Enviar pesquisa
Carregar
Cisco AMP: платформа для борьбы с вредоносным кодом
•
1 gostou
•
1,269 visualizações
Cisco Russia
Seguir
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 92
Baixar agora
Baixar para ler offline
Recomendados
Обзор новых возможностей Cisco Advanced Malware Protection и AMP Threat Grid
Обзор новых возможностей Cisco Advanced Malware Protection и AMP Threat Grid
Cisco Russia
Борьба с целенаправленными угрозами: взгляд Cisco
Борьба с целенаправленными угрозами: взгляд Cisco
Cisco Russia
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco Russia
Информационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итоги
Cisco Russia
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Cisco Russia
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
Cisco Russia
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Cisco Russia
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атак
Cisco Russia
Recomendados
Обзор новых возможностей Cisco Advanced Malware Protection и AMP Threat Grid
Обзор новых возможностей Cisco Advanced Malware Protection и AMP Threat Grid
Cisco Russia
Борьба с целенаправленными угрозами: взгляд Cisco
Борьба с целенаправленными угрозами: взгляд Cisco
Cisco Russia
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco Russia
Информационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итоги
Cisco Russia
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Cisco Russia
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
Cisco Russia
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Cisco Russia
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атак
Cisco Russia
Взгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроами
Cisco Russia
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
Cisco Email & Web Security
Cisco Email & Web Security
Cisco Russia
Контроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLock
Cisco Russia
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
Cisco Russia
Cisco Umbrella
Cisco Umbrella
Cisco Russia
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Russia
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
Cisco Russia
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
Next Generation Campus Architecture
Next Generation Campus Architecture
Cisco Russia
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9
Компания УЦСБ
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
Cisco Russia
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегии
Cisco Russia
Cisco asa with fire power services
Cisco asa with fire power services
journalrubezh
Использование технологий компании Cisco
Использование технологий компании Cisco
Cisco Russia
Cisco ASA. Next-Generation Firewalls
Cisco ASA. Next-Generation Firewalls
Cisco Russia
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медали
КРОК
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Cisco Russia
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
DialogueScience
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозами
Cisco Russia
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
Cisco Russia
Mais conteúdo relacionado
Mais procurados
Взгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроами
Cisco Russia
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
Cisco Email & Web Security
Cisco Email & Web Security
Cisco Russia
Контроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLock
Cisco Russia
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
Cisco Russia
Cisco Umbrella
Cisco Umbrella
Cisco Russia
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Russia
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
Cisco Russia
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
Next Generation Campus Architecture
Next Generation Campus Architecture
Cisco Russia
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9
Компания УЦСБ
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
Cisco Russia
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегии
Cisco Russia
Cisco asa with fire power services
Cisco asa with fire power services
journalrubezh
Использование технологий компании Cisco
Использование технологий компании Cisco
Cisco Russia
Cisco ASA. Next-Generation Firewalls
Cisco ASA. Next-Generation Firewalls
Cisco Russia
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медали
КРОК
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Cisco Russia
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
DialogueScience
Mais procurados
(20)
Взгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроами
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Email & Web Security
Cisco Email & Web Security
Контроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLock
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
Cisco Umbrella
Cisco Umbrella
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Next Generation Campus Architecture
Next Generation Campus Architecture
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегии
Cisco asa with fire power services
Cisco asa with fire power services
Использование технологий компании Cisco
Использование технологий компании Cisco
Cisco ASA. Next-Generation Firewalls
Cisco ASA. Next-Generation Firewalls
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медали
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
Semelhante a Cisco AMP: платформа для борьбы с вредоносным кодом
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозами
Cisco Russia
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
Cisco Russia
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
Cisco Russia
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11
Компания УЦСБ
Концепция активной обороны
Концепция активной обороны
Aleksey Lukatskiy
МСЭ нового поколения, смотрящий глубже и шире
МСЭ нового поколения, смотрящий глубже и шире
Cisco Russia
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Cisco Russia
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Cisco Russia
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014
Tim Parson
Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Russia
