Cisco Advanced Malware Protection

Transcrição

1 Resumo da solução Cisco Advanced Malware Protection Prevenção, detecção, resposta e correção de violações para situações do mundo real VANTAGENS Inteligência global de ameaça única para reforçar as defesas da linha de frente Ampla visibilidade em relação à origem e à dimensão de um comprometimento Detecte, corrija e responda rapidamente ao malware Previna cenários caros de reinfecções e remediações Ofereça proteção em qualquer lugar rede, endpoints, dispositivos móveis, e- mail, Web antes, durante e após um ataque O malware avançado de hoje é furtivo, persistente e pode invadir defesas tradicionais. As equipes de segurança têm o desafio de se defender desses ataques porque suas tecnologias de segurança não proporcionam a visibilidade e o controle necessários para detectar e eliminar com prontidão as ameaças antes que os danos sejam causados. As empresas estão sob ataque, e as violações de segurança estão virando, com frequência, notícia. A comunidade global atual de hackers está criando malware avançados e lançandoos em empresas através de diversos vetores de ataque. Esses ataques direcionados e diversificados podem escapar até das melhores ferramentas de detecção point-in-time. Essas ferramentas inspecionam o tráfego e os arquivos no ponto de entrada na rede, mas oferecem pouca visibilidade às atividades de ameaças que tentam evitar a detecção inicial. Isso impossibilita que os profissionais de segurança tenham uma dimensão de um possível comprometimento ou contenham e respondam prontamente a um malware antes que este cause danos significativos. O Cisco Advanced Malware Protection (AMP) é uma solução de segurança que aborda o ciclo de vida completo dos problemas avançados de malware. Ela não só pode impedir violações como também oferece visibilidade e controle para detectar, conter e corrigir rapidamente ameaças que tentem passar pelas defesas de linha de frente, com bom custo-benefício e sem afetar a eficiência operacional Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 6

2 Resumo do Cisco Advanced Malware Protection O AMP é uma solução de categoria empresarial integrada controlada por inteligência que analisa e protege contra malware avançado. Você obtém proteção abrangente para sua empresa durante todo o ciclo de uma ameaça antes, durante e após um ataque. Antes de um ataque, o AMP usa a inteligência global de ameaças do Collective Security Intelligence e do Talos Security Intelligence and Research Group da Cisco, bem como os feeds de inteligência sobre ameaças do AMP Threat Grid, para reforçar as defesas e proteger contra ameaças conhecidas e emergentes. Durante um ataque, o AMP usa essa inteligência junto às assinaturas do arquivo conhecido e a tecnologia de análise dinâmica de malware do Cisco AMP Threat Grid para identificar e bloquear arquivos violadores de políticas e tentativas de exploração e arquivos mal-intencionados que tentem invadir a rede. Depois de um ataque ou após um arquivo ser inspecionado inicialmente, a solução vai além dos recursos de detecção point-in-time, monitorando e analisando continuamente todas as atividades e o tráfego do arquivo, independentemente da disposição deste, em busca de qualquer indicação de comportamento malintencionado. Se um arquivo com uma disposição considerada anteriormente como "boa" começar a se comportar de forma maligna, o AMP o detectará e alertará na mesma hora as equipes de segurança com uma indicação de comprometimento. Em seguida, dará visibilidade incomparável ao local de origem do malware, a quais sistemas foram afetados e ao que o malware está fazendo. Também oferece controles para uma resposta rápida à invasão, disponibilizando a correção com apenas alguns cliques. Isso oferece às equipes de segurança o nível de visibilidade e o controle necessários para detectar rapidamente ataques, dimensionar o comprometimento e conter o malware antes que este cause danos. Inteligência global de ameaça e análise dinâmica de malware O AMP baseia-se em inteligência de segurança e recursos analíticos dinâmicos de malware incomparáveis. O Cisco Collective Security Intelligence, o Talos Security Intelligence and Research Group e os feeds de inteligência de ameaças do AMP Threat Grid representam o melhor conjunto de inteligência e recursos analíticos de Big Data de ameaças em tempo real. Esses dados são enviados da nuvem para o cliente AMP, de modo que você tenha a inteligência de ameaças mais recente para proteção proativa contra ameaças. As empresas se beneficiam do seguinte: 1,1 milhão de amostras de entrada de malware por dia 1,6 milhão de sensores globais 100 TB de dados recebidos por dia 13 bilhões de solicitações da Web 600 engenheiros, técnicos e pesquisadores Operações ininterruptas O AMP correlaciona automaticamente arquivos, comportamentos, dados de telemetria e atividades com esse banco de informações contextualizadas para detectar rapidamente o malware. As equipes de segurança se beneficiam das análises automatizadas do AMP ao economizar tempo na procura por atividades de violação e por ter sempre a mais recente inteligência de ameaças para compreender, priorizar e bloquear rapidamente ataques avançados. A integração da nossa tecnologia Threat Grid com o AMP também oferece: Feeds de inteligência contextualizada e de alta precisão entregues em formatos padrão para uma integração perfeita com as tecnologias de segurança atuais Análise de milhões de amostras a cada mês em comparação a 350 indicadores de comportamento, resultando em bilhões de artefatos Uma pontuação de ameaças de fácil utilização para ajudar as equipes de segurança a priorizá-las 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 2 de 6

