Cisco's AMP4e onderdeel 2

Omdat Security zo belangrijk is, kan i4PROJECTS niet vaak genoeg aankaarten dat u de juiste Security oplossing voor uw organisatie aanschaft. Om u een zo duidelijk mogelijk beeld te geven van de oplossing voor Security die i4PROJECTS biedt, wordt AMP4e duidelijk toegelicht door ieder onderdeel van AMP toe te lichten in een blog.

AMP4e tijdens de during fase

Op het moment dat het bestand niet wordt herkend door de engines binnen de during fase komt het bestand in de after fase terecht. In de during fase is het bestand nog niet volledig op het apparaat geplaatst en uitgevoerd. In de after fase kan het bestand al wel uitgevoerd worden op het apparaat. Een aantal varianten van Malware worden pas kwaadaardig nadat het bestand voor een bepaalde periode op het apparaat staat. In eerste instantie wordt het bestand dan niet als kwaadaardig gedetecteerd door AMP for Endpoints. Om te voorkomen dat het bestand alsnog kwaadaardige activiteiten op het apparaat kan uitvoeren heeft Cisco Retrospective Security een continuous analysis toegevoegd aan het product. Ook deze techniek bevat meerdere engines die kort zullen worden toegelicht.

Malicious Activity Protection(MAP)

In de afgelopen jaren is het aantal ransomware aanvallen gegroeid met 127% volgens Intel Security. Ook Trend Micro ondervond dat 44% van de bedrijven last heeft gehad van tenminste één ransomware aanval. Ransomware is erg schadelijk voor bedrijven, omdat het de volledige operatie kan blokkeren volgens Wright van Duo Security. (Mansfield-Devine, 2016)
AMP for Endpoints heeft een extra engine toegevoegd in 2018 aan de Retrospective Security en Continuous Analysis om endpoints te kunnen beschermen tegen Ransomware. Deze engine is specifiek ontwikkeld om Ransomware te blokkeren. De engine controleert constant op wijzigingen in de systeemprocessen om afwijkend gedrag te herkennen. Als een proces een aantal bestanden leest, aanpast en hernoemt in een korte periode wordt dit herkend als afwijkend gedrag. Op basis van de ingestelde policy zal deze activiteit worden gestopt om te voorkomen dat er meerdere bestanden worden aangepast. MAP biedt Run-time beveiliging en voorkomt dat ransomware alle bestanden versleutelen. Het kan echter wel gebeuren dat er een aantal bestanden versleuteld worden. De engine kan de ransomware niet herkennen als er niks gebeurt met de bestanden. (Cisco, 2018)

IoCs

Indicator of Compromise zoekt, zoals de naam al doet vermoeden, naar indicaties van een besmetting. De engine heeft een lijst met indicatoren die wordt aangeleverd door AMP for Endpoints. Als een endpoint een indicatie van die lijst bevat kan het proces of bestand worden geblokkeerd op basis van deze indicatie. Deze engine is voornamelijk ontwikkeld om in te zetten na een infectie. Op het moment dat een endpoint besmet is geraakt door malware probeert de beheerder de malware op te ruimen. Met behulp van een IoC Scan kan de beheerder controleren of de malware volledig van het apparaat is verdwenen.

Device Flow Correlation

De volgende engine binnen de after fase is Device Flow Correlation. Deze engine controleert of het bestand verbindingen maakt met andere apparaten binnen of buiten het netwerk. Op het moment dat een bestand zorgt dat het apparaat veel data verstuurt naar een onbekend extern IP-adres over een onbekend poortnummer kan dit worden gezien als kwaadaardig. Deze ‘flows’ kunnen worden herkend door deze engine. Als het bestand niet direct deze verbinding opzet zal het bestand door de during fase heen gaan, maar vervolgens alsnog geblokkeerd worden in de after fase.

Advanced Analytics

Advanced Analytics is een engine die gebruikt wordt op het moment dat de eerder genoemde engines het bestand niet herkend hebben. Tot 24 uur nadat het bestand bij deze engine terecht is gekomen wordt het bestand continue in de gaten gehouden. Als het bestand na 24 uur nog niet herkend is stopt de analyse van dit bestand. Het bestand komt dan bij de laatste fase van de after fase terecht.

Dynamic Analytics

De laatste engine van de AMP for Endpoints is Dynamic Analytics, ook wel Cisco Threatgrid. Als de beheerder van AMP for Endpoints het onbekende bestand niet vertrouwt kan het bestand handmatig worden opgestuurd voor een analyse.
Het onbekende bestand wordt vervolgens in een sandbox gestopt om het bestand in een veilige omgeving te kunnen testen. In het testrapport staat een reputatiescore dat aangeeft of het bestand kwaadaardig is. Als het bestand kwaadaardig is kan de beheerder het bestand blokkeren. Bij onderdeel Cisco Threatgrid wordt dit product verder in detail uitgelegd.


De combinatie van de verschillende engines in de twee verschillende technieken, Point-In-Time Detection en Retrospective Security and Continuous Analysis, zorgt voor een sterke beveiliging. Dit resulteert in een Security effectiviteit score van 94,7% en een score van 97% voor security evasions volgens NSS Labs. (Skybakmoen & Dhanraj, 2018)

Bron: Cisco

 

"Out-of-the-box integration is really important for us. The implementation process is not easy in the SOC operations. But we saw that Cisco AMP has very easy deployment and usability features."
Emrah Bayarcelik
Head of Security at Istanbul Grand Airport
Bundel de krachten van Cisco Umbrella en  AMP for Endpoints in een licentie!
Reacties
0