Cisco ASA with FirePOWER Sуrvices...Cisco: в центре внимания ² анализ...

Форум

Cisco

Демо 2. Кибербезопасность в реальном мире Оксана Санникова Инженер по информационной безопасности CCIE Security #35825

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2

Форум

Cisco Cisco AMP расширяет защиту NGFW и NGIPS

Ретроспективная безопасность Точечное обнаружение

Непрерывная и постоянна защита Репутация файла и анализ его

поведения


Форум

Cisco Cisco AMP: три основных преимущества

3

Защищает на

всех этапах

жизненного

цикла атаки

Перед Во время После

2

Защита на

нескольких

рубежах Контент Сеть Хосты

Cisco Talos

Точечное обнаружение Ретроспективная безопасность

1

Различные

механизмы

обнаружения


Форум

Cisco Понимание разных платформ

• Обнаружение и блокирование malware,

проходящего через email- или веб- трафик

• Подробные отчеты, отслеживание URL и

сообщений, ранжирование инцидентов по

степени опасности

• Просто добавьте лицензию на устройства

AMP

для ESA/WSA

• Идентификация точки входа, пути

распространения, используемых протоколов,

пользователей и хостов

• Полная картина вредоносной активности в

сети

• Контроль в сети устройств BYOD

AMP

для сетей

• Найти инфекцию, передвижения,

анализировать поведение

• Быстрое реагирование и предотвращение

повторной инфекции

• Найти индикаторы компрометации на

уровне сети и узлов

AMP

для оконечных

устройств


Форум

Cisco Демонстрация решения

• Функционал АМР для системы Cisco FirePOWER

• Функционал AMP для защиты оконечных устройств (FireAMP)

• Интеграция AMP с системой идентификации и контроля доступа

Identity Services Engine

Форум

Cisco

Продвинутые технологии противодействия вредоносному коду Оксана Санникова Инженер по информационной безопасности CCIE Security #35825


Форум

Cisco

AMP + FirePOWER

AMP > управляемая защита от

угроз

Cisco: в центре внимания — анализ угроз!

Приобретение компании

Cognitive Security • Передовая служба исследований

• Улучшенные технологии поведенческого

анализа в режиме реального времени

2013 2015... 2014

Приобретение компании Sourcefire Security • Ведущие в отрасли СОПВ нового поколения

• Мониторинг сетевой активности

• Advanced Malware Protection

• Разработки отдела по исследованию уязвимостей (VRT)

• Инновации в ПО с открытым исходным кодом (технология OpenAppID)

Приобретение

компании ThreatGRID • Коллективный анализ

вредоносного кода

• Анализ угроз

Коллективные исследования Cisco – подразделение Talos по исследованию и анализу угроз • Подразделение Sourcefire по исследованию уязвимостей

— VRT

• Подразделене Cisco по исследованию и информированию об угрозах — TRAC

• Подразделение Cisco по безопасности приложений — SecApps

Cognitive + AMP

Коллективный анализ

вредоносного кода > Система

коллективной информационной

безопасности


Форум

Cisco

Комплексная защита от угроз в течение всего жизненного цикла атаки

Защита в момент времени Непрерывная защита

Сеть Терминал Мобильное устройство Виртуальная машина Облако

Исследование

Внедрение

политик

Укрепление

Обнаружение

Блокирование

Защита

Локализация

Изолирование

Восстановлен

ие

Жизненный цикл атаки

ДО АТАКИ ВО ВРЕМЯ

АТАКИ

ПОСЛЕ

АТАКИ


Форум

Cisco

• Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)

• Высокий уровень доработки продуктов для очередной кампании

• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей

• Известно, что вредоносное ПО будут искать

• Известно про запуск в песочницах

• Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности

• Все лучшие методологии разработки и отладки

Что мы знаем о современном вредоносном ПО?


Форум

Cisco

10 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.

