Amenințările cibernetice din mediul online sunt o certitudine

CERT-RO a publicat raportul alertelor din 2017 pentru România, situația fiind una nefavorabilă pentru securitatea cibernetică. Potrivit acestui raport, pierderile de date și campaniile de ransomware la scară largă au fost în prim-plan în 2017. Marile companii din domeniu indicau o dublare a infecțiilor cu ransomware în 2017 (Symantec) și o proporție de aproape 60% din totalul atacurilor cu malware în rândul companiilor în primul semestru din 2017 (Malwarebytes), în timp ce la începutul anului 2018 estimările FBI indicau 4.000 de atacuri cibernetice de tip ransomware pe zi.

Tot în 2017, s-au desfășurat două campanii majore de ransomware, respectiv renumita WannaCry și NotPetya. Cele două au fost în prim-plan și pe agenda publică din România, după ce au afectat sute de mii de sisteme din sectoare diverse precum: sănătate, transport, manufactură și administrație publică din aproximativ 150 țări. CERT-RO a publicat alerte, actualizări și recomandări pe parcursul celor două campanii, în vederea prevenirii infectării utilizatorilor din România sau a remedierii în caz de infectare.

Cisco AMP vă aduce protecția anti-malware necesară

protectie-detectie-anti-malware

Diferența dintre detecția malware și depistarea unui ecosistem malware

Pentru a vă proteja compania sau instituția și dispozitivele din organizația dumneavoastră, Cisco vine în ajutor cu o soluție eficientă de securitate cibernetică. Cisco AMP (Advanced Malware Protection) oferă o analiză continuă a fișierelor ce tranzitează rețeaua, permițând o detecție și blocare rapidă a codurilor malițioase. În plus, oferă vizibilitate a traiectoriei fișierelor în rețea pentru o retrospecție detaliată: pe unde a intrat, când, cum a intrat, ce a afectat, care este comportamentul etc.

Cisco AMP poate fi oferit ca serviciu la nivel de Endpoint pentru o protecție și analiză la acest nivel, precum și la nivel de rețea prin appliance-urile NGFW cu FirePower și soluțiile de web și mail security. Pentru o protecție completă și vizibilitate maximă a traiectoriei codurilor malițioase se recomandă folosirea Cisco AMP pentru rețea împreună cu varianta Endpoint.

Licențiere necesară: subscripție anuală pentru semnături Cisco AMP pentru fiecare appliance și subscripție anuală pe număr de utilizatori la Cisco AMP pentru Endpoint

cisco-amp-cloud

Cisco Advanced Malware Protection

Este o tehnologie ce profită de infrastructura cloud. Utilizând AMP Public Cloud sau AMP Private Cloud (dacă îi este permis), are eficiență crescută în decizii atât în ceea ce privește analiza, cât și la nivel de securitate. Utilizarea cloudului este o alegere comună în mai multe aplicații: e-mail, managementul relațiilor cu clienții, aplicații de backup etc.

Sunt patru întrebări comune legate de serviciile ce utilizează platforme cloud. Acestea se învârt în jurul a trei criterii importante: protecția datelor, securitatea și disponibilitatea AMP Cloud.

  1. Ce tip de date sunt trimise în cloud?
  2. Cum sunt protejate datele în timpul transmisiei?
  3. Cum este întreținut serviciul cloud și cum este protejat de acces neautorizat?
  4. Cum este asigurată disponibilitatea serviciilor cloud?

În continuare, voi descrie ce date sunt trimise spre cloud, de ce sunt trimise datele respective și ce măsuri de protecție pentru datele respective sunt luate de către angajații Cisco. Abordarea Cisco referitoare la protecția datelor, disponibilitatea și securitatea AMP Cloud nu urmărește doar un set de checklist-uri simpliste, ci o mentalitate de încorporare a securității, fiabilitate și protecția datelor încă din etapa de design și primele ședințe până la faza finală.

securitate-avansata-anti-malware-cisco-amp

Cisco AMP Cloud

Următoarele produse utilizează AMP Cloud pentru protecția infrastructurii dumneavoastră:

  • Cisco AMP for Endpoints – Protecție împotriva infecțiilor de tip malware pentru dispozitive. Aplicația comunică cu AMP Cloud pentru a putea oferi o protecție și analiză eficientă a datelor.
  • Cisco AMP for Network – Protecție împotriva infecțiilor de tip malware pentru rețea. Proiectată specific pentru produsele Cisco NGIPS și NGFW, Cisco AMP for Network oferă vizibilitate, control și o analiză continuă pentru o protecție împotriva atacurilor cibernetice sofisticate și precis direcționate de tip malware.
  • Cisco AMP for Content – Protecție pentru e-mail și conținut web, bazată pe reputația fișierelor și analiza continuă a acestora.

