Cisco Advanced Malware ProtectionОбсуждение
Май 2014 г.
Конфиденциальная информация корпорации Cisco 2C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Современное вредоносное ПО не представляет собой единого целого
Это преступноесообщество, котороепрячется на видномместе
и остаетсянезамеченным приточечных проверках
Конфиденциальная информация корпорации Cisco 3C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
коллективнойинформационной
безопасности
Всеобъемлющая безопасность требует
защиты от нарушений обнаружения нарушений
82 тыс. новых угрозкаждый день
свыше 180 тыс. образцов файлов ежедневно
в 2013 г. троянскиепрограммы составляли
8 из 10 зараженийИсточник: http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html
Конфиденциальная информация корпорации Cisco 4C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco имеет лучший в своем классе актив по обеспечениюбезопасности, удовлетворяющий этим требованиям
10I000 0II0 00 0III000 II1010011 101 1100001 110110000III000III0 I00I II0I III0011 0110011 101000 0110 00
I00I III0I III00II 0II00II I0I000 0110 00
Свыше 180 тыс. образцов файлов ежедневно
Сообщество FireAMP Community, свыше 3 млн
Улучшенное отраслевое обнаружениеи обнаружение Microsoft
Сообщества разработчиков открытого ПО Snort и ClamAV
Незащищенные сети для изучения приемовхакеров
Программа Sourcefire AEGIS
Частные и публичные наборы угроз
Динамический анализ
101000 0II0 00 0III000 III0I00II II II0000I II01100001110001III0 I00I II0I III00II 0II00II 101000 0110 00
100I II0I III00II 0II00II I0I000 0II0 00 Cisco®
SIO
Sourcefire®
VRT(Группа исследования
уязвимостей)Cisco Collective
Security Intelligence
Автоматическиеобновлениякаждые 3—5 минут
1,6 млндатчиков по всему миру
100 ТБданных, получаемыхежедневно
Более 150 млнразвернутых оконечныхустройств
Более 600инженеров, техническихспециалистови исследователей
35 %мирового трафика электроннойпочты
13 млрдвеб-запросов
Круглосуточноенепрерывноефункционирование
Более 40языков
Эл. почта Оконечныеустройства
Интернет СетиСистема
предотвращениявторжений IPS
Устройства
WWW
Конфиденциальная информация корпорации Cisco 5C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco AMP обеспечивает три преимущества
3
Работает на протяжении всего периода атаки
2Более комплексная защита
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
1Более эффективный подход
ДО ВО ВРЕМЯ ПОСЛЕ
СетьКонтент Оконечное устройство
Конфиденциальная информация корпорации Cisco 6C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco AMP обеспечивает более эффективный подход
Ретроспективная безопасностьОграниченное во времени обнаружение
Непрерывная защитаРепутация файла и поведенческое обнаружение
Уникально для Cisco® AMP
Конфиденциальная информация корпорации Cisco 7C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco AMP обеспечивает защиту с помощьюфильтрации по репутации и поведенческогообнаружения
Фильтрация по репутации Поведенческое обнаружение
Динамический анализ
Обучениекомпьютеров
Нечеткиеидентифицирующие
метки
Расширенная аналитика
Идентичнаясигнатура
Признаки вторжения
Сопоставление потоков устройств
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 8C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Динамический анализ
Обучениекомпьютеров
Нечеткие идентифицирую
щие метки
Расширенная аналитика
Идентичнаясигнатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрация по репутации Поведенческое обнаружение
Фильтрация по репутации основываетсяна трех функциях
Collective Security Intelligence Cloud
Сигнатура неизвестного файлаанализируется и отправляетсяв облако
1
Сигнатура файла признана невредоносной и принята. 2
Сигнатура неизвестного файлаанализируется и отправляетсяв облако
3
Известно, что сигнатура файла является вредоносной; ей запрещается доступ в систему
4
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 9C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Динамический анализ
Обучениекомпьютеров
Нечеткие идентифицирую
щие метки
Расширенная аналитика
Идентичнаясигнатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрация по репутации основываетсяна трех функциях
Collective Security Intelligence Cloud
Сигнатура файла анализируетсяи определяется как вредоносная1
Доступ вредоносному файлу запрещен2
Полиморфная модификация того жефайла пытается получить доступв систему
3
Сигнатуры двух файловсравниваются и оказываютсяаналогичными
4
Доступ полиморфной модификациизапрещен на основании его ходствас известным вредоносным ПО
5