Cisco Advanced Malware Protection (AMP): обзор


Форум

Cisco Cisco AMP расширяет защиту NGFW и NGIPS


Непрерывная и постоянна защита Репутация файла и анализ его

поведения


Форум

Cisco Cisco AMP: три основных преимущества

3

Защищает на

всех этапах

жизненного

цикла атаки

Перед Во время После

2

Защита на

нескольких

рубежах Контент Сеть Хосты

Cisco Talos

Точечное обнаружение Ретроспективная безопасность

1

Различные

механизмы

обнаружения


Форум

Cisco Полная защита среды с помощью Cisco AMP

AMP Защита

Метод

Идеально для

Контент

Лицензия для ESA и WSA, а также для CES и CWS

Пользователей решений Cisco для защиты электронной почты

и обеспечения безопасности веб-трафика

Сеть

Отдельное устройство

-или -

Включите AMP на

устройствах FirePOWER или

ISR G2/4k

Пользователей NGIPS/NGFW и ISR

Хост

Установка на стационарные и

мобильные устройства,

включая виртуальные

Windows, Mac, Android, VM, Linux

Cisco Advanced Malware Protection

Вектор угроз Email и Web Сеть

Оконечные устройства


Форум

Cisco Полная защита среды с AMP

Каждая опция развертывания

предлагает полную защиту в

рамках одного вектора угрозы

Адресует

вектор угроз

Так как инфекция

распространяется всевозможными

способами, то защиты по одному

или двум векторам может

оказаться недостаточно

Предотвращает

заражение

Развертывание AMP для Content,

Network и Endpoint вместе – это

наиболее оптимальный сценарий

для полной защиты, карантина и

устранения последствий

Работает

вместе


Форум

Cisco Коллективный разум принимает решение

10I000 0II0 00 0III000 II1010011 101 1100001 110

110000III000III0 I00I II0I III0011 0110011 101000 0110 00

I00I III0I III00II 0II00II I0I000 0110 00

> 180 000 образцов файлов в день

FireAMP™ Community, 3+ млн

Advanced Microsoft

и Industry Disclosures

Snort и ClamAV Open Source Communities

Honeypots

Программа Sourcefire AEGIS™

Публичные и частные Threat Feeds

Динамический анализ

101000 0II0 00 0III000 III0I00II II II0000I II0

1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00

100I II0I III00II 0II00II I0I000 0II0 00 Sourcefire

VRT®

(Vulnerability

Research Team)

Обновления каждые

3-5 мин

1.6 млн сенсоров

100 Тбайт данных в день

> 150 миллионов конечных точек

> 600 инженеров, техников и

исследователей

35%

мирового почтового

трафика

13 млрд

web запросов

24x7x365

операций

> 40

языков

Cisco® SIO

Email Endpoints Web Networks IPS Devices

WWW

Коллективная

информация

безопасности Cisco


Форум

Cisco


Cisco Advanced Malware Protection (AMP): детали


Форум

Cisco Как Cisco AMP защищает

Фильтрация по репутации Поведенческое обнаружение

Динамический

анализ

Машинное

обучение

Нечеткие

идентифицирующи

е метки

Расширенная

аналитика Идентичная

сигнатура

Признаки

компрометации

Сопоставление

потоков устройств


Форум

Cisco


анализ

Обучение

компьютеров

Нечеткие

идентифициру

ющие метки



сигнатура

Признаки

вторжения


потоков

устройств

Фильтрация по репутации Поведенческое обнаружение

Collective Security

Intelligence Cloud

Сигнатура неизвестного файла

анализируется и отправляется

в облако 1

Сигнатура файла признана

невредоносной и принята 2

Сигнатура неизвестного файла

анализируется и отправляется

в облако 3

Известно, что сигнатура файла

является вредоносной; ей

запрещается доступ в систему 4

Фильтрация по репутации основывается на трех функциях


Форум

Cisco Техника: точные сигнатуры

Сигнатуры («точные»):

Очень простой подход, который

наверняка реализован в любом

решении любого поставщика

Точное соответствие файлу

Очень легко обходится простыми модификациями с

файлом

• Так действуют традиционные антивирусы

• Отпечаток файла снимается с помощью SHA256 и отправляется в облако для сравнения с базой сигнатур

• Сам файл не отправляется в облако

• Быстро и аккуратно обнаруживается угроза

• Снижение нагрузки на другие механизмы обнаружения


Форум

Cisco


анализ

Обучение

компьютеро

в

Нечеткие


ющие метки



сигнатура

Признаки

вторжения


потоков

устройств


Collective Security

Intelligence Cloud

Сигнатура файла анализируется

и определяется как вредоносная 1

Доступ вредоносному файлу запрещен 2

Полиморфная модификация того же

файла пытается получить доступ

в систему 3

Сигнатуры двух файлов сравниваются

и оказываются аналогичными 4

Доступ полиморфной модификации

запрещен на основании его сходства с

известным вредоносным ПО 5


Форум

Cisco Техника: ядро Ethos

• ETHOS - ядро формирования нечетких отпечатков с помощью статической/пассивной эвристики

