Cisco Advanced Malware Protection для технических специалистов

Cisco Advanced Malware ProtectionОбсуждение

Май 2014 г.

Конфиденциальная информация корпорации Cisco 2C97-731817-00 © Корпорация Cisco и/или ее дочерние компании, 2014. Все права защищены.

Современное вредоносное ПО не представляет собой единого целого

Это преступноесообщество, котороепрячется на видномместе

и остаетсянезамеченным приточечных проверках


коллективнойинформационной

безопасности

Всеобъемлющая безопасность требует

защиты от нарушений обнаружения нарушений

82 тыс. новых угрозкаждый день

свыше 180 тыс. образцов файлов ежедневно

в 2013 г. троянскиепрограммы составляли

8 из 10 зараженийИсточник: http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html

http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html


Cisco имеет лучший в своем классе актив по обеспечениюбезопасности, удовлетворяющий этим требованиям

10I000 0II0 00 0III000 II1010011 101 1100001 110110000III000III0 I00I II0I III0011 0110011 101000 0110 00

I00I III0I III00II 0II00II I0I000 0110 00

Свыше 180 тыс. образцов файлов ежедневно

Сообщество FireAMP Community, свыше 3 млн

Улучшенное отраслевое обнаружениеи обнаружение Microsoft

Сообщества разработчиков открытого ПО Snort и ClamAV

Незащищенные сети для изучения приемовхакеров

Программа Sourcefire AEGIS

Частные и публичные наборы угроз

Динамический анализ

101000 0II0 00 0III000 III0I00II II II0000I II01100001110001III0 I00I II0I III00II 0II00II 101000 0110 00

100I II0I III00II 0II00II I0I000 0II0 00 Cisco®

SIO

Sourcefire®

VRT(Группа исследования

уязвимостей)Cisco Collective

Security Intelligence

Автоматическиеобновлениякаждые 3—5 минут

1,6 млндатчиков по всему миру

100 ТБданных, получаемыхежедневно

Более 150 млнразвернутых оконечныхустройств

Более 600инженеров, техническихспециалистови исследователей

35 %мирового трафика электроннойпочты

13 млрдвеб-запросов

Круглосуточноенепрерывноефункционирование

Более 40языков

Эл. почта Оконечныеустройства

Интернет СетиСистема

предотвращениявторжений IPS

Устройства

WWW


Cisco AMP обеспечивает три преимущества

3

Работает на протяжении всего периода атаки

2Более комплексная защита

Cisco® Collective Security Intelligence

Ограниченное во времени обнаружение Ретроспективная безопасность

1Более эффективный подход

ДО ВО ВРЕМЯ ПОСЛЕ

СетьКонтент Оконечное устройство


Cisco AMP обеспечивает более эффективный подход

Ретроспективная безопасностьОграниченное во времени обнаружение

Непрерывная защитаРепутация файла и поведенческое обнаружение

Уникально для Cisco® AMP


Cisco AMP обеспечивает защиту с помощьюфильтрации по репутации и поведенческогообнаружения

Фильтрация по репутации Поведенческое обнаружение


Обучениекомпьютеров

Нечеткиеидентифицирующие

метки

Расширенная аналитика

Идентичнаясигнатура

Признаки вторжения

Сопоставление потоков устройств






Нечеткие идентифицирую

щие метки





Фильтрация по репутации Поведенческое обнаружение

Фильтрация по репутации основываетсяна трех функциях

Collective Security Intelligence Cloud

Сигнатура неизвестного файлаанализируется и отправляетсяв облако

1

Сигнатура файла признана невредоносной и принята. 2

Сигнатура неизвестного файлаанализируется и отправляетсяв облако

3

Известно, что сигнатура файла является вредоносной; ей запрещается доступ в систему

4







щие метки







Сигнатура файла анализируетсяи определяется как вредоносная1

Доступ вредоносному файлу запрещен2

Полиморфная модификация того жефайла пытается получить доступв систему

3

Сигнатуры двух файловсравниваются и оказываютсяаналогичными

4

Доступ полиморфной модификациизапрещен на основании его ходствас известным вредоносным ПО

