当前位置:文档之家 › 思科高级恶意软件防护-针对实际情况的漏洞防御、检测、响应和补救

思科高级恶意软件防护-针对实际情况的漏洞防御、检测、响应和补救

  • 格式:pdf
  • 大小:500.42 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

网络安全恶意代码应急处置方法

网络安全恶意代码应急处置方法

网络安全恶意代码应急处置方法恶意代码指的是需要透过计算机网络传播和操作,在未经用户授权的情况下,对计算机和网络系统造成危害或损失的恶意行为。

网络安全恶意代码应急处置方法是指针对网络中可能出现的恶意代码攻击事件,采取的紧急处置措施和方法。

本文将从预防措施、发现恶意代码、应急处置流程以及常见的应急处置方法等方面进行论述。

一、预防恶意代码攻击1. 更新软件和操作系统:及时安装操作系统和软件的补丁,以修补已知的漏洞,并关闭不必要的服务和端口,以减少攻击的可能性。

2. 安装可信的杀毒软件和防火墙:定期更新病毒数据库,确保及时发现和清除病毒,同时设置合理的防火墙策略,限制恶意代码入侵。

3. 加强员工教育和培训:提高员工的网络安全意识,教育他们避免点击垃圾邮件、不信任的链接以及下载不明来源的文件。

二、发现恶意代码在进行恶意代码应急处置之前,首先需要发现恶意代码的存在。

以下是发现恶意代码的主要途径:1. 安全日志分析:及时分析和检查系统安全日志,寻找异常行为和攻击痕迹。

2. 网络流量监控:使用网络监控工具实时监控网络流量,发现不正常的数据传输和异常连接。

3. 实时文件监测:使用杀毒软件和恶意代码检测工具对计算机系统进行实时监测,及时发现恶意代码的存在。

三、恶意代码应急处置流程1. 确认和隔离:一旦发现恶意代码的存在,需要立即确认并隔离受感染的设备或网络节点,以阻止其继续传播和扩散。

2. 制定紧急处理策略:针对不同类型的恶意代码攻击事件,制定相应的紧急处理策略,包括恶意代码清除、数据恢复、系统修复等。

3. 清除恶意代码:运用专业的杀毒软件和安全工具,对受感染设备进行全面扫描和恶意代码清除,确保系统安全。

4. 数据恢复和系统修复:对受到损害的数据进行恢复备份,并对受感染的系统进行修复和加固,防止再次受到攻击。

5. 加强后续安全措施:根据恶意代码攻击事件的分析和反思,完善网络安全策略和措施,以提高整体安全水平。

四、常见的恶意代码应急处置方法1. 备份数据:定期备份重要数据,确保在恶意代码攻击后能够快速恢复系统和数据。

高级持续性威胁(APT)攻击如何防范与检测

高级持续性威胁(APT)攻击如何防范与检测

高级持续性威胁(APT)攻击如何防范与检测在当前的信息化社会中,网络攻击事件屡见不鲜。

其中,高级持续性威胁(APT)攻击是一种具有较高危害性和长期持续性的攻击方式。

APT攻击旨在获取机密信息、破坏网络设施及侵犯网络安全,给企业和个人带来严重的损失。

因此,有效地防范和检测APT攻击显得尤为重要。