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 10C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Динамический анализ
Обучениекомпьютеров
Нечеткие идентифицирую
щие метки
Расширенная аналитика
нтичнаянатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрация по репутации основываетсяна трех функциях
Collective Security Intelligence Cloud
Метаданные неизвестного файла отправляются в облако для анализа1
Метаданные признаютсяпотенциально вредоносными2
Файл сравнивается с известнымвредоносным ПО и подтверждаетсякак вредоносный
3
Метаданные второго неизвестного файла отправляются в облако для анализа
4
Метаданные аналогичны известному безопасному файлу, потенциально безопасны
5
Файл подтверждается какбезопасный после сравненияс аналогичным безопасным файлом
6
Дерево решений машинного обучения
Потенциальнобезопасный файл
Потенциальновредоносное ПО
Подтвержденноевредоносное ПО
Подтвержденный безопасный файл
Подтвержденный безопасный файл
Подтвержденное вредоносное ПО
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 11C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Динамический анализ
Обучениекомпьютеров
четкие фицирую метки
Расширенная аналитика
Признаки вторжения
Сопоставление потоков устройств
Поведенческое обнаружение основываетсяна четырех функциях
Collective Security Intelligence Cloud
Неизвестный файл проанализирован, обнаружены признаки саморазмножения
1
Эти признаки саморазмноженияпередаются в облако2Неизвестный файл также производит независимые внешние передачи
3
Это поведение также отправляется в облако4
Об этих действиях сообщаетсяпользователю для идентификациифайла как потенциально вредоносного
5
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 12C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Динамический анализ
чение пьютеров
Расширенная аналитика
Признаки вторжения
Сопоставление потоков устройств
Поведенческое обнаружение основываетсяна четырех функциях
Неизвестные файлы загружаютсяв облако, где механизм динамическогоанализа запускает их в изолированнойсреде
1
Два файла определяются каквредоносные, один подтвержден какбезопасный
2
Сигнатуры вредоносных файловобновляются в облаке информациии добавляются в пользовательскую базу
3
Collective Security Intelligence Cloud Коллективная
пользователь-ская база
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 13C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Динамический анализ
Расширенная аналитика
знаки жения
Сопоставление потоков устройств
Поведенческое обнаружение основываетсяна четырех функциях
Получает информацию о неопознанном ПО от устройств фильтрации по репутации
1
Анализирует файл в свете полученной информации и контекста
3
Идентифицирует вредоносное ПО и добавляет новую сигнатурув пользовательскую базу
4
Получает контекст для неизвестного ПО от коллективной пользовательской базы
2 Коллективнаяпользователь-
ская база
Collective Security Intelligence Cloud
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 14C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
мический ализ
Расширенная аналитика
Сопоставление потоков устройств
Поведенческое обнаружение основываетсяна четырех функциях
Collective Security Intelligence Cloud
Обнаруживаются два неизвестных файла, связывающихся с определеннымIP-адресом
2
Один передает информацию за пределысети, другой получает команды с этогоIP-адреса
3
Collective Security Intelligence Cloud распознает внешний IP-адрес какподтвержденный вредоносный сайт
4
Из-за этого неизвестные файлыидентифицируются как вредоносные5
IP-адрес: 64.233.160.0
Сопоставление потоков устройствпроизводит мониторинг источникаи приемника входящего/исходящеготрафика в сети
1
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 15C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco AMP обеспечивает более эффективный подход
Ретроспективная безопасностьОграниченное во времени обнаружение
Непрерывная защитаРепутация файла и поведенческое обнаружение
Уникально для Cisco® AMP
Конфиденциальная информация корпорации Cisco 16C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco AMP обеспечивает защиту с помощьюретроспективной безопасности
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 17C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Почему необходима непрерывная защитаCisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 000001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная подача
Непрерывный анализ
Потоктелеметрических
данных
Интернет
WWW
Оконечные устройства СетьЭл. почта УстройстваСистемапредотвращения
вторжений IPS
Идентифицирующие меткии метаданные файла
