Les attaques zero-day et les APTs sont des risques de sécurité qui sont pris de plus en plus au sérieux par les entreprises et dans les administrations. Les technologies Advanced Malware Protection (AMP) venant de l’acquisition de Sourcefire aident efficacement à répondre à ces problématiques.
AMP s’appuie sur un filtrage sur la réputation des fichiers, sur de l’analyse dynamique et sur du sandboxing. Mais AMP est différent des autres solutions de sandboxing car il effectue une analyse et une vérification continues. Il peut ainsi détecter et bloquer les malwares avec une traçabilité optimale : il alerte à posteriori dans le cas où un objet déjà contrôlé n’avait pas précédemment été vu comme étant malicieux. Ceci est possible car AMP s’appuie sur les performances, les capacités de stockage et l’intelligence collective du Cloud pour complémenter ce que permet le traitement à un instant donné effectué par un boitier ou sur un serveur. AMP va donc beaucoup plus loin que ce qui est effectué depuis près de 20 ans !
AMP est la première solution qui est capable de corréler des indicateurs de compromissions (IoC) entre le réseau et les postes de travail, tablettes et smartphones des utilisateurs, pour prioriser les événements correspondants avec une seule console.
Son support vient d’être étendu et il peut maintenant être utilisé :
– sous Windows, Mac OS X et Android (AMP for Endpoints)
– avec des boitiers AMP dédiés ou sinon intégré avec FirePower (AMP for Networks)
– avec les solutions de sécurité Email (AMP for Cisco Email Security)
– avec les solutions de sécurité Web (AMP for Cisco Web Security)
AMP représente un différentiateur important pour notre portefeuille de solutions de sécurité, et notamment les solutions de Content Security, sachant que ces solutions s’appuient déjà nativement sur de multiples technologies de sécurité telles que le filtrage par notes de réputation Email/Web , Outbreak filters, Outbreak Intelligence, Cognitive Threat Analytics, etc…
On nous demande fréquemment si AMP est équivalent aux moteurs Antivirus, et la réponse est non. On peut faire une analogie simple avec une voiture : dans le passé, les moteurs AV étaient capables de détecter la majorité des objets infectés, de même que lorsqu’une voiture ne roule pas trop vite, la ceinture de sécurité peut être suffisante. Les voitures modernes sont équipées de multiples airbags qui fournissent une protection très efficace, mais la ceinture de sécurité a toujours son utilité. Ceci peut être comparé aux différents traitements de sécurité de AMP qui complètent des moteurs AV de moins en moins efficaces de nos jours. Et je pense que personne ne conteste l’utilité des airbags dans une voiture !
Nous comprenons aussi que certaines administrations, organisations gouvernementales ou entreprises sensibles ont des contraintes réglementaires ou internes strictes concernant la confidentialité des données. Néanmoins ces entités ont les mêmes besoins en termes de sécurité et de protection contre les malwares avancés et les APTs. Nous venons donc d’annoncer la solution AMP Private Cloud qui offre un compromis pertinent : profiter de la protection de AMP sans exposer ses données dans un Cloud public.
AMP a été récemment reconnu par NSS labs comme une des toutes meilleures solutions en termes d’efficacité, de protection et aussi de coûts associés (TCO) : http://info.sourcefire.com/2014NSSBreachDetectionReport-Cisco.html.
Des informations complémentaires sur AMP sont disponibles ici : http://www.cisco.com/c/en/us/solutions/enterprise-networks/advanced-malware-protection/index.html
Nous avons de plus annoncé il y a quelques jours notre intention d’acquérir la société américaine ThreatGRID. Les technologies d’analyse dynamique de ThreatGRID, aussi bien pour des solutions internalisées que pour le Cloud, vont s’ajouter à celles de AMP et elles vont permettre d’étendre encore l’agrégation et la corrélation de données pour la défense avancée contre les menaces déjà mise en place dans nos solutions.