Cisco Advanced Malware Protection

Présentation au sujet: "Cisco Advanced Malware Protection"— Transcription de la présentation:

1 Cisco Advanced Malware Protection
Pour le décideur commercial Mars 2015 Thanks for taking the time to meet with me today about Advanced Malware Protection from Cisco. Let’s get started.

2 Des menaces dynamiques
100% des entreprises se connectent à des domaines qui hébergent des fichiers ou services malveillants 54 % des incidents ne sont pas détectés pendant des mois C’est une communauté qui se cache en plein jour, 60 % des données sont volées en quelques heures qui échappe aux contrôles et qui attaque rapidement On the Internet, malicious activity is no longer usually the work of lone individuals. Criminals are now often part of communities that are continually trying new techniques, trade intellectual property, and sometimes works together. Most importantly, the speed and frequency of attacks have accelerated. And it can take months or years for victims to discover they’ve been breached. To be truly effective, your defenses must respond in real-time to detect and respond to attacks. Finally, every organization directly encounters malicious content or actors. While most interactions do not result in harm, your adversaries have many opportunities to cause damage to your company’s resources and reputation.

3 Votre approche changerait-elle si vous saviez que vous allez être attaqué ?
In today’s threat landscape, the question isn’t if your company will be compromised: it’s a question of when this will occur. We can assume that attackers have already breached your defenses. So if you knew your defenses were already compromised, would you approach security differently? Of course. What’s needed is a new security model; one that understands how attacks occur and provides defenders with an operating model to fight off attacks more effectively. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ OTHER DATA POINTS: EVERY YEAR VERIZON ISSUES THEIR DATA BREACH INVESTIGATION REPORT. THIS YEAR’S REPORT TELLS A DAMNIMG STORY WITH OVER 850 BREACHES LAST YEAR. 98% STEMMED FROM EXTERNAL AGENTS 81% UTILIZED SOME FORM OF HACKING 69% INCORPORATED MALWARE 96% OF ATTACKS NOT HIGHLY DIFFICULT

4 La question n’est plus de savoir si des programmes malveillants risquent d’infecter votre réseau
Elle est de savoir si vous allez pouvoir détecter rapidement l’infection, comprendre sa portée et remédier au problème Où commencer ? Confirmer l’infection Notification Quarantaine Triage Confirmation Quelle est la gravité de la situation ? Stop Quels systèmes ont été touchés ? Analyser le programme malveillant Impossible d’identifier l’infection Infection identifiée Aucune infection Création de l’environnement de test Analyse statique et dynamique Analyse des équipements Analyse du réseau Analyse de la prolifération Quels ont été les effets de l’attaque ? Mise à jour du profil Profil du programme malveillant Comment restaurer le système ? Prolifération des malwares Remédier Analyser le trafic réseau Analyser les logs des appareils Analyser les appareils Définir des règles (à partir du profil) Comment puis-je empêcher que cela se reproduise ? The question is no longer if malware will hit your network, but what to do you when things have breached your network. Do you understand the processes to effectively remediate and walk back from an issue? Are you able to scope and ascertain how widespread a problem is? Do you understand the manpower that this requires? And what that takes away from other projects and IT resources? We’re going to offer you a tool that cuts down the time window in all four of those areas. You won’t need to assign more people or devote more time to security. So you can cut the cost of remediation and get people back to work for other strategic business activities.  Rechercher les nouvelles infections

5 Se défendre contre ces menaces sophistiquées Visibilité et contrôle accrus sur le processus d’attaque dans son intégralité L’attaque Après Évaluer Confiner Remédier Avant Détecter Appliquer Renforcer Pendant Détecter Bloquer Défendre Réseau Terminal Mobile Virtuel Cloud & Web Action ponctuelle Action continue In order to uncover and respond to threats, you need to address advanced malware before <<click>> during and after breaches occur. You need to be able to do that across your networks and endpoints (if you include networks and mobile as well as your web and gateways) not only in point-in-time but also continuously over time.