Файловый и сетевой ввод/вывод
Информация о процессе
Объем и контрольныеточки
Конфиденциальная информация корпорации Cisco 18C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Почему необходима непрерывная защитаCisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Контекст Применение Непрерывный анализ
Кто Что
Где Когда
Как
История событий
Collective Security Intelligence
Конфиденциальная информация корпорации Cisco 19C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco AMP обеспечивает защиту с помощьюретроспективной безопасности
ТраекторияПоведенческиепризнаки
вторжения
Поискнарушений
Ретроспекция Создание цепочек атак
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 20C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
ТраекторияПоведенческиепризнаки
вторжения
Поискнарушений
Ретроспекция Создание цепочек атак
Ретроспективная безопасность основана на…
Выполняет анализ при первом обнаружении файлов
1Постоянноанализирует файлс течением времени, чтобы видетьизменения ситуации
2Обеспечивает непревзойденный контроль пути, действий или связей, касающихся конкретного элемента ПО
3
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 21C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
ТраекторияПоведенческиепризнаки
вторжения
Поискнарушений
Ретроспекция Создание цепочек атак
Ретроспективная безопасность основана на…
Использует ретроспективные возможности тремя способами:
Ретроспективный анализ файлов Записывает траекторию ПО от устройства к устройству
Ретроспективный анализ файлов1
Ретроспекция процесса2
Ретроспекция связи3
Ретроспекция процессаПроизводит мониторинг активности ввода/вывода для всех устройствв системе
Ретроспекция связейПроизводит мониторинг, какие приложения выполняют действия
Создание цепочки атакАнализирует данные, собранные ретроспекциейфайлов, процессов и связидля обеспечения новогоуровня интеллектуальныхсредств мониторинга угроз
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 22C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
ТраекторияПоведенческиепризнаки
вторжения
Поискнарушений
роспекция Созданиецепочек атак
Ретроспективная безопасность основана на…
Поведенческие признаки вторжения используют ретроспекцию для мониторинга систем на наличие подозрительной и неожиданной активности
Неизвестный файлдопущен в сеть1
Неизвестный файл копирует себя на несколько машин
2 Копирует содержимое с жесткого диска3
Отправляет скопированное содержимое на неизвестный IP-адрес
4
С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действияуказанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или сигнатурам файлов
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 23C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
ТраекторияПоведенческиепризнаки
вторжения
Поискнарушений
оздание очек атак
Ретроспективная безопасность основана на…
Траектория файла автоматическизаписывает время, способ, входнуюточку, затронутые системыи распространение файла
Неизвестный файл загружаетсяна устройство1
Сигнатура записываетсяи отправляется в облако для анализа2
Неизвестный файл перемещаетсяпо сети на разные устройства
3
Аналитики изолированной зоныопределяют, что файл вредоносный, и уведомляют все устройства
4
Траектория файла обеспечиваетулучшенную наглядность масштабазаражения
5 Вычислительныересурсы
Виртуальнаямашина
Мобильныесистемы
Мобильныесистемы
Виртуальнаямашина
Вычислительныересурсы
Сеть
Мобильныесистемы
Мобильныесистемы
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Collective Security Intelligence Cloud
Конфиденциальная информация корпорации Cisco 24C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Траекторияенческиезнакижения
Поискнарушений
Вычислительные ресурсы
Неизвестный файл загружаетсяна конкретное устройство1
Файл перемещается на устройстве, выполняя различные операции2При этом траектория устройствазаписывает основную причину, происхождение и действия файловна машине
3
Эти данные указывают точную причинуи масштаб вторжения на устройство4
Ретроспективная безопасность основана на…
Диск 1 Диск 2 Диск 3
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 25C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Траекторияенческиезнакижения
Поискнарушений
Ретроспективная безопасность основана на…
Поиск нарушений — этовозможность использованияиндикаторов, создаваемыхповеденческимиинтегрированными центрамиуправления, для мониторингаи поиска конкретногоповедения в среде
1
При идентификацииповеденческихинтегрированных центровуправления их можноиспользовать для поискаи идентификации наличия илиотсутствия этого поведенияв каком-либо другом месте