5







щие метки


нтичнаянатура





Метаданные неизвестного файла отправляются в облако для анализа1

Метаданные признаютсяпотенциально вредоносными2

Файл сравнивается с известнымвредоносным ПО и подтверждаетсякак вредоносный

3

Метаданные второго неизвестного файла отправляются в облако для анализа

4

Метаданные аналогичны известному безопасному файлу, потенциально безопасны

5

Файл подтверждается какбезопасный после сравненияс аналогичным безопасным файлом

6

Дерево решений машинного обучения

Потенциальнобезопасный файл

Потенциальновредоносное ПО

Подтвержденноевредоносное ПО

Подтвержденный безопасный файл

Подтвержденный безопасный файл

Подтвержденное вредоносное ПО






четкие фицирую метки




Поведенческое обнаружение основываетсяна четырех функциях


Неизвестный файл проанализирован, обнаружены признаки саморазмножения

1

Эти признаки саморазмноженияпередаются в облако2Неизвестный файл также производит независимые внешние передачи

3

Это поведение также отправляется в облако4

Об этих действиях сообщаетсяпользователю для идентификациифайла как потенциально вредоносного

5





чение пьютеров





Неизвестные файлы загружаютсяв облако, где механизм динамическогоанализа запускает их в изолированнойсреде

1

Два файла определяются каквредоносные, один подтвержден какбезопасный

2

Сигнатуры вредоносных файловобновляются в облаке информациии добавляются в пользовательскую базу

3

Collective Security Intelligence Cloud Коллективная

пользователь-ская база






знаки жения



Получает информацию о неопознанном ПО от устройств фильтрации по репутации

1

Анализирует файл в свете полученной информации и контекста

3

Идентифицирует вредоносное ПО и добавляет новую сигнатурув пользовательскую базу

4

Получает контекст для неизвестного ПО от коллективной пользовательской базы

2 Коллективнаяпользователь-

ская база





мический ализ





Обнаруживаются два неизвестных файла, связывающихся с определеннымIP-адресом

2

Один передает информацию за пределысети, другой получает команды с этогоIP-адреса

3

Collective Security Intelligence Cloud распознает внешний IP-адрес какподтвержденный вредоносный сайт

4

Из-за этого неизвестные файлыидентифицируются как вредоносные5

IP-адрес: 64.233.160.0

Сопоставление потоков устройствпроизводит мониторинг источникаи приемника входящего/исходящеготрафика в сети

1




Cisco AMP обеспечивает более эффективный подход

Ретроспективная безопасностьОграниченное во времени обнаружение

Непрерывная защитаРепутация файла и поведенческое обнаружение

Уникально для Cisco® AMP


Cisco AMP обеспечивает защиту с помощьюретроспективной безопасности




Почему необходима непрерывная защитаCisco® Collective Security Intelligence


1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 000001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110

Непрерывная подача

Непрерывный анализ

Потоктелеметрических

данных

Интернет

WWW

Оконечные устройства СетьЭл. почта УстройстваСистемапредотвращения

вторжений IPS

Идентифицирующие меткии метаданные файла

Файловый и сетевой ввод/вывод

Информация о процессе

Объем и контрольныеточки


Почему необходима непрерывная защитаCisco® Collective Security Intelligence


Контекст Применение Непрерывный анализ

Кто Что

Где Когда

Как

История событий

Collective Security Intelligence


Cisco AMP обеспечивает защиту с помощьюретроспективной безопасности

ТраекторияПоведенческиепризнаки

вторжения

Поискнарушений

Ретроспекция Создание цепочек атак





вторжения



Ретроспективная безопасность основана на…

Выполняет анализ при первом обнаружении файлов

1Постоянноанализирует файлс течением времени, чтобы видетьизменения ситуации

2Обеспечивает непревзойденный контроль пути, действий или связей, касающихся конкретного элемента ПО

3





вторжения




Использует ретроспективные возможности тремя способами:

Ретроспективный анализ файлов Записывает траекторию ПО от устройства к устройству

Ретроспективный анализ файлов1

Ретроспекция процесса2

Ретроспекция связи3

Ретроспекция процессаПроизводит мониторинг активности ввода/вывода для всех устройствв системе

Ретроспекция связейПроизводит мониторинг, какие приложения выполняют действия

Создание цепочки атакАнализирует данные, собранные ретроспекциейфайлов, процессов и связидля обеспечения новогоуровня интеллектуальныхсредств мониторинга угроз