3 O AMP usa toda essa inteligência e a análise para embasar a tomada de decisões de segurança ou agir automaticamente em seu benefício. Por exemplo, com uma inteligência constantemente atualizada, o sistema pode bloquear malwares conhecidos e arquivos violadores de políticas, colocando em uma blacklist as conexões consideradas maliciosas de modo dinâmico e bloqueando tentativas de download de arquivos de sites e domínios categorizados como maliciosos. Análise contínua e segurança retrospectiva A maioria dos sistemas antimalware de endpoint e de rede inspecionam somente arquivos no momento em que ultrapassam um ponto de controle na extensão da rede. É aí que a análise para. Mas o malware é sofisticado e muito bom em escapar da detecção inicial. As técnicas de hibernação, polimorfismo, criptografia e uso de protocolos desconhecidos são apenas algumas das maneiras de como o malware pode se ocultar na exibição. Não é possível defender-se de algo que não se pode ver, e é assim que ocorre a maioria das brechas de violações de segurança. As equipes de segurança não veem as ameaças no ponto de entrada, ficando alheias à presença delas após a invasão. Elas não têm visibilidade para detectá-las ou contê-las rapidamente, e, em breve, o malware terá atingido seus objetivos e os danos estarão feitos. O AMP da Cisco é diferente. Reconhecendo que os métodos de bloqueio e detecção preventivos point-in-time não são 100%, eficazes, o sistema AMP analisa continuamente arquivos e tráfego mesmo depois da inspeção inicial. O AMP monitora, analisa e grava todas as atividades e comunicações do arquivo em dispositivos móveis e de endpoint, bem como na rede para descobrir rapidamente as ameaças furtivas que exibem comportamento suspeito ou mal-intencionado. Ao primeiro sinal de problema, o AMP alertará retrospectivamente as equipes de segurança e fornecerá informações detalhadas sobre o comportamento das ameaças, dando respostas a perguntas essenciais de segurança, como: De onde vem o malware? Qual foi o método e o ponto de entrada? Onde ele esteve e quais sistemas foram afetados? O que a ameaça fez e está fazendo? Como podemos parar a ameaça e eliminar a causa raiz? Usando essas informações, as equipes de segurança podem rapidamente entender o que aconteceu e usar a funcionalidade de contenção e correção do AMP para agir. Com apenas alguns cliques do console de gerenciamento com base no navegador de fácil utilização do AMP, os administradores podem conter os malwares bloqueando o arquivo para que eles nunca mais sejam executados em um outro endpoint novamente. Como o AMP conhece todos os lugares onde o arquivo esteve, ele poderá retirar o arquivo da memória e colocá-lo em quarentena para todos os usuários. No caso de invasão de malware, as equipes de segurança não precisam mais de sistemas completos de restauração de imagem para eliminar o malware. Isso exige tempo, custa dinheiro e recursos e interrompe atividades essenciais da empresa. Com o AMP, a correção de malware é cirúrgica, sem danos materiais associados aos sistemas de TI ou à empresa. Este é o poder da análise contínua, da detecção contínua e da segurança retrospectiva a capacidade de registrar a atividade de cada arquivo no sistema e, se um arquivo supostamente bom se tornar "ruim", a capacidade de detectá-lo e retroceder o histórico gravado para ver a origem da ameaça e o comportamento exibido. O AMP fornece recursos internos de resposta e correção para eliminar as ameaças. O AMP também lembra o que vê, da assinatura da ameaça ao comportamento do arquivo, registrando os dados no banco de dados de inteligência de ameaças do AMP para posterior fortalecimento das defesas de linha de frente, de forma que esse arquivo e os demais semelhantes não escapem da detecção inicial novamente Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 3 de 6

