Windows, Mac OS, Linux, CentOS и RedHat, на мобильных устройствах с ОС Android. Теперь ОС Windows 10 и Mac OSX 10.11 под защитой Cisco AMP for Endpoints.Как развивается российский рынок цифровизации закупок. Обзор TAdviser 9.8 т

API-интерфейс решения AMP для оконечных устройств позволяет пользователям интегрировать сторонние инструменты защиты и обращаться к данным или событиям в своей учетной записи, не заходя в панель управления.

При необходимости защиты оконечных устройств и высоких требованиях к безопасности в организации, не позволяющих использовать общедоступное облако, можно использовать виртуальное устройство AMP в частном облаке. Платформа AMP располагает возможностями усовершенствованной функции по выявлению уязвимостей и контролю доступа на основе ролей. Функция по выявлению уязвимостей предупреждает системного администратора о том, что на оконечном устройстве установлено уязвимое ПО и этим могут воспользоваться злоумышленники. Контроль доступа на основе ролей предоставляет права и доступ для выполнения определенных задач в зависимости от ролей пользователей.

1 ноября 2016 года компания Cisco представила ПО AMP for Endpoints как инновационный подход к обеспечению информационной безопасности оборудования пользователей.

В AMP for Endpoints реализовано облачное управление по принципу «ПО как услуга» (SaaS). Продукт имеет средства выявления и отражения угроз и дает пользователям возможность предотвращать атаки, блокируя вредоносное ПО в точке входа, устраняя необходимость в использовании на оконечных устройствах технологий обеспечения безопасности.

Продукт выполняет непрерывный мониторинг, ретроспективный анализ и обеспечивает интегрированную защиту от угроз. Технология помогает сократить время обнаружения от нескольких дней до нескольких часов и даже минут. Продукт поможет быстрее и эффективнее реагировать на атаки: посредством простого облачного интерфейса пользователи могут определить зону действия атаки, находить угрозы и отграничивать, устранять угрозы по всем точкам.

Представление Cisco AMP for Endpoints, (2016)

Решение AMP for Endpoint предоставляет такие возможности:

• технология предотвращения атак следующего поколения, в которой сочетаются проверенные и продвинутые методы защиты, позволяющие более эффективно обнаруживать и отражать атаки на точке входа; средства аналитики информационной безопасности, разработанные подразделением Cisco Talos и успешно противостоящие вновь появляющимся угрозам; встроенная «песочница», где анализируются неизвестные файлы, а также средства превентивной защиты для закрытия путей проникновения и минимизации уязвимостей.
• ускорение обнаружения благодаря непрерывному мониторингу. AMP for Endpoints регистрирует всю файловую активность и быстро выявляет злонамеренные действия, сообщая о них подразделениям обеспечения информационной безопасности. Рассылка и корреляция информации об угрозах производится с использованием открытых программных интерфейсов API и технологии AMP Everywhere. Применение инновационной технологии безагентного обнаружения позволяет организациям в среднем обнаружить на 30% больше поражений там, где агенты не используются или их использование невозможно.
• повышение эффективности реакции с применением ретроспективной защиты, углубленного обзора и подробной истории действий вредоносного кода во времени (откуда проник, где выполнялся, что делал) для полной локализации атаки. AMP for Endpoints помогает ускорить анализ и уменьшить сложность путем поиска на всех оконечных точках индикаторов компрометации с помощью простого облачного пользовательского интерфейса. Затем пользователи устройств (ПК, Mac, Linux-компьютеры, мобильные устройства) смогут быстро предпринять ответные действия.

Решение AMP for Endpoints выполняет передачу и корреляцию информации об угрозах по всей архитектуре, включая, как экосистему AMP, так и остальные платформы безопасности Cisco. Это помогает однажды определив угрозу, автоматически блокировать ее повсеместно.

2014: Майское обновление AMP

Отвечая на запросы заказчиков на борьбу с атаками нулевого дня и целенаправленными атаками, компания Cisco расширила в мае 2014 года возможности системы Advanced Malware Protection (AMP) и решений для защиты центров обработки данных. Эти инновации, анонсированные 21 мая 2014 года на ежегодной конференции CiscoLive!, охватывают весь набор продуктов Cisco для информационной безопасности, обеспечивая защиту от угроз в течение всего жизненного цикла атаки.

Обновления системы Cisco Advanced Malware Protection делают ее первым решением, которое коррелирует данные индикаторов компрометации (IoC) между сетью и конечной точкой с помощью интегрированных средств защиты и общей системы аналитики. Это, в свою очередь, обеспечивает непрерывную и повсеместную защиту от самых современных угроз. Система AMP теперь поддерживает также Mac OSX и включает в себя отдельное устройство для частного облака — локальное решение для непрерывного анализа.

Помимо этого, Cisco усиливает защиту центров обработки данных и облачных систем благодаря усовершенствованиям лидирующего на рынке семейства межсетевых экранов ASA. Эти усовершенствования обеспечивают превосходную производительность, масштабируемость и гибкость, а также поддерживают новейшие решения для сред программно-определяемых сетей (SDN) и инфраструктур, ориентированных на приложения (Application Centric Infrastructure, ACI) .