6 Cisco Advanced Malware Protection Une sécurité adaptative collective inédite
Sécurité adaptative collective Cisco sur le cloud Sécurité adaptative collective Cisco® WWW Mises à jour automatiques toutes les 3 à 5 minutes Terminaux Web Réseaux IPS Équipements 1,6 million de sondes dans le monde 100 To de données reçues tous les jours Plus de 150 millions de terminaux déployés 600 ingénieurs, techniciens et chercheurs 35 % du trafic de messagerie mondial 13 milliards de requêtes web Opérationnel 24/24, 7/7 et 365 jours/an 4,3 milliards de blocages web par jour Plus de 40 langues 1,1 million de logiciels malveillants entrants par jour Communauté AMP Flux d’informations sur les menaces privées et publiques Talos Security Intelligence AMP Threat Grid Intelligence AMP Threat Grid Dynamic Analysis 10 millions de fichiers/mois Communications anticipées de Microsoft et du secteur Communautés Open Source Snort et ClamAV Programme AEGIS AMP Advanced Malware Protection Cisco Advanced Malware Protection, or AMP, is built on unmatched collective security intelligence. This intelligence is collected from Cisco’s Security Intelligence Operations and the Sourcefire Vulnerabiity Research team and then pushed from the cloud to the AMP client so that the user always has the latest threat intelligence. The intelligence available here is pretty impressive: On one hand you have Cisco’s Security Intelligence Operations that monitors 35% of worldwide traffic and scans 100 terabytes of data per day in order to build a base of security intelligence. And on the other hand, you have Sourcefire’s Vulnerability Research team that evaluates file samples per day and leverages the collective intelligence of the FireAMP, Snort and ClamAV Open source communities. This makes for an AMP solution that is truly built on big data.

7 d’autres échantillons et des milliards d’objets
AMP Threat Grid Transmet les résultats d’analyse dynamique des programmes malveillants et des informations sur les menaces à la solution AMP Cisco Fichiers de prédominance basse Des informations et des contenus exploitables relatifs aux menaces peuvent être rassemblés et intégrés dans de nombreux systèmes existants ou utilisés séparément. La plate-forme AMP Threat Grid met en corrélation le résultat de l’échantillon avec des millions d’autres échantillons et des milliards d’objets Informations exploitables Un analyste ou un système (API) transmet l’échantillon suspect à Threat Grid Note de dangerosité / Indicateurs de comportement Corrélation des données Flux de menace Un moteur automatisé observe, déconstruit et analyse, grâce à plusieurs techniques La plate-forme AMP Threat Grid met en corrélation le résultat de l’échantillon avec d’autres échantillons et des millions d’objets Des informations et des contenus exploitables relatifs aux menaces peuvent être rassemblés et intégrés dans de nombreux systèmes existants ou utilisés séparément. Base de données d’informations sur les échantillons et les objets Techniques propriétaires pour l’analyse statique et dynamique Approche de vision externe Plus de 300 indicateurs de comportement AMP Threat Grid feeds dynamic malware analysis and threat intelligence to be utilized by the AMP solution for disposition look ups, sandboxing, and other dynamic analysis features. [THIS SLIDE IS FULLY ANIMATED. NO BUILDS. ONCE THE SLIDE IS ON THE SCREEN, DON’T CLICK. IT WILL RUN THROUGH THE ENTIRE SLIDE.]

8 Cisco Advanced Malware Protection assure...
Une protection ponctuelle Une sécurité rétrospective Filtrage par réputation et analyse en sandbox As I mentioned, there are two capabilities for delivered security: point-in-time and retrospection. The truth is that you need both. Consider point-in-time a plan A. You’re going to spend time up front targeting the assets of your environment, quantifying your areas of weakness. You’ll use tools like vulnerability assessment and management tools, patch management, VPN firewalls, even IPS. These are tools that you use for the point-in-time detection piece. When it comes to AMP specifically, you’re going to use file reputation, the ability to look at data bases of files, in order to understand whether they are known to be malware, considered to be clean, or considered in an “unknown” state for a period of time. And then you use other advanced technologies but they’re still point-in-time. You’ll execute them in a sandbox or have virtual execution so you can gain insight into how files behave and use some of the outputs to determine whether we need to change our mind on a file. Now let’s talk about continuous analysis. Most folks don’t have the ability, time, or talent needed to take the output from virtual execution and other point-in-time tools to look at them with fresh intelligence every day. Retrospective security takes all of the input just mentioned, all of the relationships we have with businesses and our vulnerability data, and all of the work we do monitoring our security intelligence for insight. And retrospective security looks over new events with fresh intelligence every few hours. We get to look at all the data continuously, with new insight, new intelligence, and the proper understanding. Retrospective security should be considered your plan B. It’s what happens when something gets through all of your point-in-time protection, because you’re always going to be dealing with less than 100% detection.  Analyse continue

9 L’avant-garde de la détection
Aucun système de détection n’est efficace à 100 % Analyse dynamique Apprentissage automatique Empreintes partielles Analyses sophistiquées Signature biunivoque Filtrage par réputation et analyse en sandbox Additionally, you’re going to have things that give you simple one-to-one signature based matching, you’re going to want to catch the low-hanging fruit quickly so that you don’t have to go hunting for signs of breach or indications of breach. You’re going to be able to catch those things and move forward. But then there are other technologies that play into this space such as multi-fingerprinting, which looks for families of malware, and machine learning, which looks at how files execute and their behavior and detects things like zero day malware as it enters your environment. And there are other point-in-time technologies that we could spend discussing, such as advanced analytics and dynamic analysis. But these are all considered point-in-time solutions. They’re going to provide some value at a moment in time, but you need to be looking beyond that moment. All point-in-time detection is less than 100% effective.

