X

BLOG GOV-IS

Izbrane zanimivosti, novice in novitete.

Blog

Cisco AMP4E - preprečevanje, zaznava, odziv

Cisco Advanced Malware Protection for Endpoints (AMP4E) je napredna antivirusna rešitev nove generacije, ki vključuje EDR (endpoint detection and response), integrirane pa so tudi prednosti XDR (extended detection and response) rešitev.

Cisco AMP4E - preprečevanje, zaznava, odziv

Najbrž smo že vsi siti dodobra prežvečenih fraz v obliki »hitro razvijajoči se,…«. Ker se v obdobju v katerem živimo vse spremembe dogajajo zelo hitro, hkrati pa je ves napredek tesno povezan z dobesedno vso materijo, kar je naš planet premore, bom uporabil pojem evolucija. Mi dihamo tehnologijo, tehnologija diha nas, našo floro in favno. Tehnološki razvoj v vsakem aspektu prinaša nova orodja, ki nam lajšajo življenje, višajo storilnost, konec koncev zaradi njih privarčujemo stroške in zaslužimo več. Vse kar dobrega razvoj prinese pa ima seveda tudi slabo stran.

Bliskovita evolucija se vporedno dogaja v svetu zlonamerne programske opreme, grožnje so postale vse bolj izpopolnjene in vedno težje jih je odkriti, tisti najbolj napreden odstotek teh groženj pa lahko teoretično lahko vstopi tudi v vaše omrežje in ostane neopažen.

Cisco AMP4E zagotavlja celovito zaščito tudi pred tem najbolj naprednim enim odstotkom groženj. Ta varnostna programska oprema preprečuje vdor v napravo, hkrati blokira zlonamerno programsko opremo ob vstopu in nenehno spremlja in analizira vse dejavnosti datotek in procesov. To pomeni, da lahko hitro zazna in odpravi vse grožnje, ki so se uspele izogniti prvi obrambni liniji.

Največja prednost AMP4E pred tradicionalnimi protivirusnimi rešitvami je takojšen odziv na grožnje (brez prenosa podpisov) in blokiranje vseh datotek, ki so del kampanje zlonamerne programske opreme, čeprav morda same po sebi ne bi kazale slabe dejavnosti. AMP4E omogoča tako imenovano "Threat Hunting", ki je najsodobnejša metoda iskanja znakov kibernetskih groženj ali dlje trajajočih skritih napadov v velikem kupu podatkov iz končnih naprav.

 

AMP4E Preprečevanje

Verodostojnost datoteke – oblak AMP vsebuje izčrpno zbirko podatkov o vsaki skenirani datoteki, vključno z ustreznim ali slabim ugledom datoteke. Posledično je vsaka znana zlonamerna programska oprema hitro in enostavno v karanteni na mestu vstopa v vaše omrežje brez skeniranja, ki bi zahtevalo izdatno zasedenost procesorja.

Antivirus – AMP4E vključuje tradicionalne in stalno posodobljene podpise protivirusnih programov za različne platforme (Windows, Mac ali Linux). Protivirusna zbirka podatkov je lokalno shranjena na vsaki končni točki, kar pomeni, da se pri izvajanju ne zanaša na povezavo v oblaku. To zagotavlja, da so vaše končne naprave zaščitene tudi brez povezave.

Polimorfna zaznava zlonamerne programske opreme – Ustvarjalci zlonamerne programske opreme pogosto ustvarijo več različic iste zlonamerne programske opreme, da bi se izognili običajnim tehnikam odkrivanja. AMP4E lahko zazna te različice ali polimorfno zlonamerno programsko opremo z uporabo tako imenovanih digitalnih prstnih odtisov (ohlapnih prstnih odtisov). Vsak digitalni prstni odtis sumljive datoteke se nato primerja z digitalnimi prstnimi odtisi znanih družin zlonamerne programske opreme; datotek je takoj blokirana, če se ugotovi ujemanje.

Machine Learning analitika – AMP4E se z algoritmi usposablja za "učenje" prepoznavanja zlonamernih datotek ali dejavnosti na podlagi lastnosti znane zlonamerne programske opreme. Funkcije strojnega učenja so v AMP4E sinhronizirane z obsežno bazo podatkov Cisco Talos ™, ki zagotavlja boljši in natančnejši model analize. Strojno učenje v AMP4E tako pomaga pri odkrivanju prej nezaznane zlonamerne programske opreme, ko prvič vstopi v vaše omrežje.

Preprečevanje zlorab – "Napadi brez datotek" postajajo vse pogostejši, zlonamerna programska oprema napade mesto v pomnilniku, kjer je naložena aplikacija. Ta funkcija preprečuje, da bi zlonamerna programska oprema kljub ranljivosti pomnilnika vnesla navodila v pomnilnik.

Varovanje skript – AMP4E zagotavlja boljšo vidljivost izvajanja vseh skript na končnih napravah in pomaga zaščititi pred vsemi napadi na osnovi skript, ki jih pogosto uporablja zlonamerna programska oprema. Script Protection zagotavlja dodatno zaščitno plast, tako da prepreči nalaganje določenih DLL na računalnike, katerih aplikacije imajo ranljivosti.

Vedenjska analiza – izboljšana vedenjska analiza končnih točk, ki jo izvaja AMP4E, stalno spremlja vse dejavnosti uporabnikov in končnih točk ter jih v realnem času primerja z vedenjskimi vzorci zlonamerne programske opreme, ki se dinamično posodabljajo z razvojem zlonamerne programske opreme. Z uporabo te metode je mogoče na primer odkriti napade tipa " living-off-the-land".