• Полиморфные варианты угрозы часто имеют общие структурные свойства

• Не всегда нужно анализировать все содержимое бинарного файла

• Повышение масштабируемости - обнаруживается и оригинал и модификации

• Традиционно создаются вручную

Лучшие аналитики = несколько общих сигнатур в

день

• У нас полная автоматизация = МАСШТАБИРОВАНИЕ

Ethos: создание обобщенных сигнатур, что опять

же достаточно традиционно

для отрасли

Адресуются семейства

вредоносного кода

Потенциальное увеличение числа ложных

срабатываний


Форум

Cisco


анализ

Машинное

обучение

Нечеткие


ющие метки



сигнатура

Признаки

вторжения


потоков

устройств


Collective Security

Intelligence Cloud

Метаданные неизвестного файла

отправляются в облако для

анализа

1

Метаданные признаются

потенциально вредоносными 2

Файл сравнивается с известным

вредоносным ПО и

подтверждается как вредоносный

3

Метаданные второго неизвестного

файла отправляются в облако для

анализа

4

Метаданные аналогичны

известному безопасному файлу,

потенциально безопасны

5

Файл подтверждается как

безопасный после сравнения с

аналогичным безопасным файлом

6

Дерево решений машинного обучения

Потенциально

безопасный

файл

Потенциально

вредоносное ПО

Подтвержденное


Подтвержденный

безопасный файл

Подтвержденный

безопасный файл

Подтвержденное



Форум

Cisco Техника: ядро Spero

• Метки AMP = более 400 атрибутов, полученных в процессе выполнения

• Сетевые подключения?

• Нестандартные протоколы?

• Использование интерфейсов API (каких)?

• Изменения в файловой системе?

• Самокопирование

• Самоперенос

• Запуск других процессов?

• Автоматизирует классификацию файлов на основе общих схожих признаков

• Машинное обучение позволяет находить и классифицировать то, что не под силу человеку – из-за возможности анализа больших объемов данных

Дерево принятия решений

Возможно,

чистый файл

Возможно,

ВПО

Да, ВПО

Да, «чистый»

Да. чистый

Да, ВПО


Форум

Cisco


анализ

Машинное

обучение

Нечеткие


ющие метки



сигнатура

Признаки

вторжения


потоков

устройств

Поведенческое обнаружение основывается на четырех функциях

Collective Security

Intelligence Cloud

Неизвестный файл

проанализирован, обнаружены

признаки саморазмножения

1

Эти признаки саморазмножения

передаются в облако 2

Неизвестный файл также

производит независимые внешние

передачи

3

Это поведение также отправляется

в облако 4

Об этих действиях сообщается

пользователю для идентификации

файла как потенциально

вредоносного

5


Форум

Cisco Техника: анализ вредоносных признаков

• Анализ поведения файла – большое количество анализируемых параметров

• Требует большего времени на анализ, чем сигнатуры

• Потенциально ложные срабатывания

• Подробная информация о причинах принятия того или иного решения

• Выдача финального Threat Score


Форум

Cisco


анализ

Обучени

е

компьют

еров

Нечеткие


ющие метки



сигнатура

Признаки

вторжения


потоков

устройств


Неизвестные файлы загружаются в облако, где механизм динамического анализа запускает их в изолированной среде

1

Два файла определяются как

вредоносные, один подтвержден как

безопасный 2

Сигнатуры вредоносных файлов

обновляются в облаке информации

и добавляются в пользовательскую

базу

3

Collective Security

Intelligence Cloud Коллективная

пользователь

-ская база


Форум

Cisco Техника: динамический анализ

• Файлы для динамического анализа (песочница) могут быть загружены автоматически или в ручном режиме

• Загрузка файла осуществляется только в случае его неизвестности (неизвестен статус и Threat Score)

«Чистые», уже проверенные ранее файлы или вредоносное ПО с вычисленным Threat Score в песочницу не загружаются, чтобы не снижать производительность решения