вторжения


роспекция Созданиецепочек атак


Поведенческие признаки вторжения используют ретроспекцию для мониторинга систем на наличие подозрительной и неожиданной активности

Неизвестный файлдопущен в сеть1

Неизвестный файл копирует себя на несколько машин

2 Копирует содержимое с жесткого диска3

Отправляет скопированное содержимое на неизвестный IP-адрес

4

С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действияуказанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или сигнатурам файлов





вторжения


оздание очек атак


Траектория файла автоматическизаписывает время, способ, входнуюточку, затронутые системыи распространение файла

Неизвестный файл загружаетсяна устройство1

Сигнатура записываетсяи отправляется в облако для анализа2

Неизвестный файл перемещаетсяпо сети на разные устройства

3

Аналитики изолированной зоныопределяют, что файл вредоносный, и уведомляют все устройства

4

Траектория файла обеспечиваетулучшенную наглядность масштабазаражения

5 Вычислительныересурсы

Виртуальнаямашина

Мобильныесистемы


Виртуальнаямашина

Вычислительныересурсы

Сеть







Траекторияенческиезнакижения


Вычислительные ресурсы

Неизвестный файл загружаетсяна конкретное устройство1

Файл перемещается на устройстве, выполняя различные операции2При этом траектория устройствазаписывает основную причину, происхождение и действия файловна машине

3

Эти данные указывают точную причинуи масштаб вторжения на устройство4


Диск 1 Диск 2 Диск 3




Траекторияенческиезнакижения



Поиск нарушений — этовозможность использованияиндикаторов, создаваемыхповеденческимиинтегрированными центрамиуправления, для мониторингаи поиска конкретногоповедения в среде

1

При идентификацииповеденческихинтегрированных центровуправления их можноиспользовать для поискаи идентификации наличия илиотсутствия этого поведенияв каком-либо другом месте

2

Эта функция позволяетпроизводить быстрый поискповедения, а не сигнатуры, давая возможность определятьфайлы, остающиесянеизвестными, но являющиесявредоносными

3





3









Всесторонняя защита среды с помощью Cisco AMP

Вектор угрозы Эл. почта и Интернет Сети Устройства

Назначение Новые или существующие

заказчики Email или Web Security Cisco

Заказчики IPS/NGFW Windows, Mac, Android, виртуальные машины

Метод Лицензия с ESA или WSA

Самостоятельное решение-или-

Включить AMP на устройствеFirePOWER

Установить на оконечныеустройства

Метод

Cisco®

Advanced Malware Protection

Защита Cisco®

AMP Контент Сеть Оконечное устройство


Различные платформы

• Обнаружение и блокировка вредоносного ПО, пытающегося проникнуть через шлюзэлектронной почты или веб-шлюз

• Получение подробной отчетности, отслеживание URL-адреса/сообщенийи определение приоритетов восстановления

• Расширение к существующему устройству илив облаке

Cisco® AMP длясодержимого

• Определение входной точки, распространения, использованных протоколов, затронутыхпользователей и хостов

• Получение подробной картины вредоноснойактивности с контекстуальными данными

• Контроль устройств BYOD в сети

Cisco AMP для сетей

• Поиск заражения, отслеживание егоперемещения, анализ его поведения

• Быстрое уменьшение ущерба и устранениериска повторного заражения

• Определение местоположения признаковвторжения на уровне сети и системы

Cisco AMP для оконечных устройств


Защита сетей

Сеть

Оконечное устройство

Контент

Сетевая платформа использует признаки вторжения, анализирует файлы, а в данном примере анализирует

траекторию файла, чтобы точно показать, каквредоносные файлы перемещались в среде.


Защита оконечных устройств

Платформа оконечных устройств имеет траекторию устройства, гибкий поиск и контроль эпидемии, которые в данном примере

показывают карантин недавно обнаруженного вредоносного ПО на устройстве, имеющем установленный коннектор FireAMP.

Сеть


Контент


Защита веб и эл. почты

Cisco® AMP для содержимого защищает от интернет-угрози угроз из эл. почты, создавая ретроспективные уведомления

при обнаружении вредоносного ПО или вредоносных сигнатур.

