Cisco Advanced Malware Protection

Transkript

1 Lösungsüberblick Cisco Advanced Malware Protection Prävention, Erkennung und Behebung von Sicherheitsverletzungen in der Praxis VORTEILE Zugriff auf die weltweit umfangreichsten Sicherheitsinformationen zur Verbesserung der Abwehrmechanismen des Netzwerks Umfassende Einblicke in Ursachen und Umfang einer Gefährdung Schnelle Erkennung, Handhabung und Beseitigung von Malware Verhinderung kostspieliger Neuinfektionen und Beseitigungsprozesse Umfassender Schutz für Netzwerk, Endgeräte, Mobilgeräte, , Internet vor, während und nach einem Angriff Die Malware von heute ist so weit fortgeschritten, dass sie nur schwer erkennbar ist und herkömmliche Schutzmechanismen einfach umgehen kann. Für Sicherheitsteams stellt die Verteidigung gegen solche Angriffe eine Herausforderung dar, da die Sicherheitstechnologie nicht die notwendige Transparenz und Kontrolle bietet, um Bedrohungen schnell erkennen und beseitigen zu können, bevor Schaden entsteht. Jeden Tag finden in Unternehmen auf der ganzen Welt Sicherheitsverstöße und Angriffe statt. Die heutige globale Hacker-Community setzt auf fortschrittliche Malware, die sie auf unterschiedliche Art und Weise in Unternehmen schleust. Diese vielfältigen, zielgerichteten Angriffe können sogar die besten Point-in-Time-Erkennungstools umgehen. Solche Tools überwachen Datenverkehr und Dateien beim Eintritt ins Netzwerk, bieten jedoch nur wenige Einblicke in die Aktivitäten der Bedrohungen, die bei der ersten Erkennung nicht erfasst werden. Daher tappen die IT-Sicherheitsteams oft im Dunkeln, was den Umfang der potenziellen Bedrohung betrifft, und können Malware nicht schnell genug erkennen und bekämpfen. Cisco Advanced Malware Protection (AMP) ist eine Sicherheitslösung, die den vollständigen Lebenszyklus des Problems intelligenter Malware berücksichtigt. Das System kann Sicherheitsverletzungen nicht nur verhindern, sondern bietet Ihnen Transparenz und Kontrolle, um Bedrohungen schnell erkennen, eindämmen und beseitigen zu können, wenn sie die erste Ebene der Schutzmechanismen umgangen haben und das kostengünstig und ohne Beeinträchtigung der Betriebseffizienz Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. Seite 1 von 6

2 Cisco Advanced Malware Protection im Überblick AMP ist eine informationsgesteuerte, integrierte Analyse- und Schutzlösung der Enterprise-Klasse zur Abwehr von intelligenter Malware. Sie erhalten umfassenden Schutz für Ihr Unternehmen über das gesamte Angriffskontinuum hinweg vor, während und nach dem Angriff. Vor einem Angriff nutzt AMP weltweite Bedrohungsinformationen von Cisco Collective Security Intelligence, der Talos Security Intelligence and Research Group und von AMP Threat Grid-Feeds, um die Abwehr von bekannten und aufkommenden Bedrohungen zu stärken. Während eines Angriffs nutzt AMP diese Informationen in Kombination mit bekannten Dateisignaturen und der dynamischen Malware-Analysetechnologie von Cisco AMP Threat Grid, um gegen die Richtlinien verstoßende Dateitypen und Angriffsversuche sowie schädliche Dateien, die in das Netzwerk eindringen wollen, zu identifizieren und zu blockieren. Nach einem Angriff oder nach der ersten Untersuchung einer Datei geht die Lösung über Point-in-Time- Erkennungsfunktionen hinaus und überwacht und analysiert ständig alle Dateiaktivitäten und den Datenverkehr, unabhängig von der Disposition, und sucht nach Anzeichen von schädlichem Verhalten. Wenn eine zuvor als unbekannt oder gut eingestufte Datei plötzlich schädliches Verhalten zeigt, wird dies von AMP erkannt. Die Sicherheitsteams werden sofort mit einem Hinweis auf einen Indication of Compromise benachrichtigt. Es bietet umfassende