本文将探讨如何进行APT防范与检测。

一、构建防御体系为了有效防范APT攻击,我们首先需要构建一套完善的防御体系。

以下是一些关键的措施:1. 网络安全培训:为企事业单位员工进行网络安全培训,提高他们的网络安全意识和技能,让他们能够辨别并防范潜在的威胁。

2. 安全策略和政策:制定和实施严格的安全策略和政策,包括访问控制、密码管理、数据备份等。

定期审查和更新这些策略和政策,确保其符合最新的安全标准。

3. 强化网络边界防御:配置防火墙、入侵检测和防御系统、反病毒软件等,保护网络边界安全。

及时更新这些安全设备的规则和签名库,以识别和隔离潜在的威胁。

4. 加密与身份验证:对重要的数据进行加密保护,确保在传输和存储过程中不被窃取。

同时,采用双因素身份验证等措施,确保只有合法用户可以访问敏感信息。

二、实施安全监控与检测在防御体系的基础上,安全监控与检测是及时发现和应对APT攻击的重要手段。

以下是一些关键的措施:1. 安全事件日志管理:配置和管理安全设备的日志记录功能,收集保留网络和系统的日志信息。

通过对日志信息进行分析和监控,及时发现异常情况和攻击迹象。

2. 威胁情报分析:持续跟踪并分析来自可信渠道的威胁情报,包括APT攻击的最新特征和攻击方式。

通过将威胁情报与网络日志和事件进行关联分析,提高对潜在威胁的识别能力。

3. 行为分析与异常检测:利用高级的安全分析工具和技术,对网络和终端设备的行为进行实时监控和分析。

通过检测异常行为模式,可以及时发现APT攻击并采取相应的应对措施。

4. 网络流量监控与过滤:通过使用入侵检测系统和流量分析工具,实时监控和分析网络流量。

医疗机构10个常见安全挑战

医疗机构10个常见安全挑战

保障全数字化医疗机构的安全应对10个常见的安全挑战简介和目的一个连接更紧密的世界带来了显著的优势,但是就其本质而言,连接更紧密意味着随着组织的边界变得模糊,新的威胁正在显现。

与此同时,攻击者正在开发越来越复杂的方法来利用这些新连接。

网络威胁形势下的这一变化是一项持久的挑战,特别是对医疗机构而言。

新的威胁(例如勒索软件)日益普遍,表明攻击者的适应速度在加快,而组织则疲于应对。

现在,随着我们进入下一代互联网,新一波的连接设备正在进一步扩大威胁面。

物联网 (IoT) 将在物体和有机体(从树木到汽车再到建筑)之间创建数十亿个新连接。

尽管全数字化转型益处良多,但它还是会引入新的“后门”,我们必须像对待任何 IT 系统一样,将其视为安全领域的一部分。

当涉及到物联网 (IoT) 时,医疗机构尤其容易受到威胁。

除物理设施之外,医疗保健 IT 业者和安全专业人员要考虑的事项还包括医疗设备、可穿戴设备、遥测设备和新型健康应用。

在医院或诊所内,医疗机构应考虑已连接的医疗设备、第三方设备和系统以及既有环境。

关于参照标准,我们不妨看看英国 Fiona Caldicott 女爵于 2016 年 7 月针对英国国家医疗健康体系 (NHS) 的安全与信息管理发表的最新评论1。