Securitatea și diponibilitatea AMP Cloud se bazează pe următoarele elemente cheie:

  • Physical Security – Pentru protejarea data centerului în care se află Cisco AMP Cloud.
  • System Security – Procedurile urmărite pentru a proteja AMP Cloud de atacuri cibernetice și alte amenințări.
  • System Availability – Pentru a asigura disponibilitatea serviciului AMP Cloud. Astfel, clienții Cisco au acces la beneficiile sofisticate de detecție a amenințărilor.

Pentru mai multe detalii, accesați fișierul AMP Data Security, disponibil în magazinul nostru online Qmart: Bundle Cisco AMP și Umbrella.


Cisco AMP for Endpoints

vizibilitate-control-cisco-ampOrganizațiile se străduiesc să găsească o soluție care să poată aborda eficient întregul ciclu de viață al unui malware avansat. Problemele principale sunt asigurarea protecției, a răspunsului la incident și a remedierii împotriva celor mai recente amenințări fără supraîncărcarea bugetului sau sacrificarea eficienței operaționale. O parte din probleme provin din lipsa de comunicare eficientă între tehnologiile de detecție, cele de blocare și cele de remediere. Adesea, aceste probleme lasă o organizație vulnerabilă la reinfectare chiar dacă, aparent, problema a fost remediată.

Cisco AMP for Endpoints previne atacurile, oferind ultimele tehnologii de protecție inteligentă. Are încorporate un antivirus (AV) pentru detecția si blocarea atacurilor cibernetice chiar de la intrarea acestora, un sistem de analiză a fișierelor necunoscute și un sistem proactiv de blocare a atacurilor și minimizarea vulnerabilităților. Dacă aceste protecții permit totuși unui malware să intre în sistem, Cisco AMP for Endpoints monitorizează continuu toate activitățile din sistem pentru a detecta rapid un comportament suspicios și astfel anunță echipa de securitate. Apoi, oferă o analiză amănunțită și o vizibilitate sporită a istoricului sistemului și a activității malware-ului, dar și alte informații esențiale (de unde a venit, unde a mai fost și ce face acesta). AMP protejează dispozitive precum laptopuri, statiii de lucru, servere și dispozitive mobile. Este compatibil cu sistemele de operare Windows, Mac OS, Linux, Android și iOS.

Pentru a înțelege mai bine Cisco AMP for Endpoints, puteți urmări și următorul clip:

Beneficiile utilizării Cisco AMP for Endpoints

  • Protection that goes beyond prevention: Cisco AMP for Endpoints nu doar previne atacurile cibernetice. Analizează traficul de fișiere continuu. Acest lucru permite securitatea retrospectivă. Aveți posibilitatea să urmăriții un istoric pentru a putea observa: procese, activitatea fișierelor și comunicații pentru a înțelege pe deplin o infecție și pentru a descoperi sursa acesteia și să inițializați o remediere.
  • Monitoring that enables unmatched visibility: Cisco AMP for Endpoints oferă mai mult decât retrospectivă. Acesta introduce un nou nivel de inteligență, legând și corelând diferitele forme de retrospecție într-o linie de activitate disponibilă pentru analiză în timp real. Acesta poate apoi să caute modele de comportament malware de la un endpoint la un mediu întreg.

norsit

  • Investigation that turns the hunted into the hunter: AMP for Endpoints schimbă activitatea de la căutarea faptelor și a indiciilor, ca parte a unei anchete, către o vânătoare concentrată pentru încălcări, bazată pe evenimente reale, cum ar fi detectarea malware-ului și comportamentul Indications of Compromise (IoC).
  • Containment that is truly simple: AMP for Endpoints oferă o vizibilitate sporită a evenimentelor ce au loc în infrastructura dumneavoastră și posibilitatea de a viza anumite aplicații, fișiere, programe malware sau cauze sursă. Astfel, întreruperea atacului nu este doar rapidă, ci și ușoară.
  • Dashboards that are actionable and contextual: Rapoartele nu se limitează la enumerarea evenimentului și agregare. Cisco AMP for Endpoints permite un răspuns rapid și ușor direct din tabelul interactiv.

norsit

  • Integrated platforms that work better together: Cisco AMP for Endpoints poate fi integrat cu soluția Cisco AMP for Network și alte implementări Cisco AMP pentru a spori vizibilitatea și controlul în întreaga organizație.

Cisco AMP for Endpoints poate proteja dispozitivele următoare: Microsoft Windows, servere, Apple Mac OS, Linux, Android și iOS.


