Cisco AMP for Endpoints
 
Cisco AMP for Endpoints zabezpiecza m.in. przed złośliwym oprogramowaniem zwykłym i poliformicznym. Nie opiera swojego działania tylko na zapobieganiu i użyciu skanera antywirusowego. Aktywnie analizuje i śledzi aktywność plików wymienianych w sieci. Badając na bieżąco kontekst zachodzących zdarzeń, plików i procesów, koreluje te informacje z bogatą bazą wiedzy Cisco Talos, modelami maszynowymi z Cisco Cognitive Intelligence oraz zachowaniem plików w środowisku wyizolowanym Cisco Threat Grid.
 
Oprócz reputacji plików, Cisco AMP wykorzystuje silnik antywirusowy dla systemów Windows, Mac OS X i Linux, którego baza znajduje się bezpośrednio na każdym urządzeniu końcowym, co chroni je także kiedy są całkiem poza siecią. Dzięki funkcji Prevalence, próbki nietypowych i rzadko występujących w organizacji plików wykonywalnych, są dodatkowo okresowo analizowane w wyizolowanym środowisku. Zwykle pliki uruchamiane przez dużą liczbę użytkowników są prawidłowymi i bezpiecznymi plikami aplikacji. Dodatkowo AMP zapobiega typowym działaniom exploitów, wstrzyknięciom kodu do pamięci komputera i wykrywa rootkit-y.
 
Posiada również silnik Malicious Activity Protection (MAP), który zabezpieczna przed oprogramowaniem typu ransomware. Analizuje on na bieżąco zachowania procesów i jeżeli doszło do zainfekowania nieznanym wariantem ransomware, to AMP jest w stanie przerwać jego proces i zapobiec zaszyfrowaniu wszystkich danych.
 

Cisco AMP for Endpoints sprzedawane jest w formie czasowych subskrypcji dla określonej ilości urządzeń końcowych. Zainteresowanych samym zakupem lub zakupem i wdrożeniem Cisco AMP for Endpoints This email address is being protected from spambots. You need JavaScript enabled to view it..

Cisco AMP for Endpoints działa w systemach Windows (XP, 7, 10 i nowsze), Mac OS X, Linux, Android i iOS.

Klienta Cisco AMP for Endpoints powinno posiadać każde urządzenie organizacji, a minimum te, które należą do pracowników mobilnych i włączane są do sieci poza infrastrukturą organizacji. Dzięki niemu można zaobserwować dodatkowo wpływ uruchomienia pliku na zaistniałem zmiany w systemie operacyjnym i połączeniach sieciowych.

Większość rozwiązań bezpieczeństwa realizujących analizę w czasie rzeczywistym blokuje 99% zagrożeń. Pozostałe 1% zagrożeń pozostaje niewykryty bez rozwiązań, które są w stanie realizować ciągłą analizę aktywności plików i procesów oraz śledzić i blokować pliki uznane wcześniej za bezpieczne. Około 70% włamań ma swój początek na urządzeniach końcowych.Zwykły antywirus na urządzeniu końcowym to dziś za mało. Aż 65% organizacji twierdzi, że stało się ofiarą cyberataku pomimo posiadania narzędzi zapobiegawczych.2 

Trajektorie plików i korelacja zdarzeń w czasie
 
Trajektorie obrazują przemieszczanie się plików oraz zależności pomiędzy uruchomieniem pliku, a przychodzącymi i wychodzącymi połączeniami sieciowymi w czasie. Retrospekcja daje wgląd w przebieg poprzednich zdarzeń. Dzięki temu dostajemy obraz przebiegu całego incydentu. Czyli jak do niego doszło i jak dalej atak się rozprzestrzeniał.

 
Wgląd nie kończy się na urządzeniu końcowym, które pobrało plik. Zbierane są informację o aktywności wszystkich plików. Nawet tych, które przesyłane są bezpośrednio pomiędzy urządzeniami (pomijają urządzenia na brzegu sieci).

Globalny wgląd i proaktywna ochrona


Zawsze trzeba liczyć się z tym, że pomimo najlepszych rozwiązań i tak może dojść do zainfekowania - wyścig ciągle trwa. Dlatego Cisco AMP for Endpoints obrazuje na osi czasu wszystkie zdarzenia, w tym precyzyjnie moment zainfekowania i dalszy przebieg aktywności lub rozprzestrzeniania się pliku. Dzięki temu da się dokładnie określić skalę problemu i usunąć skutki incydentu. Zablokowanie lub umieszczenie w kwarantannie wybranego pliku ma globalny wpływ na całą organizację, dzięki czemu żadne dodatkowe urządzenie końcowe nie stanie się jego ofiarą. 

 

Oprócz obrazowania i raportów dla całego środowiska, Cisco AMP for Endpoints jest w stanie generować raporty ze stanu urządzeń końcowych pod kątem znanych podatności. Informacje te pozwalają proaktywnie przeciwdziałać.


Weryfikacja zdarzeń i zachowania

Interfejs Cisco AMP for Endpoints umożliwia wygodne przeszukiwanie i łatwą lokalizację istotnych zdarzeń. Dla każdego z nich można wygenerować dokładny raport, który wyjaśnia przyczynę zablokowania.

Dostępne są także pełne informacje na temat zachowania zablokowanych zagrożeń. Nawet tak dokładne, jak przykładowy zrzut pakietów z wygenerowanego ruchu czy obraz pulpitu będący efektem wywołania złośliwego oprogramowania. Fragment takiego raportu można zobaczyć poniżej.


Integracja z innymi elementami
 

Cisco AMP for Endpoints bardzo dobrze się integruje z wszystkimi produktami należącymi do rodziny Cisco Security. Dotyczy to zarówno rozwiązań chmurowych, jak i tych, które instaluje się na stałe w infrastrukturze organizacji. Dzięki dodatkowej integracji zyskujemy większy wgląd, kontrolę oraz łatwość obsługi i zarządzania.


1. Effective Incident Detection and Investigation Saves Money, IDC, 2016 r.
2. A Year of Mega Breaches, Ponemon Institute, 2015 r.

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.