В одном из последних отчетов Security Value Map компании NSS Labs система AMP названа одним из лучших решений для обнаружения угроз, превосходящим конкурирующие продукты по показателям безопасности и экономичности . В отличие от других решений, которые просто обнаруживают вредоносный код на определенный момент времени, система AMP обеспечивает жесткое и непрерывное обнаружение и устранение угроз в расширенной сети, включая конечные точки, мобильные устройства, виртуальные системы, а также веб-шлюзы и шлюзы электронной

Новые возможности в наборе продуктов AMP:

• система AMP для конечных точек. Используя усовершенствованные средства аналитики и корреляции информации, система AMP ускоряет расследование индикаторов компрометации и поведения файлов, а также назначает приоритеты аспектам компрометации, требующим особого внимания. Новая функция гибкого поиска позволяет пользователям быстро сужать область атаки, а функция удаленного анализа файлов улучшает возможности ретроспективной защиты благодаря извлечению и хранению файлов для последующей оценки и анализа. Cisco также реализует поддержку AMP для конечных точек на базе операционной системы Mac OS X, помогая организациям защитить свои разнородные среды целиком.
• Устройство AMP для частных облаков. Заказчики со строгими требованиями к конфиденциальности, ограничивающими использование публичного облака, могут использовать новое локальное устройство AMP для частных облаков, позволяющее обеспечить комплексную защиту от современных угроз с помощью анализа больших данных, непрерывного анализа и локально хранимых средств анализа безопасности.
• Система AMP для сетей. Внедрение высокопроизводительных сетей и требования к сокращению времени обнаружения угрозы вынуждают компании прибегать к оптимизации решений защиты сети от вредоносного кода. С помощью новых механизмов обработки индикаторов компрометации из различных источников можно коррелировать события из разных решений и назначать им приоритеты, улучшая тем самым возможности анализа, а функция автоматического динамического анализа использует изолированную облачную среду для оценки файлов неизвестного характера в целях обеспечения более надежной защиты от неизвестных угроз. Пользователи также могут создавать настраиваемые профили обнаружения, чтобы немедленно блокировать файлы. Новая функция записи файла позволяет группам сохранять и извлекать файлы для дальнейшего анализа.
• Новые устройства AMP FirePOWER. Заказчики, нуждающиеся в улучшенных возможностях обработки и хранения данных, могут воспользоваться двумя новыми устройствами Cisco AMP для сетей:

• • FirePOWER AMP8150 со скоростью до 2 Гбит/с;
  • FirePOWER AMP7150 со скоростью до 500 Мбит/с.

Улучшая защиту центров обработки данных и облачных систем для поддержки современных сред программно-определяемых сетей (SDN) инфраструктур, ориентированных на приложения (ACI), виртуальные устройства ASAv и обновленные межсетевые экраны ASA 5585-X Cisco обеспечивают также превосходную производительность, масштабируемость и гибкость. Эти продукты созданы для надежной защиты без снижения производительности центра обработки данных. Решения ASA, настраиваемые в считанные часы или даже минуты, обеспечивают гибкую масштабируемость, устраняют узкие места системы безопасности и встраивают средства защиты не только в периметр, но и в инфраструктуру интеллектуального центра обработки данных. Cisco также выпускает новую версию проверенной типовой архитектуры Cisco (CVD) для безопасного центра обработки данных, которая существенно упрощает надежное развертывание новых решений.

• Новое виртуальное устройство ASAv легко встраивается в архитектуру ЦОД, обеспечивая гарантированную защиту критичных приложений не далее одного перехода от них благодаря динамическому масштабированию по запросу в виртуальных средах и интеграции с инфраструктурой, ориентированной на приложения, без ограничений гипервизора или vSwitch. Кроме того, по сравнению с конкурентами виртуальное устройство ASAv обеспечивает самую высокую производительность в пересчете на пропускную способность и количество соединений в секунду.
• Улучшенный межсетевой экран ASA 5585-X обеспечивает невероятно высокую производительность для традиционных сред, программно-определяемых сетей и инфраструктур, ориентированных на приложения, с превосходной масштабируемостью применительно как к количеству соединений в секунду, так и к общему количеству соединений (до 640 Гбит/с в конфигурации кластера с 16 узлами). Все это делает ASA 5585-X одним из самых быстрых аппаратных межсетевых экранов на рынке. Оно также предоставляет уникальные гибкие возможности развертывания, интегрируя виртуальную и физическую инфраструктуру безопасности в одном домене политик и управления.
• Проверенная типовая архитектура Cisco для безопасности ЦОД содержит передовые практики для планирования, проектирования, внедрения и использования полностью интегрированной архитектуры ЦОД с высоким уровнем безопасности, объединяя решения Cisco, Sourcefire и партнеров Cisco. Эта архитектура помогает пользователям расширить видимость и контроль в физических, виртуальных и облачных средах.

Примечания