* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。

セキュリティ事業 吉池克史

2016年6月

Cisco Advanced Malware Protection（AMP）: レトロスペクティブで見えてくる マルウェアの挙動

The AMP Everywhere Architecture AMP Protection Across the Extended Network for an Integrated Threat Defense

AMP Threat

Intelligence Cloud

Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat Linux for servers and datacenters

AMP on Web and Email Security Appliances AMP on Cisco® NGFW

Firewalls

AMP Private Cloud Virtual Appliance

AMP for Networks (AMP on Firepower NGIPS

Appliance bundle)

AMP on Cloud Web Security

and Hosted Email

CWS/CTA

Threat Grid Malware Analysis + Threat

Intelligence Engine

AMP on ISR with Firepower Services

AMP for Endpoints

AMP for Endpoints

Remote Endpoints

AMP for Endpoints can be launched from AnyConnect

Cisco AMP はより優れたアプローチを提供

AMP ポイントインタイム プロテクション レトロスペクティブ セキュリティ

インシデント レスポンス

Cisco AMP 既知、未知に対応した検知機能

ETHOS SPERO ハッシュ エンジン サンドボックス DFC

ハッシュ エンジン：既知のマルウェアを検出

ETHOS/SPERO：未知、亜種のマルウェアを検出

DFC：通信先IPのレピュテーションをチェック サンドボックス：ThreatGRIDテクノロジ

Cisco AMP はより優れたアプローチを提供

AMP ポイントインタイム プロテクション レトロスペクティブ セキュリティ

インシデント レスポンス

レトロスペクティブ セキュリティ

トラジェクトリ クラウドリコール

• 一度チェックしたハッシュ値を クラウド上で記憶

• 一度パスしたファイルでも後から マルウェアと分かることがある

• このハッシュ値の属性が変化して マルウェア判定になった場合、自動的に該当ファイルを暗号化された領域へ隔離する

• フルスキャンをする必要が無い

クラウド リコール

Collective Security Intelligence クラウド

ハッシュ値

属性値

3372c1edab46837f1e973164fa2d726c5c5e17bcb888828ccd7c4dfcc234a370

このハッシュはPC-AのAAAというディレクトリにXXXというファイル名で保存されている

File

• クラウド上に保存されたデータを元に、 • 過去にさかのぼってその時そのホスト上で何が起こっていたのかを、3つの色と、3つのアイコンで可視化します • マルウェアは何によってインストール されたのか

• マルウェアはどこからダウンロード されたのか

• マルウェアが他に何かファイルを 作成していないか

デバイス トラジェクトリ

• AMPはSHA-256ハッシュにより全てのファイルを識別しています

• これは、ハッシュが分かればどのファイルが“いつ”、“どこに”、現れたかを一瞬で検索することが可能 • 最初の感染端末、最後の感染端末を把握

• 社内におけるマルウェアの拡散状況を把握

• 任意のファイルが今どこにあるかを把握

ファイル トラジェクトリ

①

②

③

Cisco AMP はより優れたアプローチを提供

AMP ポイントインタイム プロテクション レトロスペクティブ セキュリティ

インシデント レスポンス

誰でも簡単に行えるインシデント レスポンス

柔軟性 検索

アプリケーション ブロック

カスタム シグニチャ

柔軟な検索：IP、URL、ファイル名等のキーワードで検索し該当ホストを瞬時に表示

カスタム シグニチャ：ベンダを待たずに管理者が即時対応

アプリケーション ブロック：脆弱性のあるアプリケーションを遮断