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
Denis Batrankov, CISSP
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat Defense
Cisco Russia
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
Cisco Ransomware Defense. Краткий обзор
Cisco Ransomware Defense. Краткий обзор
Cisco Russia
Сеть как средство защиты и реагирования на угрозы
Сеть как средство защиты и реагирования на угрозы
Cisco Russia
Cisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистов
Cisco Russia
Увидеть все
Увидеть все
Cisco Russia
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Denis Bezkorovayny
Semelhante a Cisco AMP: платформа для борьбы с вредоносным кодом
(20)
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозами
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11
Концепция активной обороны
Концепция активной обороны
МСЭ нового поколения, смотрящий глубже и шире
МСЭ нового поколения, смотрящий глубже и шире
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014
Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat Defense
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Cisco Ransomware Defense. Краткий обзор
Cisco Ransomware Defense. Краткий обзор
Сеть как средство защиты и реагирования на угрозы
Сеть как средство защиты и реагирования на угрозы
Cisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистов
Увидеть все
Увидеть все
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Mais de Cisco Russia
Service portfolio 18
Service portfolio 18
Cisco Russia
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Russia
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Russia
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco Russia
Cisco FirePower
Cisco FirePower
Cisco Russia
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
Mais de Cisco Russia
(20)
Service portfolio 18
Service portfolio 18
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco FirePower
Cisco FirePower
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco AMP: платформа для борьбы с вредоносным кодом
1.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Cisco AMP: платформа для борьбы с вредоносным кодом Алексей Лукацкий Бизнес-консультант по информационной безопасности security-request@cisco.com
2.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 2 Реальность: организации все чаще атакуют Source: 2014 Cisco Annual Security Report 95% крупных компаний столкнулись с вредоносным трафиком 100% организаций столкнулись с Web- сайтами, на которых было ВПО 20001990 1995 2005 2010 2015 2020 Вирусы 1990–2000 Черви 2000–2005 Руткиты и шпионы 2005–сегодня APT / кибероружие Сегодня + Хакерство становится индустрией Продвинутые атаки, сложная структура Фишинг, низкая квалификация • Киберпреступность прибыльна, а барьер входа очень низок • Хакеры умнеют и обладают ресурсами для атаки даже на крупные компании • Вредоносное ПО усложняется • Организации сталкиваются с десятками тысяч новых семплов ВПО в час
3.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 3 Почему традиционный периметр не защищает? Источник: 2012 Verizon Data Breach Investigations Report От компрометации до утечки От атаки до компрометации От утечки до обнаружения От обнаружения до локализации и устранения Секунды Минуты Часы Дни Недели Месяцы Годы 10% 8% 0% 0% 75% 38% 0% 1% 12% 14% 2% 9% 2% 25% 13% 32% 0% 8% 29% 38% 1% 8% 54% 17% 1% 0% 2% 4% Временная шкала событий в % от общего числа взломов Взломы осуществляются за минуты Обнаружение и устранение занимает недели и месяцы
4.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 4 А это подтверждение статистики 16 апреля 2015 года http://www.zdnet.com/article/palo-alto- networks-mcafee-websense-gateway- systems-allow-malicious-traffic-to-slip- through-the-net/ Дело СОВСЕМ не в названиях компаний, проблема в методологии
5.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 5 Современный ландшафт угроз требует большего, чем просто контроль приложений 54% компрометаций остаются незамеченными месяцами 60% данных похищается за несколько часов Они стремительно атакуют и остаются неуловимыми Целое сообщество злоумышленников остается нераскрытым, будучи у всех на виду 100% организаций подключаются к доменам, содержащим вредоносные файлы или службы
6.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 6 AMP + FirePOWER AMP > управляемая защита от угроз Cisco: в центре внимания — анализ угроз! Приобретение компании Cognitive Security • Передовая служба исследований • Улучшенные технологии поведенческого анализа в режиме реального времени 2013 2015...2014 Приобретение компании Sourcefire Security • Ведущие в отрасли СОПВ нового поколения • Мониторинг сетевой активности • Advanced Malware Protection • Разработки отдела по исследованию уязвимостей (VRT) • Инновации в ПО с открытым исходным кодом (технология OpenAppID) Malware Analysis & Threat Intelligence Приобретение компании ThreatGRID • Коллективный анализ вредоносного кода • Анализ угроз Коллективные исследования Cisco – подразделение Talos по исследованию и анализу угроз • Подразделение Sourcefire по исследованию уязвимостей — VRT • Подразделене Cisco по исследованию и информированию об угрозах — TRAC • Подразделение Cisco по безопасности приложений — SecApps Cognitive + AMP Коллективный анализ вредоносного кода > Система коллективной информационной безопасности
7.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 7 Комплексная защита от угроз в течение всего жизненного цикла атаки Защита в момент времени Непрерывная защита Сеть Терминал Мобильное устройство Виртуальная машина Облако Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановление Жизненный цикл атаки ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ
8.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 8 • Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки) • Высокий уровень доработки продуктов для очередной кампании • Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей • Известно, что вредоносное ПО будут искать • Известно про запуск в песочницах • Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности • Все лучшие методологии разработки и отладки Что мы знаем о современном вредоносном ПО?