10 Analyse en continu des événements tout au long de l’attaque
Portée et points de contrôle : Détection rétrospective Indicateurs de compromission Trajectoire Chasse aux menaces WWW Terminaux Web Réseau IPS Équipements Flux de télémétrie Empreintes des fichiers et métadonnées Flux continu E/S des fichiers et du réseau Informations sur les processus Analyse continue Talos + Threat Grid Intelligence Whether the traffic is deemed malicious or harmless, the AMP solution will still track every single thing that comes into the system from a wide array of attack vectors, including the network, the endpoint, virtual, and mobile. Continuous analysis is going to be watching and recording everything it sees. Basically, you can think of it as a video recorder that constantly records and gives you the ability to rewind, fast forward, see where a file has been, where its going, and what it’s doing. AMP continuously monitors that information using tools such as file trajectory and behavioral indications of compromise which give an organization’s IT security team an increased contextual awareness and understanding of the health of their systems and can provide complete visibility of an attack from beginning to end.

11 AMP offre fonctionnalités de reconnaissance contextuelle et visibilité qui permettent de prendre le contrôle sur une attaque avant qu’elle ne cause des dégâts Ces utilisateurs sont à considérer d’abord Qui Ces applications sont affectées Quoi L’attaque a impacté ces zones Où Ampleur de l’exposition Quand Voici des données sur l’origine et la progression de l’attaque Comment As an IT security manager, you’re asking yourself a bunch of questions if you are subject to a breach: Where did the malware come from? Where has it been? What is it doing? and How do I stop it? And this is essential, because it gives IT security managers the visibility they need to respond quickly in the event of an attack. The tools provided by AMP let you understand the scope of the situation in front of you and give you the power to quickly take control of the situation before it can get worse. This is something that point-in-time detection alone can not provide. Its really the difference between being completely blind to what happened or maybe having just a few data points to go on, versus having the assurance and visibility to know what’s malicious, where the malware entered the system, where it went after that, what it’s doing now, and what systems are affected. Having this information at your fingertips allows you to answer some pretty important questions in the face of a potential breach, such as: Where do I start? How bad is the situation? What did the threat do? How do we recover from it? And how do we keep it from happening again?

12 Contenir l’attaque et y remédier
In all this noise, we help you pull out all of the things that you need to know about. We can show you the relationships and the connections that are so important. And the only way you can make those connections is to be continuously vigilant. Because those connections happen over time. In a point-in-time world, everything looks like an independent dot. But in reality the world is interconnected. AMP helps you not only to detect the malware but also helps you understand what led up to it and what happened after the infection.

13 Notre stratégie promouvant une action à tous les niveaux offre une protection sur le réseau étendu
PC Virtuel Mobile MAC AMP for Networks AMP for Endpoints AMP AMP Threat Grid pour l’analyse dynamique + Plate-forme d’informations sur les attaques Advanced Malware Protection AMP sur le pare-feu Cisco® ASA avec fonctionnalités FirePOWER Cloud privé AMP Appareil virtuel CWS AMP sur appliances de sécurité web et messagerie (WSA/ESA) Cisco has one of the most comprehensive AMP portfolios on the market. With investment and innovation spanning several years, our AMP Everywhere strategy means customers are protected across the extended network including PCs, Macs, mobile devices and virtual environments through standalone AMP appliances as part of FirePOWER appliances for Next-Generation IPS or Next-Generation Firewall and via Cisco Web Security Appliances, Security Appliances, and the Cloud Web and Hosted Security and SaaS offers. For dynamic malware analysis and threat intelligence capabilities, you can even deploy AMP Threat Grid as a standalone appliance. AMP pour solutions de sécurité web sur le cloud et messagerie hébergée