 

AMP4E Zaznava

Zaščita pred škodljivimi aktivnostmi – AMP4E nenehno spremlja vse dejavnosti v končni točki in omogoča odkrivanje in blokiranje kakršnega koli nenormalnega vedenja s strani programa, ki se izvaja na končni napravi. Na primer, kadar vedenje končne naprave kaže na odkupno programsko opremo – kriptiranje podatkov, se zaznani procesi prekinejo, kar prepreči šifriranje po končni napravi in ustavi napad.

Kazalniki kompromisa – Talos je vodilna organizacija za analizo kibernetskih groženj, ki nenehno analizira vso zaznano zlonamerno programsko opremo, da bi odkrila nove vrste groženj in ustvarila vedenjske in forenzične profile za vse nastajajoče grožnje, sicer znane kot kazalniki kompromisa (IoC-Indicators of Compromise). Pridobljeni forenzični podatki, kot so lokacije datotek, imena procesov ali spremembe vrednosti registrskih ključev, lahko skrbnikom pomagajo pri iskanju sistemov, ki so že bili ogroženi.

Host IoC – Skrbniki lahko napišejo lastne IoC -je za uporabo pri odzivanju na incidente, da poiščejo vse kazalnike kompromisa na vseh končnih postajah, na katerih je nameščen AMP4E. IoC -ji so napisani v odprti standardni obliki (OpenIOC), kar olajša uporabo podatkov, ki prihajajo iz vseh obstoječih informacijskih kanalov.

 

AMP4E Odziv

Zaradi vse večjega števila in vse večje raznolikosti naprednih groženj, namenjenih izogibanju previdnostnim ukrepom, je treba vsak poskus kršitve varnosti omrežja obravnavati kot incident. Ta nastavitev bi morala uporabiti močan nabor orodij, ki vam bodo pomagala enostavno prepoznati vse okužene končne naprave in razumeti obseg napada. Poleg več funkcij za preprečevanje in odkrivanje ponuja AMP natančno vidljivost končnih naprav in orodij za hiter in učinkovit odziv na varnostne incidente.

Forenzika končnih točk –  zmogljiva orodja, kot so pot datotek in poti naprav, ki uporabljajo zmogljivosti neprekinjene analize AMP4E za prikaz celotnega obsega napada. AMP4E identificira vse prizadete aplikacije, procese in sisteme za določitev primarne okužbe ter način napada in točko okužbe. Te funkcije vam bodo pomagale hitro razumeti obseg težave z identifikacijo vseh poti (vektorjev), ki jih napadalci uporabljajo za dostop do sistema.

Dinamična analitika –  AMP4E vključuje integrirano in zelo varno izolirano okolje, ki uporablja tehnologijo Cisco Threat Grid za analizo obnašanja sumljivih datotek. Analiza datotek ustvari podrobne informacije o datotekah, vključno z resnostjo njihovega vedenja, izvirnim imenom datoteke, posnetki zaslona med izvajanjem kode zlonamerne programske opreme in zajemanjem vzorčnih paketov. Na podlagi teh podatkov lahko bolje razumemo kaj je potrebno za obrambo pred morebitnimi prihodnjimi napadi.

Vidnost ukazne vrstice – vidnost argumentov ukazne vrstice pomaga ugotoviti, ali se zakonite aplikacije (vključno s sistemskimi orodji Windows) dejansko zlorabljajo v zlonamerne namene.

 

AMP4E lahko prepozna težko zaznavne vedenjske vzorce, kot so:

  • uporaba vssadmin za odstranjevanje senčnih kopij
  • varno deaktiviranje zagona
  • uporaba PowerShell,
  • izvajanje priviledge escalation
  • spremembe seznamov za nadzor dostopa
  • System enumeration

 

Retrospective Security – AMP4E uporablja patentirano tehnologijo, ki samodejno zazna napredne grožnje, ki so vstopile v vaše okolje. AMP za končne točke s stalnim spremljanjem povezuje nove podatke o grožnji z vašo preteklostjo in datoteke samodejno postavi v karanteno, ko se začnejo zlonamerno obnašati. Ta avtomatiziran odziv na najnovejše grožnje omogoča krajši čas odkrivanja in znatno zmanjšuje širjenje zlonamerne programske opreme.

Advanced Search –  Napredno iskanje poenostavlja preiskovanje in odkrivanje groženj z zagotavljanjem več kot sto vnaprej pripravljenih poizvedb, kar vam omogoča hitro izvajanje kompleksnih poizvedb na kateri koli (ali vseh) končnih napravah. To vam omogoča globlji vpogled v to, kaj se je zgodilo z določeno končno napravo in kdaj, zahvaljujoč posnetku njenega trenutnega stanja. Ne glede na to, ali preiskujete kot del odzivov na incidente ali odkrivate kakršne koli grožnje, vam bo napredno iskanje hitro dalo odgovore, ki jih morate poznati o svojih končnih napravah.

 

AMP4E je torej zelo zmogljiva in dobra rešitev za zaščito končnih točk. Vas zanima, kako AMP4E deluje v kombinaciji s Cisco Umbrella? Ostanite na liniji, predstavili vam bomo namreč zelo ugoden paket varnostnih rešitev. Lahko pa nas seveda pocukate za rokav in vam bomo prišepnili kakšno skrivnost.