• Файлы могут загружать через прокси-сервера

• Результат представляется в виде обзора и детального анализа


Форум

Cisco


анализ Обучени

е

компьют

еров

Нечеткие


ющие метки



сигнатура

Признаки

вторжения


потоков

устройств


Получает информацию

о неопознанном ПО от устройств

фильтрации по репутации 1

Анализирует файл в свете полученной

информации и контекста 3

Идентифицирует вредоносное ПО

и добавляет новую сигнатуру

в пользовательскую базу 4

Получает контекст для неизвестного

ПО от коллективной пользовательской

базы 2

Коллективная

пользователь

-

ская база

Collective Security

Intelligence Cloud


Форум

Cisco Индикаторы компрометации

• Индикатор компрометации – объединение нескольких связанных событий безопасности в единое мета-событие

• IOC “CNC Connected” (узел вероятно находится под чужим управлением)

Узел подключился к серверу C&C

Сработала система обнаружения вторжений по сигнатуре “Malware-CNC”

На узле запущено приложение, которое установило соединение с сервером C&C

• Встроенные и загружаемые индикаторы компрометации

На примере Cisco AMP for Endpoint

На примере Cisco AMP for Networks


Форум

Cisco


анализ Обучени

е

компьют

еров

Нечеткие


ющие метки



сигнатура

Признаки

вторжения


потоков

устройств


Collective Security

Intelligence Cloud

Обнаруживаются два неизвестных

файла, связывающихся с

определенным

IP-адресом

2

Один передает информацию за

пределы сети, другой получает

команды с этого

IP-адреса

3

Collective Security Intelligence Cloud

распознает внешний IP-адрес как

подтвержденный вредоносный сайт 4

Из-за этого неизвестные файлы

идентифицируются как вредоносные 5

IP-адрес:

64.233.160.0

Сопоставление потоков устройств

производит мониторинг источника

и приемника входящего/исходящего

трафика в сети

1


Форум

Cisco Техника: Анализ потоков устройств

3

1

• Мониторятся внутренние и внешние сети

• Данные по репутации IP-адресов

• Регистрация URL / доменов

• Временные метки

• Передаваемые файлы

Корреляция потоков устройств: Анализ сетевых

потоков на уровне ядра. Позволяет блокировать

или предупреждать

о любых сетевых действия

Cisco обеспечивает:

Известные сервера CnC,

фишинговые сайты,

сервера ZeroAccess CnC, и т.д.

Пользовательские списки


Форум

Cisco Сила в комбинации методов обнаружения

• На оконечных узлах не хватает ресурсов для анализа все усложняющегося вредоносного кода

• Не существует универсального метода обнаружения вредоносного кода – у каждого метода есть своя область применения, свою достоинства и недостатки

• Каждый метод может быть обойден вредоносным кодом; особенно специально подготовленным

7 методов обнаружения в Cisco AMP повышают

эффективность защиты!!!


Форум

Cisco В Cisco AMP реализован и план Б


Постоянная защита Репутация и поведенческий анализ

Уникальный Cisco AMP


Форум

Cisco

Cisco AMP также предлагает ретроспективную защиту


Форум

Cisco Почему необходима непрерывная защита?

1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110

Непрерывная подача

Непрерывный

анализ

Поток

телеметрических

данных

Интернет

WWW

Оконечные устройства Сеть Эл. почта

Устройства

Система

предотвращения

вторжений IPS

Идентифицирующие метки и метаданные файла

Файловый и сетевой ввод/вывод

Информация о процессе

Объем и контрольные

точки


Форум

Cisco Почему необходима непрерывная защита?

Контекст Применение Непрерывный анализ

Кто Что

Где Когда

Как

История событий

Collective Security

Intelligence


Форум

Cisco

Cisco AMP обеспечивает ретроспективную защиту

Траектория Поведенческие

признаки

вторжения

Поиск

нарушений

Ретроспектива Создание

цепочек

атак


Форум

Cisco


признаки

вторжения

Поиск

нарушений


цепочек

атак

Ретроспективная безопасность основана на…

Выполняет анализ при

первом обнаружении

файлов 1

Постоянно анализирует

файл с течением

времени, чтобы видеть

изменения ситуации

2

Обеспечивает

непревзойденный

контроль пути, действий

или связей, касающихся

конкретного элемента ПО

3


Форум

Cisco

Траектория Поведенчески

е

признаки

вторжения

Поиск

нарушений


цепочек

атак


Использует ретроспективные

возможности тремя

способами:

