Cisco Advanced Malware Protection

Lösungsüberblick
Cisco Advanced Malware Protection
Prävention, Erkennung und Behebung von Sicherheitsverletzungen in der Praxis
VORTEILE
• Zugriff auf die weltweit
umfangreichsten
Sicherheitsinformationen zur
Verbesserung der
Abwehrmechanismen des Netzwerks
• Umfassende Einblicke in Ursachen und
Umfang einer Gefährdung
• Schnelle Erkennung, Handhabung und
Beseitigung von Malware
• Verhinderung kostspieliger
Neuinfektionen und
Beseitigungsprozesse
• Umfassender Schutz für Netzwerk,
Endgeräte, Mobilgeräte, E-Mail,
Internet – vor, während und nach
einem Angriff
Die Malware von heute ist so weit fortgeschritten, dass sie nur
schwer erkennbar ist und herkömmliche Schutzmechanismen
einfach umgehen kann. Für Sicherheitsteams stellt die
Verteidigung gegen solche Angriffe eine Herausforderung dar,
da die Sicherheitstechnologie nicht die notwendige
Transparenz und Kontrolle bietet, um Bedrohungen schnell
erkennen und beseitigen zu können, bevor Schaden entsteht.
Jeden Tag finden in Unternehmen auf der ganzen Welt
Sicherheitsverstöße und Angriffe statt. Die heutige globale
Hacker-Community setzt auf fortschrittliche Malware, die sie
auf unterschiedliche Art und Weise in Unternehmen schleust.
Diese vielfältigen, zielgerichteten Angriffe können sogar die
besten Point-in-Time-Erkennungstools umgehen. Solche Tools
überwachen Datenverkehr und Dateien beim Eintritt ins
Netzwerk, bieten jedoch nur wenige Einblicke in die Aktivitäten
der Bedrohungen, die bei der ersten Erkennung nicht erfasst werden. Daher tappen die IT-Sicherheitsteams oft im
Dunkeln, was den Umfang der potenziellen Bedrohung betrifft, und können Malware nicht schnell genug erkennen
und bekämpfen.
Cisco Advanced Malware Protection (AMP) ist eine Sicherheitslösung, die den vollständigen Lebenszyklus des
Problems intelligenter Malware berücksichtigt. Das System kann Sicherheitsverletzungen nicht nur verhindern,
sondern bietet Ihnen Transparenz und Kontrolle, um Bedrohungen schnell erkennen, eindämmen und beseitigen
zu können, wenn sie die erste Ebene der Schutzmechanismen umgangen haben – und das kostengünstig und
ohne Beeinträchtigung der Betriebseffizienz.
© 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
Seite 1 von 6
Cisco Advanced Malware Protection im Überblick
AMP ist eine informationsgesteuerte, integrierte Analyse- und Schutzlösung der Enterprise-Klasse zur Abwehr von
intelligenter Malware. Sie erhalten umfassenden Schutz für Ihr Unternehmen über das gesamte Angriffskontinuum
hinweg – vor, während und nach dem Angriff.
●
Vor einem Angriff nutzt AMP weltweite Bedrohungsinformationen von Cisco Collective Security Intelligence,
der Talos Security Intelligence and Research Group und von AMP Threat Grid-Feeds, um die Abwehr von
bekannten und aufkommenden Bedrohungen zu stärken.
●
Während eines Angriffs nutzt AMP diese Informationen in Kombination mit bekannten Dateisignaturen und
der dynamischen Malware-Analysetechnologie von Cisco AMP Threat Grid, um gegen die Richtlinien
verstoßende Dateitypen und Angriffsversuche sowie schädliche Dateien, die in das Netzwerk eindringen
wollen, zu identifizieren und zu blockieren.
●
Nach einem Angriff oder nach der ersten Untersuchung einer Datei geht die Lösung über Point-in-TimeErkennungsfunktionen hinaus und überwacht und analysiert ständig alle Dateiaktivitäten und den
Datenverkehr, unabhängig von der Disposition, und sucht nach Anzeichen von schädlichem Verhalten.
