Thought Leadership
Cisco hat die ursprünglich von Sourcefire entwickelte Advanced Malware Protection (AMP) in das Content-Security-Portfolio aufgenommen. Das Portfolio umfasst zudem unter anderem Web- und E-Mail Security-Anwendungen und Cloud Web Security Services.
Im Zuge der Produkteingliederung werden Kunden weltweit nun auch bei der Bekämpfung von Malware unterstützt; sei es bei der Erkennung, der Blockierung, der kontinuierlichen Analyse oder der retrospektiven Schadensbegrenzung von ausgereiften Sicherheitsbedrohungen. Das erweiterte Angebot ist eine der ersten erfolgreichen Technologie-Eingliederungen zwischen Cisco und Sourcefire und bietet den mehr als 60 Millionen Unternehmen und gewerblichen Nutzern von Cisco Content Security-Lösungen die Möglichkeit eines erweiterten Malware-Schutzes.
Advanced Malware Protection nutzt die Intelligenz der großen Cloud-Security-Netzwerke von Cisco und Sourcefire, letzteres inzwischen ein Teil von Cisco. AMP deckt erweiterte Netzwerke sowie Geräte ab und konzentriert sich mit Schutzmaßnahmen, der kontinuierlichen Überwachung und Angriffsanalyse auf das gesamte Bedrohungsspektrum – vor, während und nach einem Angriff. Die Kombination von Sourcefires tiefgreifender Expertise im Bereich Advanced Threats und Analytik und Ciscos Know-how bei E-Mail-und Web-Security-Lösungen bietet Kunden enorme Vorteile. So profitieren sie in einem hohen Maß von den Transparenz- und Kontrollfunktionalitäten der Lösungen bei einem gleichzeitig kostengünstigen, nahtlosen Ansatz zur Bewältigung von Malware-Problemen.
Cognitive Threat Analytics
Der Hersteller hat des weiteren Cognitive Threat Analytics des im vergangenen Jahr zugekauften Anbieters Cognitive Security in sein Cisco-Cloud-Web-Security-Portfolio integriert. Cognitive Threat Analytics ist ein intuitives System, das mithilfe von Verhaltensmodellen und Anomalie-Erkennung schädliche Aktivitäten identifiziert und so Bedrohungen innerhalb eines Netzwerks schneller aufdeckt. Sowohl Cognitive Threat Analytics als auch AMP sind im Rahmen von Cisco Cloud-Web Security als optionale Lizenz verfügbar.
Durch den Ausbau der Cisco-Web und E-Mail-Security-Lösungen um erweiterte Malware-Technologien sowie durch die Ergänzung von Cisco Cloud-Web-Security um Cognitive Threat Analytics bekommen Kunden noch umfangreichere bedrohungszentrierte Sicherheitslösungen an die Hand. Unternehmen erhalten “überall” dort, wo eine Bedrohung auftreten kann, erweiterten Malware-Schutz. Cisco adressiert so die breitmöglichste Palette an Angriffsvektoren im erweiterten Netzwerk.
“Epsilon Systemlösungen setzt sich proaktiv gegenüber ausgeklügelten Angriffen zur Wehr. Mit FireAMP stellen wir sicher, dass alles getan wird, um Bedrohungen an den Endpunkten so schnell wie möglich zu identifizieren, zu stoppen und zu entfernen”, sagte Damon Rouse, IT-Director bei Epsilon Systemlösungen. “Die AMP-Technologie in die Cisco Web-und E-Mail Security-Anwendungen und Cloud Web Security Services zu packen, ist ein kluger Schachzug. Dies wird Kunden enorm dabei helfen, sich gegen die sich heute so schnell entwickelnden Bedrohungslandschaft zu schützen. AMP ist die einzige Lösung, die wir kennen, die die retrospektive Datenanalyse mit dem “Sandbox” Prinzip vereint. Dies hat uns bei der Minderung möglicher Angriffsauswirkungen ungemein geholfen.”
Datenklassifizierung, Datei-Sandboxing und retrospektive Analysen
Anstatt sich auf Malware-Signaturen zu verlassen, deren Erstellung für jedes neue Malware-Sample Wochen oder Monate in Anspruch nehmen kann, verwendet AMP eine Kombination von Datenklassifizierung, Datei-Sandboxing und retrospektiven Analysen, um Bedrohungen über den Angriffszeitraum hinweg zu identifizieren und zu stoppen.
