cisco advanced malware protection(amp)/レト …cisco advanced malware...
TRANSCRIPT
* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
セキュリティ事業 吉池克史
2016年6月
Cisco Advanced Malware Protection(AMP): レトロスペクティブで見えてくる マルウェアの挙動
The AMP Everywhere Architecture AMP Protection Across the Extended Network for an Integrated Threat Defense
AMP Threat
Intelligence Cloud
Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat Linux for servers and datacenters
AMP on Web and Email Security Appliances AMP on Cisco® NGFW
Firewalls
AMP Private Cloud Virtual Appliance
AMP for Networks (AMP on Firepower NGIPS
Appliance bundle)
AMP on Cloud Web Security
and Hosted Email
CWS/CTA
Threat Grid Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower Services
AMP for Endpoints
AMP for Endpoints
Remote Endpoints
AMP for Endpoints can be launched from AnyConnect
Cisco AMP はより優れたアプローチを提供
AMP ポイントインタイム プロテクション レトロスペクティブ セキュリティ
インシデント レスポンス
Cisco AMP 既知、未知に対応した検知機能
ETHOS SPERO ハッシュ エンジン サンドボックス DFC
ハッシュ エンジン:既知のマルウェアを検出
ETHOS/SPERO:未知、亜種のマルウェアを検出
DFC:通信先IPのレピュテーションをチェック サンドボックス:ThreatGRIDテクノロジ
Cisco AMP はより優れたアプローチを提供
AMP ポイントインタイム プロテクション レトロスペクティブ セキュリティ
インシデント レスポンス
レトロスペクティブ セキュリティ
トラジェクトリ クラウドリコール
• 一度チェックしたハッシュ値を クラウド上で記憶
• 一度パスしたファイルでも後から マルウェアと分かることがある
• このハッシュ値の属性が変化して マルウェア判定になった場合、自動的に該当ファイルを暗号化された領域へ隔離する
• フルスキャンをする必要が無い
クラウド リコール
Collective Security Intelligence クラウド
ハッシュ値
属性値
3372c1edab46837f1e973164fa2d726c5c5e17bcb888828ccd7c4dfcc234a370
このハッシュはPC-AのAAAというディレクトリにXXXというファイル名で保存されている
File
• クラウド上に保存されたデータを元に、 • 過去にさかのぼってその時そのホスト上で何が起こっていたのかを、3つの色と、3つのアイコンで可視化します • マルウェアは何によってインストール されたのか
• マルウェアはどこからダウンロード されたのか
• マルウェアが他に何かファイルを 作成していないか
デバイス トラジェクトリ
• AMPはSHA-256ハッシュにより全てのファイルを識別しています
• これは、ハッシュが分かればどのファイルが“いつ”、“どこに”、現れたかを一瞬で検索することが可能 • 最初の感染端末、最後の感染端末を把握
• 社内におけるマルウェアの拡散状況を把握
• 任意のファイルが今どこにあるかを把握
ファイル トラジェクトリ
①
②
③
Cisco AMP はより優れたアプローチを提供
AMP ポイントインタイム プロテクション レトロスペクティブ セキュリティ
インシデント レスポンス
誰でも簡単に行えるインシデント レスポンス
柔軟性 検索
アプリケーション ブロック
カスタム シグニチャ
柔軟な検索:IP、URL、ファイル名等のキーワードで検索し該当ホストを瞬時に表示
カスタム シグニチャ:ベンダを待たずに管理者が即時対応
アプリケーション ブロック:脆弱性のあるアプリケーションを遮断