Cisco Advanced Malware Protection (AMP)؛ نسل جدید مقابله با بدافزارها
در دنیای امروز که حملات سایبری هر روز پیچیدهتر میشوند، استفاده از فایروال، آنتیویروس یا فیلتر کردن وبسایتها به تنهایی برای محافظت از زیرساختهای سازمانی کافی نیست. مهاجمان سایبری از روشهای نوینی برای نفوذ به شبکه استفاده میکنند و بسیاری از بدافزارها میتوانند از طریق وبسایتهای معتبر، ایمیلهای سازمانی، فایلهای ضمیمه یا حتی نرمافزارهای مورد اعتماد وارد شبکه شوند.
راهکار Cisco Advanced Malware Protection (Cisco AMP) یکی از پیشرفتهترین فناوریهای امنیت سایبری شرکت سیسکو است که با بهرهگیری از تحلیل رفتاری، هوش تهدیدات جهانی و بررسی مداوم فایلها، امکان شناسایی و مقابله با انواع بدافزارها و تهدیدات پیشرفته را فراهم میکند.
Cisco AMP به سازمانها کمک میکند تا تهدیدات را نه تنها قبل از ورود به شبکه، بلکه در حین اجرا و حتی پس از نفوذ نیز شناسایی و مهار کنند.
Cisco AMP چگونه کار میکند؟
Cisco AMP یک سیستم امنیتی چندلایه است که تمامی فایلها و فعالیتهای مشکوک را در سراسر شبکه مورد بررسی قرار میدهد. این راهکار با استفاده از اطلاعات امنیتی جمعآوری شده توسط تیم تحقیقاتی Cisco Talos و تحلیل میلیونها نمونه بدافزار در سراسر جهان، قادر است تهدیدات شناخته شده و ناشناخته را شناسایی کند.
پس از ورود یک فایل به شبکه، AMP به طور مستمر رفتار آن را بررسی میکند. اگر بعدها مشخص شود که فایل مورد نظر دارای ماهیت مخرب بوده است، سیستم به صورت خودکار هشدارهای Retrospective Security تولید کرده و تیم امنیت را از وجود تهدید آگاه میسازد.
این قابلیت یکی از مهمترین مزیتهای Cisco AMP نسبت به راهکارهای سنتی امنیتی محسوب میشود.
Cisco AMP از فناوریهای مبتنی بر هوش مصنوعی، تحلیل رفتاری و Threat Intelligence استفاده میکند تا تهدیدات پیچیدهای مانند:
Zero-Day Attacks
Ransomware
Fileless Malware
Advanced Persistent Threats (APT)
Exploit Kits
را در کوتاهترین زمان ممکن شناسایی کند.
2. امنیت Retrospective و تحلیل مستمر فایلها
در بسیاری از راهکارهای امنیتی، پس از عبور فایل از Gateway دیگر نظارتی روی آن انجام نمیشود.
اما در Cisco AMP داستان متفاوت است.
این راهکار پس از ورود فایل به شبکه نیز به بررسی رفتار آن ادامه میدهد و در صورت مشاهده فعالیت مخرب، هشدارهای امنیتی صادر میکند. این ویژگی باعث میشود تهدیداتی که در زمان ورود قابل تشخیص نبودهاند نیز شناسایی شوند.
3. بهرهگیری از هوش تهدیدات Cisco Talos
تیم امنیتی Cisco Talos یکی از بزرگترین مراکز تحلیل تهدیدات سایبری جهان محسوب میشود.
روزانه:
میلیونها فایل مخرب تحلیل میشوند
میلیاردها رویداد امنیتی بررسی میشود
ترابایتها داده امنیتی پردازش میگردد
اطلاعات به دست آمده به صورت لحظهای در اختیار Cisco AMP قرار میگیرد تا سازمانها بتوانند در برابر جدیدترین حملات سایبری محافظت شوند.