Wenn eine zuvor als unbekannt oder gut eingestufte Datei plötzlich schädliches Verhalten zeigt, wird dies
von AMP erkannt. Die Sicherheitsteams werden sofort mit einem Hinweis auf einen Indication of
Compromise benachrichtigt. Es bietet umfassende Transparenz über den Ursprung der Malware, welche
Systeme betroffen sind und welche Aktionen die Malware durchführt. Darüber hinaus bietet die Lösung
Kontrollmöglichkeiten, um mit wenigen Klicks auf das unberechtigte Eindringen zu reagieren und die
schädliche Datei zu entfernen. So erhalten die Sicherheitsteams umfassende Transparenz und Kontrolle,
um Angriffe schnell zu erkennen, den Umfang eines Angriffs abzuschätzen und Malware einzudämmen,
bevor es zu Schäden kommt.
Globale Bedrohungsinformationen und dynamische Malware-Analyse
AMP basiert auf umfassenden Sicherheitsinformationen und dynamischen Malware-Analysen. Die Cisco Collective
Security Intelligence, Talos Security Intelligence and Research Group und AMP Threat Grid Feeds sind die
branchenweit größten Sammlungen von Echtzeit-Bedrohungsinformationen und Big Data-Analysen. Diese Daten
werden dann von der Cloud an den AMP-Client gesendet, damit Ihnen immer aktuelle Bedrohungsinformationen
vorliegen und Sie sich proaktiv schützen können. Nutzen für Unternehmen:
●
1,1 Millionen eingehende Malware-Beispiele pro Tag
●
1,6 Mio. Sensoren weltweit
●
100 TB Daten pro Tag
●
13 Milliarden Webanfragen
●
600 Ingenieure, Techniker und Forscher
●
Betrieb rund um die Uhr
AMP korreliert Dateien, Verhalten, Telemetriedaten und Aktivitäten mit dieser robusten, umfangreichen
Wissensdatenbank, um Malware schnell zu identifizieren. Sicherheitsteams profitieren von der automatisierten
Analyse durch AMP. Sie sparen Zeit bei der Suche nach schädlichen Aktivitäten und haben jederzeit Zugriff auf
Bedrohungsinformationen, mit deren Hilfe sie fortschrittliche Angriffe schnell verstehen, priorisieren und blockieren
können.
Die Integration der Threat Grid-Technologie in AMP bietet außerdem folgende Vorteile:
●
extrem genaue und kontextreiche Daten-Feeds, die in Standardformaten bereitgestellt werden, um eine
nahtlose Integration in vorhandene Sicherheitstechnologien zu ermöglichen
© 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
Seite 2 von 6
●
Analyse von Millionen von Beispielen pro Monat im Hinblick auf mehr als 350 Verhaltensmerkmale, was zu
Milliarden von Störsignalen führt
●
eine leicht verständliche Bewertung der Bedrohung, anhand deren Sicherheitsteams Bedrohungen
priorisieren können
AMP wertet alle diese Daten aus, damit Sie fundierte Sicherheitsentscheidungen treffen oder damit automatisch
Maßnahmen ergriffen werden können. Mit den ständig aktualisierten Informationen kann das System z. B.
bekannte Malware und gegen Richtlinien verstoßende Dateitypen blockieren, bekannt schädliche Verbindungen
dynamisch auf eine schwarze Liste setzen und Versuche blockieren, Dateien von als schädlich kategorisierten
Websites und Domänen herunterzuladen.
Kontinuierliche Analysen und Retrospective Security
Die meisten Netzwerk- und Endgeräte-basierten Antimalware-Systeme untersuchen Dateien nur einmal zu dem
Zeitpunkt, an dem sie einen Kontrollpunkt in das erweiterte Netzwerk durchlaufen. Danach erfolgt keine weitere
Analyse mehr. Heutige Malware ist jedoch so ausgereift, dass diese Ersterkennung umgangen werden kann.
Sleeper-Techniken, Polymorphie, Verschlüsselung und die Verwendung von unbekannten Protokollen sind nur
einige der Methoden, durch die Malware unerkannt bleibt. Sie können sich nicht vor etwas schützen, das Sie nicht
sehen können. Darin liegt die Ursache der meisten schwerwiegenden Sicherheitsverletzungen. Sicherheitsteams
erkennen Bedrohungen häufig nicht beim Eindringen in das System und sind sich danach nicht bewusst, dass die
Bedrohung überhaupt besteht. Ihnen fehlt die nötige Transparenz, um sie schnell erkennen oder eindämmen zu
können, und innerhalb kurzer Zeit hat die Malware ihr Ziel erreicht, und der Schaden ist entstanden.