- Datenklassifizierung: Analysiert die Netzwerklast von Dateien, die das Netzwerk durchqueren. Anwender erhalten die Informationen, die notwendig sind, um über die Cisco Web- oder E-Mail- Security-Benutzeroberfläche oder ähnliche Policy-Report-Frameworks schädliche Dateien automatisch zu blockieren und die vom Administrator definierten Policies greifen zu lassen.
- Datei-Sandboxing nutzt eine sichere Sandbox-Umgebung, um das Verhalten von unbekannten Daten im Netzwerk zu analysieren und zu verstehen. AMP kann so über einzelne Dateien granulare verhaltensbasierte Informationen sammeln, diese in einem zweiten Schritt mit detaillierten Mensch-Maschine-Analysen kombinieren, um anschließend die Bedrohungsstufe der Datei festzulegen.
- Der retrospektive Blick auf eine Datei löst das Problem von schädlichen Dateien, die durch den Perimeterschutz gelangt sind, sich später aber als Bedrohung herausstellen. Anstatt zu einem bestimmten Zeitpunkt zu agieren, bietet der retrospektive Blick auf Dateien eine kontinuierliche Analyse mit Echtzeit-Updates von AMP Cloud-basierten intelligenten Netzwerken, um bezüglich der sich ständig verändernden Bedrohungslage auf dem Laufenden zu bleiben. AMP hilft schließlich dabei, einen Angriff schnell zu identifizieren und zu adressieren, bevor sich die schädliche Datei ausbreiten kann.
Christopher Young, Senior Vice President der Cisco Security Business Group: “Virtuelle Bedrohungen werden immer komplexer und greifen Hosts mittlerweile mithilfe der Kombination von verschiedensten Vektoren an. Unternehmen müssen dieser Entwicklung mit kontinuierlichen, und nicht nur ad-hoc eingesetzten, Sicherheitsmaßnahmen begegnen. Web-und E-Mail-Gateways übernehmen einen großen Teil der Schwerstarbeit im System der Bedrohungsbekämpfung, indem sie das Eindringen von schädlichen Inhalten blockieren. Allerdings können die heutigen Bedrohungen mittlerweile Hosts durch eine Kombination verschiedener Vektoren angreifen. Dies erfordert kontinuierliche Sicherheitsmaßnahmen, die das Netzwerk über die gesamte Angriffskette hinweg schützt. Durch die Zusammenführung des erweiterten Malware-Schutzes und der Bedrohungsanalyse mit unseren Web-Cloud-und E-Mail Security-Gateways liefern wir unseren Kunden einen umfassenden Malware-Schutz – von der Cloud über das Netzwerk bis hin zum Endpoint.”
Erweiterter Malware-Schutz für das Netzwerk
Im Netzwerk besteht AMP weiterhin als eine integrierte Funktion in FirePOWER Anwendungen für Next-Generation IPS, Next-Generation Firewall fort oder ist als eigenständige Appliance verfügbar. FireAMP-Lösungen stellen ebenfalls einen Endpoint-Schutz für PCs, mobile Geräte und virtuelle Umgebungen bereit, indem sie mit FirePOWER und eigenständigen Anwendungsangeboten durch einen Konnektor zusammenarbeiten.
Die Netzwerk-Geschwindigkeit nimmt immer weiter zu und treibt so auch die Nachfrage nach leistungsstärkeren Anwendungen und besserem Malware-Schutz nach oben. Cisco reagiert darauf mit vier neuen FirePOWER-Appliances, die natürlich alle mit AMP kompatibel sind. Alle vier sind stapelbare Ergänzungen der FirePOWER Familie: die 8350 (15 GB/s), 8360 (30 GB/s), 8370 (45 GB/s) und die 8390 (60 GB/s) arbeiten mit allen bestehenden NetMods für Modularität und Mixed Media Support. Die FirePOWER 8300-Reihe liefert 50 Prozent mehr Leistung für die Datendurchsatz-Inspektion und kann auf einen Durchsatz von 120+ GB/s aufgestockt werden.