2
Эта функция позволяетпроизводить быстрый поискповедения, а не сигнатуры, давая возможность определятьфайлы, остающиесянеизвестными, но являющиесявредоносными
3
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
Конфиденциальная информация корпорации Cisco 26C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco AMP обеспечивает три преимущества
3
Работает на протяжении всего периода атаки
2Более комплексная защита
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
1Более эффективный подход
ДО ВО ВРЕМЯ ПОСЛЕ
СетьКонтент Оконечное устройство
Конфиденциальная информация корпорации Cisco 27C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Всесторонняя защита среды с помощью Cisco AMP
Вектор угрозы Эл. почта и Интернет Сети Устройства
Назначение Новые или существующие
заказчики Email или Web Security Cisco
Заказчики IPS/NGFW Windows, Mac, Android, виртуальные машины
Метод Лицензия с ESA или WSA
Самостоятельное решение-или-
Включить AMP на устройствеFirePOWER
Установить на оконечныеустройства
Метод
Cisco®
Advanced Malware Protection
Защита Cisco®
AMP Контент Сеть Оконечное устройство
Конфиденциальная информация корпорации Cisco 28C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Различные платформы
• Обнаружение и блокировка вредоносного ПО, пытающегося проникнуть через шлюзэлектронной почты или веб-шлюз
• Получение подробной отчетности, отслеживание URL-адреса/сообщенийи определение приоритетов восстановления
• Расширение к существующему устройству илив облаке
Cisco® AMP длясодержимого
• Определение входной точки, распространения, использованных протоколов, затронутыхпользователей и хостов
• Получение подробной картины вредоноснойактивности с контекстуальными данными
• Контроль устройств BYOD в сети
Cisco AMP для сетей
• Поиск заражения, отслеживание егоперемещения, анализ его поведения
• Быстрое уменьшение ущерба и устранениериска повторного заражения
• Определение местоположения признаковвторжения на уровне сети и системы
Cisco AMP для оконечных устройств
Конфиденциальная информация корпорации Cisco 29C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Защита сетей
Сеть
Оконечное устройство
Контент
Сетевая платформа использует признаки вторжения, анализирует файлы, а в данном примере анализирует
траекторию файла, чтобы точно показать, каквредоносные файлы перемещались в среде.
Конфиденциальная информация корпорации Cisco 30C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Защита оконечных устройств
Платформа оконечных устройств имеет траекторию устройства, гибкий поиск и контроль эпидемии, которые в данном примере
показывают карантин недавно обнаруженного вредоносного ПО на устройстве, имеющем установленный коннектор FireAMP.
Сеть
Оконечное устройство
Контент
Конфиденциальная информация корпорации Cisco 31C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Защита веб и эл. почты
Cisco® AMP для содержимого защищает от интернет-угрози угроз из эл. почты, создавая ретроспективные уведомления
при обнаружении вредоносного ПО или вредоносных сигнатур.
Сеть
Оконечное устройство
Контент
Конфиденциальная информация корпорации Cisco 32C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Полная защита среды с помощью Cisco AMP
Каждый вариант развертывания предлагает расширенную защиту для
конкретного вектора угрозы
Учитывание вектора угрозы
Поскольку заражения призваныраспространяться, защиты от одногоили двух векторов атак недостаточно
для современных угроз
Предотвращение заражения
Совместное развертывание Cisco®
AMP для содержимого, сети и оконечных устройств — это лучшее
доступное средство для полнойзащиты среды, карантина
и восстановления
Работая вместе
Конфиденциальная информация корпорации Cisco 33C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco AMP обеспечивает три преимущества
3
Работает напротяжениивсего периодаатаки
2Болеекомплекснаязащита
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
1Более эффективный подход
ДО ВО ВРЕМЯ ПОСЛЕ
СетьКонтент Оконечное устройство
Конфиденциальная информация корпорации Cisco 34C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Блокирование угроз до их проникновенияПример внедрения в американском банке
Метод
Опытной команде по обеспечению безопасности из 7 человек, обслуживающих свыше 120 точек, требовалась улучшеннаяаналитика для быстрой идентификации и остановки угроз. Имевшиеся средства защиты уведомляли сотрудникови заносили подробности в журнал, но не могли помочьв изучении проблемы.