14 Les types de déploiements d’AMP sont multiples
Advanced Malware Protection Options de déploiement et web ; AMP sur Cisco® ASA CWS AMP for Networks (AMP sur appareil réseau FirePOWER) AMP for Endpoints Appareil virtuel de cloud privé AMP Méthode Licence pour les détenteurs de ESA, WSA, CWS ou ASA Intégration dans votre réseau Installation du connecteur léger sur les terminaux Appareil virtuel sur site Idéal pour Détenteurs de solutions Cisco CWS, ESA, WSA et ASA nouvelles ou déjà en place Détenteurs de IPS/NGFW Windows, Mac, Android, machines virtuelles Environnements de haute confidentialité Détails ESA/WSA : grande visibilité sur la messagerie et le web CWS : service cloud pour la protection avancée contre les programmes malveillants et les risques du web Fonctionnalités AMP sur ASA avec fonctionnalités FirePOWER Grande visibilité sur l’intérieur du réseau Vaste choix de fonctionnalités pour une action avant, pendant et après une attaque Système de protection exhaustif et traitement des agressions Visibilité et contrôle granulaires Sélection la plus large de fonctions AMP Option de cloud privé pour satisfaire aux exigences de confidentialité fortes Pour les terminaux et les réseaux PC/MAC Mobile Virtuel There are several ways you can deploy AMP… Described in column 1, you can add AMP capabilities to Cisco and Web Security Appliances, onto Cisco Cloud Web Security, and turn on AMP on your ASA with FirePower Services firewall solution. 2. You can deploy AMP for Networks, which is simply AMP capabilities enabled on your FirePOWER Network Security Appliance 3. You can deploy AMP for Endpoints on your PCs, Macs, mobile devices, and virtual environments 4. You can deploy AMP Private Cloud Virtual Appliance which is simply a virtual instance of the AMP solution which gives you an on-premis, virtual appliance option that is best suited for high privacy environments 5. And finally, not pictured here, you can also deploy AMP Threat Grid as a standalone appliance for Threat Intelligence and Dynamic Malware Analysis.

15 Étapes suivantes Choisissez la méthode de déploiement qui vous convient le mieux Définissez un calendrier et fixez une date d’installation Déterminez les exigences matérielles et les modifications de configuration Sélectionnez la durée et le mode de livraison Planifiez une réunion de lancement Interested in finding out how AMP can benefit your environment? Here’s what you can do next.

16 Pour en savoir plus, visitez www.cisco.com/go/amp
Thank you.

17 Annexe

18 AMP isole et élimine rapidement les programmes malveillants
Historique des événements Qui Quoi Sécurité adaptative et collective Où Quand Comment Contexte Mise en application Analyse continue

19 Le coût d’un incident est élevé Et continue d’augmenter
900 000 $ L’impact financier des attaques augmente chaque année 4,5 M$ Impact financier moyen d’une attaque

20 L’impact d’une attaque
Début Heures Mois Années L’attaque se produit 60 % des données sont volées en quelques heures. 54 % des incidents ne sont pas détectés pendant des mois. Les données personnelles de presque 750 millions d’individus circulent sur le marché noir ces trois dernières années. 1) & MTD Sales Deck 2) & MTD Sales Deck 3) So in the most basic of terms, as a result of breaches over the past three years, the personal information of up to 750 million individuals is or could be for sale on the criminal black market to be used for identity theft, credit card fraud, and countless other illegal activities. (This is from Rosch Testimony)

21 Cisco AMP - Ressources vidéo
Démonstrations Démo AMP for Endpoints Démo AMP for Networks First Financial Bank Témoignage de clients Film d’animation explicatif sur AMP Voici Tom, responsable de la sécurité informatique Série 1 (3 vidéos) Série 2 (3 vidéos) AMP et la gestion des incidents AMP : Le point de vue d’un utilisateur Cas 1-6 Cas 1 et 2 (versions courtes) Rendez-vous sur les pages des produits AMP  : vidéos, démonstrations et autres ressources So Continuous Analysis and Restrospective Security, what does this look like.

22 Validation externe Test comparatif de NSS Labs sur les systèmes de détection des attaques
Présentation de NSS Labs NSS Labs, l’un des meilleurs et plus sérieux laboratoires de test du secteur, a effectué des tests comparatifs des systèmes de détection d’attaque. Portée des tests Efficacité des systèmes de détection d’attaque Programmes malveillants HTTP/ , exploits, évasions et taux de faux-positifs Coût total d’acquisition (TCO) par Mbit/s protégé Quels produits Cisco® Sourcefire® ont été testés ? Toutes les solutions AMP AMP for Networks et AMP for Endpoints (les calculs de TCO incluent cet ensemble de connecteurs FireAMP) FirePOWER 8120 (avec abonnement AMP)* Quels produits concurrents ont été évalués ? FireEye, AhnLab, Fortinet TrendMicro, Fidelis Méthodologie BDS v1.5 [La méthodologie] repose sur les menaces réelles et les méthodes utilisées concrètement par les cybercriminels et autres éléments. Il s’agit de tests grandeur nature, pas de simulations ; les systèmes testés sont de véritables équipements connectés à un flux d’informations Internet réel. --NSS Labs *Les appliances AMP dédiés (AMP8150/AP7150) n’étaient pas sur le marché au moment des tests, sinon ils auraient été inclus. Third party validated for our point in tim detection. We would have loved NSS to compare full amp solution to competitors, but there are no basis for comparison.AMP is only solution with retrospective security tools integrated. For point in tim/breach detection (AV, Sandbox, signatures, etc), we have best protection value. See fireye…