她在评论中呼吁针对数据和信息领域实施更严厉的惩罚措施和更有效的控制措施。

建议包括使用现代化的信息管理工具包、改善网络安全控制、加强数据保护和对恶意的数据泄露行为实行更严厉的惩罚。

Caldecott 在评论中十分明确地指出,用于信息管理和安全保障的传统方法已无法满足要求。

例如,平心而论,NHS 组织专注于边界和终端安全,也就表示该组织认为国家网络形成了一道屏障,可以使其一步远离重大威胁。

随着威胁媒介(包括邮件、网络、社交媒体、移动设备和恶意软件)的不断演变,这一观点正在发生变化。

以往,安全工作的重点在于阻止攻击;今后,医疗机构的领导者则需要采用一种面向未来的更全面且更务实的视角。

高级持久性威胁(APT)防御

高级持久性威胁(APT)防御

高级持久性威胁(APT)防御高级持久性威胁(APT)是一种对信息系统和网络构成严重威胁的攻击形式。

APT攻击者通常是具有高度专业知识和资源的组织或个人,他们通过精心策划并长时间隐藏攻击活动,以获取敏感信息、窃取知识产权或破坏目标组织的运营。

为了预防APT攻击,组织需要实施一系列的防御措施。

1. 威胁情报和情报共享威胁情报是指关于攻击者活动和意图的信息。

它可以帮助组织了解APT攻击的最新趋势和技术,并提供对应的防御策略。

组织可以通过获取第三方的威胁情报或与其他组织进行情报共享来增强对APT攻击的预警和应对能力。

2. 强化身份和访问管理APT攻击者往往利用合法用户的身份和权限进行攻击。

为了减少这类风险,组织需要实施严格的身份验证和访问管理措施。

多因素身份验证、权限分级和监控用户行为等技术手段可以帮助组织检测和防范未经授权的访问。

3. 持续监控和入侵检测APT攻击通常具有高度隐蔽性和持久性。

组织需要建立实时监控系统,对网络流量、系统日志和用户行为进行持续监测,并利用入侵检测系统(IDS)和入侵防御系统(IPS)等工具及时发现并应对潜在的APT攻击。

4. 安全培训和意识提高员工是组织安全的第一道防线。

组织需要定期进行安全培训,提高员工对APT攻击和安全威胁的认识,培养员工的安全意识和报警意识。

员工了解常见的攻击手段和防御技巧,能够有效减少由于人为因素导致的安全漏洞。

5. 漏洞管理和补丁更新APT攻击者通常利用系统和应用程序的漏洞进行渗透。

组织需要及时收集、评估和修补系统漏洞,并确保及时安装厂商发布的安全补丁,以防止攻击者利用已知漏洞入侵系统。

6. 数据备份和灾难恢复在遭受APT攻击时,及时恢复业务运营至关重要。

组织需要定期备份关键数据,并建立紧急恢复计划。

当遭受攻击时,及时恢复数据和系统,以减少损失和恢复时间。

7. 多层防御和安全网络架构组织应该采用多层防御策略,构建安全网络架构。

包括防火墙、入侵防御系统、反病毒软件、数据加密、安全网关等技术手段的综合应用,能够提供覆盖面更广的安全防御。

中小企业和分布式企业的NGFW要求

中小企业和分布式企业的NGFW要求

© 2016 思科和/或其附属机构。版权所有。本文档所含内容为思科公开发布的信息。
上一页
下一页
3
适用于中小企业和分布式企业的 NGFW 的要求
图 1. 具备 FirePOWER 服务的 Cisco ASA
Cisco FirePOWER 服务
单个平台上的一流多层威胁防护功能 Cisco FirePOWER 服务是行业领先的威胁防护和高级恶意软件防护功能,根据 NSS Labs 独立测试得出的结果,它在威胁防御效力方面排名第一。3
网络防火墙 路由 | 交换
应用可视性与可控性 (AVC)
VPN
机上管理或集中管理
具备 FirePOWER 服务的 Cisco ASA 是首个注重威胁防护的 NGFW,它开创了威胁防 卸和高级恶意软件防护的新纪元。其动态控制措施可提供无与伦比的可视性和实时威 胁防范。NGFW 解决方案结合使用了思科自适应安全设备 (ASA) 和 FirePOWER 服务 的成熟的安全功能。
© 2016 思科和/或其附属机构。版权所有。本文档所含内容为思科公开发布的信息。
下一页
2
适用于中小企业和分布式企业的 NGFW 的要求
专为中小企业和分布式企业而定制
“适合”在这里至关重要,不仅涉及到采购成本和吞吐量,还涉及到可管理性。大多 数中小企业的资源有限。比如,除了许多其他的工作职责外,很多 IT 人员还要分担信 息安全职责,这种情况很常见。中小企业需要能够有效管理的安全解决方案。 大型企业通常能够提供资源,来负责安全事件和事故管理 (SEIM)。而对许多小型企业 而言,SEIM 可能不切实际。负责安全事务的 IT 经理通常只想了解最高优先级的威胁, 以便团队能够迅速调查和解决。 管理灵活性也非常重要。随着组织的发展(例如增加远程办公室时),原始投资能保 持它的价值。通常,机上管理适合单实例部署,而多实例部署受益于集中管理。 最后(可能也是最重要的)一点,即使同时启用多种安全服务,NGFW 必须提供通告 性能。在这里,关键是要找到一个供应商,能够与您合作,适当地评估解决方案规模, 来满足您的环境和安全要求并选择一个能满足今后需求的平台。

