在過往企業的網路安全當中,我們都會將企業的資安著重在防火牆的設備上,但是如果有個新病毒入侵企業網路,防火牆無法識別該病毒便會讓其進入企業內部網路,既使現在的防火牆廠商都宣稱有雲端沙箱可以檢測並觸發病毒活動,但既使沙箱檢測出來病毒特性,那些已經進入企業網路的病毒依然還是存在,但透由CISCIO AMP(Advanced Malware Protection)端點防護軟體,將會通知所有設備阻隔已經進入企業內部的病毒檔案,並追蹤該病毒經由何種協議傳達到那些設備上,以達到全面式的防護。

 
 
為什麼需要進階惡意程式防護(Advanced Malware Protection, AMP)
  • 全球威脅情報

    CISCO的「TALOS」是全球規模最大的商業威脅情報團隊之一,由世界頂尖超過250名的研究人員、分析師和工程師所組成。無可比擬的遙測及複雜系統支援這些團隊,為思科的顧客、產品和服務提供精確、快速且可行動的威脅情報。

    Talos 團隊協助思科顧客防禦已知和新興的威脅、探索常用軟體中的新漏洞,並在威脅大規模損害網際網路之前先行消滅。Talos 情報是思科產品的核心,偵測、分析和防護已知及新興的威脅。除了發布許多開放原始碼 研究及分析工具外,Talos 還負責維護Snort.org、ClamAV 和 SpamCop 的官方規則集。

    CISCO的TALOS專家會分析每日數百萬個惡意程式樣本與數個 TB 的資料,並將該情報發送至進階惡意程式防護(Advanced Malware Protection, AMP)。AMP然後根據此情境豐富的知識庫關聯檔案、遙測資料及檔案行為,主動抵禦已知與新興的威脅。

  • 進階沙箱

    進階沙箱功能會根據 700 多種行為指標,執行檔案的自動化靜態與動態分析。 這些分析會發掘隱匿的威脅,並協助您的資安團隊瞭解、優先處理及封鎖精細的攻擊。

  • 時間點 (Point-in-time) 惡意程式偵測與封鎖技術

    即時封鎖嘗試進入您的網路的惡意程式。AMP 使用 AV 偵測引擎、一對一特徵比對、機器學習及模糊式特徵識別,在進入點就開始分析檔案,進一步捕獲已知與未知的惡意程式。結果如何呢?更快的偵測用時與自動保護。

  • 持續分析與可追溯的安全

    檔案一進入網路後,無論檔案的處置為何,AMP 均會持續注意、分析及紀錄檔案活動。若稍後察覺到惡意行為,AMP 會傳送可追溯的警示給您的資安團隊,指出惡意程式源自何處、要前往的目的地,以及正在從事哪些行為。按幾下滑鼠後,即可以遏止並修正惡意程式。

CISCO AMP for Endpoint端點資安防護軟體的優勢
  • 阻擋惡意軟體

    AMP端點資安防護軟體使用多個防禦型引擎,可在勒索軟體和其他進階威脅入侵您的端點以前,搶先加以自動識別。AMP端點資安防護軟體採取雲端方式存取威脅情報和檔案分析,因此可持續掌握最新資訊。

  • 消除盲點

    無論您的作業系統為何,AMP端點資安防護軟體均可讓您零死角檢視端點。針對執行 Windows、MacOS、Android、iOS 或 Linux 的伺服器和端點,取得更深入的可視性和內容,並全盤掌控。

  • 鎖定未知威脅

    AMP端點資安防護軟體持續監控、分析和記錄所有活動,藉此識別出惡意行為。一旦偵測出惡意活動,AMP端點資安防護軟體可透過提供完整的威脅記錄,大幅縮減調查和補救時間。AMP端點資安防護軟體接著會自動和網路中所有遭該威脅感染的裝置分享相關情報。

CISCO AMP for Endpoint功能特色

危害表現(IoC):檔案和遙測事件進行關聯,並作為潛在活動漏洞優先處理。AMP端點資安防護軟體可自動關聯多個來源的安全事件資料(例如入侵與惡意軟體事件),以説明安全團隊將事件關聯到更大規模的協同攻擊並優先處理高風險事件。

  • 文件信譽

    高級分析和綜合情報結合,確定檔案是安全是否具有惡意,而進行更為準確的檢測。

  • 動態惡意軟體分析

    高度安全的環境可幫助您執行、分析和測試惡意軟體,以發現之前未知的零日威脅。AMP端點資安防護軟體解決方案中集成了AMP Threat Grid的沙箱與動態惡意軟體分析技術,因此可以根據更大的一組行為指標進行更為全面的分析。

  • 追溯性檢測

    如果檔案處置在擴展分析之後發生了變化,AMP端點資安防護軟體會發出相關警報,以便您知曉並瞭解規避了初始防禦的惡意軟體。

  • 文件軌跡

    檔案在您環境中的傳播會隨著時間推移得到持續跟蹤,以實現可視性並縮短確定惡意軟體影響範圍的時間。

  • 設備軌跡

    持續跟蹤設備上和系統級的活動和通信,以在損害後快速瞭解導致損害的根本原因以及事件歷史記錄。

  • 彈性搜索

    跨檔案、遙測以及綜合安全情報資料的簡單無界搜索可幫助您快速瞭解暴露給IoC或惡意應用的上下文和範圍。

  • 感染率

    顯示組織內已執行的所有檔案,並按感染率從最低到最高排序,以幫助您發現之前未檢測到但被少量用戶看到的威脅。您可能不希望自己的擴展網路上存在只有少數使用者執行但可能具有惡意的檔案(例如一個定向高級持續威脅)或可疑應用。

  • 終端IoC

    用戶可以提交其自己的IoC以捕捉定位攻擊。這些終端IoC允許安全團隊對特定於其環境中應用的鮮為人知的高級威脅執行更為深入調查。

  • 漏洞

    顯示列出您系統上存在漏洞的軟體、包含該軟體的主機以及最可能受到損害的主機的清單。憑藉我們的威脅情報和安全分析,AMP端點資安防護軟體可識別易受惡意軟體攻擊的軟體和潛在的漏洞,為您提供按優先順序排列的需要修補的主機清單。

  • 爆發控制

    實現對可疑檔案或爆發的掌控,無需等待內容更新即可修復感染。

    • 簡單自訂檢測可以跨所有或選定系統,快速阻止特定檔案。
    • 高級自訂簽名可以阻止變形的惡意軟體。
    • 應用阻止列表可以強制執行應用策略或遏制受危害應用,避免惡意軟體的循環感染。
    • 自訂白名單,有助於確保安全、自訂或關鍵任務型應用,使其持續運行。
    • 設備流關聯將在源頭阻止惡意軟體通信,尤其針對公司網路之外的遠端終端機。
 
CISCO AMP for Endpoint支援作業系統
  • Microsoft

    • Windows 7
    • Windows 8, 8.1
    • Windows 10
    • Windows Server 2008 R2, 2012, 2012 R2, 2016
  • Linux

    • Red Hat Enterprise Linux or CentOS 6.x 7.x
  • Android

    • Android 2.1 (Éclair) to 6.0 (Marshmallow)
  • Apple

    • iOS 11 and above
    • OSX 10.11
    • MacOS 10.12, 10.13