اشتراک مقالات

راهکار AMP چیست و چه قابلیت هایی دارد؟ 

369 مشاهده 0 1 آذر, 1402

AMP چیست

مبارزه ی مفید، مؤثر و کارا با بدافزارها نیازمند رویکردها، استراتژی‌ها و تکنولوژی‌های جدید می باشد. راهکار Advanced Malware Protection یا AMP، حفاظت پیشرفته از شبکه را در مقابل بدافزار ارائه می‌دهد که فراتر از شناسایی لحظه‌ای برای حفاظت از سازمان‌ است و قبل، در حین و بعد از حمله کارآمد می‌باشد. این راهکار که برای تجهیزهای امنیت شبکه Cisco FirePOWER طراحی شده است، تهدیدات بدافزار را روی چندین مسیر تهدید درون یک سیستم واحد شناسایی، مسدود و کنترل می‌کند. همچنین قابلیت دید و کنترل لازم را برای حفاظت از سازمان‌ در مقابل تهدیدات بدافزار بسیار پیچیده، هدفمند، Zero-Day و مداوم و پیشرفته فراهم می‌کند.

قابلیت­های Cisco AMP for Networks یا همان AMP چیست

  • به حفاظتی اطمینان داشته باشید که فراتر از یک نقطه در زمان مشخص باشد: Cisco AMP for Networks فراتر از یک نقطه‌ی زمانی خاص عمل می‌کند تا فایل‌ها و ترافیک را به‌طور مداوم تجزیه‌وتحلیل کند. این قابلیت کمک می‌کند که امنیت گذشته‌نگر فعال شود؛ که به زمان گذشته نگاه می‌کند و فرایندها، فعالیت فایل و ارتباطات را ردیابی می‌نماید. درنتیجه می‌توان وسعت یک آلودگی را به‌طور کامل درک، دلایل آن را مشخص نمود و اصلاحات لازم را انجام داد. نتیجه‌ی این امر حفاظت کارآمدتر و وسیع‌تری برای سازمان‌ است.

بیشتر بخوانید: معرفی نرم‌افزار محافظت در برابر بدافزار پیشرفته يا AMP

  • محدودیت فایل‌هایی که Policy را نقض می‌کنند: Cisco AMP for Networks با ردیابی داده‌هایی که از طریق وب، ایمیل یا مسیرهای حمله دیگری وارد می‌شوند، به‌طور خودکار فایل‌ها و برنامه‌های کاربردی را شناسایی می‌کند. سپس با استفاده از Policyهای برنامه کاربردی و کنترل فایل که تنظیم شده است فیلترینگ وسیع فایل‌ها را انجام می‌دهد.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید.
  • شناسایی و مسدود کردن تلاش برای Exploit: با یک پیاده‌سازی Inline، راهکار سیسکو می‌تواند تلاش برای Exploit از سمت Client را شناسایی و مسدود کند. همچنین کاربران از تلاش افراد مخرب برای Exploit کردن Adobe Acrobat، Java، Flash و دیگر برنامه‌های کاربردی متداول مورد حفاظت قرار می‌گیرند.
  • شناسایی، مسدود کردن و تجزیه‌وتحلیل فایل‌های مخرب: سیستم فایل‌های مخرب را از سیستم هدف خودشان مسدود کرده و فایل‌هایی که وضعیت نامشخصی دارند را تجزیه‌وتحلیل می‌کند. فایل‌های مشکوک را می‌توان برای تجزیه‌و‌تحلیل در Cisco Collective Security Intelligence Cloud ثبت کرد.
  • تجزیه‌وتحلیل مداوم فایل‌ها و ترافیک: مشخص شدن اینکه یک فایل مشاهده‌شده مخرب است هشدارهای گذشته‌نگر را از سیستم Cisco AMP for Networks فعال می‌کند؛ حتی اگر فایل چندین ساعت یا چندین روز قبل در شبکه عبور کرده باشد، همچنان می‌توان اقداماتی انجام داد و آسیب را به حداقل رساند.
  • همسان‌سازی رویدادهای گسسته در حملات هماهنگ‌شده: Cisco AMP for Networks ریسک مربوط به یک حمله مداوم را نشان می‌دهد و فهرست‌های خودکارسازی‌شده و اولویت‌بندی‌شده‌ای از دستگاه‌های دچار نقض امنیتی را با داده‌های رویداد امنیتی ترکیبی از چندین منبع رویداد مختلف فراهم می‌کند.
  • ردیابی گسترش و ارتباطات بدافزار: با قابلیت Cisco AMP for Networks File Trajectory، می‌توان انتقال یک فایل در شبکه را ردیابی کرد. هر فایل در File Trajectory یک Trajectory Map مجزا با نمای بصری دارد که نشان می‌دهد فایل در طول زمان چگونه جا به جا شده است و اطلاعاتی را در مورد فایل ارائه می‌دهد.
  • کنترل بدافزار برای پیشگیری از دست رفتن اطلاعات: مسدود کردن ارتباطات تهدیدات و بدافزارها با یک به‌روزرسانی Policy ساده از طریق Cisco AMP for Networks بسیار آسان است. با فهرست‌های شناسایی سفارشی، این قدرت را پیدا خواهید کرد که هر زمان بخواهید اقدام کنید، بدون اینکه منتظر انجام شدن یک به‌روزرسانی از سمت Vendor باشید.