9.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 9 9© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. Cisco Advanced Malware Protection (AMP): обзор
10.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 10 CiscoAMP расширяет защиту NGFW и NGIPS Ретроспективная безопасностьТочечное обнаружение Непрерывная и постоянна защита Репутация файла и анализ его поведения
11.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 11 CiscoAMP: три основных преимущества 3 Защищает на всех этапах жизненного цикла атаки Перед Во время После 2 Защита на нескольких рубежах Контент Сеть Хосты Cisco Talos Точечное обнаружение Ретроспективная безопасность 1 Различные механизмы обнаружения
12.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 12 Установка не только на персоналках Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Аналитический центр Talos Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг
13.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 13 Полная защита среды с помощью CiscoAMP AMP Защита Метод Идеально для Контент Лицензия для ESA и WSA, а также для CES и CWS Пользователей решений Cisco для защиты электронной почты и обеспечения безопасности веб- трафика Сеть Отдельное устройство -или - Включите AMP на устройствах FirePOWER или ISR G2/4k Пользователей NGIPS/NGFW и ISR Хост Установка на стационарные и мобильные устройства, включая виртуальные Windows, Mac, Android, VM Cisco Advanced Malware Protection Вектор угроз Email и Web Сеть Оконечные устройства
14.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 14 Понимание разных платформ • Обнаружение и блокирование malware, проходящего через email- или веб- трафик • Подробные отчеты, отслеживание URL и сообщений, ранжирование инцидентов по степени опасности • Просто добавьте лицензию на устройства AMP для ESA/WSA • Идентификация точки входа, пути распространения, используемых протоколов, пользователей и хостов • Полная картина вредоносной активности в сети • Контроль в сети устройств BYOD AMP для сетей • Найти инфекцию, передвижения, анализировать поведение • Быстрое реагирование и предотвращение повторной инфекции • Найти индикаторы компрометации на уровне сети и узлов AMP для оконечных устройств
15.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 15 Защита сетей • Сетевая платформа использует индикаторы компрометации, анализ файлов и, в этом примере, траекторию файла для того, чтобы показать, как вредоносный файл перемещается по сети и кого он успевает заразить Сеть Хост ESA/WSA
16.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 16 Защита оконечных устройств • Платформа для оконечных устройств показывает траекторию, обеспечивает гибкий поиск и контроль атак. В этом примере вредоносный код отправлен в карантин Сеть Endpoint Контент
17.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 17 Защита Web и Email • AMP для ESA/WSA защищает от Web и Email угроз в том числе и с помощью ретроспективных предупреждений, когда malware обнаружено Network Endpoint Content • Платформа для средств контентной фильтрации (ESA/ESAv/WSA/WSAv/ CWS/CES) обеспечивает гибкий поиск и контроль атак в почтовом и Web- трафике. В этом примере вредоносный код обнаружен в почтовом сообщении
18.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 18 Коллективный разум принимает решение 10I000 0II0 00 0III000 II1010011 101 1100001 110 110000III000III0 I00I II0I III0011 0110011 101000 0110 00 I00I III0I III00II 0II00II I0I000 0110 00 > 180 000 образцов файлов в день FireAMP™ Community, 3+ млн Advanced Microsoft и Industry Disclosures Snort и ClamAV Open Source Communities Honeypots Программа Sourcefire AEGIS™ Публичные и частные Threat Feeds Динамический анализ 1010000II0000III000III0I00IIIIII0000III0 1100001110001III0I00III0IIII00II0II00II101000011000 100III0IIII00II0II00III0I0000II000 Sourcefire VRT® (Vulnerability Research Team) Обновления каждые 3-5 мин 1.6 млн сенсоров 100 Тбайт данных в день > 150 миллионов конечных точек > 600 инженеров, техников и исследователей 35% мирового почтового трафика 13 млрд web запросов 24x7x365 операций > 40 языков Cisco® SIO Email Endpoints Web Networks IPS Devices WWW Коллективная информация безопасности Cisco
19.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 19 19© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. Cisco Advanced Malware Protection (AMP): детали
20.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 20 CiscoAMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов Фильтрация по репутации Поведенческое обнаружение Динамический анализ Машинное обучение Нечеткие идентифицирующие метки Расширенная аналитика Идентичная сигнатура Признаки компрометации Сопоставление потоков устройств
21.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 21 Динамический анализ Обучение компьютеров Нечеткие идентифицирующ ие метки Расширенная аналитика Идентичная сигнатура Признаки вторжения Сопоставление потоков устройств Фильтрация по репутации Поведенческое обнаружение Collective Security Intelligence Cloud Сигнатура неизвестного файла анализируется и отправляется в облако 1 Сигнатура файла признана невредоносной и принята2 Сигнатура неизвестного файла анализируется и отправляется в облако 3 Известно, что сигнатура файла является вредоносной; ей запрещается доступ в систему 4 Фильтрация по репутации основывается на трех функциях
22.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 22 Техника: точные сигнатуры Сигнатуры («точные»): Очень простой подход, который наверняка реализован в любом решении любого поставщика Точное соответствие файлу Очень легко обходится простыми модификациями с файлом L • Так действуют традиционные антивирусы • Отпечаток файла снимается с помощью SHA256 и отправляется в облако для сравнения с базой сигнатур • Сам файл не отправляется в облако • Быстро и аккуратно обнаруживается угроза • Снижение нагрузки на другие механизмы обнаружения
