endepunktsikkerhetmed cisco amp - uninett · hvorforvalgtentnu amp? • cisco sin holistiske...
TRANSCRIPT
Endepunktsikkerhet med Cisco AMP
Christoffer V. HallstensenSr. Sikkerhetsanalytiker NTNU SOCSeksjon for digital sikkerhet, IT-avdelingen NTNU
3
Kort om Cisco AMP
• Beskyttelse– Global trusseleteretning (Cisco Talos)– Flere deteksjonsmotorer som jobber sammen– Kjøring av filer i sandkasse– Finner såbar programvare
• Deteksjon– Kontinuerlig monitorering og analyse– Deteksjon av misbruk av legitime verktøy
• Respons– Søke– Etterforske– Blokkere
• Skybasert / On-prem
4
Deteksjonsmotorer
• TETRA: Signaturbasert antivirusmotor– Offline skanning, rootkit skanning og annet tradisjonell AV
utfører.– ClamAV benyttes på Linux og Mac
• SPERO: Skybasert maskinlæring (ser påhundrevis av egenskaper ved filen)
• ETHOS: Filgrupperingsmotor (Kontekstbasertdeteksjon)
5
AMP vs EPP
https://blogs.cisco.com/security/endpoint-protection-platform-epp-vs-endpoint-detection-response-edr
6
Hvorfor valgte NTNU AMP?
• Cisco sin holistiske tilnærming til sikkerhet• Cisco fremmer, og baserer seg mye på open source
(SourceFire, ClamAV, Snort, OpenDNS etc.)• Talos trusseletteretning• SOC Analytikervennlig (Mindre blackbox enn mange
andre løsninger)• Beskyttelse på og utenfor campus• REST API / Integrasjonsmuligheter• Avansert deteksjon og respons• Windows / Mac / Linux (Kunne vært bedre) / Android
18
Endpoint IOC skanner
• Verktøy for å skanne post-compromise IOCer• Flash scan: Kjørende prosesser, DLL, Tjenester,
Drivere, Task scheduler, Systeminformasjon, Brukerkonto informasjon, Browser historie ogdownloads, Windows eventlogger, nettverk ogDNS informasjon.
• Full scan: Windows register, alle filer på disk ogsystem restore points.