بیشتر بخوانید: راهکار امنیتی سیسکو برای مقابله با باج‌افزارهای ایمیل به نام Cisco AMP

امنیت کارآمد نیازمند چیزی بیشتر از شناسایی

شناسایی در یک نقطه زمانی هرگز صد در صد کارآمد نخواهد بود. فقط کافی است یک تهدید از شناسایی فرار کند تا محیط دچار نقض امنیتی شود. مهاجمین پیشرفته با استفاده از بدافزار مبتنی بر ساختار هدفمند، دارای منابع، تخصص و تداوم لازم برای این هستند که از سیستم‌های دفاعی لحظه‌ای فرار کنند و هر سازمانی را در هر زمانی دچار نقض امنیتی نمایند.

همچنین، شناسایی لحظه‌ای به‌طور کامل نسبت به حوزه و عمق یک نقض امنیتی ناآگاه است و موجب می‌شود که سازمان‌ها نتوانند جلوی گسترش حمله را بگیرند و از رخ دادن مجدد چنین حمله‌ای پیشگیری کنند. Cisco AMP for Networks تنها سیستم مبتنی بر شبکه است که از شناسایی لحظه‌ای فراتر می‌رود و از مجموعه یکپارچه‌‌ای از کنترل‌ها و قابلیت‌های تحلیلی مداوم استفاده می‌کند تا تهدیدات را شناسایی، تایید، ردیابی و تجزیه‌و‌تحلیل کرده و از کاربر در طول حمله بدافزار (قبل، در طول و بعد از حمله) حفاظت کند.

قبل از حمله، AMP چیست؟ از ورود بدافزارهای شناخته‌شده و همچنین انواع فایل‌ها و ارتباطات نقض‌کننده Policy به شبکه جلوگیری کرده و درنتیجه آسیب‌پذیری را کاهش می‌دهد. در طول حمله، تلاش برای Exploit و فایل‌ها و ترافیک مخرب شناسایی و مسدود می‌گردد. با توجه به اینکه روش‌های شناسایی و مسدود کردن پیشگیرانه 100 درصد مؤثر نیستند، بعد از حمله سیستم AMP به تجزیه‌وتحلیل فایل‌ها و ترافیک شبکه ادامه می‌دهد تا تهدیدات مخفی را که ممکن است از شناسایی اولیه مخفی مانده باشند شناسایی کند. اگر نشانه‌های تهدیدات امنیتی یا IOCها بروز کنند، سیستم به‌طور خودکار چندین منبع از داده‌های رویداد امنیتی مثل هشدارهای بدافزار گذشته‌نگر، رویدادهای نفوذ و تلاش‌های Callback بدافزار را در یک نمای اولویت‌بندی‌شده همسان‌سازی می‌کند. پس اکنون درصورتی‌که حمله‌ای رخ دهد، این خودکارسازی هوشمند به افراد این توانایی را می‌دهد که به‌طور کارآمد و سریع یک حمله‌ی فعال را پس از رخ دادن درک کنند، حوزه‌اش را مشخص نمایند و آن را کنترل کنند. این امر مدت زمان شناسایی تا کنترل که زمان بسیار حساسی است را کاهش داده و به افراد این توانایی را می‌دهد که گسترش بدافزار را قبل از اینکه بتواند آسیب بزند، متوقف کنند.

Cisco AMP for Networks همچنین تعداد رویدادهایی را که هر روز با آن مواجه می‌شویم کاهش می‌دهد و درکی را ایجاد می کند تا بتوانیم زمانی را صرف رسیدگی به تهدیدات بدافزار پیچیده با ریسک بالا بکنیم که بیشترین اهمیت را دارند. همچنین Cisco AMP for Networks با Cisco AMP for Endpoints دارای خاصیت تطبیق‌پذیری می باشد.Cisco AMP for Endpoints یک محصول حفاظت پیشرفته در مقابل بدافزار برای PCها، Macها، دستگاه‌های موبایل و سیستم‌های مجازی است که به‌عنوان نرم‌افزار روی دستگاه اجرا می‌شوند. این محصول از Endpointها حفاظت می‌کند، فارغ از اینکه به یک شبکه حفاظت‌شده متصل باشند یا در اینترنت قرار داشته باشند. با پیاده‌سازی Cisco AMP for Networks و Cisco AMP for Endpoints، سازمان‌ می‌تواند به قابلیت دید و کنترل کاملی در اکوسیستم IT وسیع خود دست پیدا کند.

