Cisco Advanced Malware Protection (Cisco AMP for Endpoints) (AMP)

Продукт
Разработчики: Cisco Systems
Дата премьеры системы: апрель 2014 года
Дата последнего релиза: 2018/04/25
Технологии: ИБ - Межсетевые экраны,  Центры обработки данных - технологии для ЦОД

Содержание

2018: Апрельское обновление AMP for Endpoints

Компания Cisco 25 апреля 2018 года объявила о расширении списка доступных функций облачного решения защиты оконечных точек Cisco Advanced Malware Protection (AMP) for Endpoints, которое предотвращает атаки и помогает выявлять необнаруженные угрозы, способные нанести ущерб бизнесу.

Так, среди появившихся в AMP for Endpoints возможностей:

  • Комплексные механизмы выявления угроз и противодействия им, в том числе таким современным угрозам, как программы-вымогатели и вирусный майнинг криптовалют.
    • Теперь Cisco защищает от угроз, даже если пользователь отключился от сети. Функция защиты от эксплойтов борется с бесфайловыми атаками, в том числе с такими, которые располагаются исключительно в памяти устройства, а функция предотвращения вредоносной деятельности останавливает программы-вымогатели, прерывая исполняемые процессы и предотвращая их распространение.
    • Проанализировав различные варианты программ-вымогателей, аналитики Cisco выявили используемые в них общие методы шифрования. На основе полученных данных был разработан механизм защиты бизнеса от шифрования данных программами-вымогателями и от их распространения.
    • Наблюдаемый в последнее время рост популярности бесфайлового вредоносного ПО частично объясняется трудностью его обнаружения, отметили в Cisco. В решение Cisco AMP непосредственно встроен защитный механизм, который не требует никакой настройки и корректировки для борьбы с подобными угрозами. Механизм защищает от использования уязвимостей, для которых отсутствуют обновления, и работает круглосуточно даже при переходе пользователей в режим офaлайн.

  • Cisco Visibility — приложение для исследования угроз.
    • Облачное приложение, встроенное в консоль управления оконечными устройствами, упрощает и ускоряет процесс исследования инцидентов безопасности, облегчая работу аналитиков, которые теперь смогут быстро расследовать инциденты в требуемом масштабе. Приложение собирает, нормализует и дополняет события безопасности, давая визуальное представление масштабов происшествия от оконечных точек до сети и облака.
    • С целью упрощения расследований, уменьшения сложности и сокращения сроков классификации инцидентов и устранения последствий решение Cisco Visibility объединяет внутренние события безопасности и аварийные данные внутренней инфраструктуры безопасности организации с аналитическими данными по угрозам, получаемым от Cisco Talos и сторонних организаций.
    • При выполнении стандартных задач Cisco Visibility минимизирует необходимость переключения между множеством консолей. Пользователю достаточно сделать несколько щелчков мышью, чтобы углубиться в данные от Talos, Cisco Umbrella Investigate, Threat Grid, AMP и других источников для понимания того, каким образом наблюдаемые события существуют в среде и как они соотносятся друг с другом.

2016: AMP for Endpoints

9 февраля 2016 года в корпоративном блоге компании Cisco появилась информация о модернизации возможностей решения, повышении его эффективности и удобства в использовании, помогая тем самым службам ИБ повысить защиту от сложных на атак[1].

Скриншот окна приложения (2015)
Скриншот окна приложения (2015)


Основные изменения Cisco AMP for Endpoints:

  • поддержка Windows 10;
  • поддержка Mac OS X 10.11 El Capitan;
  • новый API-интерфейс решения AMP для оконечных устройств;
  • обновления для виртуального устройства AMP в частном облаке.

AMP для оконечных устройств может работать на Windows, Mac OS, Linux, CentOS и RedHat, на мобильных устройствах с ОС Android. Теперь ОС Windows 10 и Mac OSX 10.11 под защитой Cisco AMP for Endpoints.

API-интерфейс решения AMP для оконечных устройств позволяет пользователям интегрировать сторонние инструменты защиты и обращаться к данным или событиям в своей учетной записи, не заходя в панель управления.

При необходимости защиты оконечных устройств и высоких требованиях к безопасности в организации, не позволяющих использовать общедоступное облако, можно использовать виртуальное устройство AMP в частном облаке. Платформа AMP располагает возможностями усовершенствованной функции по выявлению уязвимостей и контролю доступа на основе ролей. Функция по выявлению уязвимостей предупреждает системного администратора о том, что на оконечном устройстве установлено уязвимое ПО и этим могут воспользоваться злоумышленники. Контроль доступа на основе ролей предоставляет права и доступ для выполнения определенных задач в зависимости от ролей пользователей.

1 ноября 2016 года компания Cisco представила ПО AMP for Endpoints как инновационный подход к обеспечению информационной безопасности оборудования пользователей.

