Szacuje się, że około 70% cyberzagrożeń ma swój początek w ataku na urządzenia końcowe(1), takie jak notebook, komputer, telefon komórkowy. Dlaczego są one najczęstszym punktem startowym cyberataków?
Dlaczego endpointy są ważne?
Zazwyczaj ataki na urządzenia końcowe mają miejsce poza siecią firmową, gdzie jedyną ochroną jest program antywirusowy, który choć niezbędny, to stanowi jedynie element całości zabezpieczeń. Co ciekawe, większość (55%) organizacji nawet nie wie, że doszło do incydentu bezpieczeństwa(2), bo te wykrywane są średnio po dopiero 100 dniach(3). Nierzadko przyczyną ataku jest błąd użytkownika – można mieć najlepsze zabezpieczenia, najlepsze procedury i najlepsze polityki bezpieczeństwa, ale w 48% zawodzi człowiek(4), klikając np. w podejrzany link lub otwierając podejrzany załącznik.
Potrzeba matką rozwiązań
Z tych powodów zdefiniowana została potrzeba pogłębionego wglądu w aktywność związaną z plikami i tego, co robią użytkownicy na urządzeniach końcowych oraz w miejscach połączenia tych urządzeń z Internetem, a także pełnej kontroli nad zatrzymywaniem działania złośliwego oprogramowania. Rozwiązaniem tych potrzeb są Cisco AMP (Advanced Malware Protection) for Endpoints i Cisco Umbrella. Oba te produkty z zakresu cyberbezpieczeństwa współdziałają w taki sposób, aby zapewniać pełny wgląd i kontrolować to co się dzieje z urządzeniami i plikami, przedstawiając jednocześnie informacje kontekstowe. Wszystkie te aspekty są niezbędne do zapobiegania cyberatakom wymierzonym w punkty końcowe, wykrywanie ich oraz reagowanie na nie zanim zdążą poczynić rzeczywiste szkody.
AMP for Endpoints po pierwsze
Rozwiązanie AMP for Endpoints to chmurowe narzędzie zabezpieczające endpointy. Jest to rozwiązanie umożliwiające przeciwdziałanie cyberatakom, dzięki błyskawicznemu wykrywaniu i unieszkodliwianiu złośliwego oprogramowania znajdującego się na urządzeniach końcowych.
Rozwiązanie AMP for Endpoints wykorzystuje wiele nowatorskich technologii – uczenie maszynowe, statyczną i dynamiczną analizę plików (tzw. technologia piaskownicy, czyli sandbox). AMP for Endpoints monitoruje luki w zabezpieczeniach i prowadzi ciągłą analizę aktywności plików, korzystając też z wykrywania retrospektywnego. Rozwiązanie AMP for Endpoints łączy funkcje systemu reputacji plików, wskaźniki zachowań oraz globalne informacje o zagrożeniach dostarczane przez grupę Cisco Talos do analizowania nieznanych plików i automatycznego blokowania prób uruchomienia złośliwego oprogramowania w punktach końcowych. Zaawansowane złośliwe oprogramowanie może ominąć pierwszą linię obrony i przeniknąć do punktu końcowego. Rozwiązanie AMP for Endpoints stale monitoruje i rejestruje całą aktywność procesów znajdujących się na urządzeniach końcowych po to, aby szybko wykryć ich złośliwe działanie. Narzędzie umożliwia wyświetlanie kompletnej historii aktywności złośliwego oprogramowania: skąd pochodzi, jaką drogą było przesyłane i na czym polega jego działanie. Umożliwia to retrospektywne wykrywanie i unieszkodliwianie zagrożeń zanim zdążą spowodować jakiekolwiek szkody.
Umbrella — co to jest?
Umbrella to platforma zabezpieczeń w chmurze, stanowiąca pierwszą linię obrony użytkowników sieci korporacyjnych, lub działających poza nimi, przed zagrożeniami w Internecie. Platforma Umbrella zapewnia pełny wgląd w aktywność internetową we wszystkich lokalizacjach i wszystkich punktach końcowych oraz możliwość aktywnego blokowania złośliwych zapytań przed ustanowieniem połączenia. Platforma Umbrella pomaga organizacjom wcześniej zatrzymywać ataki, szybciej identyfikować zainfekowane urządzenia, zapobiegać wykradaniu danych.
Platforma Umbrella została stworzona w oparciu o globalną sieć, która obsługuje ponad 100 miliardów zapytań DNS (Domain Name System) dziennie. Połączenie funkcji uczenia maszynowego oraz pracy inżynierów cyberbezpieczeństwa umożliwia analizowanie danych w celu identyfikowania schematów, wykrywania anomalii i opracowywania modeli statystycznych. Dzięki temu możliwe jest automatyczne wykrywanie bieżących ataków oraz infrastruktury cyberprzestępców przygotowywanej pod kątem przyszłych zagrożeń. W skład rozwiązania wchodzi dodatkowo inteligentny serwer proxy, który zapewnia klientom bardziej pogłębioną ochronę. Gdy sieć Umbrella otrzymuje zapytanie o domenę, która jest znaną domeną malware’ową, to od razu na nie odpowiada. W celu blokowania milionów złośliwych adresów URL platforma Umbrella korzysta z usług grupy Cisco Talos, systemów określania reputacji stron internetowych oraz informacji od Partnerów.
„Rozwiązanie Cisco Advanced Malware Protection w połączeniu z platformą Cisco Umbrella zmniejsza liczbę ataków oprogramowaniem ransomware praktcznie do zera. Są to nasze obserwacje po wdrożeniu tego rozwiązania u wielu naszych Klientów” – Rafał Kraska, CEO Trecom Łódź. (na zdjęciu)