Resumo
Cisco Advanced Malware
Protection para redes
Prevenção, detecção, e resposta à violação para
situações do mundo real
Benefícios
• Detectar e bloquear
tentativas de exploração,
arquivos mal-intencionados
e arquivos violadores de
políticas
• Analisar e registrar
continuamente a
atividade do arquivo para
rastrear a propagação do
malware e dimensionar o
comprometimento
• Correlacionar eventos
distintos a ataques
coordenados
• Ganhar ampla visibilidade
e controle para detectar,
analisar e conter rapidamente
violações
• Acessar uma inteligência
global de ameaças para
fortalecer defesas de rede
• Gerenciar a solução por meio
de um console do navegador
da Web do AMP fácil de usar,
o FireSIGHT Management
Center
As empresas estão sob ataque, e as violações de segurança acontecem
todos os dias. Os hackers estão criando malwares avançados que
podem escapar até mesmo das melhores ferramentas de detecção
instantânea, como firewalls e sistemas de prevenção contra intrusão.
Essas ferramentas inspecionam o tráfego no ponto de entrada na rede,
mas nunca são 100% eficazes na detecção de todas as ameaças que
tentam se infiltrar no ambiente da empresa. Além de isso, oferecem pouca
visibilidade em relação à atividade das ameaças que invadem a primeira
linha de defesa. Isso deixa as equipes de segurança de TI impossibilitadas
de ter uma dimensão de um possível comprometimento ou detectar e
conter prontamente um malware antes que este cause danos.
O Cisco Advanced Malware Protection (AMP) para redes vai além dos
recursos point-in-time para proteger empresas, antes, durante e depois
de um ataque.
• Antes de um ataque, o AMP usa a melhor inteligência global de
ameaças para fortalecer as defesas da rede.
• Durante um ataque, o AMP usa a inteligência, as assinaturas
conhecidas do arquivo e a tecnologia dinâmica de análise de arquivos
para bloquear o malware que está tentando invadir a rede.
• Depois de um ataque ou após um arquivo passar pela rede, o AMP
monitora e analisa continuamente toda a atividade e o tráfego do
arquivo. Se um arquivo exibir comportamento mal-intencionado, o
AMP proporcionará maior visibilidade das atividades da ameaça e
controle para responder rapidamente e controlá-la.
O AMP para redes não apenas disponibiliza recursos de prevenção contra
violações, como também, em caso de invasão não detectada, oferece
detecção, resposta e recursos de contenção com rapidez a violações,
sem afetar a eficiência operacional e com bom custo-benefício.
Inteligência de ameaças e análise dinâmica de malware
O AMP para redes foi desenvolvido com base no maior acervo de
inteligência de ameaças em tempo real e análises dinâmicas de malware
fornecidas pelo Cisco Collective Security Intelligence e pelo Talos
Security Intelligence and Research Group. Benefícios para as empresas:
• 1,1 milhão de amostras de
• 13 bilhões de solicitações da Web
entrada de malware por dia
• 600 engenheiros, técnicos e
• 1,6 milhão de sensores globais
pesquisadores
• 100 terabytes de dados por dia • Operações 24 horas
© 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Resumo
Recursos
Análise contínua: mesmo após um
arquivo ter atravessado o ponto de
controle da rede, o AMP continua
monitorando, analisando e registrando
a atividade do arquivo para detectar
rapidamente algum malware que
escape das defesas de linha de frente.
Segurança retrospectiva: se um
arquivo anteriormente considerado
"desconhecido" ou “sem problemas”
exibir comportamento malintencionado, o AMP enviará um alerta
retrospectivo e exibirá o histórico
registrado das atividades desse
arquivo para que você possa ter uma
dimensão do comprometimento e agir
prontamente.
Cisco FireSIGHT Management Center:
obtenha visibilidade em seu ambiente
usando um único painel que exibe
as atividades das ameaças, hosts,
sistemas operacionais, aplicações,
usuários, arquivos e informações de
geolocalização.