4 Agora, as equipes de segurança têm o nível de visibilidade e controle amplos necessários para detectar rápida e eficientemente os ataques e descobrir o malware furtivo; compreender e encontrar uma área de ação; conter e corrigir rapidamente o malware (até mesmo os ataques de dia zero) antes de qualquer dano ser causado; e impedir ataques semelhantes. Principais recursos A análise contínua e os recursos retrospectivos de segurança do AMP são possíveis devido a esses recursos robustos: Indicativos de comprometimento (IoCs): o arquivo e os eventos de telemetria são correlacionados e priorizados como violações potenciais ativas. O AMP correlaciona automaticamente dados de eventos de segurança de várias fontes, como eventos de malware e invasões, para ajudar as equipes de segurança a conectarem os eventos a ataques maiores e coordenados, priorizando, também, eventos de alto risco. Reputação do arquivo: os recursos analíticos avançados e a inteligência coletiva são reunidos para determinar se um arquivo é limpo ou mal-intencionado, permitindo uma detecção mais precisa. Análise dinâmica de malware: um ambiente de alta segurança ajuda a executar, analisar e testar o malware para descobrir de forma prévia ameaças de dia zero desconhecidas. A integração do sandbox do AMP Threat Grid e da tecnologia dinâmica de análise de malware com os resultados de soluções do AMP resulta em análises mais abrangentes verificadas ante um conjunto maior de indicadores comportamentais. Detecção retrospectiva: alertas são enviados quando a disposição de um arquivo muda após análises prolongadas, dando ao usuário visibilidade e percepção do malware que escapa das defesas iniciais. Trajetória do arquivo: rastreia continuamente a propagação do arquivo ao longo do tempo em todo o ambiente para obter visibilidade e reduzir o tempo necessário de dimensionamento de uma invasão de malware. Trajetória do dispositivo: rastreia continuamente a atividade e a comunicação em dispositivos a nível de sistema para entender com rapidez as origens das causas e o histórico dos eventos anteriores e posteriores ao comprometimento. Pesquisa elástica: uma pesquisa simples e ilimitada por todo o arquivo, bem como uma telemetria e dados de inteligência coletiva de segurança ajudarão a entender com rapidez o contexto e a dimensão da exposição a um aplicativo mal-intencionado ou um IoC. Prevalência: exibe todos os arquivos que foram executados em toda a empresa, organizados pela prevalência do mais baixo para o mais alto, para ajudar a trazer à tona ameaças não detectadas anteriormente vistas por um pequeno número de usuários. Arquivos executados apenas por alguns usuários podem ser aplicativos mal-intencionados (como uma ameaça persistente avançada orientada) ou duvidosos que você não deseja em sua rede estendida. IoCs de Endpoint: os usuários podem enviar seus próprios IoCs para interceptar ataques específicos. Estes IoCs de endpoint permitem que as equipes de segurança implementem níveis maiores de pesquisa em ameaças avançadas menos conhecidas específicas para aplicativos em seu ambiente. Vulnerabilidades: exibe uma lista de softwares vulneráveis no sistema, os hosts que contêm os softwares e os hosts com maior probabilidade de comprometimento. Alimentado pelos nossos recursos analíticos de segurança e inteligência de ameaças, o AMP identifica o software vulnerável alvo do malware e a exploração potencial, oferecendo uma lista priorizada de hosts para o patch. Controle de outbreak: obtenha controle sobre arquivos suspeitos ou outbreaks e corrija uma infecção sem aguardar uma atualização de conteúdo. Dentro do recurso de controle de outbreak: As detecções personalizadas simples podem bloquear rapidamente um arquivo específico em todos os sistemas ou em alguns selecionados Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 4 de 6