思科 Stealthwatch 系统

思科 Stealthwatch 系统

通过持续的网络流量分析加快事件响应和调查分析
思科 Stealthwatch 系统提供对所有网络流量的实时、持续监控和全面观察。StealthWatch 系统不仅可以显著改善网络可视性和安全性,还能大大缩短对整个网络中各种可疑事件的 响应时间。
© 2017 思科和/或其附属公司。版权所有。
思科 Stealthwatch 系统
Elavon 首席信息安全官 (CISO)
“作为一家跨国企业,借助 [Stealthwatch] 的解决方案,我们能够更好地了解整个 企业的网络活动。近乎实时的数据报告 和警报功能使我们的团队能够在安全事 件发生期间,进行更快速的检测和 响应。”
— Je DeLong。
Westinghouse Electric Company, LLC 信息安全架构师
跨思科产品组合进行集成
思科 StealthWatch 增强了思科的“安全无处不在”策略,在整个扩展企业中 支持网络安全和可视性。 作为网络即传感器 (NaaS) 和网络即执行器 (NaaE) 计划的一个重要部分,思 科 Stealthwatch 将 NetFlow 数据转变为切实可行的情报。Stealthwatch 有助 于您将网络转变为传感器。您获得对所有网络流量的深度可视性以识别潜在的 网络威胁。 思科 Stealthwatch 和思科身份服务引擎 (ISE) 的组合可帮助组织获取 360 度 视角,更快地响应威胁,并保护不断发展的全数字化业务。通过结合这两种 解决方案,您可以看到有关每台设备的详细信息:类型、操作系统、合规性状 态、连接方法、地理位置等。发现您环境中的异常流量,明确掌握单个用户的 行为何时变得可疑。
将可视性扩展到终端
在我们的互联世界,移动性才是王道。但是,要真正地监控所有网络活 动,安全专业人员需要了解到出现在网络边缘以及远程设备上的应用和进 程。借助思科 Stealthwatch 终端解决方案,安全专业人员可以对存在可疑 行为的用户设备执行更加高效和情景丰富的调查。

思科 Firepower 4110

产品手册思科 Firepower 下一代防火墙思科 Firepower™下一代防火墙 (NGFW) 是业内首款专注于威胁防御的下一代防火墙,它将多种功能完全集于一身,采用统一管理,可在攻击前、攻击中和攻击后提供独一无二的高级威胁防护。

阻止更多威胁使用行业领先的思科®高级恶意软件防护(AMP) 和沙盒技术遏制各种已知和未知恶意软件。

获得更高可视性思科 Firepower 下一代 IPS 可对您的环境提供卓越的可视性。

它能自动确定风险评级和影响标记,从而帮助您的团队确定事务优先级。

加快检测和响应速度思科年度安全报告确定各企业的从感染到检测的中值时间为 100 天。

而思科能够将检测时间缩短至不到一天。

降低复杂性通过紧密集成应用防火墙、NGIPS 和 AMP 等安全功能实现统一管理和自动威胁关联。

让您的网络发挥更多价值选择性地集成其他的思科和第三方网络和安全解决方案,提高安全性和利用现有投资。

性能亮点表 1 概括列出思科 Firepower NGFW 4100 系列和 9300 安全设备及特定思科 ASA 5500-X 设备的性能亮点。

Table 1. 性能亮点功能思科 Firepower 型号思科 ASA 5500-FTD-X 型号4110 4120 4140 4150 带 1 个SM-24 模块的 930带 1 个SM-36 模块的 930带 1 个SM-44 模块的 930带 3 个SM-44 模块的 9305506-FTD-X5506W-FTD-X5506H-FTD-X5508-FTD-X5516-FTD-X5525-FTD-X5545-FTD-X5555-FTD-X防火墙吞吐量 (ASA)35 Gbps 60 Gbps 70 Gbps 75 Gbps 75 Gbps 80 Gbps 80 Gbps 234 Gbps 750 Mbps750 Mbps750 Mbps1 Gbps 1.8 Gbps2 Gbps3 Gbps4 Gbps吞吐量:防火墙+ AVC(Firepower 威胁防御)12 Gbps 20 Gbps 25 Gbps 30 Gbps 30 Gbps 42 Gbps 54 Gbps 135 Gbps 250 Mbps250 Mbps250 Mbps450 Mbps850 Mbps1100 Mbps1500 Mbps1750 Mbps吞吐量:防火墙+ AVC + NGIPS(Firepower 威胁防御)10 Gbps 15 Gbps 20 Gbps 24 Gbps 24 Gbps 34 Gbps 53 Gbps 133 Gbps 125 Mbps125 Mbps125 Mbps250 Mbps450 Mbps650 Mbps1000 Mbps1250 Mbps1吞吐量计算基于数据包平均大小为 1024 字节的 HTTP 会话。

思科针对SmartInstall客户端协议被滥用的保护措施-Cisco

2017 年 2 月 27 日,星期一思科针对 Smart Install 客户端协议被滥用的保护措施摘要Talos 发现攻击者正在对客户基础设施进行频繁扫描,以期找到思科 Smart Install 客户端。