Сеть


Контент


Полная защита среды с помощью Cisco AMP

Каждый вариант развертывания предлагает расширенную защиту для

конкретного вектора угрозы

Учитывание вектора угрозы

Поскольку заражения призваныраспространяться, защиты от одногоили двух векторов атак недостаточно

для современных угроз

Предотвращение заражения

Совместное развертывание Cisco®

AMP для содержимого, сети и оконечных устройств — это лучшее

доступное средство для полнойзащиты среды, карантина

и восстановления

Работая вместе



3

Работает напротяжениивсего периодаатаки

2Болеекомплекснаязащита







Блокирование угроз до их проникновенияПример внедрения в американском банке

Метод

Опытной команде по обеспечению безопасности из 7 человек, обслуживающих свыше 120 точек, требовалась улучшеннаяаналитика для быстрой идентификации и остановки угроз. Имевшиеся средства защиты уведомляли сотрудникови заносили подробности в журнал, но не могли помочьв изучении проблемы.

Задача

МетодРасширенные системы предотвращения вторжений с FireAMPдля оконечных устройств.Решение

Метод

После установки FireAMP целенаправленная атака былаобнаружена и устранена за полдня. Через неделю послепервоначальной атаки новые бизнес-процессы и аналитика, реализованные с помощью FireAMP, помогли немедленноминимизировать вторую целенаправленную атаку.

Результат

ДО


Защита от угроз во время атакиПример внедрения FVC

ВО ВРЕМЯ

Метод

Предыдущее громоздкое решение защиты от вредоносногоПО не имело централизованного управления, поэтому ИТ-персоналу было тяжело проводить мониторинг и эффективноустранять проблемы с сетью.

Задача

МетодДля уменьшения громоздкости, обеспечения централизованногоуправления и удаленного контроля в режиме реального временина оконечные устройства была установлена FireAMP.

Решение

Метод

Панель управления FireAMP помогла команде обнаруживатьи предотвращать угрозы гораздо быстрее чем раньше. То, что раньше занимало часы, теперь требовало 2—3 минуты. Благодаря удаленному управлению команда также могла решатьмногие проблемы дистанционно, сохраняя производительностьсотрудников.

Результат


Определение масштаба и восстановление после нарушенияПример внедрения в энергосистеме

МетодКомпания часто становится жертвойцеленаправленных фишинговых атак с признакамизаражения, производимого из множества источников.

Задача

МетодFireAMP была добавлена в систему, уже использующуюFirePOWER, чтобы дать возможность отслеживатьи изучать подозрительную активность файлов.

Решение

Метод

Компания получила полный контроль над заражениямивредоносным ПО, определила вектор атак, оценилапоследствия для сети и приняла оперативные решениягораздо быстрее, чем в ручном режиме.

Результат

ПОСЛЕ



3








Определение подверженности угрозам

Определите текущий уровень веб-защиты и защиты электронной почты

Определите текущий уровень сетевой защиты

Определите текущий уровень защиты оконечных устройств

1.

2.

3.

Начинайте работу прямо сейчас!

Определить предпочтительное развертываниедоказательства ценности (POV)

Определить временные рамки и дату установки POV

Определить требования к оборудованиюи изменения конфигурации

Выбрать продолжительность POV и доставку

Запланировать начальную встречу

1.

2.

3.

4.

5.

Благодаримза внимание!


Как работает Cisco AMP: пример внедрения траектории файла


Неизвестный файл находитсяпо IP-адресу: 10.4.10.183. Он был загружен через Firefox


В 10:57 неизвестный файлс IP-адреса 10.4.10.183 былпередан на IP-адрес 10.5.11.8


Семь часов спустя файл был передан через бизнес-приложение на третье устройство (10.3.4.51)


Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)


Решение Cisco® Collective Security Intelligence Cloud определило, что этот файлявляется вредоносным. Длявсех устройств былонемедленно созданоретроспективное событие


Тотчас же устройствос коннектором FireAMPсреагировало наретроспективное событиеи немедленно остановилои поместило в карантинтолько что определенноевредоносное ПО


Через 8 часов после первойатаки вредоносное ПО пыталось повторнопроникнуть в систему черезисходную входную точку, но было распознанои заблокировано

Cisco Advanced Malware Protection для технических специалистов

Technology

Transcript of Cisco Advanced Malware Protection для технических специалистов