23.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 23 Возможность создания собственных сигнатур • Создание собственных сигнатур, например, для контроля перемещения файлов с конфиденциальной информацией или полученных из внешних источников семплов вредоносного кода или даже приложений (для NGFW/NGIPS)
24.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 24 Динамический анализ Обучение компьютеров Нечеткие идентифицирующ ие метки Расширенная аналитика Идентичная сигнатура Признаки вторжения Сопоставление потоков устройств Фильтрация по репутации основывается на трех функциях Collective Security Intelligence Cloud Сигнатура файла анализируется и определяется как вредоносная1 Доступ вредоносному файлу запрещен2 Полиморфная модификация того же файла пытается получить доступ в систему 3 Сигнатуры двух файлов сравниваются и оказываются аналогичными4 Доступ полиморфной модификации запрещен на основании его сходства с известным вредоносным ПО 5
25.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 25 Техника: ядро Ethos • ETHOS - ядро формирования нечетких отпечатков с помощью статической/ пассивной эвристики • Полиморфные варианты угрозы часто имеют общие структурные свойства • Не всегда нужно анализировать все содержимое бинарного файла • Повышение масштабируемости - обнаруживается и оригинал и модификации • Традиционно создаются вручную Лучшие аналитики = несколько общих сигнатур в день • У нас полная автоматизация = МАСШТАБИРОВАНИЕ Ethos: создание обобщенных сигнатур, что опять же достаточно традиционно для отрасли Адресуются семейства вредоносного кода Потенциальное увеличение числа ложных срабатываний
26.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 26 Динамический анализ Машинное обучение Нечеткие идентифицирующ ие метки Расширенная аналитика нтичная натура Признаки вторжения Сопоставление потоков устройств Фильтрация по репутации основывается на трех функциях Collective Security Intelligence Cloud Метаданные неизвестного файла отправляются в облако для анализа1 Метаданные признаются потенциально вредоносными2 Файл сравнивается с известным вредоносным ПО и подтверждается как вредоносный 3 Метаданные второго неизвестного файла отправляются в облако для анализа 4 Метаданные аналогичны известному безопасному файлу, потенциально безопасны 5 Файл подтверждается как безопасный после сравнения с аналогичным безопасным файлом 6 Дерево решений машинного обучения Потенциально безопасный файл Потенциально вредоносное ПО Подтвержденное вредоносное ПО Подтвержденный безопасный файл Подтвержденный безопасный файл Подтвержденное вредоносное ПО
27.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 27 Техника: ядро Spero • Метки AMP = более 400 атрибутов, полученных в процессе выполнения • Сетевые подключения? • Нестандартные протоколы? • Использование интерфейсов API (каких)? • Изменения в файловой системе? • Самокопирование • Самоперенос • Запуск других процессов? • Автоматизирует классификацию файлов на основе общих схожих признаков • Машинное обучение позволяет находить и классифицировать то, что не под силу человеку – из-за возможности анализа больших объемов данных Дерево принятия решений Возможно, чистый файл Возможно, ВПО Да, ВПО Да, «чистый» Да. чистый Да, ВПО
28.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 28 Динамический анализ Машинное обучение четкие фицирующ метки Расширенная аналитика Признаки вторжения Сопоставление потоков устройств Поведенческое обнаружение основывается на четырех функциях Collective Security Intelligence Cloud Неизвестный файл проанализирован, обнаружены признаки саморазмножения 1 Эти признаки саморазмножения передаются в облако2 Неизвестный файл также производит независимые внешние передачи3 Это поведение также отправляется в облако4 Об этих действиях сообщается пользователю для идентификации файла как потенциально вредоносного 5
29.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 29 Техника: анализ вредоносных признаков Bad Guys • Анализ поведения файла – большое количество анализируемых параметров • Требует большего времени на анализ, чем сигнатуры • Потенциально ложные срабатывания • Подробная информация о причинах принятия того или иного решения • Выдача финального Threat Score
30.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 30 Уровень угрозы может быть настроен 30 На примере Cisco AMP for Content Security (WSA)
31.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 31 Динамический анализ чение пьюте ров Расширенная аналитика Признаки вторжения Сопоставление потоков устройств Поведенческое обнаружение основывается на четырех функциях Неизвестные файлы загружаются в облако, где механизм динамического анализа запускает их в изолированной среде 1 Два файла определяются как вредоносные, один подтвержден как безопасный2 Сигнатуры вредоносных файлов обновляются в облаке информации и добавляются в пользовательскую базу 3 Collective Security Intelligence Cloud Коллективная пользователь- ская база
32.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 32 Техника: динамический анализ Bad Guys • Файлы для динамического анализа (песочница) могут быть загружены автоматически или в ручном режиме • Загрузка файла осуществляется только в случае его неизвестности (неизвестен статус и Threat Score) «Чистые», уже проверенные ранее файлы или вредоносное ПО с вычисленным Threat Score в песочницу не загружаются, чтобы не снижать производительность решения • Файлы могут загружать через прокси-сервера • Результат представляется в виде обзора и детального анализа
33.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 33 Анализ в облаке может занимать время На примере Cisco AMP for Content Security (ESA)