Ретроспективный анализ файлов

Записывает траекторию ПО от устройства к устройству

Ретроспективный анализ

файлов 1

Ретроспектива процесса 2

Ретроспектива соединений 3

Ретроспектива процесса

Производит мониторинг активности ввода/вывода для всех устройств в системе

Ретроспектива связей

Производит мониторинг, какие приложения выполняют действия

Создание цепочки атак

Анализирует данные,

собранные ретроспекцией

файлов, процессов и связи для

обеспечения нового уровня

интеллектуальных средств

мониторинга угроз


Форум

Cisco


признаки

вторжения

Поиск

нарушений

Ретроспектив

а

Создание

цепочек

атак


Поведенческие признаки вторжения используют ретроспективу для мониторинга систем на наличие подозрительной и неожиданной активности

Неизвестный файл

допущен в сеть 1 Неизвестный файл

копирует себя

на несколько машин 2

Копирует

содержимое с

жесткого диска 3

Отправляет

скопированное

содержимое на

неизвестный IP-адрес

4

С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действия

указанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или

сигнатурам файлов


Форум

Cisco

Траектория Поведенческ

ие

признаки

вторжения

Поиск

нарушений


а

Создание

цепочек

атак


Траектория файла автоматически

записывает время, способ, входную

точку, затронутые системы

и распространение файла

Неизвестный файл загружается

на устройство 1

Сигнатура записывается

и отправляется в облако для анализа 2

Неизвестный файл перемещается

по сети на разные устройства

3

Аналитики изолированной зоны

определяют, что файл вредоносный,

и уведомляют все устройства 4

Траектория файла обеспечивает

улучшенную наглядность масштаба

заражения 5 Вычислительные

ресурсы

Виртуальная

машина

Мобильные

системы

Мобильные

системы

Виртуальная

машина

Вычислительные

ресурсы

Сеть

Мобильные

системы

Мобильные

системы

Collective Security

Intelligence Cloud


Форум

Cisco

Траектория Поведенческ

ие

признаки

вторжения

Поиск

нарушений


а

Создание

цепочек

атак Вычислительные ресурсы

Неизвестный файл загружается

на конкретное устройство 1

Файл перемещается на устройстве,

выполняя различные операции 2

При этом траектория устройства записывает основную причину, происхождение и действия файлов на машине

3

Эти данные указывают точную

причину

и масштаб вторжения на устройство 4


Диск 1 Диск 2 Диск 3


Форум

Cisco

Траектория Поведенчески

е

признаки

вторжения

Поиск

нарушений


а

Создание

цепочек

атак


Поиск нарушений — это

возможность использования

индикаторов, встречающихся

также и на других узлах сети,

для мониторинга и поиска

конкретного поведения в

среде

1

При идентификации

индикаторов компрометации

на одном узле их можно

использовать для поиска и

идентификации наличия или

отсутствия этого поведения в

каком-либо другом месте

2

Эта функция позволяет

производить быстрый поиск

поведения, а не сигнатуры,

давая возможность

определять файлы,

остающиеся неизвестными, но

являющиеся вредоносными

3


Форум

Cisco


Cisco AMP Threat Grid


Форум

Cisco Cisco AMP Threat Grid

1001 1101 1110011 0110011 101000 0110 00

• Платформа для глубокого анализа вредоносного кода

Доступ через портал, выделенное устройство или с помощью API

• Может применяться при построении собственных систем Threat Intelligence или SOC

• Уже используется многими компаниями при проведении расследований – EnCase, Maltego и т.п.


Форум

Cisco

Детальный анализ вредоносного ПО в AMP Threat Grid


Форум

Cisco

49 49

AMP for

Endpoint

AMP for

FP | ASA

ESA | WSA

CWS | CES

AMP for Endpoint Private Cloud


анализ

AMP for

Endpoint

AMP for

FP | ASA

ESA | WSA

CWS | CES

Threat Grid

(Cloud)

Сценарий 3: Threat Grid Intelligence,

API, аналитика и визуализация

Сценарий 4:

a)Threat Grid Appliance (ограничен ТОЛЬКО

динамическим анализом) с Private Cloud

b)Threat Grid Appliance (ограничен ТОЛЬКО

динамическим анализом ) с NW AMP или

Content Gateway AMP

Сценарий 5: Threat Grid Appliance с

Intelligence, API, аналитикой и

визуализацией

Сценарий 2: Выделенный TG Appliance

Сценарий 1: Загрузка в облако через портал

Clo

ud C

onnecte

d

On-P

rem

ise

s

Sta

ndalo

ne

Threat Grid

Appliance с

подпиской

Threat Grid

(Cloud)