23 Résultats Cisco AMP domine sur le plan de la sécurité et du TCO, et offre la meilleure protection
Efficacité de la sécurité Notes globales sur le produit Security Value Map (SVM) de NSS Labs pour les systèmes de détection d’attaque Résultats AMP Cisco-Sourcefire – Détection seule Cisco® Advanced Malware Protection Meilleure protection Obtient 99 % pour la détection d’attaque TCO le plus bas (par Mbit/s protégé) Les autres produits n’offrent pas de fonctionnalités de sécurité rétrospective pour une action après l’attaque Efficacité de la sécurité In order to deliver continuous monitoring effectively, it requires cloud back-heavy lifting. There are multiple inputs that you’ll need to process in order to get the kind of intelligence or insight you need to deliver security effectively, for both point-in-time AND the continuous monitoring capabilities. Notice that this slide looks familiar from other vendors, but the numbers behind it are what allow Cisco to truly deliver this kind of protection. Processing 35% of the world’s traffic, being able to mine that data for insight into vendor relationships, run reputation against it, with millions of sensors that feed us input. Combine that with the intelligence provided by the Sourcefire Vulnerability Research Team is uncovering every day, from their relationships with all the big vendors – Microsoft, Adobe, Apple, with nearly 200,000 unique files that are processed and executed virtually every single day, to find or discover artifacts or indications of compromise. The global network of honeypots and more, and this kind of intelligence feeds through our research team, which allows you to gain the capabilities that only we can deliver with continuous monitoring. It’s all delivered through our cloud platform, call it the Collective Security Intelligence, which allows you to take advantage of IPS rule, firewall category, and all the other advanced analytics that we can push out across the protection continuum.  TCO (par Mbit/s protégé)

24 Les acteurs du secteur vantent la qualité Cisco
« D’après nos rapports portant sur les systèmes de détection d’attaque, Advanced Malware Protection de Cisco se place dans le peloton de tête. » Évaluation pour 2014 des fournisseurs sur le plan de la sécurité : positive « Est-ce que les fournisseurs de solutions de sécurité réseau comprennent ce qu’est un data center et ses besoins spécifiques en termes de sécurité ? En ce qui concerne Cisco, la réponse est clairement oui. « … AMP constituera l’un des avantages les plus intéressants de l’acquisition de [Sourcefire®] .» Les acteurs du secteur vantent la qualité Cisco « Cisco est en train de faire évoluer le marché des solutions de défense contre les attaques avancées. » « Les produits AMP disposent de fonctionnalités complètes qui permettent à Cisco d’offrir les services sécurisés pour l’Internet of Everything (IoE) .» THE CYBERSECURITY ANALYST COMMUNITY IS TAKING NOTICE OF CISCO’S PROGRESS IN THE SECURITY MARKET. GARTNER VIEWS OUR STRATEGY AS POSITIVE, AND WE ARE DISRUPTING THE ADVANCED THREAT DEFENSE INDUSTRY….. NEXT UP IS TO CONTINUE THE INNOVATION AND INTEGRATION OF OUR OFFERING’S. WE’RE OFF TO A FAST START, AND THERE’S MORE TO COME. __________________ Olstik:   Based upon what I saw the week at CiscoLive, I believe that the company has turned a corner.  Cisco can now return to a leadership role in enterprise security technology Forrester: Cisco figured out a way to cohesively explain how its security offerings fit together. For the first time, the company presented an organizing principle or model to better explain its sprawling portfolio of products, services, and embedded features: It now organizes its portfolio into technology and capabilities that you need before, during, and after an attack.”

25 L’impact commercial en quelques mots
Meilleure protection : avant, pendant, après Meilleure visibilité et meilleur contrôle Meilleures données et informations Réaction plus rapide Économies de temps et d’argent Protection des ressources et maintien des fonctions vitales de l’entreprise TCO le plus faible et position de leadership pour la sécurité (NSS Labs)