Cisco AMP ist anders. Da präventive Point-in-Time-Erkennung und Blockierungsmethoden nicht zu 100 Prozent
effektiv sind, analysiert das AMP-System kontinuierlich Dateien und Datenverkehr auch nach der ersten
Erkennung. AMP überwacht, analysiert und erfasst alle Dateiaktivitäten und sämtliche Kommunikation auf
Endgeräten, Mobilgeräten und im Netzwerk, um verborgene Bedrohungen, die verdächtiges oder schädliches
Verhalten aufweisen, schnell zu erkennen. Beim ersten Anzeichen eines Problems benachrichtigt AMP
rückwirkend die Sicherheitsteams und stellt detaillierte Informationen zum Verhalten der Bedrohung bereit, sodass
Sie wichtige Sicherheitsfragen beantworten können:
●
Woher kam die Malware?
●
Welche Methode und welcher Angriffspunkt wurden genutzt?
●
Wo ist die Bedrohung aufgetreten, und welche Systeme sind betroffen?
●
Wie hat sich die Bedrohung verhalten, und wie verhält sie sich jetzt?
●
Wie können wir die Bedrohung aufhalten und die zugrunde liegende Ursache beseitigen?
Anhand dieser Informationen können die Sicherheitsteams schnell nachvollziehen, was geschehen ist, und mit den
Eindämmungs- und Beseitigungsfunktionen in AMP entsprechende Maßnahmen ergreifen. Mit wenigen Klicks in
der benutzerfreundlichen browserbasierten AMP-Managementkonsole können Administratoren Malware
eindämmen, indem sie die Ausführung der Datei auf jedem anderen Endgerät dauerhaft blockieren. Da Cisco AMP
auch weiß, wo eine Datei ausgeführt wurde, kann es diese Datei auch dort aus dem Speicher entfernen und für
alle Benutzer unter Quarantäne stellen. Wenn Malware eindringt, müssen Sicherheitsteams kein neues Image
ganzer Systeme mehr erstellen, um die Malware zu beseitigen. Ein solcher Vorgang kostet Zeit, Geld und
Ressourcen und stört den Betrieb kritischer Unternehmensfunktionen. Mit AMP gleicht die Beseitigung von
Malware einem chirurgischen Eingriff. Dadurch entstehen keine weiteren Schäden an den IT-Systemen, und
Beeinträchtigungen der Geschäftsabläufe werden vermieden.
© 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
Seite 3 von 6
Erreicht wird dies durch kontinuierliche Analysen, Erkennung und Retrospective Security. Die Dateiaktivitäten
werden in jedem System erfasst. Wenn eine als gut eingestufte Datei sich plötzlich schlecht verhält, kann der
gesamte Verlauf bis zum Ursprung zurückverfolgt und das Verhalten der Bedrohung analysiert werden. AMP bietet
Ihnen integrierte Funktionen zur Reaktion auf und Beseitigung von Bedrohungen. Darüber hinaus erinnert sich
AMP an die Signatur und das Verhalten der Datei und protokolliert die Daten in der AMP-Datenbank mit
Bedrohungsinformationen, um die erste Ebene der Schutzmechanismen zu stärken, sodass diese und ähnliche
Dateien die erste Erkennung nicht mehr umgehen können.
Sicherheitsteams erhalten umfassende Transparenz und Kontrolle, um Angriffe und verborgene Malware schnell
und effizient erkennen zu können, eine Vorstellung von der Gefährdung und deren Umfang zu gewinnen, Malware
schnell einzudämmen und zu beseitigen (auch bei Zero-Day-Angriffen), bevor Schaden entsteht, und um ähnliche
Angriffe schon im Vorfeld zu verhindern.
Wesentliche Merkmale
Die Funktionen für die kontinuierliche Analyse und Retrospective Security in AMP werden durch die folgenden
leistungsstarken Merkmale ermöglicht:
●
Indications of Compromise (IoC): Datei- und Telemetrieereignisse werden als potenziell aktive
Sicherheitsprobleme korreliert und priorisiert. AMP korreliert automatisch Daten zu Sicherheitsereignissen
aus mehreren Quellen, z. B. Zugriffsversuchs- und Malware-Ereignisse, sodass Sicherheitsteams einzelne
Ereignisse mit koordinierten Angriffen in Verbindung bringen und besonders riskante Ereignisse vorrangig
behandeln können.