4. Sandboxing پیشرفته
یکی از قابلیتهای کلیدی Cisco AMP امکان اجرای فایلهای مشکوک در محیط ایزوله (Sandbox) است.
در این محیط فایل بدون آسیب رساندن به شبکه اجرا شده و رفتار آن مورد بررسی قرار میگیرد.
AMP مواردی مانند:
ایجاد فایلهای جدید
تغییرات رجیستری
ارتباطات شبکهای
فعالیتهای مشکوک سیستم
را بررسی کرده و سطح ریسک فایل را تعیین میکند.
5. کاهش زمان شناسایی تهدیدات
در بسیاری از حملات سایبری، زمان کشف تهدید عامل اصلی میزان خسارت است.
Cisco AMP با تبدیل ترافیک وب و فایلهای در حال انتقال به منابع اطلاعاتی امنیتی، زمان تشخیص تهدید (MTTD) را به شکل چشمگیری کاهش میدهد و امکان واکنش سریعتر را برای تیم امنیت فراهم میسازد.
ارتباط Cisco AMP با سایر راهکارهای امنیتی سیسکو
بیشترین اثربخشی Cisco AMP زمانی حاصل میشود که در کنار سایر محصولات امنیتی سیسکو مورد استفاده قرار گیرد.
ترکیب Cisco AMP با Cisco DNA Center دید کاملی نسبت به وضعیت امنیتی کاربران، تجهیزات و ترافیک شبکه ایجاد میکند و امکان واکنش خودکار به رخدادهای امنیتی را فراهم میسازد.
استفاده همزمان از AMP و فایروالهای نسل جدید سیسکو موجب افزایش چشمگیر قدرت تشخیص و مسدودسازی تهدیدات در لایههای مختلف شبکه میشود.
سوئیچها و روترهای Cisco
زیرساخت شبکه زمانی ایمن خواهد بود که تجهیزات Core و Access نیز از استانداردهای امنیتی مناسبی برخوردار باشند. Cisco AMP در کنار سوئیچها و روترهای سیسکو میتواند لایهای قدرتمند از امنیت یکپارچه را ایجاد کند.
در بسیاری از سازمانها بخش مهمی از حملات سایبری از طریق حسابهای دارای دسترسی ویژه انجام میشود. ترکیب Cisco AMP با سامانه PAM میتواند علاوه بر کنترل دسترسیهای حساس، امکان شناسایی رفتارهای مشکوک و بدافزارهای هدفمند را نیز فراهم کند.
چرا Cisco AMP برای سازمانها ضروری است؟
با افزایش حملات باجافزاری، حملات مبتنی بر ایمیل و تهدیدات پیشرفته، سازمانها دیگر نمیتوانند تنها به ابزارهای امنیتی سنتی تکیه کنند.
Cisco AMP نوتریکا با ارائه قابلیتهایی مانند:
تحلیل رفتاری فایلها
Threat Intelligence جهانی
Sandboxing پیشرفته
Retrospective Security
کشف تهدیدات ناشناخته
یکپارچگی با اکوسیستم امنیتی سیسکو
به یکی از مهمترین اجزای معماری امنیت سایبری سازمانهای مدرن تبدیل شده است.
جمعبندی
Cisco Advanced Malware Protection یا Cisco AMP یک راهکار پیشرفته برای مقابله با بدافزارها و تهدیدات سایبری پیچیده است که با استفاده از تحلیل مداوم فایلها، هوش تهدیدات جهانی Cisco Talos و قابلیتهای پیشرفته Sandboxing، امکان شناسایی و مهار حملات را قبل، حین و پس از وقوع فراهم میکند.
سازمانهایی که به دنبال ایجاد یک زیرساخت امنیتی قدرتمند و یکپارچه هستند، میتوانند Cisco AMP را در کنار راهکارهایی مانند Cisco ISE، Cisco DNA Center، تجهیزات شبکه سیسکو و سامانه PAM نوتریکا به کار گرفته و سطح امنیت سایبری خود را به شکل قابل توجهی ارتقا دهند.