Новые возможности Cisco AMP for Endpoints

• 24.12.2018
• 932

Решение Cisco по защите оконечных устройств (Cisco единственная в мире компания, которая имеет решение по защите платформы Apple iOS от вредоносного кода) также постоянно обновляется и пополняется новым защитным арсеналом и новыми функциями управления и контроля. За последнее время Cisco добавила несколько новых интересных возможностей, о которых мы сообщаем:

• Обновленный движок Exploit Prevention. Умение обнаруживать различные угрозы является ключевым для системы защиты оконечных устройств. Движок Exploit Prevention, появившийся в AMP4E для Windows версии 6.0.5 был существенно обновлен в целях обнаружения все растущего и постоянно меняющегося ландшафта угроз. Новый движок действительно предотвращает использование различных эксплойтов и при этом никак не влияет на производительность и стабильность защищаемой системы.

• Device Trajectory v2. Многократно улучшенный анализ и визуализация происходящего на защищаемом узле позволяет отслеживать взаимосвязи между всеми файлами и процессами и оперативно обнаруживать нарушения и явные атаки. За счет функции накопления данных за длительный интервал времени (несколько недель), поиска и фильтрации по различным параметрам, может быть обеспечен ретроспективный анализ произошедшего на узле и понять причины того или иного инцидента.

• Серьезность угрозы. При большом количестве событий бывает сложно приоритезировать то, что действительно важно, и можно пропустить активность, которая требует внимания специалистов по безопасности. Мы добавили функцию оценки серьезности угрозы (Threat Severity), которая поможет лучше классифицировать инциденты и приоритезировать мероприятия по реагированию на них. События теперь разбиты на 4 категории – критические (например, известные семейства вредоносных программ), высокой степени опасности (например, общие вредоносные активности или вредоносное ПО, не отнесённое к какой-либо категории), средней и низкой.

• Справочники Casebook. Ежедневные операции могут быть оптимизированы с помощью нового инструмента управления кейсами – Casebook. С помощью него можно собирать все события, связанные с инцидентом, артефакты, индикаторы компрометации, делать записи и многое другое, способное помочь быстрее проводить расследование и реагирование. Далее информация из Casebook может быть использована во многих решениях Cisco по сетевой безопасности, включая и Cisco Threat Response.

• Переработанная страница «Обзор». На что надо обратить внимание в первую очередь с точки зрения защиты оконечных устройств? Как понять, что инвестиции в ИБ сделаны не напрасно? Cisco обновила главную страницу Cisco AMP4E с целью лучше визуализации ключевых событий, обнаруженных агентами AMP4E. Угрозы, компрометации, уязвимости и иные метрики теперь выделяются по-особенному, что позволяет одним взглядом охватить всю картину происходящего в организации и уловить самое главное.

• Обновленный интерфейс исключений. Иногда требуется обеспечить баланс между производительностью и безопасностью, исключив из сканирования определенные папки, процессы, файлы и т.п. Cisco переработала страницу исключений, сделав ее более удобной и эффективной при постоянном использовании.

• Многоуровневая аналитика. Необходимость применения машинного обучения для борьбы с современными угрозами уже не вызывает ни у кого сомнений. Однако машинное обучение само по себе не является панацеей и решением всех проблем с вредоносными программами. Cisco разработала новый инструмент многоуровневой аналитики (Cross-Layer Analytics), который комбинирует несколько алгоритмов анализа и принятия решения для данных, получаемых как с уровня оконечных устройств, так и с уровня сети. Например, можно объединить события, связанные с запуском исполняемого файла и, как следствие, запуском различных процессов и аргументов командной строки, с сетевыми соединения с различными серверами, что позволяет повысить эффективность обнаружения различных полиморфных вредоносных программ.

• Поддержка новых версий ОС. Обновленная версия Cisco AMP4E поддерживает теперь Windows Server 2019, Windows 10 October 2018 Update, RHEL/CentOS 6.10, MacOS 10.14 Mojave