Transparenz über den Ursprung der Malware, welche Systeme betroffen sind und welche Aktionen die Malware durchführt. Darüber hinaus bietet die Lösung Kontrollmöglichkeiten, um mit wenigen Klicks auf das unberechtigte Eindringen zu reagieren und die schädliche Datei zu entfernen. So erhalten die Sicherheitsteams umfassende Transparenz und Kontrolle, um Angriffe schnell zu erkennen, den Umfang eines Angriffs abzuschätzen und Malware einzudämmen, bevor es zu Schäden kommt. Globale Bedrohungsinformationen und dynamische Malware-Analyse AMP basiert auf umfassenden Sicherheitsinformationen und dynamischen Malware-Analysen. Die Cisco Collective Security Intelligence, Talos Security Intelligence and Research Group und AMP Threat Grid Feeds sind die branchenweit größten Sammlungen von Echtzeit-Bedrohungsinformationen und Big Data-Analysen. Diese Daten werden dann von der Cloud an den AMP-Client gesendet, damit Ihnen immer aktuelle Bedrohungsinformationen vorliegen und Sie sich proaktiv schützen können. Nutzen für Unternehmen: 1,1 Millionen eingehende Malware-Beispiele pro Tag 1,6 Mio. Sensoren weltweit 100 TB Daten pro Tag 13 Milliarden Webanfragen 600 Ingenieure, Techniker und Forscher Betrieb rund um die Uhr AMP korreliert Dateien, Verhalten, Telemetriedaten und Aktivitäten mit dieser robusten, umfangreichen Wissensdatenbank, um Malware schnell zu identifizieren. Sicherheitsteams profitieren von der automatisierten Analyse durch AMP. Sie sparen Zeit bei der Suche nach schädlichen Aktivitäten und haben jederzeit Zugriff auf Bedrohungsinformationen, mit deren Hilfe sie fortschrittliche Angriffe schnell verstehen, priorisieren und blockieren können. Die Integration der Threat Grid-Technologie in AMP bietet außerdem folgende Vorteile: extrem genaue und kontextreiche Daten-Feeds, die in Standardformaten bereitgestellt werden, um eine nahtlose Integration in vorhandene Sicherheitstechnologien zu ermöglichen 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. Seite 2 von 6

3 Analyse von Millionen von Beispielen pro Monat im Hinblick auf mehr als 350 Verhaltensmerkmale, was zu Milliarden von Störsignalen führt eine leicht verständliche Bewertung der Bedrohung, anhand deren Sicherheitsteams Bedrohungen priorisieren können AMP wertet alle diese Daten aus, damit Sie fundierte Sicherheitsentscheidungen treffen oder damit automatisch Maßnahmen ergriffen werden können. Mit den ständig aktualisierten Informationen kann das System z. B. bekannte Malware und gegen Richtlinien verstoßende Dateitypen blockieren, bekannt schädliche Verbindungen dynamisch auf eine schwarze Liste setzen und Versuche blockieren, Dateien von als schädlich kategorisierten Websites und Domänen herunterzuladen. Kontinuierliche Analysen und Retrospective Security Die meisten Netzwerk- und Endgeräte-basierten Antimalware-Systeme untersuchen Dateien nur einmal zu dem Zeitpunkt, an dem sie einen Kontrollpunkt in das erweiterte Netzwerk durchlaufen. Danach erfolgt keine weitere Analyse mehr. Heutige Malware ist jedoch so ausgereift, dass diese Ersterkennung umgangen werden kann. Sleeper-Techniken, Polymorphie, Verschlüsselung und die Verwendung von unbekannten Protokollen sind nur einige der Methoden, durch die Malware unerkannt bleibt. Sie können sich nicht vor etwas schützen, das Sie nicht sehen können. Darin liegt die Ursache der meisten schwerwiegenden Sicherheitsverletzungen. Sicherheitsteams erkennen Bedrohungen häufig nicht beim Eindringen in das System und sind sich danach nicht bewusst, dass die Bedrohung überhaupt besteht. Ihnen fehlt die nötige Transparenz, um sie schnell erkennen oder eindämmen zu können, und innerhalb kurzer Zeit hat die Malware ihr Ziel erreicht, und