В AMP for Endpoints реализовано облачное управление по принципу «ПО как услуга» (SaaS). Продукт имеет средства выявления и отражения угроз и дает пользователям возможность предотвращать атаки, блокируя вредоносное ПО в точке входа, устраняя необходимость в использовании на оконечных устройствах технологий обеспечения безопасности.

Продукт выполняет непрерывный мониторинг, ретроспективный анализ и обеспечивает интегрированную защиту от угроз. Технология помогает сократить время обнаружения от нескольких дней до нескольких часов и даже минут. Продукт поможет быстрее и эффективнее реагировать на атаки: посредством простого облачного интерфейса пользователи могут определить зону действия атаки, находить угрозы и отграничивать, устранять угрозы по всем точкам.

Представление Cisco AMP for Endpoints, (2016)

Решение AMP for Endpoint предоставляет такие возможности:

  • технология предотвращения атак следующего поколения, в которой сочетаются проверенные и продвинутые методы защиты, позволяющие более эффективно обнаруживать и отражать атаки на точке входа; средства аналитики информационной безопасности, разработанные подразделением Cisco Talos и успешно противостоящие вновь появляющимся угрозам; встроенная «песочница», где анализируются неизвестные файлы, а также средства превентивной защиты для закрытия путей проникновения и минимизации уязвимостей.
  • ускорение обнаружения благодаря непрерывному мониторингу. AMP for Endpoints регистрирует всю файловую активность и быстро выявляет злонамеренные действия, сообщая о них подразделениям обеспечения информационной безопасности. Рассылка и корреляция информации об угрозах производится с использованием открытых программных интерфейсов API и технологии AMP Everywhere. Применение инновационной технологии безагентного обнаружения позволяет организациям в среднем обнаружить на 30% больше поражений там, где агенты не используются или их использование невозможно.
  • повышение эффективности реакции с применением ретроспективной защиты, углубленного обзора и подробной истории действий вредоносного кода во времени (откуда проник, где выполнялся, что делал) для полной локализации атаки. AMP for Endpoints помогает ускорить анализ и уменьшить сложность путем поиска на всех оконечных точках индикаторов компрометации с помощью простого облачного пользовательского интерфейса. Затем пользователи устройств (ПК, Mac, Linux-компьютеры, мобильные устройства) смогут быстро предпринять ответные действия.

Решение AMP for Endpoints выполняет передачу и корреляцию информации об угрозах по всей архитектуре, включая, как экосистему AMP, так и остальные платформы безопасности Cisco. Это помогает однажды определив угрозу, автоматически блокировать ее повсеместно.

2014: Майское обновление AMP

Отвечая на запросы заказчиков на борьбу с атаками нулевого дня и целенаправленными атаками, компания Cisco расширила в мае 2014 года возможности системы Advanced Malware Protection (AMP) и решений для защиты центров обработки данных. Эти инновации, анонсированные 21 мая 2014 года на ежегодной конференции CiscoLive!, охватывают весь набор продуктов Cisco для информационной безопасности, обеспечивая защиту от угроз в течение всего жизненного цикла атаки.

Обновления системы Cisco Advanced Malware Protection делают ее первым решением, которое коррелирует данные индикаторов компрометации (IoC) между сетью и конечной точкой с помощью интегрированных средств защиты и общей системы аналитики. Это, в свою очередь, обеспечивает непрерывную и повсеместную защиту от самых современных угроз. Система AMP теперь поддерживает также Mac OSX и включает в себя отдельное устройство для частного облака — локальное решение для непрерывного анализа.

Помимо этого, Cisco усиливает защиту центров обработки данных и облачных систем благодаря усовершенствованиям лидирующего на рынке семейства межсетевых экранов ASA. Эти усовершенствования обеспечивают превосходную производительность, масштабируемость и гибкость, а также поддерживают новейшие решения для сред программно-определяемых сетей (SDN) и инфраструктур, ориентированных на приложения (Application Centric Infrastructure, ACI) .

В одном из последних отчетов Security Value Map компании NSS Labs система AMP названа одним из лучших решений для обнаружения угроз, превосходящим конкурирующие продукты по показателям безопасности и экономичности . В отличие от других решений, которые просто обнаруживают вредоносный код на определенный момент времени, система AMP обеспечивает жесткое и непрерывное обнаружение и устранение угроз в расширенной сети, включая конечные точки, мобильные устройства, виртуальные системы, а также веб-шлюзы и шлюзы электронной



Новые возможности в наборе продуктов AMP:

