Cisco AMP Everywhere
 
Cisco AMP (Advanced Malware Protection) jest usługą służącą do ochrony przed złośliwym oprogramowaniem (ang. malware). Prowadzi ona aktywną analizę zachowania i śledzenie aktywności plików wymienianych w sieci. Usługa AMP dostępna jest na wielu platformach firmy Cisco Systems, jako że każda z nich może być miejscem poprzez które pobierane i wysyłane są pliki. W ten sposób możliwe jest precyzyjne śledzenie incydentów i wycieków informacji oraz blokowanie złośliwych plików na samym wejściu do sieci. 
 
 
Cała wiedza AMP zasilana jest maszynowym uczeniem, profilami behawioralnymi, wskaźnikami kompromitacji, modelami danych oraz informacjami o inteligencji zagrożeń z Cisco Talos i Cisco Cognitive Intelligence.

W przypadku nieznanej reputacji, plik jest poddawany dynamicznej analizie w wyizolowanym środowisku Cisco Threat Grid, który jest swego rodzaju usługą Sandbox. Cisco Threat Grid dostarcza bardzo dużą ilość informacji na temat zachowania uruchamianego pliku, zrzuty ekranu, nagrania wideo oraz próbki przechwyconych pakietów.

Ochrona Cisco AMP wykracza poza dany punkt w czasie i jest realizowana ciągle. Dostępna retrospekcja pozwala popatrzeć wstecz i prześledzić cały proces rozprzestrzeniania się oraz aktywności pliku. Podejście takie jest niezbędne, jako że z czasem może zmienić się dyspozycja pliku.
Na obrazku z interfejsu zapory sieciowej widać ślady przemieszczania się zwykłego, "czystego" pliku.

Trajektorie obrazują operacje i przemieszczanie się plików pomiędzy urządzeniami w czasie. Informacje te potrzebne są przy analizie skali incydentu oraz źródła wycieku informacji

Zainteresowanych zakupem i wdrożeniem Cisco AMP (Advanced Malware Protection) This email address is being protected from spambots. You need JavaScript enabled to view it..

Na urządzeniach pracowników mobilnych szczególnie zalecamy uruchomienie Cisco AMP for Endpoints, jako że nie zawsze urządzenia te będą pod ochroną AMP na brzegu sieci. Jego brak będzie narażał pozostałe urządzenia wewnątrz, które w tym czasie są chronione tylko na styku infrastruktury z siecią zewnętrzną.

O ile AMP nie jest typowym antywirusem, to jego funkcje są także w niego wbudowane. Oprócz reputacji plików, wykorzystuje silnik antywirusowy dla systemów Windows, Mac OS X i Linux. W przypadku Cisco AMP for Endpoints jego baza znajduje się bezpośrednio na każdym urządzeniu końcowym, co chroni je także kiedy są poza siecią.

Warto dodać, że AMP radzi sobie także z wykrywaniem złośliwego oprogramowania poliformicznego (ang. polymorphic and evasive malware), które jest lekko zmodyfikowaną wersją znanego złośliwego oprogramowania, w celach ominięcia popularnych technik wykrywania. Najczęściej te same rodziny złośliwego oprogramowania wykorzystują podobne polecenia i argumenty linii poleceń lub posiadają fragmentami podobną zawartość.

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.