●
Dateireputation: Mithilfe erweiterter Analysen und kollektiver Informationen wird ermittelt, ob eine Datei
schädlich oder unschädlich ist, wodurch die Genauigkeit der Erkennung erhöht wird.
●
Dynamische Malwareanalyse: In einer hochgradig sicheren Umgebung können Sie Malware ausführen,
analysieren und testen, um bisher unbekannte Zero-Day-Bedrohungen zu erkennen. Die Integration der
Technologien für Sandboxing und dynamische Malware-Analyse von AMP Threat Grid in die AMPLösungen führt zu umfassenderen Analysen auf der Grundlage einer größeren Anzahl von
Verhaltensindikatoren.
●
Retrospektive Erkennung: Wenn sich der Status einer Datei nach erweiterter Analyse ändert, werden
Warnmeldungen gesendet, sodass Sie über Malware informiert sind, die die erste Erkennung umgeht.
●
File Trajectory: Sie können die Weiterleitung einer Datei in Ihrer Umgebung zeitlich lückenlos
nachverfolgen, um mehr Transparenz zu erhalten und die Dauer bis zum Erkennen einer MalwareBedrohung zu verkürzen.
●
Device Trajectory: Die Aktivitäten und Kommunikationswege von Geräten und auf Systemebene können
kontinuierlich nachverfolgt werden, um die Ursachen und den Ereignisverlauf zu identifizieren, die zur
Kompromittierung geführt haben.
●
Elastische Suche: Anhand einer einfachen, uneingeschränkten Suche in den Datei-, Telemetrie- und
kollektiven Sicherheitsdaten können der Kontext und das Ausmaß eines Sicherheitsrisikos mit einem IoC
oder einer schädlichen Anwendung in Verbindung gebracht werden.
●
Verbreitung: AMP zeigt alle Dateien, die in Ihrem Unternehmen ausgeführt werden, nach ihrer Verbreitung
geordnet an. So können Sie bislang unerkannte Bedrohungen erkennen, von denen nur wenige Benutzer
betroffen waren. Dateien, die nur von wenigen Benutzern ausgeführt werden, können schädliche (z. B.
zielgerichtete Advanced Persistent Threats) oder bedenkliche Anwendungen sein, die in Ihrem erweiterten
Netzwerk möglicherweise nicht ausgeführt werden sollen.
© 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
Seite 4 von 6
●
Endgeräte-IoCs: Benutzer können eigene IoCs senden, um zielgerichtete Angriffe zu erkennen. Mit diesen
Endgeräte-IoCs können Sicherheitsteams genauere Analysen zu weniger bekannten intelligenten
Bedrohungen durchführen, die spezifisch für die Anwendungen in der jeweiligen Umgebung sind.
●
Schwachstellen: AMP zeigt eine Liste mit anfälliger Software in Ihrem System, die Hosts, auf denen diese
Software gespeichert ist, und die Hosts, die mit höchster Wahrscheinlichkeit betroffen sind. Unterstützt
durch Bedrohungsinformationen und Sicherheitsanalysen ermittelt AMP anfällige Software, auf die Malware
abzielt, und den möglichen Schaden, sodass Sie eine priorisierte Liste der Hosts erhalten, die mit Patches
versehen werden müssen.