34.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 34 Динамический анализ Расширенная аналитика изнаки ржения Сопоставление потоков устройств Поведенческое обнаружение основывается на четырех функциях Получает информацию о неопознанном ПО от устройств фильтрации по репутации 1 Анализирует файл в свете полученной информации и контекста3 Идентифицирует вредоносное ПО и добавляет новую сигнатуру в пользовательскую базу 4 Получает контекст для неизвестного ПО от коллективной пользовательской базы 2 Коллективная пользователь- ская база Collective Security Intelligence Cloud
35.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 35 Индикаторы компрометации • Индикатор компрометации – объединение нескольких связанных событий безопасности в единое мета-событие • IOC “CNC Connected” (узел вероятно находится под чужим управлением) Узел подключился к серверу C&C Сработала система обнаружения вторжений по сигнатуре “Malware-CNC” На узле запущено приложение, которое установило соединение с сервером C&C • Встроенные и загружаемые индикаторы компрометации На примере Cisco AMP for Endpoint На примере Cisco AMP for Networks
36.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 36 мический ализ Расширенная аналитика Сопоставление потоков устройств Поведенческое обнаружение основывается на четырех функциях Collective Security Intelligence Cloud Обнаруживаются два неизвестных файла, связывающихся с определенным IP-адресом 2 Один передает информацию за пределы сети, другой получает команды с этого IP-адреса 3 Collective Security Intelligence Cloud распознает внешний IP-адрес как подтвержденный вредоносный сайт 4 Из-за этого неизвестные файлы идентифицируются как вредоносные5 IP-адрес: 64.233.160.0 Сопоставление потоков устройств производит мониторинг источника и приемника входящего/исходящего трафика в сети 1
37.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 37 Техника: Анализ потоков устройств 37 • Мониторятся внутренние и внешние сети • Данные по репутации IP-адресов • Регистрация URL / доменов • Временные метки • Передаваемые файлы Корреляция потоков устройств: Анализ сетевых потоков на уровне ядра. Позволяет блокировать или предупреждать о любых сетевых действия Cisco обеспечивает: Известные сервера CnC, фишинговые сайты, сервера ZeroAccess CnC, и т.д. Пользовательские списки
38.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 38 Сила в комбинации методов обнаружения Bad Guys • На оконечных узлах не хватает ресурсов для анализа все усложняющегося вредоносного кода • Не существует универсального метода обнаружения вредоносного кода – у каждого метода есть своя область применения, свою достоинства и недостатки • Каждый метод может быть обойден вредоносным кодом; особенно специально подготовленным 7 методов обнаружения в Cisco AMP повышают эффективность защиты!!!
39.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 39 В CiscoAMP реализован и план Б Ретроспективная безопасностьТочечное обнаружение Постоянная защитаРепутация и поведенческий анализ Уникальный Cisco AMP
40.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 40 CiscoAMP также предлагает ретроспективную защиту
41.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 41 Почему необходима непрерывная защита? 1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110 Непрерывная подача Непрерывный анализ Поток телеметрических данных Интернет WWW Оконечные устройства СетьЭл. почта УстройстваСистема предотвращения вторжений IPS Идентифицирующие метки и метаданные файла Файловый и сетевой ввод/вывод Информация о процессе Объем и контрольные точки
42.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 42 Почему необходима непрерывная защита? Контекст Применение Непрерывный анализ Кто Что Где Когда Как История событий Collective Security Intelligence
43.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 43 Cisco AMP обеспечивает ретроспективную защиту ТраекторияПоведенческие признаки вторжения Поиск нарушений Ретроспектива Создание цепочек атак
44.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 44 ТраекторияПоведенческие признаки вторжения Поиск нарушений Ретроспектива Создание цепочек атак Ретроспективная безопасность основана на… Выполняет анализ при первом обнаружении файлов 1 Постоянно анализирует файл с течением времени, чтобы видеть изменения ситуации 2 Обеспечивает непревзойденный контроль пути, действий или связей, касающихся конкретного элемента ПО 3
45.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 45 ТраекторияПоведенческие признаки вторжения Поиск нарушений Ретроспектива Создание цепочек атак Ретроспективная безопасность основана на… Использует ретроспективные возможности тремя способами: Ретроспективный анализ файлов Записывает траекторию ПО от устройства к устройству Ретроспективный анализ файлов1 Ретроспектива процесса2 Ретроспектива связи3 Ретроспектива процесса Производит мониторинг активности ввода/вывода для всех устройств в системе Ретроспектива связей Производит мониторинг, какие приложения выполняют действия Создание цепочки атак Анализирует данные, собранные ретроспекцией файлов, процессов и связи для обеспечения нового уровня интеллектуальных средств мониторинга угроз
46.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 46 Пример ретроспективы файла и связей На примере Cisco AMP for Content Security (ESA) На примере Cisco AMP for Networks
47.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 47 Пример ретроспективы процессов На примере Cisco AMP for Endpoints
