Cisco Advanced Malware ProtectionДля руководителей, принимающихкорпоративные решения

Май 2014 г.

Конфиденциальная информация корпорации Cisco 2C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

Современное вредоносное ПО не представляет собой единого целого

Это сообщество,которое прячется навидном месте

и остается незамеченным при точечных проверках

Конфиденциальная информация корпорации Cisco 3C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

Сегодня вопрос заключается уже в не в том, проникнет ли вредоносное ПО в сеть,а в том, как быстро вы можете обнаружить заражение, определить его масштаб и устранить проблему

Увеличение числа устройств с вредоносным ПО

Анализ вредоносного ПО

Подтверждение заражения

• С чего начать?

• Насколько тяжела ситуация?

• Какие системы были затронуты?

• Что сделала угроза?

• Как можно восстановить?

• Как можно предотвратить ееповторение?

Исправление Поиск сетевого трафика

Поиск журналов устройств

Сканирование устройств

Задание правил (из профиля)

Создание системы

испытаний

Статический анализ

Анализ устройств

Сетевой анализ

Анализ увеличения

числа устройств

Уведомление Карантин Сортировка

Профиль вредоносного

ПО

Стоп

Не удалось обнаружить заражение

Заражение обнаруж

ено

Поиск повторного заражения

Обновление профиля

Подтверждение

Заражениеотсутствует

Конфиденциальная информация корпорации Cisco 4C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

Для защиты от этих повышенных угроз необходим повышенныйуровень мониторинга и контроля на протяжении всего периода атаки

ДООбнаружениеИсполнениеУпрочнение

ВО ВРЕМЯОбнаружениеБлокировка

Защита

ПОСЛЕМасштабы

СдерживаниеВосстановление

Сеть Оконечноеустройство

Мобильныесистемы

Виртуальнаясреда

Эл. почтаи Интернет

НепрерывноТочечно

Период осуществления атаки

Облако

Конфиденциальная информация корпорации Cisco 5C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

1,6 млндатчиков по всему миру

100 ТБданных, получаемыхежедневно

Более 150 млнразвернутых оконечныхустройств

Более 600инженеров, техническихспециалистов и исследователей

35 %мирового трафика электроннойпочты

13 млрдвеб-запросов

Круглосуточноенепрерывноефункционирование

Более 40языков

Cisco Advanced Malware ProtectionСоздана на основе не имеющих себе равных средств коллективной информационнойбезопасности

101000 0110 00 0111000 111010011 101 1100001 1101100001110001110 1001 1101 1110011 0110011 101000 0110 00

1001 1101 1110011 0110011 101000 0110 00

Свыше 180 тыс. образцов файлов ежедневно

Сообщество FireAMP

Улучшенное отраслевое обнаружениеи обнаружение Microsoft

Сообщества разработчиков открытого ПО Snort и ClamAV

Незащищенные сети для изучения приемовхакеров

Программа Sourcefire AEGIS

Частные и публичные наборы угроз

Динамический анализ

101000 0110 00 0111000 111010011 101 1100001 1101100001110001110 1001 1101 1110011 0110011 101000 0110 00

1001 1101 1110011 0110011 101000 0110 00 Cisco®

SIO

Sourcefire®

VRT(Группа исследования

уязвимостей)

Эл. почта Оконечныеустройства

Интернет СетиСистема

предотвращениявторжений IPS

Устройства

WWW

Cisco Collective Security Intelligence

Конфиденциальная информация корпорации Cisco 6C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

Cisco Advanced Malware Protection обеспечивает...

ретроспективную безопасность точечную защиту

репутацию файлов и изолированную среду непрерывный анализ

Конфиденциальная информация корпорации Cisco 7C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

Обеспечивает первую линию обнаружения

Фильтрация по репутации и изолированная система для файлов

Любое обнаружение не является 100-процентным

Динамический анализ

Обучениекомпьютеров

Нечеткая сигнатура

Расширенная аналитика

Идентичнаяподпись

Конфиденциальная информация корпорации Cisco 8C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

Но самое главное, что AMP обеспечивает непрерывную ретроспективную безопасность

1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 000001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110

Непрерывная подача

Непрерывный анализ

Потоктелеметрических

данных

Интернет

WWW

Оконечные устройства СетьЭл. почта УстройстваСистемапредотвращения

вторжений IPS

Сигнатура и метаданные файла

Файловый и сетевой ввод/вывод

Информация о процессе

Объем и контрольныеточки

Конфиденциальная информация корпорации Cisco 9C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 000001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110

Непрерывная подача

Непрерывный анализ

Потоктелеметрических

данных

Интернет

WWW

Оконечные устройства СетьЭл. почта УстройстваСистемапредотвращения

вторжений IPS

Сигнатура и метаданные файла

Файловый и сетевой ввод/вывод

Информация о процессе

Объем и контрольныеточки

Постоянный анализ происходящего на протяжении всегопериода атаки

001110 1001 01000 0110 00

01 10 100111

Повышенные уровни обнаружения, отслеживанияи реагирования

Ретроспекция ТраекторияПоведенческиепризнаки

вторжения

Поискугроз

Ретроспективное обнаружение

Конфиденциальная информация корпорации Cisco 10C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

дает уверенность и контроль того, откуда именноследует начать

Кто

Сфокусируйтесь сначала на этих пользователях

Что

Эти приложения пострадали

Где

Нарушение затронулоэти области

Когда

Это масштаб нарушенияс течением времени

Как

Это источник и развитиеугрозы

Конфиденциальная информация корпорации Cisco 11C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

и возможность оперативно сдержать и устранить

Конфиденциальная информация корпорации Cisco 12C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

Есть несколько способов развертывания Cisco AMP

Cisco®

Advanced Malware Protection

Варианты развертывания

Метод

Назначение

Эл. почта и Интернет

Новые или существующиезаказчики Email илиWeb Security Cisco

Сетевое устройство

Заказчики IPS/NGFW

Оконечное устройство

Windows, Mac, Android, виртуальные машины

Лицензия с ESA или WSA Добавьте в сеть Установите на оконечныеустройства

Метод

Дальнейшие шаги

Определить предпочтительное развертываниедоказательства ценности (POV)

Определить временные рамки и дату установки POV

Определить требования к оборудованиюи изменения конфигурации

Выбрать продолжительность POV и доставку

Запланировать начальную встречу

1.

2.

3.

4.

5.

Благодаримза внимание!

Конфиденциальная информация корпорации Cisco 15C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

Добавочные слайды

Конфиденциальная информация корпорации Cisco 16C97-731818-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

Имеющиеся инструменты для быстрой изоляциии восстановления

Контекст Применение Непрерывный анализ

Кто Что

Где Когда

Как

История событий

Collective Security Intelligence