Análise dinâmica de malware e
sandboxing: um ambiente de alta
segurança ajuda a ativar e analisar o
malware contra uma grande variedade
de indicadores de comportamento
para descobrir de forma prévia
ameaças de dia zero.
Instruções de comprometimento
(IoCs): o AMP correlaciona
automaticamente dados de eventos
de segurança de várias fontes,
como arquivos, telemetria, invasão
e eventos de malware, priorizandoos como violações potenciais ativas.
Isso ajuda as equipes de segurança a
conectar eventos a ataques maiores
coordenados e a priorizar eventos de
alto risco.
Trajetória do arquivo: a propagação
do arquivo é rastreada continuamente
para oferecer visibilidade e reduzir
o tempo necessário para definir o
escopo de uma invasão de malware.
Integração com o Cisco AMP
para endpoints: para reforçar a
visibilidade das atividades executáveis
nos endpoints, bem como para
correlacionar eventos de rede a
eventos de endpoint, o AMP para
redes é compatível com o AMP para
endpoints.
Com essas informações, o AMP produz uma inteligência factível,
como pontuações de ameaças, para ajudar as equipes de segurança
a priorizar a resposta. O AMP correlaciona automaticamente arquivos,
comportamentos, dados de telemetria e atividades com esse banco de
informações contextuais para bloquear ameaças que tentam se infiltrar
na rede. Oferece às equipes de segurança uma maior percepção
das ameaças na rede e permite uma resposta mais rápida e fácil a
incidentes.
Análise contínua e segurança retrospectiva
O AMP para redes monitora, analisa e grava continuamente todas as
atividades de arquivo, independentemente da disposição, mesmo depois
da inspeção inicial no ponto de controle da rede. Se o AMP observar uma
atividade suspeita ou mal-intencionada, ou se um arquivo considerado
anteriormente "bom" se tornar "ruim", as equipes de segurança
enviarão um alerta e uma indicação de comprometimento. Ele também
disponibiliza visibilidade sobre o que exatamente aconteceu. As equipes
de segurança podem visualizar o histórico completo das ameaças,
basicamente voltando o malware no tempo, e obter rapidamente
respostas a perguntas de segurança essenciais, como:
• De onde vem o malware?
• Quais sistemas foram afetados?
• O que a ameaça está fazendo?
• Como pará-la?
Usando o recurso File Trajectory (Trajetória do Arquivo), as equipes
de segurança podem rastrear a transmissão de um arquivo analisando
uma representação visual das transferências de arquivos ao longo do
tempo e outras informações sobre o arquivo. Em seguida, será fácil
bloquear a comunicação e os arquivos mal-intencionados com uma
simples atualização da política e uma lista personalizada de detecções.
Você está autorizado a agir sempre que desejar, sem a necessidade de
esperar uma atualização cedida pelo fornecedor.
É a segurança retrospectiva e a análise contínua em ação, dando às
equipes de segurança visibilidade e controle para detectar, conter e
responder a ameaças rapidamente.
Implantação
O AMP para redes é gerenciado pelo Cisco FireSIGHT™ Management
Center, um console de gerenciamento da Web fácil de usar. Ele é
implantado como uma assinatura no sistema de prevenção de intrusão
de próxima geração (NGIPS) do Cisco FirePOWER que abrange grande
parte da rede e recursos de processamento.
Próximas Etapas
Converse com um representante ou parceiro de canal sobre como o
AMP para redes pode ajudá-lo a proteger uma empresa contra ataques
cibernéticos avançados. Obtenha mais informações em
www.cisco.com/go/ampnetwork.
© 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. A Cisco e o logotipo da Cisco são marcas comerciais
ou registradas da Cisco e/ou de suas afiliadas nos EUA e em outros países. Para ver uma lista de marcas comerciais
da Cisco, acesse este URL: www.cisco.com/go/trademarks. Todas as marcas de terceiros citadas pertencem a seus
respectivos detentores. O uso do termo "parceiro" não implica uma relação de sociedade entre a Cisco e qualquer outra
empresa. (1110R)
C45-731875-010 3/15