der Schaden ist entstanden. Cisco AMP ist anders. Da präventive Point-in-Time-Erkennung und Blockierungsmethoden nicht zu 100 Prozent effektiv sind, analysiert das AMP-System kontinuierlich Dateien und Datenverkehr auch nach der ersten Erkennung. AMP überwacht, analysiert und erfasst alle Dateiaktivitäten und sämtliche Kommunikation auf Endgeräten, Mobilgeräten und im Netzwerk, um verborgene Bedrohungen, die verdächtiges oder schädliches Verhalten aufweisen, schnell zu erkennen. Beim ersten Anzeichen eines Problems benachrichtigt AMP rückwirkend die Sicherheitsteams und stellt detaillierte Informationen zum Verhalten der Bedrohung bereit, sodass Sie wichtige Sicherheitsfragen beantworten können: Woher kam die Malware? Welche Methode und welcher Angriffspunkt wurden genutzt? Wo ist die Bedrohung aufgetreten, und welche Systeme sind betroffen? Wie hat sich die Bedrohung verhalten, und wie verhält sie sich jetzt? Wie können wir die Bedrohung aufhalten und die zugrunde liegende Ursache beseitigen? Anhand dieser Informationen können die Sicherheitsteams schnell nachvollziehen, was geschehen ist, und mit den Eindämmungs- und Beseitigungsfunktionen in AMP entsprechende Maßnahmen ergreifen. Mit wenigen Klicks in der benutzerfreundlichen browserbasierten AMP-Managementkonsole können Administratoren Malware eindämmen, indem sie die Ausführung der Datei auf jedem anderen Endgerät dauerhaft blockieren. Da Cisco AMP auch weiß, wo eine Datei ausgeführt wurde, kann es diese Datei auch dort aus dem Speicher entfernen und für alle Benutzer unter Quarantäne stellen. Wenn Malware eindringt, müssen Sicherheitsteams kein neues Image ganzer Systeme mehr erstellen, um die Malware zu beseitigen. Ein solcher Vorgang kostet Zeit, Geld und Ressourcen und stört den Betrieb kritischer Unternehmensfunktionen. Mit AMP gleicht die Beseitigung von Malware einem chirurgischen Eingriff. Dadurch entstehen keine weiteren Schäden an den IT-Systemen, und Beeinträchtigungen der Geschäftsabläufe werden vermieden Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. Seite 3 von 6

4 Erreicht wird dies durch kontinuierliche Analysen, Erkennung und Retrospective Security. Die Dateiaktivitäten werden in jedem System erfasst. Wenn eine als gut eingestufte Datei sich plötzlich schlecht verhält, kann der gesamte Verlauf bis zum Ursprung zurückverfolgt und das Verhalten der Bedrohung analysiert werden. AMP bietet Ihnen integrierte Funktionen zur Reaktion auf und Beseitigung von Bedrohungen. Darüber hinaus erinnert sich AMP an die Signatur und das Verhalten der Datei und protokolliert die Daten in der AMP-Datenbank mit Bedrohungsinformationen, um die erste Ebene der Schutzmechanismen zu stärken, sodass diese und ähnliche Dateien die erste Erkennung nicht mehr umgehen können. Sicherheitsteams erhalten umfassende Transparenz und Kontrolle, um Angriffe und verborgene Malware schnell und effizient erkennen zu können, eine Vorstellung von der Gefährdung und deren Umfang zu gewinnen, Malware schnell einzudämmen und zu beseitigen (auch bei Zero-Day-Angriffen), bevor Schaden entsteht, und um ähnliche Angriffe schon im Vorfeld zu verhindern. Wesentliche Merkmale Die Funktionen für die kontinuierliche Analyse und Retrospective Security in AMP werden durch die folgenden leistungsstarken Merkmale ermöglicht: Indications of Compromise (IoC): Datei- und Telemetrieereignisse werden als potenziell aktive Sicherheitsprobleme korreliert und priorisiert. AMP korreliert automatisch Daten zu Sicherheitsereignissen aus mehreren Quellen, z. B. Zugriffsversuchs- und Malware-Ereignisse, sodass Sicherheitsteams einzelne Ereignisse mit koordinierten Angriffen in Verbindung bringen und besonders riskante