48.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 48 ТраекторияПоведенческие признаки вторжения Поиск нарушений оспектива Создание цепочек атак Ретроспективная безопасность основана на… Поведенческие признаки вторжения используют ретроспективу для мониторинга систем на наличие подозрительной и неожиданной активности Неизвестный файл допущен в сеть1 Неизвестный файл копирует себя на несколько машин 2 Копирует содержимое с жесткого диска3 Отправляет скопированное содержимое на неизвестный IP-адрес 4 С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действия указанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или сигнатурам файлов
49.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 49 ТраекторияПоведенческие признаки вторжения Поиск нарушений оздание почек атак Ретроспективная безопасность основана на… Траектория файла автоматически записывает время, способ, входную точку, затронутые системы и распространение файла Неизвестный файл загружается на устройство1 Сигнатура записывается и отправляется в облако для анализа2 Неизвестный файл перемещается по сети на разные устройства 3 Аналитики изолированной зоны определяют, что файл вредоносный, и уведомляют все устройства 4 Траектория файла обеспечивает улучшенную наглядность масштаба заражения 5 Вычислительные ресурсы Виртуальная машина Мобильные системы Мобильные системы Виртуальная машина Вычислительные ресурсы Сеть Мобильные системы Мобильные системы Collective Security Intelligence Cloud
50.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 50 Траекторияенческие знаки жения Поиск нарушений Вычислительные ресурсы Неизвестный файл загружается на конкретное устройство1 Файл перемещается на устройстве, выполняя различные операции2 При этом траектория устройства записывает основную причину, происхождение и действия файлов на машине 3 Эти данные указывают точную причину и масштаб вторжения на устройство4 Ретроспективная безопасность основана на… Диск 1 Диск 2 Диск 3
51.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 51 Пример траектории файла
52.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 52 Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox Пример траектории файла
53.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 53 В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8 Пример траектории файла
54.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 54 Семь часов спустя файл был передан через бизнес- приложение на третье устройство (10.3.4.51) Пример траектории файла
55.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 55 Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66) Пример траектории файла
56.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 56 Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие Пример траектории файла
57.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 57 Тотчас же устройство с AMP для Endpoints среагировало на ретроспективное событие и немедленно остановило ВПО и поместило в карантин только что определенное вредоносное ПО Пример траектории файла
58.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 58 Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано Пример траектории файла
59.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 59 Траекторияенческие знаки жения Поиск нарушений Ретроспективная безопасность основана на… Поиск нарушений — это возможность использования индикаторов, встречающихся также и на других узлах сети, для мониторинга и поиска конкретного поведения в среде 1 При идентификации индикаторов компрометации на одном узле их можно использовать для поиска и идентификации наличия или отсутствия этого поведения в каком-либо другом месте 2 Эта функция позволяет производить быстрый поиск поведения, а не сигнатуры, давая возможность определять файлы, остающиеся неизвестными, но являющиеся вредоносными 3
60.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 60 60© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. Что делать в случае обнаружения?
61.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 61 Что делать в случае обнаружения вредоносного кода? Bad Guys • Вариант реагирования на обнаруженный вредоносный код зависит от варианта реализации AMP • AMP for Endpoints Режим аудита – разрешить запускать вредоносный код Пассивный режим – не ждать ответа из облака и запустить вредоносный код (блокировать после) Активный режим – ждать ответа из облака, не запуская файл • AMP for Content Security Пропустить, заблокировать или поместить в карантин (для ESA) • AMP for Networks Пропустить, заблокировать или сохранить вредоносный код
62.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 62 62© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. Расследование и реагирование на инциденты с помощью Cisco AMP
63.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 63 Какие файлы можно анализировать? Bad Guys • Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно захватывать и сохранять для дальнейшего анализа
64.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 64 Обнаружение известного вредоносного кода Bad Guys
65.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 65 Полная информация о вредоносном коде Bad Guys
66.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 66 Увеличение числа устройств с вредоносным ПО Анализ вредоносного ПО и атак Подтверждение атаки и заражения • С чего начать? • Насколько тяжела ситуация? • Какие системы были затронуты? • Что сделала угроза? • Как можно восстановить? • Как можно предотвратить ее повторение? Исправление Поиск сетевого трафика Поиск журналов устройств Сканирование устройств Задание правил (из профиля) Создание системы испытаний Статический анализ Анализ устройств Сетевой анализ Анализ увеличения числа устройств Уведомление Карантин Сортировка Профиль вредоносного ПО Стоп Не удалось обнаружить заражение Заражениеобнаружено Поиск повторного заражения Обновление профиля Подтверждение Заражение отсутствует Вопрос не в том, произойдет ли заражение, а как скоро мы его обнаружим, устраним и поймем причины?