思科 Smart Install 是促进 LAN 交换机管理的思科 Smart Operations 解决方案的一个组件。

研究表明,有恶意攻击者可能正在利用对 Smart Install 协议的深入了解从受影响的设备获取客户配置副本。

这种攻击利用 Smart Install 协议的一个已知问题。

思科 PSIRT 已针对此活动发布了一个安全响应。

滥用 Smart Install 协议可能导致修改 TFTP 服务器设置、通过 TFTP 窃取配置文件、更换 IOS 映像,甚至可能会执行 IOS 命令。

我们知道有一种公开发行的工具可用于扫描受影响的系统,该工具叫做 Smart Install Exploitation Tool (SIET),可从此处获取。

这个工具可能已被用于这些攻击。

保护为了协助客户了解他们所面临的这个问题,我们发布了我们自己的扫描工具和可用来确定受影响的系统并检测 SIET 活动的初步 Snort 规则。

Talos 扫描实用程序Talos 制作了一款扫描实用程序,所有用户都可以对自己的基础设施运行该实用程序以确定自己是否可能受到了 Smart Install 客户端协议被滥用的影响。

该工具可以从此处获取。

防护Snort 规则Talos 以 SID 41722-41725 的形式创建了针对此问题的保护规则。

这些规则随即会作为社区规则集的一部分公开发布,可从此处下载:要获得保护,思科 FirePOWER 和 Snort 用户规则集客户应确保运行最新的规则更新。

此外,还可以使用通用 TFTP 活动规则 SID:518 和 SID:1444,但这些 SID 不是针对特定问题的,并且必须显式启用。

软件漏洞分析和修复技术

软件漏洞分析和修复技术软件漏洞被定义为给黑客或攻击者提供访问受害计算机系统的基础。

对于攻击者来说,漏洞就是契机。

而在对付这类威胁时,人们通常会采用漏洞分析和修复技术。

软件漏洞分析软件漏洞分析是指通过对软件的反汇编和调试,找出其中存在的漏洞。

经过分析,漏洞分析人员往往会挖掘出许多隐藏的安全缺陷。

这些安全缺陷可以是不完善的代码实现、未正确处理用户输入、没有正确地身份验证、缺乏完整性或机密性保护等等。

在进行软件漏洞分析时,分析人员最常用的方法是源代码分析和二进制分析。

源代码分析是指通过查看软件的源代码,找出其中的漏洞。

二进制分析是指通过对软件的反汇编和调试,找出其中存在的漏洞。

软件漏洞修复软件漏洞修复是指通过对漏洞进行修补,从而消除它们。

通常来说,软件漏洞修复可以通过两种方式来实现:1. 发布补丁–补丁是一种通过更新或修改软件文件的方式来修复已知漏洞的软件问题。

补丁通常是在发布后被安装到受影响计算机上。

2. 发布新版本–另一种解决软件漏洞的方法是发布新版本。

新版本通常包括在旧版本中修复了的所有漏洞,并且可能包含其他功能和改进。

在软件漏洞修复时,发现漏洞的厂商通常会为受影响的用户提供一些相关的信息和建议,以帮助确认漏洞和防止被攻击者利用。

常见的建议包括禁用受影响的功能,更新到最新版本,或者进行其他适当的保护措施。

此外,软件厂商也通常会发布有关漏洞的修复建议和指南,以帮助用户快速修复漏洞。

总的来说,针对软件漏洞的防护和修复需要硬件、软件和人员的合作。

同时,需遵循安全性的最佳实践,开展分析和修补,打下良好态势下的保障基础,确保不出现违规的“软肋”。

高级持续威胁(APT)攻击的检测与应对策略

高级持续威胁(APT)攻击的检测与应对策略简介高级持续威胁(Advanced Persistent Threat,简称APT)是一种高度复杂和长期持续的网络攻击模式,它旨在获取敏感信息、窃取知识产权或破坏目标系统。

APT攻击通常由高度有组织和专业化的黑客团队发起,他们利用各种手段和技术穿透防御系统,并长期存在于受害者的网络中,以避免被发现。

因此,及早检测和应对APT攻击非常重要,本文将介绍一些常用的APT攻击检测与应对策略。

检测APT攻击的策略1. 安全日志分析监控和分析安全日志是一种重要的APT攻击检测策略。

通过对网络设备、服务器、应用程序和操作系统产生的日志进行实时监控和分析,可以及时发现异常活动和潜在的APT攻击。

对安全日志进行分析时,可以使用常见的SIEM(安全信息与事件管理)工具,利用其强大的日志分析功能,监测和识别异常行为模式、异常登录尝试、未授权访问等事件,从而发现APT攻击的痕迹。