Задача
МетодРасширенные системы предотвращения вторжений с FireAMPдля оконечных устройств.Решение
Метод
После установки FireAMP целенаправленная атака былаобнаружена и устранена за полдня. Через неделю послепервоначальной атаки новые бизнес-процессы и аналитика, реализованные с помощью FireAMP, помогли немедленноминимизировать вторую целенаправленную атаку.
Результат
ДО
Конфиденциальная информация корпорации Cisco 35C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Защита от угроз во время атакиПример внедрения FVC
ВО ВРЕМЯ
Метод
Предыдущее громоздкое решение защиты от вредоносногоПО не имело централизованного управления, поэтому ИТ-персоналу было тяжело проводить мониторинг и эффективноустранять проблемы с сетью.
Задача
МетодДля уменьшения громоздкости, обеспечения централизованногоуправления и удаленного контроля в режиме реального временина оконечные устройства была установлена FireAMP.
Решение
Метод
Панель управления FireAMP помогла команде обнаруживатьи предотвращать угрозы гораздо быстрее чем раньше. То, что раньше занимало часы, теперь требовало 2—3 минуты. Благодаря удаленному управлению команда также могла решатьмногие проблемы дистанционно, сохраняя производительностьсотрудников.
Результат
Конфиденциальная информация корпорации Cisco 36C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Определение масштаба и восстановление после нарушенияПример внедрения в энергосистеме
МетодКомпания часто становится жертвойцеленаправленных фишинговых атак с признакамизаражения, производимого из множества источников.
Задача
МетодFireAMP была добавлена в систему, уже использующуюFirePOWER, чтобы дать возможность отслеживатьи изучать подозрительную активность файлов.
Решение
Метод
Компания получила полный контроль над заражениямивредоносным ПО, определила вектор атак, оценилапоследствия для сети и приняла оперативные решениягораздо быстрее, чем в ручном режиме.
Результат
ПОСЛЕ
Конфиденциальная информация корпорации Cisco 37C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Cisco AMP обеспечивает три преимущества
3
Работает на протяжении всего периода атаки
2Более комплексная защита
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность
1Более эффективный подход
ДО ВО ВРЕМЯ ПОСЛЕ
СетьКонтент Оконечное устройство
Определение подверженности угрозам
Определите текущий уровень веб-защиты и защиты электронной почты
Определите текущий уровень сетевой защиты
Определите текущий уровень защиты оконечных устройств
1.
2.
3.
Начинайте работу прямо сейчас!
Определить предпочтительное развертываниедоказательства ценности (POV)
Определить временные рамки и дату установки POV
Определить требования к оборудованиюи изменения конфигурации
Выбрать продолжительность POV и доставку
Запланировать начальную встречу
1.
2.
3.
4.
5.
Благодаримза внимание!
Конфиденциальная информация корпорации Cisco 41C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Как работает Cisco AMP: пример внедрения траектории файла
Конфиденциальная информация корпорации Cisco 42C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Конфиденциальная информация корпорации Cisco 43C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Неизвестный файл находитсяпо IP-адресу: 10.4.10.183. Он был загружен через Firefox
Конфиденциальная информация корпорации Cisco 44C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
В 10:57 неизвестный файлс IP-адреса 10.4.10.183 былпередан на IP-адрес 10.5.11.8
Конфиденциальная информация корпорации Cisco 45C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Семь часов спустя файл был передан через бизнес-приложение на третье устройство (10.3.4.51)
Конфиденциальная информация корпорации Cisco 46C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)
Конфиденциальная информация корпорации Cisco 47C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Решение Cisco® Collective Security Intelligence Cloud определило, что этот файлявляется вредоносным. Длявсех устройств былонемедленно созданоретроспективное событие
Конфиденциальная информация корпорации Cisco 48C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Тотчас же устройствос коннектором FireAMPсреагировало наретроспективное событиеи немедленно остановилои поместило в карантинтолько что определенноевредоносное ПО
Конфиденциальная информация корпорации Cisco 49C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.
Через 8 часов после первойатаки вредоносное ПО пыталось повторнопроникнуть в систему черезисходную входную точку, но было распознанои заблокировано
Top Related