Cisco's AMP4e onderdeel 1

Omdat Security zo belangrijk is, kan i4PROJECTS niet vaak genoeg aankaarten dat u de juiste Security oplossing voor uw organisatie aanschaft. Om u een zo duidelijk mogelijk beeld te geven van de oplossing voor Security die i4PROJECTS biedt, wordt AMP4e duidelijk toegelicht door ieder onderdeel van amp toe te lichten in een blog.

Uit een testrapportage van Miercom is gebleken dat het product in staat is om verschillende typen malware te detecteren om hier vervolgens op te reageren en de malware te blokkeren. Het product biedt indrukwekkende beveiliging tegen hedendaagse aanvallen.

AMP4E biedt deze beveiliging door twee technieken; Point-In-Time detection en Retrospective Security and Continuous analysis. Beide technieken bevatten een aantal engines die kort worden toegelicht. Een engine is een functie binnen de applicatie. Omdat de verschillende functies niet direct met elkaar samen werken wordt het ook wel omschreven als verschillende engines binnen de applicatie.

Point-In-Time detection

Om uit te leggen wat Point-In-Time detection daadwerkelijk inhoudt moeten eerst de verschillende fases van een aanval worden beschreven. Iedere aanval bevat namelijk drie fases; before, during en after. Voordat een hacker op het apparaat is gekomen bevindt hij zich in de before fase. Als organisatie kun je de before fase beveiligen door een security gateway te plaatsen om te voorkomen dat de hacker op het netwerk komt. De verschillende security gateways zijn netwerkgateway, emailgateway en een webgateway.
Op het moment dat de hacker door of langs de gateway is gekomen komt de hacker in de during fase. Tijdens deze fase is de hacker al in het netwerk en zal de hacker proberen om bijvoorbeeld een kwaadaardig bestand op een apparaat te plaatsen. Op het moment dat de hacker een bestand op een apparaat wil plaatsen start de Point-In-Time detection van AMP for Endpoints. Hieronder zullen de verschillende engines worden toegelicht die proberen om het bestand te blokkeren tijdens de during fase.

One-to-One Signature

Net als traditionele antivirus bevat AMP4E ook een engine voor One-to-One signature. Van ieder bestand wordt een kleine afdruk gemaakt in de vorm van een signature. Vanuit de cloud wordt er een database aangeleverd met daarin een lijst van signatures die kwaadaardig zijn. Op het moment dat er een nieuw bestand op het apparaat komt wordt er een afdruk van het bestand gemaakt. Als deze afdruk overeenkomt met een van de afdrukken in de lijst met kwaadaardige bestanden wordt het bestand geblokkeerd. Echter kunnen hackers deze engine makkelijk omzeilen door gebruik te maken van Polymorphic varianten waarbij het bestand is aangepast om te voorkomen dat de afdruk overeenkomt met een afdruk uit de database. AMP for Endpoints maakt gebruik van Tetra om deze engine te faciliteren voor Windows en ClamAV voor Mac OS X en Linux.

Ethos

Als het bestand door de eerste engine, one-to-one signature, heen gaat dan komt het bij Ethos uit. Deze engine controleert op Polymorphic varianten van het bestand. Als de hacker de eerste engine heeft weten te omzeilen door gebruik te maken van een polymorphic variant wordt het bestand alsnog geblokkeerd door Ethos.
Spero
AMP for Endpoints wordt door velen ook wel Next-Generation Endpoint Protection genoemd. De reden dat het product zo genoemd wordt is het gebruik van Engine Learning. Engine learning kan worden omschreven als een programma dat autonoom kan leren van gebeurtenissen met behulp van data en input. (Heida, 2017)
Spero is in AMP for Endpoints de engine die gebruik maakt van deze techniek. Hoe vaker er malware op een apparaat met AMP for Endpoints terechtkomt hoe meer Spero hiervan leert. Op deze manier wordt de engine steeds beter in het herkennen van malware. Als Spero het bestand als kwaadaardig herkent wordt het bestand geblokkeerd.

Exploit Prevention

Bijna iedere applicatie en ieder besturingssysteem heeft kwetsbaarheden. Deze kwetsbaarheden worden vaak verholpen als de gebruiker een update installeert. Echter worden niet alle updates automatisch geïnstalleerd. Dat houdt in dat een endpoint op deze momenten kwetsbaar is voor een aanval.
Een hacker kan een aanval uitvoeren op het werkgeheugen van een endpoint door gebruik te maken van kwetsbaarheden in applicaties of besturingssysteemprocessen. De engine Exploit Preventation beschermt het endpoint tegen deze aanvallen.
De engine herkent veel voorkomende bedrijfsapplicaties op het endpoint. De bibliotheek en de DLL in- en uitgang worden opnieuw ingedeeld. Deze worden vervolgens op een willekeurige plaats in het geheugen gezet elke keer dat de applicatie wordt uitgevoerd. Vervolgens wordt er een lokaas opgezet van deze applicaties, zodat de malware het lokaas misbruikt als de malware probeert de applicaties te misbruiken. Op dat moment herkent AMP deze poging en wordt de malware geblokkeerd. Ondertussen wordt de echte applicatie veilig gehouden en is de aanval voorkomen.

Bron; Cisco

Bundel de krachten van Cisco Umbrella en  AMP for Endpoints in een licentie!
Reacties
0