全网站产品搜索: 资讯

您现在的位置:首页 >> 产品资讯与服务 >> 安全 >> 思科终端高级恶意软件防护(AMP)

思科终端高级恶意软件防护(AMP)

日期:2017年11月21日 17:01

  产品概述

  当今的恶意软件高度复杂,您对终端的保护必须贯穿攻击前、攻击中和攻击后整个过程。面向终端的思科® 高级恶意软件防护 (AMP) 超越时间点检测,可提供所需的可视性和可控性,帮助您阻止未被其他安全层发现的高级威胁。您可以在整个攻击过程中(攻击前、攻击中和攻击后)为贵组织带来全面的全程保护。面向终端的思科 AMP 是一种智能的企业级高级恶意软件分析与防护解决方案,它采用了一种遥测模型,这种模型依靠大数据、不间断分析和高级分析,跨所有终端(PC、Mac、移动设备和虚拟系统)检测、跟踪、分析、控制和拦截高级恶意软件攻击。

  您可以获得以下优势:

  ● 超越时间点的保护:面向终端的思科 AMP 超越时间点检测持续分析文件和流量。此功能帮助实现追溯性安全,您可以回顾并跟踪进程、文件活动和通信,以了解感染的完整范围,确定根本原因并执行补救。结果:实现对贵组织更有效、更高效且更广泛的保护。

  ● 实现无与伦比的可视性的监控:面向终端的思科 AMP 提供不仅限于追溯的功能。它引入新的情报级别,将各种形式的追溯性信息与一系列可供实时分析的活动联系并关联在一起。然后,它可从个别终端或整个终端环境寻找恶意行为的模式。

  ● 持续关注行为的高级分析:面向终端的思科 AMP 通过高级行为检测功能实现自动化,该功能可提供经过优先级划分和整理的危害与风险高发区域视图。

  ● 变被动为主动的调查:面向终端的思科 AMP 将活动从在调查期间寻找事实和线索转变为专注于根据实际事件(例如恶意软件检测和行为危害表现 [IoC])搜寻漏洞。

  ● 真正简单的控制:面向终端的思科 AMP 提供对事件链以及情景(用于对其控制面板和轨迹视图加以补充)的可视性。AMP 能够将特定应用、文件、恶意软件和其他根本原因锁定为目标。切断攻击链将变得快速而简单。

  ● 可操作的因情景而异的控制面板:报告并不局限于事件枚举和聚合。面向终端的思科 AMP 报告包括实用的控制面板,以及从风险角度突出显示业务相关性和影响的趋势数据(参见图 1)。

  ● 更适合于协作的集成平台:面向终端的思科 AMP 可与面向网络的思科 AMP 解决方案完全集成,以进一步提高对贵组织的监视和控制。

  提高监视和控制以实现有效的安全性

  各组织努力寻求能够有效应对高级恶意软件问题的完整生命周期的解决方案:提供面向最新威胁的防护、事件响应和补救措施,而不过度加重预算负担或牺牲运营效率。部分挑战源于检测和拦截技术与事件响应和补救技术之间缺乏连续性和智能。

  通常,缺乏智能会使组织无法了解攻击的完整范围和深度,导致在出现攻击后无法有条不紊地开展事件响应和补救工作。此外,缺乏连续性导致在这些工作期间系统受感染且无法确定根本原因,造成无休止的重复感染循环。

  因此,安全专业人员往往无法了解高级恶意软件在其网络中的影响范围,而是在攻击爆发后费力地对其加以遏制和补救,并且无法解决根本问题,包括:

  ● 进入的方法和进入点是什么?

  ● 哪些系统受到了影响?

  ● 威胁进行了哪些活动?

  ● 我们如何能够阻止威胁并消除根本原因?

  ● 我们如何从攻击中恢复?

  ● 如何防止此类事件再次发生?

  面向终端的思科 AMP 发现、分析、拦截和修复高级恶意软件

  仅靠时间点检测并不能保证 100% 有效,只要有一个威胁逃避检测便会危害您的环境。老练的攻击者拥有丰富的资源和专业知识且顽固持久,他们会借助针对性的情景感知恶意软件,随时攻破时间点防御并危害任何组织。此外,时间点检测完全无法检测到已发生的漏洞的范围和深度,致使各组织无法阻止攻击扩散或防止再次发生类似攻击。

  面向终端的思科 AMP 可超越时间点检测,提供检测功能与大数据分析,从而持续分析终端上的文件和流量,确定是否存在高级恶意软件(图 2)。先进的机器学习方法可以评估 400 多个与各文件关联的特性,进而分析并阻止高级恶意软件。该组合可提供超越传统时间点检测的防护。追溯性安全(能够回滚攻击时间)可以检测在初始进入点后变为恶意的文件,并向您发出警报。

  监视力度空前大并控制高级恶意软件

  当今的恶意软件无比尖端,其演变迅速,可在危害系统后逃避发现,同时为长期攻击者在组织内四处移动提供启动平台。休眠技术、多态性、加密及使用未知协议只是恶意软件隐藏不被发现的部分方法。利用面向终端的思科 AMP 的持续分析和追溯性安全功能,可以发现难以捉摸的恶意软件,并在打击高级威胁的过程中帮助回答以下关键问题。

  ● 进入的方法和进入点是什么? 哪些系统受到了影响?

