Cyberbezpieczeństwo
Advanced Malware Protection w rozwiązaniach Cisco Content Security
Mechanizmy zaawansowanej ochrony przed złośliwym oprogramowaniem dodano do rozwiązań CiscoWeb Security Appliance, Email Security Appliance i usług Cloud Web Security.
Oprogramowanie AMP (Advanced Malware Protection) zostało oryginalnie opracowane przez Sourcefire. „Jego integracja z rozwiązaniami Cisco, umożliwia skorzystanie z zaawansowanych mechanizmów zabezpieczeń przed złośliwym oprogramowaniem, w tym detekcję i blokowanie szkodliwych kodów, bieżącą analizę zagrożeń, a także historyczną analizę stanu systemu i jego naprawę w wypadku wykrycia ataków” – przekonują przedstawiciele Cisco.
Ta oferta jest pierwszym przykładem integracji technologii Cisco z rozwiązaniami bezpieczeństwa Sourcefire, firmy przejętej przez Cisco. Rozszerzenie funkcji związanych z bezpieczeństwem o nowe mechanizmy ochrony przed szkodliwym oprogramowaniem jest adresowane do ponad 60 mln użytkowników już korzystających z rozwiązań Cisco Content Security.
Advanced Malware Protection wykorzystuje działające w chmurze, rozbudowane sieci tworzące inteligentny system bezpieczeństwa, zbudowane zarówno przez Cisco, jak i Sourcefire. „Technologia AMP ewoluuje w kierunku rozwiązania, które ma zapewnić ciągłe monitorowanie i analizę stanu bezpieczeństwa sieci oraz systemu IT oraz przeciwdziałać pełnemu spektrum zagrożeń i to zarówno przed, podczas, jak i po ataku cyberprzestępców” – mówią przedstawiciele Cisco.
AMP będzie dostępne jako technologia zintegrowana z urządzeniami FirePOWER for Next-Generation IPS oraz Next-Generation Firewall, a także jako niezależne urządzenie appliance.
AMP nie wykorzystuje sygnatur szkodliwych kodów, których aktualizacja, od momentu pojawienia się nowego zagrożenia, może trwać tygodnie lub miesiące, a zamiast tego stosuje zintegrowany zestaw mechanizmów identyfikacji i blokowania szkodliwych kodów opierający się na analizie reputacji plików, sprawdzaniu ich aktywności w izolowanym środowisku sandbox oraz retrospektywnej analizie danych.
AMP będzie dostępne jako technologia zintegrowana z urządzeniami FirePOWER for Next-Generation IPS oraz Next-Generation Firewall, a także jako niezależne urządzenie appliance. Rowiązania FireAMP zapewniają ochronę punktów końcowych takich jak komputery PC, urządzenia mobilne i środowiska zwirtualizowane współpracując z FirePOWER lub niezależnymi urządzeniami appliance przy wykorzystaniu odpowiedniego konektora.
Cisco ogłosiło także wprowadzenie na rynek czterech najnowszych i najwydajniejszych urządzeń appliance FirePOWER zaprojektowanych pod kątem zgodności z rozwiązaniem AMP. Są to stakowalne modele 8350 (15 Gb/s), 8360 (30 Gb/s), 8370 (45 Gb/s) oraz 8390 (60 Gb/s) uzupełniające rodzinę FirePOWER, które mogą współpracować z wszystkimi znajdującymi się w ofercie firmy modułami NetMods co pozwala na dopasowanie do zróżnicowanych wymagań dotyczących interfejsów sieciowych.
Podstawowe funkcje AMP:
File Reputation – funkcja, która analizuje pliki przesyłane w sieci i dostarcza informacji pozwalających na automatyczne zablokowanie ich ruchu jeśli pojawia się podejrzenie, że są to pliki zawierające szkodliwe kody. Blokowanie odbywa się zgodnie z regułami polityki bezpieczeństwa zdefiniowanymi przez administratora systemu przy wykorzystaniu interfejsu użytkownika Cisco Web i Email Security lub innych narzędzi umożliwiających określanie reguł bezpieczeństwa.
File Sandboxing – wykorzystuje odizolowane środowisko kontenera sandbox do analizy rzeczywistego zachowania się nieznanego wcześniej pliku przesyłanego w sieci. AMP zbiera szczegółowe dane o jego aktywności, co w połączeniu z dodatkowymi, maszynowymi lub ręcznymi analizami pozwala na zdefiniowanie jaki jest poziom zagrożenia związany z tym konkretnym plikiem.
Cognitive Threat Analytics i AMP są dostępne dla użytkowników Cisco Cloud Web Security po wykupieniu dodatkowej licencji.
File Retrospection – funkcja, która rozwiązuje problemy w sytuacji, gdy systemy zabezpieczeń na brzegu sieci dopuszczą do przedostania się do niej pliku, który później zostaje zweryfikowany jako zagrożenie. File Retrospection nie analizuje plików jednorazowo, a w sposób ciągły korzystając z aktualizacji informacji o nowych, szkodliwych kodach dostarczanych w czasie rzeczywistym.
Dodatkowo, Cisco wprowadziło do oferty oprogramowanie Cognitive Threat Analytics – wykorzystujące technologie, przejętej w 2013 r. firmy Cognitive Security – jako opcję dla użytkowników Cisco Cloud Web Security. Cognitive Threat Analytics to samouczący się system, który wykorzystuje mechanizmy modelowania typowych aktywności programów i detekcji występujących anomalii, co umożliwia szybkie wykrycie szkodliwego oprogramowania, które próbuje działać w sieci.
Cognitive Threat Analytics i AMP są dostępne dla użytkowników Cisco Cloud Web Security po wykupieniu dodatkowej licencji.