●
Outbreak-Kontrolle: Mit AMP können Sie verdächtige Dateien oder Outbreaks besser kontrollieren und
beseitigen, ohne auf eine inhaltliche Aktualisierung warten zu müssen. Die Funktion zur Outbreak-Kontrolle
umfasst folgende Aspekte:
◦ Schnelle Blockierung bestimmter Dateien auf allen oder ausgewählten Systemen durch einfache
benutzerdefinierte Erkennung
◦ Blockierung von ganzen Gruppen polymorpher Malware durch erweiterte benutzerdefinierte Signaturen
◦ Durchsetzung von Anwendungsrichtlinien durch Listen zur Anwendungsblockierung oder Eindämmung
beschädigter Anwendungen, die als Malware-Gateway genutzt werden können, um den Infektionszyklus
zu stoppen
◦ Kontinuierliche Ausführung sicherer benutzerdefinierter oder geschäftskritischer Anwendungen durch
benutzerdefinierte Whitelists
◦ Unterbindung von Malware-Callbacks an der Quelle, sogar von Remote-Endgeräten außerhalb des
Unternehmensnetzwerks mithilfe von Device Flow Correlation
Bereitstellungsoptionen für Sicherheit an jedem Punkt
Cyberkriminelle starten ihre Angriffe über eine Vielzahl von Einstiegspunkten. Damit verborgene Angriffe effektiv
erkannt werden können, benötigen die Unternehmen Einblick in so viele Angriffsvektoren wie möglich. Daher kann
die AMP-Lösung an verschiedenen Kontrollpunkten im erweiterten Netzwerk bereitgestellt werden. Unternehmen
können Ort und Art der Bereitstellung individuell auf ihre Sicherheitsanforderungen abstimmen. Die Optionen
umfassen:
Produktname
Details
Cisco AMP für Endgeräte
Schutz für PCs, Macs, Mobilgeräte und virtuelle Umgebungen mit dem AMP Lightweight Connector, ohne
Leistungsbeeinträchtigungen für die Benutzer
Cisco AMP für Netzwerke
Bereitstellung von AMP als netzwerkbasierte Lösung integriert in Cisco FirePOWER™ NGIPS Security
Appliances
Cisco AMP auf ASA mit
FirePOWER Services
Bereitstellung von AMP-Funktionen integriert in die Cisco ASA-Firewall
Cisco AMP Private Cloud
Virtual Appliance
Bereitstellung von AMP als Air-Gap-Lösung vor Ort, speziell für Organisationen mit strengen
Datenschutzanforderungen, die die Nutzung einer Public Cloud einschränken
Cisco AMP auf CWS, ESA oder
WSA
Für Cisco Cloud Web Security (CWS), Email Security Appliance (ESA) und Web Security Appliance (WSA)
können AMP-Funktionen aktiviert werden, um Funktionen für Retrospective Security und Malware-Analyse
bereitzustellen.
Cisco AMP Threat Grid
AMP Threat Grid ist für eine erweiterte dynamische Malware-Analyse in Cisco AMP integriert. Außerdem ist
die Bereitstellung als Standalone-Lösung für dynamische Malware-Analysen und Bedrohungsinformationen
möglich.
© 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
Seite 5 von 6
Warum Cisco?
Die Frage ist heute nicht mehr, ob ein Angriff stattfinden wird, sondern wann. Die Point-in-Time-Erkennung allein
wird niemals zu 100 Prozent effektiv im Voraus alle Angriffe erkennen und blockieren können. Intelligente,
verborgene Malware und die Hacker, die sie erstellen, können Point-in-Time-Abwehrmechanismen überlisten und
jedes Unternehmen jederzeit angreifen. Selbst wenn Sie 99 Prozent aller Bedrohungen blockieren, reicht eine
einzelne Bedrohung, um eine Sicherheitsverletzung zu verursachen. Im Fall eines Angriffs müssen die
Unternehmen daher vorbereitet sein und über Tools verfügen, die ein Sicherheitsrisiko schnell erkennen, darauf
reagieren und es beseitigen.
Cisco AMP ist eine informationsgesteuerte, integrierte Analyse- und Schutzlösung der Enterprise-Klasse zur
Abwehr von intelligenter Malware. Die Lösung bietet globale Bedrohungsinformationen, um den Schutz vor
Bedrohungen zu verstärken, dynamische Analysemodule zum Blockieren schädlicher Dateien in Echtzeit sowie die
Möglichkeit, sämtliches Dateiverhalten und den gesamten Datenverkehr zu überwachen und zu analysieren. Diese
Funktionen bieten bisher einmalige Einblicke in die Aktivitäten potenzieller Bedrohungen sowie die erforderlichen
Kontrollmechanismen, um Malware schnell erkennen, eindämmen und beseitigen zu können. Somit sind sie vor,
während und nach einem Angriff geschützt. Die Lösung kann außerdem im gesamten Unternehmen eingesetzt
werden – im Netzwerk, auf Endgeräten, E-Mail- und Web-Gateways und in virtuellen Umgebungen –, sodass in
Ihrem Unternehmen die Transparenz wichtiger Eintrittspunkte für Angriffe gesteigert wird und Ort und Art der
Bereitstellung individuell auf ihre Sicherheitsanforderungen abgestimmt werden können.
Nächste Schritte
Weitere Informationen zu Cisco AMP sowie Produkt-Demos, Erfahrungsberichte von Kunden und Validierungen
von Dritten finden Sie unter http://www.cisco.com/go/amp.
Gedruckt in den USA
© 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
C22-734228-00
04/15
Seite 6 von 6

Download Report