2. 网络流量监测网络流量监测是另一种常用的检测和分析APT攻击的方法。

通过设置入侵检测系统(IDS)和入侵防御系统(IPS),对网络中的流量进行实时监控和分析,可以发现和拦截恶意数据包和攻击尝试。

此外,可以结合使用网络流量分析工具,对网络流量进行深度包检测和协议分析,以识别潜在的APT攻击。

常见的网络流量分析工具包括Wireshark、Snort等。

3. 恶意代码检测恶意代码是APT攻击中的重要组成部分,攻击者会利用各种方式将恶意代码传递给目标系统。

因此,及早检测和拦截恶意代码非常重要。

常见的恶意代码检测方法包括使用杀毒软件、行为分析和沙箱分析。

杀毒软件可以通过实时监测和扫描系统文件和进程,发现和拦截已知的恶意代码。

行为分析可以监测和识别程序的异常行为,通过比对预设的行为模式和规则,发现潜在的恶意代码。

沙箱分析可以对可疑的文件或程序进行隔离执行,观察其行为和效果,以判断其是否为恶意代码。

4. 用户行为监测用户行为监测是预防和检测APT攻击的重要策略之一。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

解决方案概述思科高级恶意软件防护针对实际情况的漏洞防御、检测、响应和补救当今的高级恶意软件隐蔽、持久并且可规避传统的防御。

安全团队面临着如何阻止这些攻击的挑战,因为他们的安全技术并不提供必要的可视性与可控性,所以其无法在损害形成之前快速检测并消除威胁。

组织遭受攻击,安全漏洞总是会占据新闻头条。

现今,全球的黑客群体正在不断制作出高级恶意软件并通过各种攻击媒介侵入组织。

这种多层面的定向攻击甚至可以规避最佳时间点检测工具。

这些工具在网络入口点检查流量和文件,但难以检查出设法规避初始检查的威胁活动。

这使得安全专业人员对于潜在危害的影响范围一无所知,无法在恶意软件造成明显损害之前快速响应并对其进行遏制。

思科高级恶意软件防护 (AMP) 是一个能够解决高级恶意软件整个生命周期问题的安全解决方案。

它不但可预防漏洞,还可提供可视性与可控性,从而在威胁规避了一线防御后将其快速检测出并进行遏制和补救 - 所有这些都是具有成本效益的且不会影响运营效率。

思科高级恶意软件防护概览AMP 是情报驱动的、集成式企业级高级恶意软件分析和保护解决方案。

您可以在攻击整个过程(攻击前、攻击中和攻击后)中为组织获取全面的防护。

●攻击前,AMP 使用来自思科综合安全情报的全球威胁情报、Talos 安全情报和研究小组以及 AMP Threat Grid 的威胁情报源,来加强防御并防范已知和新兴的威胁。

●攻击中,AMP 结合使用情报和已知文件签名,以及 Cisco AMP Threat Grid 的动态恶意软件分析技术,来识别并阻止违反策略的文件类型、漏洞尝试及尝试渗入网络的恶意文件。

●攻击后,或者,文件最初检查之后,该解决方案将超越时间点检测功能(即进行不止一次的检测)并持续监控和分析所有文件活动和流量(无论如何处置),以搜索任何恶意行为的迹象。

如果未知或之前被视为“良性”处置的文件开始出现不良行为,AMP 将对其进行检测并立即向安全团队发出警报,提示出现危害迹象。

然后,它会提供卓越的可视性,以供深入了解恶意软件的起源、受影响的系统以及恶意软件正在执行的操作。

它还提供各种控件,以便迅速响应入侵,并且只需单击几下即可进行补救。

这使得安全团队能够获得所需的深入可视性和可控性,以快速检测出攻击、确定受影响范围并在恶意软件造成损害之前并对其进行遏制。

全球威胁情报和动态恶意软件分析AMP 的构建基于无与伦比的安全情报和动态恶意软件分析。

思科综合安全情报生态系统、Talos 安全情报和研究小组以及 AMP Threat Grid 威胁情报源代表了行业领先的实时威胁情报和大数据分析集合。

然后,此数据将从云推送至AMP 客户端,以便您通过最新的威胁情报,主动防范威胁。

组织将受益于:●每天 110 万传入恶意软件示例●全球有 160 万个传感器●每天 100TB 的数据●130 亿网络请求●600 位工程师、技术人员和研究人员●全天候运行AMP 对照此强大、情景丰富的知识库关联文件、行为、遥测数据和活动以快速检测恶意软件。

