Az ALEF OctoShield szolgáltatás fő célja, hogy magasabb szintű biztonsági szabványt biztosítson a hálózatához csatlakozó vagy a bárhonnan az internethez csatlakozó végeszközök számára. Szolgáltatásunk használatával, viszonteladó Partnereink segítségével védve lesz kibertámadásokhoz használt rosszindulatú szoftverek nagy többségével szemben.

A Cisco Systems termékeinek – Advanced Malware Protection (AMP) és Umbrella – kombinációját használjuk, így a szokásos vírusirtó programokon túlmutató funkciókat kínálunk. Az ALEF biztonsági felügyeletével rendkívül erős és folyamatos védelmet biztosítunk ügyfeleinknek a biztonsági incidensekkel szemben.

A SZOLGÁLTATÁS TARTALMA

  • A végfelhasználói eszközök folyamatos védelme a Cisco Systems modern felhőalapú termékeinek – Antimalware Protection for Endpoints (a továbbiakban: AMP4E) és Umbrella – alkalmazásával.
  • A végberendezések ellen irányuló kibertámadások gyors és rendkívül hatékony blokkolása, függetlenül attól, hogy a te hálózatodon keresztül vagy azon kívülről csatlakoznak-e az internethez.
  • A végponti eszközök elleni kibertámadások részletes magyarázata és az efféle támadások jövőbeni megelőzésére vonatkozó ajánlások.
  • Szakértőink együttműködése a további támadások elleni megelőző intézkedések végrehajtásában.

KÉTFÉLE BIZTONSÁGI FELÜGYELETET KÍNÁLUNK - BASIC ÉS PLUS VÁLTOZATBAN

ALEF OctoShield Basic | Ez a változat a következőket tartalmazza:

  • Az AMP4E és az Umbrella első aktiválása, amelynek során szakértő csapatunk elemzi hálózaod és végberendezéseid aktuális védelmi állapotát, javaslatot tesz a két felhőalapú termék lehető legjobb alkalmazási lehetőségére, és a te igényeidhez igazítja őket.
  • A végberendezések folyamatos és automatikus védelme a biztonsági támadásokkal szemben. A védelem akkor is működik, ha a felhasználó a vállalaton kívül dolgozik, például home office-ban.
  • Az AMP4E és az Umbrella által a végeszközeiden észlelt biztonsági incidenseket az ALEF Security Operations Center (SOC) biztonsági csapata felügyeli és értékeli folyamatosan heti 5 napon 8 órán át.
  • A végberendezéseken észlelt biztonsági incidensek alapvető elemzése, különösen a rosszindulatú szoftverek, parancs- és vezérlési visszahívások, kriptobányászat.
  • Rendszeres heti jelentések küldése, amelyek a végberendezéseken észlelt biztonsági eseményekről adnak áttekintést.
  • Az igazolt biztonsági incidensek előfordulására, hatására és biztonsági kockázatára vonatkozó információk továbbítása, amibe bele tartoznak a konkrét esetben végzett eljárásra vonatkozó javaslatok is.

ALEF OctoShield Plus | Ez a változat tartalmazza az ALEF Incident Response szolgáltatást:

  • Az AMP4E és az Umbrella első aktiválása, amelynek során szakértő csapatunk elemzi hálózatod és végberendezéseid aktuális védelmi állapotát, javaslatot tesz a két felhőalapú termék lehető legjobb alkalmazási lehetőségére, és a te igényeidhez igazítja őket.
  • Az ALEF CSIRT csapat által a hálózatodban azonosított rosszindulatú kódok részletes elemzése
  • Biztonsági vizsgálat, vagyis a kommunikáció és a rendszer-infrastruktúra rendszeres, megelőző, naponta vagy havonta végzett biztonsági vizsgálata egy speciális eszközzel; áttekintést nyújtunk neked a hálózat gyenge pontjairól és a kritikus pontok értékeléséről.


Cisco Umbrella

A Cisco Umbrella egy pótolhatatlan technológia a hálózat első védelmi vonalaként az internetes fenyegetésekkel szemben. Ehhez az internet alapvető építőelemeit – a DNS-t és az IP-réteget – használja. Az Umbrella ezen két komponenst biztosítja az úgynevezett reputáció alkalmazásával, és így képes blokkolni a rosszindulatú vagy nemkívánatos adatforrásokhoz kapcsolódó kéréseket, még mielőtt bármilyen kapcsolat jönne létre velük.

Az Umbrella különösen alkalmas a vállalati hálózaton kívül mozgó végállomások számára, amelyek normál körülmények között biztosítanak központi védelmet a felhasználók számára (úgynevezett roaming számítógépek). Biztonságos internetes átjáróként működik úgy, hogy, átirányítja a DNS-forgalmat a Cisco Systems felhőszervereire, amelyek – a fejlett elemzéseknek és a gépi tanulásnak köszönhetően – képesek felmérni, hogy egy lekérdezett domain biztonságos, rosszindulatú vagy gyanús-e. Ezenkívül minden gyanús domain átirányítható egy felhőproxyra, amely részletesen megvizsgálja, hogy az átvitt adattartalom (fájlok, szkriptek, stb.) valóban biztonságos-e.