Ereignisse vorrangig behandeln können. Dateireputation: Mithilfe erweiterter Analysen und kollektiver Informationen wird ermittelt, ob eine Datei schädlich oder unschädlich ist, wodurch die Genauigkeit der Erkennung erhöht wird. Dynamische Malwareanalyse: In einer hochgradig sicheren Umgebung können Sie Malware ausführen, analysieren und testen, um bisher unbekannte Zero-Day-Bedrohungen zu erkennen. Die Integration der Technologien für Sandboxing und dynamische Malware-Analyse von AMP Threat Grid in die AMP- Lösungen führt zu umfassenderen Analysen auf der Grundlage einer größeren Anzahl von Verhaltensindikatoren. Retrospektive Erkennung: Wenn sich der Status einer Datei nach erweiterter Analyse ändert, werden Warnmeldungen gesendet, sodass Sie über Malware informiert sind, die die erste Erkennung umgeht. File Trajectory: Sie können die Weiterleitung einer Datei in Ihrer Umgebung zeitlich lückenlos nachverfolgen, um mehr Transparenz zu erhalten und die Dauer bis zum Erkennen einer Malware- Bedrohung zu verkürzen. Device Trajectory: Die Aktivitäten und Kommunikationswege von Geräten und auf Systemebene können kontinuierlich nachverfolgt werden, um die Ursachen und den Ereignisverlauf zu identifizieren, die zur Kompromittierung geführt haben. Elastische Suche: Anhand einer einfachen, uneingeschränkten Suche in den Datei-, Telemetrie- und kollektiven Sicherheitsdaten können der Kontext und das Ausmaß eines Sicherheitsrisikos mit einem IoC oder einer schädlichen Anwendung in Verbindung gebracht werden. Verbreitung: AMP zeigt alle Dateien, die in Ihrem Unternehmen ausgeführt werden, nach ihrer Verbreitung geordnet an. So können Sie bislang unerkannte Bedrohungen erkennen, von denen nur wenige Benutzer betroffen waren. Dateien, die nur von wenigen Benutzern ausgeführt werden, können schädliche (z. B. zielgerichtete Advanced Persistent Threats) oder bedenkliche Anwendungen sein, die in Ihrem erweiterten Netzwerk möglicherweise nicht ausgeführt werden sollen Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. Seite 4 von 6

5 Endgeräte-IoCs: Benutzer können eigene IoCs senden, um zielgerichtete Angriffe zu erkennen. Mit diesen Endgeräte-IoCs können Sicherheitsteams genauere Analysen zu weniger bekannten intelligenten Bedrohungen durchführen, die spezifisch für die Anwendungen in der jeweiligen Umgebung sind. Schwachstellen: AMP zeigt eine Liste mit anfälliger Software in Ihrem System, die Hosts, auf denen diese Software gespeichert ist, und die Hosts, die mit höchster Wahrscheinlichkeit betroffen sind. Unterstützt durch Bedrohungsinformationen und Sicherheitsanalysen ermittelt AMP anfällige Software, auf die Malware abzielt, und den möglichen Schaden, sodass Sie eine priorisierte Liste der Hosts erhalten, die mit Patches versehen werden müssen. Outbreak-Kontrolle: Mit AMP können Sie verdächtige Dateien oder Outbreaks besser kontrollieren und beseitigen, ohne auf eine inhaltliche Aktualisierung warten zu müssen. Die Funktion zur Outbreak-Kontrolle umfasst folgende Aspekte: Schnelle Blockierung bestimmter Dateien auf allen oder ausgewählten Systemen durch einfache benutzerdefinierte Erkennung Blockierung von ganzen Gruppen polymorpher Malware durch erweiterte benutzerdefinierte Signaturen Durchsetzung von Anwendungsrichtlinien durch Listen zur Anwendungsblockierung oder Eindämmung beschädigter Anwendungen, die als Malware-Gateway genutzt werden können, um den Infektionszyklus zu stoppen Kontinuierliche Ausführung sicherer benutzerdefinierter oder geschäftskritischer Anwendungen durch benutzerdefinierte Whitelists Unterbindung von Malware-Callbacks an der Quelle, sogar von Remote-Endgeräten außerhalb des Unternehmensnetzwerks mithilfe