安全团队受益于 AMP 的自动化分析,节省了搜索漏洞活动时间并随时拥有最新的威胁情报,可以快速了解、优先处理和阻止复杂的攻击。

我们 Threat Grid 技术与 AMP 相集成,还可以:●按照标准格式提供的高度准确和情景丰富的情报源与现有安全技术无缝集成●每月对照 350 多个行为指标对数百万示例进行分析,可生成数十亿标样●简单易懂的威胁指数,帮助安全团队确定威胁的优先级AMP 使用所有这些情报和分析告知您安全决策或自动代表您采取措施。

例如,借助不断更新的情报,系统可以阻止已知恶意软件和违反策略的文件类型,动态地将已知恶意的连接放入黑名单,并阻止从那些被归类为恶意的网站和域下载文件。

不间断分析和追溯性安全大多数基于网络和终端的防恶意软件系统仅在文件穿过控制点进入您的扩展网络时检查文件。

这也是分析终止的地方。

但是,恶意软件比较复杂并且擅长规避初始检测。

休眠技术、多态、加密和使用未知协议是恶意软件用于遮蔽自身的一些方法。

您无法防范您看不到的事物,这也是大多数安全漏洞产生的原因。

安全团队在入口点看不到威胁且在事后无视它的存在。

他们不具备可供快速检测或遏制威胁的可视性,不久之后,恶意软件实现了目标,损害也已经造成。

思科 AMP 则不同。

AMP 系统认识到时间点、主动检测和拦截方法并不是百分百有效,因此即使通过了初始检测,之后也会持续分析文件和流量。

AMP 监控、分析并记录终端、移动设备上以及网络中的所有文件活动和通信,以便快速找到显露出可疑或恶意行为的隐蔽威胁。

一旦出现麻烦,AMP 就会通过追溯方式向安全团队发出警报并提供有关威胁行为的详细信息,以便您可以回答重要的安全问题,例如:●恶意软件来自何处?●进入的方法和进入点是什么?●它在何处以及哪些系统受到影响?●威胁的目的是什么以及它正在做什么?●如何阻止威胁并消除根本原因?使用此信息,安全团队能够及时了解情况并使用 AMP 的遏制和补救功能采取措施。

通过 AMP 中易于使用的、基于浏览器的管理控制台,管理员只需单击几下,即可通过阻止文件在另一个终端上再次执行来遏制恶意软件。

而且,由于AMP 知晓文件曾经去过的所有地方,因此它可以将文件从内存中去除并将其与所有其他用户隔离。

在恶意软件入侵时,安全团队不再需要重新映像整个系统以消除恶意软件。

那样做需要耗费时间、资金和资源,并且会中断关键业务功能。

采用 AMP 后,恶意软件补救类似一个外科手术,不会对 IT 系统或业务造成相关的间接损害。

这就是持续分析、持续检测和追溯性安全功能的强大所在 - 能够记录系统中每个文件的活动。

并且,如果认为“良性”文件变“坏”了,则能够对其进行检测并回退历史记录以查看该威胁的起源和其显露的行为。

然后,AMP 会为您提供内置响应和补救功能以消除威胁。

AMP 还会记住其所见内容(从威胁的签名到文件的行为),并将这些数据记录在 AMP 的威胁情报数据库中以进一步加强一线防御,因此该文件及类似的文件将无法再次规避初始检测。

现在,安全团队具备了必要的深入可视性和可控性,可以快速、有效地检测攻击并发现隐蔽的恶意软件;了解并确定受影响范围;在恶意软件(甚至是零日攻击)造成任何损害之前快速将其遏制并补救;并防止类似的攻击发生。