Cisco AMP for Networks

Programele de tip malware au evoluat foarte mult în ultimii ani, astfel că acestea pot intra în rețea fără a fi descoperite. Odată instalate, acestea își asigură o rampă de lansare pentru un atac cibernetic persistent. De aici și nevoia unei analize continue a rețelei si traiectoriei fișierelor. Acest lucru este necesar pentru a observa cu ușurință de unde a intrat și ce a afectat programul de tip malware.

Cisco AMP for Networks, inițial dezvoltat pentru dispozitive de securitate precum Cisco Firepower Network, AMP for Networks asigură securitatea în timp real la nivel de rețea pentru detecția, urmărirea, analiza și eliminarea amenințărilor. Cisco AMP for Networks și Cisco AMP for Endpoints lucrează împreună pentru a spori detecția și pentru a îmbunătăți vizibilitatea amenințărilor cibernetice din organizația dumneavoastră.

Care este metoda și care este punctul de intrare? Ce sisteme sunt afectate?

Inovația constă în utilizarea Cisco AMP Big Data Analytics. Astfel, se poate face o analiză continuă a fișierelor și a dispozitivelor din rețea. Se  determina ușor pe unde a intrat malware-ul, ce sisteme a afectat și care este comportamentul acestuia. Aceste informații vă ajută să înțelegeți rapid scopul malware-ului și calea pe care o folosesc atacatorii pentru a obține o poziție solidă în sistem.

cisco

Cum v-a afectat și care a fost scopul?

Cisco AMP File Analysis, susținut de Talos Security Intelligence and Research Grup și integrat în sandbox-ul AMP (Threat Grid), oferă o zonă foarte sigură pentru analiza comportamentului malware-ului și al fișierelor sursă. În urma analizei, se obțin detalii despre comportamentul fișierelor, numele fișierului original, capturi de ecran a ceea ce face malware-ul. Astfel, cu aceste informații se poate face o analiză mai eficientă pentru a izola focarul și viitoarele atacuri cibernetice.

cisco

Cisco AMP for Networks este disponibil pe următoarele platforme: Cisco NGIPS (Next Gen Intrusion Prevention), Cisco NGFW (Next Gen Firewall), Cisco ISR Branch Routers, Meraki MX Security Appliances.


Cisco AMP for Web and E-mail Security

A treia opțiune extinde caracteristicile lui Cisco AMP discutate mai sus la securitate web și e-mail. În ultimii ani, traficul web și cel de e-mail au devenit principalele metode de transport pentru lansarea atacurilor cibernetice.

Cisco AMP oferă o protecție completă împotriva amenințărilor bazate pe web și descărcărilor de fișiere. Fișierele rău-intenționate pot fi prezente oriunde pe internet, chiar și pe site-uri legitime. De aceea, Cisco AMP inspectează toate fișierele descărcate pentru a stabili dacă acestea sunt sigure sau nu. Pentru traficul prin e-mail, Cisco AMP analizează e-mailurile companiei pentru a prezenta amenințări; aceasta include exploatările ascunse în atașamentele de e-mail, precum și protecția împotriva ransomware, phishing și atacurile avansate de e-mail.

La fel ca și la celelalte opțiuni, Cisco AMP urmărește și înregistrează continuu activitatea fișierelor care trec prin intermediul gateway-urilor web și de e-mail. Face acest lucru indiferent dacă fișierul este bun sau rău. Dacă un fișier bun devine rău, AMP trimite o alertă retrospectivă. Astfel, fișierul rău intenționat poate fi izolat și eliminat.

Cisco oferă securitatea web și a e-mail-urilor bazată pe AMP pe următoarele opțiuni: Cisco Email Security Cloud, Cisco Email Security Appliance, Cisco Web Security Appliance, Cisco Umbrella – Secure Internet Gateway.


Concluzie

Opțiunile discutate mai sus prezintă implementarea Cisco pe partea de securitate a unei infrastructuri de rețea (AMP Everywhere). Cu Cisco AMP aflat în mai multe locuri în rețea se obține o vizibilitate crescută a activităților rău intenționate. Există și posibilitatea de blocare a propagării acestora în organizația dumneavoastră din mai multe puncte cheie.

cisco

Cu ajutorul Cisco AMP, puteți obține următoarele beneficii în afacerea dumneavoastră:

  • Răspuns rapid împotriva amenințărilor cibernetice
  • Odată depistat și blocat un malware, acesta va fi blocat peste tot
  • Ce era necunoscut va deveni cunoscut

Pentru mai multe informații si detalii privind Cisco AMP, puteți vizita pagina Cisco AMP (Advanced Malware Protection) de pe site-ul Norsit.

Dragos Bargaoanu

Author Dragos Bargaoanu

More posts by Dragos Bargaoanu

Leave a Reply