Блог Cisco в России и СНГ
Share

Как расширить возможности NGFW для борьбы с вредоносным кодом?


January 25, 2016


Многие специалисты по ИБ, которые не знакомы с тем, как создается и распространяется современное вредоносное ПО, по-прежнему базируют свои знания на устаревших сведениях, полученных из старых книжек (например, Безрукова или Касперского) о том, как пишутся вирусы и что они из себя представляют. Но с тех пор утекло много воды – вредоносное ПО поменялось и очень сильно. Сегодня это сложный программный продукт, созданный квалифицированными программистами и архитекторами.

Это не один исполняемый exe-файл, который использует далеко не один вектор атаки. При этом данное программное обеспечение использует модульную структуру, позволяющую подгружать новую функциональность в зависимости от задач, стоящих перед владельцами вредоносного ПО. Отсюда вытекает еще одна неприятная особенность современных вредоносов – высокий уровень доработки продуктов для очередной хакерской кампании.

И конечно же создатели “плохого” ПО прекрасно осознают, что их детища будут искать, будут запускать в “песочницах”, будут подвергать различным методам анализа и отладки. Поэтому по ту сторону баррикад существует развитая индустрия создания специфического ПО с хорошими бюджетами и высоким уровнем заинтересованности.

Для борьбы с таким вредоносным ПО недостаточно обычного антивируса или межсетевого экрана следующего поколения или системы обнаружения вторжений. Компания Cisco предлагает специализированную платформу Advanced Malware Protection (AMP), которая специально предназначена для борьбы с современным  вредоносным кодом.

Данное решение, которое может расширять функциональность межсетевых экранов, маршрутизаторов, систем предотвращения вторжений и систем анализа контента, использует семь различных алгоритмов обнаружения злонамеренной активности.

Но наиболее интересной возможностью Cisco AMP можно по праву назвать функцию ретроспективной безопасности, позволяющей обнаруживать вредоносный код пост-фактум, когда он все-таки попал по каким-то причинам во внутреннюю сеть предприятия. На нашем корпоративном канале вы можете увидеть как работает данный механизм.

После обнаружения злонамеренной активности можно приступить к реагированию на нее, ее нейтрализации и полноценном расследовании происходящего. Заложенные в Cisco AMP механизмы позволяет ответить на такие вопросы, как:

  • Какие системы были инфицированы?
  • Кто был инфицирован?
  • Когда это произошло?
  • Какой процесс и узел был отправной точкой?
  • Почему это произошло?
  • С кем взаимодействовал пострадавший узел или пользователь?
  • Что еще произошло в рамках инцидента?

Одним из способов обнаружения вредоносной активности в AMP является передача файла для анализа в облачный сервис Cisco. Однако в ряде случаев эта функция должна быть ограничена. Например, в случае отсутствия Интернета, его перебоях или иных ситуациях. В таких случаях существует возможность установки специального локального решения Cisco AMP Private Cloud, которое позволяет осуществлять локальный анализ и управление компонентами Cisco AMP. Вторым интересным расширением является Cisco AMP Threat Grid – платформа для проведения анализа загружаемых в нее файлов. К Threat Grid могут подключаться как решения Cisco, так и продукты других производителей. Также возможна загрузка файлов через портал для “ручного” анализа.

Разумеется, Cisco AMP не является панацеей от всех бед, исходящих от злоумышленников. Однако это решение может серьезно повысить шансы на защиту корпоративных и ведомственных сетей от случайных и, что гораздо важнее, направленных атак и кампаний. Особенно в том случае, если Cisco AMP будет работать в паре с уже установленными в сети средствами защиты компании Cisco – межсетевыми экранами, включая и промышленные, системами предотвращения вторжений, маршрутизаторами, системами контроля e-mail и Web, решениями по облачной безопасности.

Подробная информация о Cisco AMP:

  • описание Cisco AMP for Content
  • описание Cisco AMP for Endpoint
  • описание Cisco AMP for Network
  • краткий обзор новой версии Cisco AMP
  • обзор сервиса Cisco AMP Threat Grid на Хабре
  • описание Cisco AMP Threat Grid (облачное решение и в виде устройства)
  • обзор Cisco AMP на Хабре
  • WP “Пять новых законов защиты от вредоносного ПО: отражение новых угроз”
  • WP “Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО”
Tags:
Оставить комментарий