Threat Grid

(подписка)

Private Tagging

(опция)

Threat Grid

Облачная аналитика, API, глубокий анализ

AMP

Анализ, базовые отчеты, уровень угрозы

Опциональные

дополнения к

AMP

Private Tagging

(опция)

Threat Grid

Appliance

1

2

3

5

4


Форум

Cisco

Интеграция и автоматизация механизмов обеспечения безопасности

Cisco® AMP Threat Grid REST API позволяет автоматизировать отправку образцов, получение новой

информации и получение результатов

− Автоматизация отправки из различных модулей

− Простой возврат результатов

Your Existing Security

Обеспечение максимальной отдачи от вложений в безопасность

Получение

данных об

угрозах

Потоки аналитики

об угрозах

МСЭ Сенсоры

в сети SIEM Управление

журналами

Партнеры по

отрасли

Средства

защиты хостов

Шлюз/прокси IPS/IDS

Threat Grid


Форум

Cisco

Развертывание вне облака – на территории заказчика

Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid

В целях соблюдения нормативных требований все данные остаются на территории заказчика

Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для

актуализации контекста

Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)

TG5000:

Анализ до 1500 образцов в день

Cisco UCS C220 M3 Chasis (1U)

6 x 1TB SAS HDD (аппаратный RAID)

TG5500:

Анализ до 5000 образцов в день

Cisco UCS C220 M3 Chasis (1U)

6 x 1TB SAS HDD (аппаратный RAID)

Полное соответствие нормативным требованиям и высокий уровень защиты


Форум

Cisco


Cisco AMP Private Cloud


Форум

Cisco Как работает AMP Private Cloud?

• Управление политиками

• Траектория файлов

• Траектория процессов

• Пользовательские сигнатуры

• Анализ инцидентов

• Генерация отчетов

• Кеш вердиктов

• Персональные данные

SHA256

Вердикт

AMP Private Cloud

Virtual Appliance

AMP for Endpoints

AMP for Networks


Форум

Cisco

Вопросы конфиденциальности: AMP Private Cloud

AMP Threat Grid

Dynamic Analysis

Appliance

Windows,

Mac

Endpoint

Cisco

FirePOWER

Sensor

Cisco Web

Security

Appliance

Cisco Email

Security

Appliance

Cisco ASA with

FirePOWER

Services

Talos

Cisco AMP

Private Cloud

Appliance 2.x

Федерированные

данные

Хэши файлов

Анализируемые файлы

Опционально

Планы

Поддержка “air gap”


Форум

Cisco


В заключение


Форум

Cisco Заключение

Современное вредоносное ПО хорошо избегает обнаружения

У AMP прекрасные показатели обнаружения по отчетам NSS, но его «сила» не в этом

Увы, вопрос не в том, будет ли безопасность нарушена…

Ретроспективная безопасность = возможность управления безопасностью

AMP Everywhere позволяет администраторам контролировать всю среду


Форум

Cisco Выберите правильное решение

Потребности Функция WSA, ESA, CWS Network Endpoint

Я хочу описать политики для вредоносного ПО… Репутация файла ✔ ✔ ✔

Я хочу изолировать вредоносное ПО для анализа… Песочница ✔ ✔ ✔

Я хочу узнать, если вредоносное ПО попало ко мне в систему… Ретроспективная защита ✔ ✔ ✔

Мне нужно идентифицировать зараженные узлы в моей сети… Индикаторы компрометации ✔ ✔

Я хочу отслеживать поведение файлов и что они делают… Анализ файлов ✔ ✔

Я хочу видеть, как угрозы распространяется по сети… Траектория файлов ✔ ✔

Я хочу видеть системную активность и взаимодействие

событий… Траектория процессов ✔

Я хочу организовать поиск в большом объеме данных… Эластичный поиск ✔

Я хочу останавливать распространение вредоносного кода с

пользовательскими настроками… Контроль эпидемий ✔

Спасибо за внимание!

Cisco ASA with FirePOWER Sуrvices...Cisco: в центре внимания ² анализ...

Documents

Transcript of Cisco ASA with FirePOWER Sуrvices...Cisco: в центре внимания ² анализ...