5 As assinaturas personalizadas avançadas podem bloquear famílias de malware polimorfos As listas de bloqueio de aplicativos podem fazer cumprir as políticas do aplicativo ou conter um aplicativo comprometido que está sendo usado como um gateway de malware e interromper o ciclo de uma nova infecção As listas de permissão personalizadas ajudarão a garantir, independentemente do que for, a execução dos aplicativos seguros, personalizados ou de missão crítica. A correlação de fluxo do dispositivo interromperá a comunicação de call-back do malware na fonte, principalmente para endpoints distantes fora da rede corporativa Opções de implantação para proteção em qualquer lugar Os criminosos cibernéticos iniciam seus ataques às empresas através de diversos pontos de entrada. Para uma efetividade real na interceptação de ataques furtivos, as empresas precisam ter a visibilidade do máximo de ataques possíveis. Portanto, o AMP pode ser implementado em pontos de controle diferentes em toda a rede estendida. As empresas podem implementar a solução como e onde desejarem para atender às necessidades específicas de segurança. As opções são: Nome do produto Cisco AMP para endpoints Cisco AMP para redes Cisco AMP no ASA com FirePOWER Services. Cisco AMP Private Cloud Virtual Appliance Cisco AMP em CWS, ESA, ou WSA Cisco AMP Threat Grid Detalhes Proteja PCs, Macs, dispositivos móveis e ambientes virtuais usando o conector lightwheight do AMP sem causar aos usuários impactos no desempenho. Implante o AMP como uma solução de rede integrada nos dispositivos de segurança Cisco FirePOWER NGIPS. Implante recursos AMP integrados no firewall do Cisco ASA. Implante o AMP como uma solução local totalmente isolada desenvolvida especificamente para empresas que exigem alta privacidade e que restringem o uso de nuvens públicas. Para o Cisco Cloud Web Security (CWS), Security Appliance (ESA) ou Web Security Appliance (WSA), os recursos do AMP podem ser ativados para fornecer recursos retrospectivos e análises de malware. O AMP Threat Grid integra-se ao Cisco AMP para análise dinâmica do malware aprimorada. Também pode ser implementado como uma análise de malware e uma solução de inteligência de ameaças dinâmicas e autônomas. Razões para escolher a Cisco A questão não é mais se minha empresa sofrerá um ataque, mas quando. A detecção point-in-time por si só nunca terá 100% de eficiência na detecção e no bloqueio preventivo de todos os ataques. O malware furtivo avançado e os hackers que o criaram podem ser mais inteligentes que as defesas point-in-time e comprometer qualquer empresa a qualquer momento. Mesmo que 99% das ameaças sejam bloqueadas, é preciso apenas uma para causar uma violação de segurança. Portanto, no caso de uma violação, as empresas precisam estar preparadas com ferramentas para detectar rapidamente um invasor, responder a ela e corrigi-la. O Cisco AMP é uma solução de categoria empresarial integrada controlada por inteligência que analisa e protege contra malware avançado. Ele oferece inteligência global de ameaças para reforçar defesas de rede, mecanismos de análise dinâmica para bloqueio de arquivos mal-intencionados em tempo real, e a capacidade de monitorar e analisar continuamente qualquer comportamento e tráfego de arquivo. Esses recursos proporcionam visibilidade única das atividades de ameaças potenciais e controle para detectar, conter e eliminar rapidamente o malware. Você obtém proteção antes, durante e após um ataque. A solução também pode ser implantada em toda a empresa na rede, nos endpoints, nos dispositivos móveis, gateways da Web e de e em ambientes virtuais de modo que a sua empresa poderá aumentar a visibilidade dos principais pontos de entrada de ataques e implantar a solução como e onde você deseja atender às necessidades específicas de segurança Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 5 de 6

6 Próximas etapas Para saber mais sobre o Cisco AMP ou ver demonstrações de produto, depoimentos de cliente e validações de terceiros, visite Impresso nos EUA C / Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 6 de 6