von Device Flow Correlation Bereitstellungsoptionen für Sicherheit an jedem Punkt Cyberkriminelle starten ihre Angriffe über eine Vielzahl von Einstiegspunkten. Damit verborgene Angriffe effektiv erkannt werden können, benötigen die Unternehmen Einblick in so viele Angriffsvektoren wie möglich. Daher kann die AMP-Lösung an verschiedenen Kontrollpunkten im erweiterten Netzwerk bereitgestellt werden. Unternehmen können Ort und Art der Bereitstellung individuell auf ihre Sicherheitsanforderungen abstimmen. Die Optionen umfassen: Produktname Cisco AMP für Endgeräte Cisco AMP für Netzwerke Cisco AMP auf ASA mit FirePOWER Services Cisco AMP Private Cloud Virtual Appliance Cisco AMP auf CWS, ESA oder WSA Cisco AMP Threat Grid Details Schutz für PCs, Macs, Mobilgeräte und virtuelle Umgebungen mit dem AMP Lightweight Connector, ohne Leistungsbeeinträchtigungen für die Benutzer Bereitstellung von AMP als netzwerkbasierte Lösung integriert in Cisco FirePOWER NGIPS Security Appliances Bereitstellung von AMP-Funktionen integriert in die Cisco ASA-Firewall Bereitstellung von AMP als Air-Gap-Lösung vor Ort, speziell für Organisationen mit strengen Datenschutzanforderungen, die die Nutzung einer Public Cloud einschränken Für Cisco Cloud Web Security (CWS), Security Appliance (ESA) und Web Security Appliance (WSA) können AMP-Funktionen aktiviert werden, um Funktionen für Retrospective Security und Malware-Analyse bereitzustellen. AMP Threat Grid ist für eine erweiterte dynamische Malware-Analyse in Cisco AMP integriert. Außerdem ist die Bereitstellung als Standalone-Lösung für dynamische Malware-Analysen und Bedrohungsinformationen möglich Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. Seite 5 von 6

6 Warum Cisco? Die Frage ist heute nicht mehr, ob ein Angriff stattfinden wird, sondern wann. Die Point-in-Time-Erkennung allein wird niemals zu 100 Prozent effektiv im Voraus alle Angriffe erkennen und blockieren können. Intelligente, verborgene Malware und die Hacker, die sie erstellen, können Point-in-Time-Abwehrmechanismen überlisten und jedes Unternehmen jederzeit angreifen. Selbst wenn Sie 99 Prozent aller Bedrohungen blockieren, reicht eine einzelne Bedrohung, um eine Sicherheitsverletzung zu verursachen. Im Fall eines Angriffs müssen die Unternehmen daher vorbereitet sein und über Tools verfügen, die ein Sicherheitsrisiko schnell erkennen, darauf reagieren und es beseitigen. Cisco AMP ist eine informationsgesteuerte, integrierte Analyse- und Schutzlösung der Enterprise-Klasse zur Abwehr von intelligenter Malware. Die Lösung bietet globale Bedrohungsinformationen, um den Schutz vor Bedrohungen zu verstärken, dynamische Analysemodule zum Blockieren schädlicher Dateien in Echtzeit sowie die Möglichkeit, sämtliches Dateiverhalten und den gesamten Datenverkehr zu überwachen und zu analysieren. Diese Funktionen bieten bisher einmalige Einblicke in die Aktivitäten potenzieller Bedrohungen sowie die erforderlichen Kontrollmechanismen, um Malware schnell erkennen, eindämmen und beseitigen zu können. Somit sind sie vor, während und nach einem Angriff geschützt. Die Lösung kann außerdem im gesamten Unternehmen eingesetzt werden im Netzwerk, auf Endgeräten, - und Web-Gateways und in virtuellen Umgebungen, sodass in Ihrem Unternehmen die Transparenz wichtiger Eintrittspunkte für Angriffe gesteigert wird und Ort und Art der Bereitstellung individuell auf ihre Sicherheitsanforderungen abgestimmt werden können. Nächste Schritte Weitere Informationen zu Cisco AMP sowie Produkt-Demos, Erfahrungsberichte von Kunden und Validierungen von Dritten finden Sie unter Gedruckt in den USA C / Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. Seite 6 von 6