منظور از محدودیت فایل‌های نقض‌کننده Policy و غیره توسط AMP چیست

Cisco AMP for Networks به افراد این توانایی را می‌دهد که فایل‌های مجاز در سیستم را تعریف کنند. فارغ از اینکه فایل از وب، ایمیل یا مسیرهای حمله دیگر برسد، سیستم به‌طور خودکار فایل‌ها برنامه‌های کاربردی را تشخیص می‌دهد. سپس با استفاده از Policyهای برنامه کاربردی و کنترل فایل که تنظیم شده است فیلترینگ وسیع فایل‌ها را انجام می‌دهد این ویژیگی در شکل پایین نشان داده شده است. این Policyها را می‌توان به فایل‌های ورودی و خروجی اعمال کرد که باعث می‌شود بتوان فایل‌های دانلود شده و آپلود شده را کنترل کرد و به عاملان مخرب خارجی و داخلی پاسخ می‌دهد. شکل زیر محدود کردن فایل‌های نقض‌کننده Policy را نمایش می دهد.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5
AMP چیست

شناسایی و مسدود کردن تلاش برای Exploit

Cisco AMP for Networks بر مبنای Cisco FirePOWER Next-Generation Intrusion Prevention System یا NGIPS ساخته شده است. وقتی که سیستم پیاده‌سازی می‌گردد، تلاش‌های Exploit به‌صورت Client Side که منجر به دانلود فایل مخرب می‌شوند را شناسایی و مسدود می‌کند؛ این حملات تحت عنوان حملات Drive-by معروف هستند. سیستم NGIPS همچنین از تلاش افراد مخرب برای Exploit کردن مرورگرهای وب، Adobe Acrobat، Java، Flash و دیگر برنامه‌های کاربردی متداول جلوگیری می‌کند. سیستم با اقدام کردن در سریع‌ترین زمان ممکن در زنجیره‌ی حمله سعی می‌کند آسیب را به حداقل رسانده و از تلاش‌های پرهزینه برای پاک‌سازی اجتناب کند.

شناسایی، مسدود کردن و تجزیه‌وتحلیل فایل‌های مخرب

Cisco AMP for Networks از Collective Security Intelligence Cloud متعلق به سیسکو استفاده می‌کند تا اطلاعات فایل را به‌طور Real-Time روی چندین مسیر حمله مثل وب و ایمیل به دست آورد. فایل‌های مخرب شناخته‌شده مسدود می‌شوند تا نتوانند به سیستم هدف خود برسند. فایل‌های مشکوک را می‌توان برای تجزیه‌و‌تحلیل در Cisco Collective Security Intelligence Cloud ثبت کرد. برای فایل‌هایی که در Cloud تجزیه‌وتحلیل می‌شوند، یک امتیاز تهدید محاسبه می‌گردد و یک گزارش تهدید در کنسول مدیریت قابل‌دسترسی است تا در تصمیم‌گیری کمک کند. هر نوعی از فایل‌ها را می‌توان در سیستم ذخیره و به‌طور ایمنی بازیابی کرد تا تجزیه‌و‌تحلیل بیشتر به‌طور دستی ممکن گردد.

تجزیه‌وتحلیل مداوم فایل‌ها و ترافیک

سیستم‌های ضدبدافزار مبتنی بر شبکه عادی فقط در یک نقطه زمانی که بدافزار در دستگاهِ شبکه حرکت می‌کند، آن را بررسی می‌نمایند. ازآنجایی‌که هیچ تکنولوژی شناسایی 100 درصد کارآمد نیست و بدافزار پیشرفته می‌تواند خودش را مخفی کند تا از خط مقدم سیستم‌های دفاعی عبور نماید، معمولاً پس از انجام شدن بررسی اولیه، قابلیت دید از بین می‌رود. سیسکو با استفاده از تجزیه‌و‌تحلیل Big Data برای بررسی مداوم علاوه بر شناسایی لحظه‌ای این مشکل را حل کرده است. این تجزیه‌و‌تحلیل مداوم پس از اینکه در ابتدا بررسی و اجازه‌ی عبور به آن داده شده است می‌تواند منجر به شناسایی بدافزار، شود. همانطور که در شکل زیر مشاهده می شود تجزیه‌و‌تحلیل مداوم یک عامل کلیدی از امنیت گذشته‌نگر می­باشد.

هشدارهای گذشته‌نگر از سیستم Cisco AMP for Networks به ما می‌گوید که یک فایل مشاهده‌شده چه زمانی مخرب است، حتی اگر فایل درگذشته ساعت‌ها یا روزها از شبکه عبور کرده باشد؛ این امر به ما اجازه می‌دهد اقدامی انجام دهیم و آسیب را به حداقل برسانیم. شکل زیر مقایسه شناسایی لحظه‌ای با تجزیه‌و‌تحلیل مداوم و امنیت گذشته‌نگر را نمایش می­دهد.

AMP چیست
برچسب ها : مزایای AMPمفهوم UDP Amplificationکاربردهای AMPمعایب AMPراهکار AMPامکانات Cisco AMPAMP چیستمفهوم AMPبررسی Cisco AMPدرباره Cisco AMPتعریف AMPCisco AMP چیست

مطلب مفید بود؟

 
بیشتر بخوانید