主要特性AMP 的持续分析和追溯性安全功能的实现皆是因为以下这些强大特性:●危害表现 (IoC):文件和遥测事件进行关联并作为潜在活动漏洞优先处理。

AMP 可自动关联多个来源的安全事件数据(例如入侵与恶意软件事件),以帮助安全团队将事件关联到更大规模的协同攻击并优先处理高风险事件。

●文件信誉:高级分析和综合情报相结合,以确定文件是清洁还是具有恶意,从而进行更为准确的检测。

●静态和动态恶意软件分析:高度安全的环境可帮助您执行、分析和测试恶意软件,以发现之前未知的零日威胁。

AMP 解决方案中集成了 AMP Threat Grid 的沙盒与静态和动态恶意软件分析技术,因此可以根据更大的一组行为指标进行更为全面的分析。

●追溯性检测:如果文件处置在扩展分析之后发生了变化,AMP 会发出相关警报,以便您知晓并了解规避了初始防御的恶意软件。

●文件轨迹:文件在您环境中的传播会随着时间推移得到持续跟踪,以实现可视性并缩短确定恶意软件影响范围的时间。

●设备轨迹:持续跟踪设备上和系统级的活动和通信,以在损害后快速了解导致损害的根本原因以及事件历史记录。

●弹性搜索:跨文件、遥测以及综合安全情报数据的简单无界搜索可帮助您快速了解暴露给 IoC 或恶意应用的上下文和范围。

●感染率:显示组织内已执行的所有文件,并按感染率从最低到最高排序,以帮助您发现之前未检测到但被少量用户看到的威胁。

您可能不希望自己的扩展网络上存在只有少数用户执行但可能具有恶意的文件(例如一个定向高级持续威胁)或可疑应用。

●终端 IoC:用户可以提交其自己的 IoC 以捕捉定位攻击。

这些终端 IoC 允许安全团队对特定于其环境中应用的鲜为人知的高级威胁执行更为深入调查。

●漏洞:显示列出您系统上存在漏洞的软件、包含该软件的主机以及最可能受到损害的主机的列表。

凭借我们的威胁情报和安全分析,AMP 可识别易受恶意软件攻击的软件和潜在的漏洞,为您提供按优先顺序排列的需要修补的主机列表。

●爆发控制:实现对可疑文件或爆发的掌控,无需等待内容更新即可修复感染。

在爆发控制功能中:◦简单自定义检测可以跨所有或选定系统,快速阻止特定文件◦高级自定义签名可以阻止多态恶意软件系列◦应用阻止列表可以强制执行应用策略或遏制受危害应用用作恶意软件网关并终止再次感染循环◦自定义白名单,有助于确保安全、自定义或关键任务型应用无论如何都可继续运行◦设备流关联将在源头阻止恶意软件回调通信,尤其针对公司网络之外的远程终端部署选项让保护无处不在网络犯罪分子通过各种入口点向组织发起攻击。

为了真正有效地捕获隐蔽攻击,组织需要尽可能多地了解各种攻击媒介。

因此,AMP 解决方案可部署在整个扩展网络中的不同控制点。

组织可以按照满足自身特定安全需求的方式在所需地点部署此解决方案。

选项包括:为什么选择思科?当您遇到安全漏洞时,这将不再是个问题,而何时应用才是问题。

若想通过主动检测阻止所有攻击,单独的时间点检测绝不是百分百有效的。

高级且隐蔽的恶意软件及创建它的黑客要比时间点防御技高一筹,他们可以随时侵害任何组织。

即使您成功阻止了 99% 的威胁,只需一个威胁,即会让您功亏一篑。

因此,在出现漏洞后,组织需要准备工具快速检测入侵、响应并补救。

思科 AMP 是情报驱动的集成式企业级高级恶意软件分析和保护解决方案。

它可提供加强网络防御的全球威胁情报和实时阻止恶意文件的动态分析引擎,并能够持续监控和分析所有文件行为和流量。

这些功能可提供无与伦比的可视性与可控性,以便您深入了解潜在的威胁活动并随后快速地检测、遏制并消除恶意软件。

攻击前、攻击中和攻击后,您都可以获得充分保护。

该解决方案还可以在扩展企业内(网络、终端、移动设备、电子邮件和网关以及虚拟环境)部署,使您的组织可以增强关键攻击入口点处的可视性,并按照满足您特定安全需求的方式在所需地点部署该解决方案。

后续计划若要了解有关思科 AMP 的详细信息或查看产品演示、客户见证和第三方验证,请访问/go/amp。

/go/trademarks美国印刷C22-734228-01 06/15。