67.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 67 Поиск уязвимостей, используемых вредоносным ПО • В дополнение к анализу уязвимостей путем пассивного сканирования сетевого трафика в AMP для Endpoints реализован механизм анализа уязвимого ПО на узлах
68.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 68 Ретроспективный анализ файлов позволяет определить • Какие системы были инфицированы? • Кто был инфицирован? • Когда это произошло? • Какой процесс был отправной точкой? • Почему это произошло? • Что еще произошло?
69.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 69 Ретроспективный анализ процессов позволяет определить • Как угроза попала на узел? • Что плохого происходит на моем узле? • Как угроза взаимодействует с внешними узлами? • Чего я не знаю на своем узле? • Какова последовательность событий?
70.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 70 Трекинг каждого вредоносного файла Пользователи и IP, которые загрузили вредоносный файл к себе SHA-256
71.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 71 А можно анализировать вручную? • Нередко бывает необходимость анализировать файлы, попавшие в службу безопасности на флешках или иных носителях, а также проводить более глубокий анализ обнаруженных с помощью Cisco AMP вредоносных программ • Не у всех бывает реализована автоматическая защита с помощью Cisco AMP • Организация может захотеть создать собственную службу Threat Intelligence или Security Operations Center
72.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 72 72© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. Cisco AMP Threat Grid
73.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 73 CiscoAMP Threat Grid • Платформа для глубокого анализа вредоносного кода Доступ через портал, выделенное устройство или с помощью API • Может применяться при построении собственных систем Threat Intelligence или SOC • Уже используется многими компаниями при проведении расследований – EnCase, Maltego и т.п.
74.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 74 Детальный анализ вредоносного ПО в AMP Threat Grid
75.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 75 Типовые сценарии использования AMP Threat Grid • Доступ к порталу Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода Приватная маркировка загружаемых семплов (опционально) Устройство Threat Grid (опционально) позволяет загружать семпы на него, без загрузки в облако • Интеграция с решениями Cisco AMP for Endpoints AMP for Networks (FP / ASA) AMP for WSA / CWS AMP for ESA / CES • API для автоматизации передачи семплов в Threat Grid включен во все лицензии с подпиской
76.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 76 7676 AMP for Endpoint AMP for FP | ASA ESA | WSA CWS | CES AMP for Endpoint Private Cloud Динамический анализ AMP for Endpoint AMP for FP | ASA ESA | WSA CWS | CES Threat Grid (Cloud) Сценарий 3: Threat Grid Intelligence, API, аналитика и визуализация Сценарий 4: a)Threat Grid Appliance (ограничен ТОЛЬКО динамическим анализом) с Private Cloud b)Threat Grid Appliance (ограничен ТОЛЬКО динамическим анализом ) с NW AMP или Content Gateway AMP Сценарий 5: Threat Grid Appliance с Intelligence, API, аналитикой и визуализацией Сценарий 2: Выделенный TG Appliance Сценарий 1: Загрузка в облако через портал CloudConnectedOn-PremisesStandalone Threat Grid Appliance с подпиской Threat Grid (Cloud) Threat Grid (подписка) Private Tagging (опция) Threat Grid Облачная аналитика, API, глубокий анализ AMP Анализ, базовые отчеты, уровень угрозы Опциональные дополнения к AMP Private Tagging (опция) Threat Grid Appliance 1 2 3 5 4
77.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 77 Интеграция и автоматизация механизмов обеспечения безопасности § Cisco® AMP Threat Grid REST API позволяет автоматизировать отправку образцов, получение новой информации и получение результатов − Автоматизация отправки из различных модулей − Простой возврат результатов Your Existing Security Обеспечение максимальной отдачи от вложений в безопасность Получение данных об угрозах Потоки аналитики об угрозах МСЭ Сенсоры в сети SIEM Управление журналами Партнеры по отрасли Средства защиты хостов Шлюз/прокси IPS/IDS Threat Grid
78.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 78 Развертывание вне облака – на территории заказчика § Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid § В целях соблюдения нормативных требований все данные остаются на территории заказчика § Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для актуализации контекста § Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….) § TG5000: § Анализ до 1500 образцов в день § Cisco UCS C220 M3 Chasis (1U) § 6 x 1TB SAS HDD (аппаратный RAID) § TG5500: § Анализ до 5000 образцов в день § Cisco UCS C220 M3 Chasis (1U) § 6 x 1TB SAS HDD (аппаратный RAID) Полное соответствие нормативным требованиям и высокий уровень защиты