  • система AMP для конечных точек. Используя усовершенствованные средства аналитики и корреляции информации, система AMP ускоряет расследование индикаторов компрометации и поведения файлов, а также назначает приоритеты аспектам компрометации, требующим особого внимания. Новая функция гибкого поиска позволяет пользователям быстро сужать область атаки, а функция удаленного анализа файлов улучшает возможности ретроспективной защиты благодаря извлечению и хранению файлов для последующей оценки и анализа. Cisco также реализует поддержку AMP для конечных точек на базе операционной системы Mac OS X, помогая организациям защитить свои разнородные среды целиком.
  • Устройство AMP для частных облаков. Заказчики со строгими требованиями к конфиденциальности, ограничивающими использование публичного облака, могут использовать новое локальное устройство AMP для частных облаков, позволяющее обеспечить комплексную защиту от современных угроз с помощью анализа больших данных, непрерывного анализа и локально хранимых средств анализа безопасности.
  • Система AMP для сетей. Внедрение высокопроизводительных сетей и требования к сокращению времени обнаружения угрозы вынуждают компании прибегать к оптимизации решений защиты сети от вредоносного кода. С помощью новых механизмов обработки индикаторов компрометации из различных источников можно коррелировать события из разных решений и назначать им приоритеты, улучшая тем самым возможности анализа, а функция автоматического динамического анализа использует изолированную облачную среду для оценки файлов неизвестного характера в целях обеспечения более надежной защиты от неизвестных угроз. Пользователи также могут создавать настраиваемые профили обнаружения, чтобы немедленно блокировать файлы. Новая функция записи файла позволяет группам сохранять и извлекать файлы для дальнейшего анализа.
  • Новые устройства AMP FirePOWER. Заказчики, нуждающиеся в улучшенных возможностях обработки и хранения данных, могут воспользоваться двумя новыми устройствами Cisco AMP для сетей:

    • FirePOWER AMP8150 со скоростью до 2 Гбит/с;
    • FirePOWER AMP7150 со скоростью до 500 Мбит/с.

Улучшая защиту центров обработки данных и облачных систем для поддержки современных сред программно-определяемых сетей (SDN) инфраструктур, ориентированных на приложения (ACI), виртуальные устройства ASAv и обновленные межсетевые экраны ASA 5585-X Cisco обеспечивают также превосходную производительность, масштабируемость и гибкость. Эти продукты созданы для надежной защиты без снижения производительности центра обработки данных. Решения ASA, настраиваемые в считанные часы или даже минуты, обеспечивают гибкую масштабируемость, устраняют узкие места системы безопасности и встраивают средства защиты не только в периметр, но и в инфраструктуру интеллектуального центра обработки данных. Cisco также выпускает новую версию проверенной типовой архитектуры Cisco (CVD) для безопасного центра обработки данных, которая существенно упрощает надежное развертывание новых решений.

  • Новое виртуальное устройство ASAv легко встраивается в архитектуру ЦОД, обеспечивая гарантированную защиту критичных приложений не далее одного перехода от них благодаря динамическому масштабированию по запросу в виртуальных средах и интеграции с инфраструктурой, ориентированной на приложения, без ограничений гипервизора или vSwitch. Кроме того, по сравнению с конкурентами виртуальное устройство ASAv обеспечивает самую высокую производительность в пересчете на пропускную способность и количество соединений в секунду.
  • Улучшенный межсетевой экран ASA 5585-X обеспечивает невероятно высокую производительность для традиционных сред, программно-определяемых сетей и инфраструктур, ориентированных на приложения, с превосходной масштабируемостью применительно как к количеству соединений в секунду, так и к общему количеству соединений (до 640 Гбит/с в конфигурации кластера с 16 узлами). Все это делает ASA 5585-X одним из самых быстрых аппаратных межсетевых экранов на рынке. Оно также предоставляет уникальные гибкие возможности развертывания, интегрируя виртуальную и физическую инфраструктуру безопасности в одном домене политик и управления.
  • Проверенная типовая архитектура Cisco для безопасности ЦОД содержит передовые практики для планирования, проектирования, внедрения и использования полностью интегрированной архитектуры ЦОД с высоким уровнем безопасности, объединяя решения Cisco, Sourcefire и партнеров Cisco. Эта архитектура помогает пользователям расширить видимость и контроль в физических, виртуальных и облачных средах.

Примечания



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (1)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2017 год
2018 год
2019 год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2017 год
2018 год
2019 год

  VMware (45, 86)
  Cisco Systems (45, 58)
  Dell EMC (46, 26)
  Крок (2, 25)
  IBM (44, 21)
  Другие (573, 284)

  VMware (4, 15)
  Утилекс (Utilex) (6, 6)
  Крок (1, 4)
  Mellanox Technologies (2, 3)
  Microsoft (2, 2)
  Другие (19, 22)

  Cisco Systems (3, 5)
  VMware (3, 4)
  Крок (1, 4)
  Nvidia (Нвидиа) (2, 3)
  Dell EMC (1, 3)
  Другие (19, 28)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год