  文件轨迹和设备轨迹(图 3)之类的强大创新使用 AMP 的大数据分析和持续分析功能向您展示受恶意软件影响的系统,包括与潜在危害关联的病原体和根本原因。这些功能通过识别恶意软件网关和攻击者用于在其他系统中获取立足点的途径,帮助您快速了解问题的范围。

  ● 威胁进行了哪些活动?

  面向终端的思科 AMP 文件分析(图 4)由 Talos 安全情报与研究小组支持并藉由 AMP Threat Grid 的沙盒技术,提供安全、高度可靠的沙盒环境,供您分析恶意软件和可疑文件的行为。文件分析产生有关文件行为的详细信息,包括行为严重性、原始文件名、恶意软件执行屏幕截图,以及样本数据包捕获。借助这些信息,您将更全面地了解遏制感染和阻止未来攻击需要采取的措施。

  设备轨迹通过按时间顺序跟踪终端上的文件和网络活动进一步协助快速分析计算机上的威胁活动。您可完全监视造成危害或在危害后发生的事件,包括父进程、与远程主机的连接,以及恶意软件可能已下载的未知文件。

  危害表现 (IoC) 通常难以察觉,并且需要在其被清除或攻击者发起行动之前立即调查。通过面向终端的思科 AMP 弹性搜索,安全团队可以使用简单而又灵活的搜索功能迅速确定攻击的覆盖范围,这些功能立即呈现结果而无需从终端扫描并提取数据。

  ● 我们是否可以阻止威胁并找到根本原因?我们可以防止其再次发生?

  面向终端的思科 AMP 感染控制功能为您提供一整套功能,来有效阻止恶意软件和恶意软件相关活动(例如回叫通信或已丢弃文件执行)的扩散,而不必等待安全供应商提供更新。借此只需点击几下鼠标即可从调查直接转向控制,从而显著缩短威胁扩散或造成更大破坏所用的时间,及其采取适当控制通常所需的时间。

  此外,AMP 还可以自动修复系统而无需全面扫描。该技术会根据最新威胁情报不断交叉引用已分析过的文件,并隔离任何之前被视为安全或未知、但现在被确定为威胁的文件。

  保护终端、移动设备、虚拟系统和网络

  面向终端的思科 AMP 保护您抵御高级恶意软件,并扩充所有终端(PC、Mac、移动设备和虚拟系统)上的安全情报。其轻型连接器架构使用大数据分析,从而简化深度防御要求以应对高级恶意软件,您将不再需要传统的防病毒安全层(这些层可能会显著增加终端上的性能和资源限制)。

  此外,面向终端的思科 AMP 与面向网络的思科 AMP 集成,通过单一虚拟管理平台在扩展网络和终端之间提供全面的防护。现在,借助持续分析、追溯性安全和多源危害表现,您可以识别设法从终端穿越以在网络级别内联的隐秘攻击,将这些事件关联以实现更快的响应,以及实现更好的监视与控制。

  纵向扩展企业保护

  AMP 面向企业进行了优化。就隐私方面而言,所有面向终端的思科 AMP 连接器都使用元数据进行分析。实际文件并不需要,且未将其发送到云进行分析。对于具有高隐私要求的组织而言,还提供私有云选项。此单一的现场解决方案使用大数据分析、持续分析和现场本地存储的安全情报提供全面的高级恶意软件防护。

  就可管理性而言,面向终端的思科 AMP 为 Windows 系统、Mac 系统、移动设备和虚拟系统提供全面的管理、部署、策略配置和报告。

  就性能而言,部署在 PC、Mac、移动设备和虚拟环境上的面向终端的思科 AMP 使用轻型连接器架构,需要的存储、计算和内存比安全解决方案更少,从而更快地防御攻击。

  实现真正全面的安全情报

  面向终端的思科 AMP 基于大数据和无与伦比的安全情报。思科安全情报运营、Talos 安全情报与研究小组和 AMP Threat Grid 威胁情报源代表行业最大的实时威胁情报集合,其监视范围最广、覆盖面积最大,并且能够跨多个安全平台付诸行动。然后,此数据从云推送至 AMP 客户端,以便您时刻拥有最新的威胁情报。

  通过将 AMP Threat Grid 技术集成到面向终端的 AMP 中,可以提供 350 多个用于评估文件提交操作(不仅仅是其结构)的特有行为指标,从而提供对未知恶意软件的洞察,包括关联的 HTTP 和 DNS 流量、TCP/IP 数据流、受其影响的进程,以及注册表活动。AMP Threat Grid 还每日为用户提供情景丰富、可操作的内容(每月分析 800 多万份样本,产生数十亿个工件)。最后,AMP Threat Grid 的高度准确的内容源(以标准格式提供以与现有安全技术无缝集成)可使各组织生成因其组织而异的情景丰富的情报。

所属类别: 安全

该资讯的关键词为:

010-62108600