79.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 79 79© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. Cisco AMP Private Cloud
80.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 80 А если я не хочу передавать файлы для анализа в облако? 1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110 Непрерывная передача Непрерывный анализ Поток телеметрических данных Интернет WWW Оконечные устройства СетьЭл. почта УстройстваСистема предотвращения вторжений IPS Идентифицирующие метки и метаданные файла Файловый и сетевой ввод/вывод Информация о процессе Объем и контрольные точки
81.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 81 Как работаетAMP Private Cloud? • Управление политиками • Траектория файлов • Траектория процессов • Пользовательские сигнатуры • Анализ инцидентов • Генерация отчетов • Кеш вердиктов • Персональные данные SHA256 Вердикт AMP Private Cloud Virtual Appliance AMP for Endpoints AMP for Networks
82.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 82 Вопросы конфиденциальности:AMP Private Cloud 1.0 AMP Threat Grid Dynamic Analysis Appliance Windows, Mac Endpoint Cisco FirePOWER Sensor Cisco Web Security Appliance Cisco Email Security Appliance Cisco ASA with FirePOWER Services Cisco AMP Private Cloud Appliance 1.0 Talos Федерированные данные Хэши файлов Анализируемые файлы
83.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 83 Вопросы конфиденциальности:AMP Private Cloud 2.0 AMP Threat Grid Dynamic Analysis Appliance Windows, Mac Endpoint Cisco FirePOWER Sensor Cisco Web Security Appliance Cisco Email Security Appliance Cisco ASA with FirePOWER Services Talos Cisco AMP Private Cloud Appliance 2.x Федерированные данные Хэши файлов Анализируемые файлы Опционально Планы Поддержка “air gap”
84.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 84 84© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. В заключение
85.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 85 Заключение ¤ Современное вредоносное ПО хорошо избегает обнаружения ¤ У AMP прекрасные показатели обнаружения по отчетам NSS, но его «сила» не в этом ¤ Увы, вопрос не в том, будет ли безопасность нарушена… ¤ Ретроспективная безопасность = возможность управления безопасностью ¤ AMP Everywhere позволяет администраторам контролировать всю среду
86.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 86 • Традиционных вирусов уже почти нет, но и совсем сбрасывать со счетов их нельзя А нужен ли нам тогда традиционный антивирус? Эксплойт 9,86% Кража информации 3,49% Загрузчики 1,12% Червь 0,89% Вирус 0,48% Мобильный код 0,42% Поддельное антивирусное ПО 0.16% Вредоносный сценарии/Iframe- атаки 83,43%
87.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 87 Как соотносятся CiscoAMP и Cisco SecurityAgent? Функция Cisco Security Agent Cisco AMP Защита ПК Да Да Защита мобильных устройств Нет Да Защита на уровне сети Нет Да Защита контента Нет Да Ретроспективная защита Нет Да Корреляция событий Через внешние SIEM Встроенная Зависимость от облачной аналитики Нет Да Создание собственных сигнатур Частично Да Проведение расследования инцидентов Нет Да
88.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 88 CiscoAMP предоставляет три выгоды 3 Защищает на всех этапах атаки Перед Во время После 2 Защита на нескольких рубежах Контент Сеть Хосты Cisco Talos Точечное обнаружение Ретроспективная безопасность 1 Несколько методов обнаружения
89.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 89 Выберите правильное решение Потребности Функция WSA, ESA, CWS Network Endpoint Я хочу описать политики для вредоносного ПО… Репутация файла ✔ ✔ ✔ Я хочу изолировать вредоносное ПО для анализа… Песочница ✔ ✔ ✔ Я хочу узнать, если вредоносное ПО попало ко мне в систему… Ретроспективная защита ✔ ✔ ✔ Мне нужно идентифицировать зараженные узлы в моей сети… Индикаторы компрометации ✔ ✔ Я хочу отслеживать поведение файлов и что они делают… Анализ файлов ✔ ✔ Я хочу видеть, как угрозы распространяется по сети… Траектория файлов ✔ ✔ Я хочу видеть системную активность и взаимодействие событий… Траектория процессов ✔ Я хочу организовать поиск в большом объеме данных… Эластичный поиск ✔ Я хочу останавливать распространение вредоносного кода с пользовательскими настроками… Контроль эпидемий ✔
90.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 90 Полная защита среды сAMP Каждая опция развертывания предлагает полную защиту в рамках одного вектора угрозы Адресует вектор угроз Так как инфекция распространяется всевозможными способами, то защиты по одному или двум векторам может оказаться недостаточно Предотвращает заражение Развертывание AMP для Content, Network и Endpoint вместе – это наиболее оптимальный сценарий для полной защиты, карантина и устранения последствий Работает вместе
91.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 91 Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
92.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 92 Благодарю за внимание
Baixar agora