Az Umbrella globális infrastruktúrája naponta több mint 125 milliárd DNS-lekérdezést értékel, ezáltal egyedileg követheti nyomon a domainek, IP-címek, hálózatok és rosszindulatú szoftverek közti kapcsolatokat az interneten. Hasonlóan ahhoz, ahogy az Amazon rendszerei képesek létrehozni a vevők vásárlási szokásainak mintáit, és megjósolni a következő vásárlásaikat, az Umbrella a felhasználók online tevékenységéből tanul, és képleteket hoz létre a támadó infrastruktúrájának automatikus leleplezésére. Ily módon áll készen a következő támadásokra és az összes általa ismert adatforrás megelőző blokkolására.

A CISCO UMBRELLA TULAJDONSÁGAI

  • Akár 98%-kal csökkenti a rosszindulatú szoftverek támadásait
  • Akár 60 különböző domain-kategória szűrését teszi lehetővé
  • Felismeri a felhőalkalmazások használatát, és megjeleníti a használatukról szóló jelentést
  • Megakadályozza a hálózatból vagy az eszközökről történő adatszivárgásokat
  • Védi a felhasználókat a vállalati hálózaton belül és kívül egyaránt
  • A végberendezések magas szintű biztonságának fenntartása érdekében nincs szükség arra, hogy VPN-en keresztül csatlakoztassák őket a vállalati hálózathoz

Cisco Advanced Malware Protection for Endpoints (AMP4E)

A rosszindulatú szoftverek gyorsan fejlődő világában a fenyegetések egyre kifinomultabbak, és egyre nehezebb észlelni őket. Ezen fenyegetések legfejlettebb 1%-a végül bejuthat hálózatodba, és észrevétlen maradhat. Az AMP4E azonban még ezen fenyegetések 1 %-a ellen is átfogó védelmet biztosít. Ez a biztonsági szoftver megakadályozza, hogy ezen rosszindulatú szoftverek behatoljanak az eszközre, blokkolja őket belépéskor, és folyamatosan figyeli, ill. elemzi a fájlok és folyamatok minden tevékenységét, így képes gyorsan észlelni, valamint orvosolni minden olyan fenyegetést, amelynek sikerült kikerülnie az első védelmi vonalat.

Legnagyobb előnye a hagyományos vírusirtó megoldásokkal szemben, hogy azonnal reagál a fenyegetésekre (nem kell aláírásokat letölteni), és blokkolja az összes olyan fájlt, amely rosszindulatú támadások részét képezi, még akkor is, ha önmagukban nem mutatnak semmilyen rosszindulatú tevékenységet. Az AMP4E lehetővé teszi az úgynevezett „fenyegetésvadászatot”, amely a legmodernebb módszer a kiberfenyegetések vagy folyamatban lévő támadások jeleinek keresésére a végberendezésekből származó nagy mennyiségű adathalmazban.

AMP4E Megelőzés

Fájl reputáció –  az AMP Cloud átfogó adatbázist tartalmaz minden egyes valaha vizsgált fájlról, beleértve a fájl jó vagy rossz reputációját is. Ennek eredményeképpen minden ismert rosszindulatú szoftver gyorsan és egyszerűen karanténba kerül a hálózatba való belépés helyén processzorigényes vizsgálat nélkül.

Antivirus – Az AMP4E a különböző platformokhoz (Windows, Mac vagy Linux) tartozó hagyományos és folyamatosan frissített vírusirtó aláírásokat is tartalmazza. A vírusirtó adatbázisa minden egyes végponton helyileg kerül tárolásra, ami azt jelenti, hogy futtatás közben nem használ felhőalapú kapcsolatot. Ez biztosítja, hogy a végberendezések online és offline is védve legyenek.

Polimorf rosszindulatú szoftverek felderítés – A rosszindulatú szoftverek készítői gyakran több változatot hoznak létre egy rosszindulatú szoftverből, hogy elkerüljék a szokásos észlelési technikákat. Az AMP4E az úgynevezett digitális ujjlenyomatok (loose fingerprinting) segítségével képes felismerni ezeket a változatokat vagy polimorf rosszindulatú szoftvereket. A gyanús fájl minden egyes digitális ujjlenyomatát összehasonlítják az ismert rosszindulatú szoftvercsaládok digitális ujjlenyomataival; amennyiben jelentős egyezést találnak, akkor azonnal blokkolják a fájlt.

Elemzés gépi tanulás segítségével –  Az AMP4E arra van kiképezve algoritmusok segítségével, hogy „megtanulja” azonosítani a rosszindulatú fájlokat vagy tevékenységeket az ismert rosszindulatú szoftverek tulajdonságai alapján. A gépi tanulási funkciók az AMP4E-ben kerülnek szinkronizálásra a Cisco Talos™ átfogó adatbázisával, amely jobb és pontosabb elemzési modellt biztosít. Ezzel a kombinációval tud segíteni az AMP4E-ben található gépi tanulás a korábban fel nem fedezett rosszindulatú szoftverek felderítésében, amikor azok először lépnek be a hálózatodba.

A kihasználás megelőzése (Exploit Prevention) – A „fájl nélküli támadások” egyre gyakoribbá válnak úgy, hogy a rosszindulatú szoftverek azt a helyet támadják a memóriában, ahonnan az alkalmazás betöltődik. Ez a funkció akadályozza meg, hogy a memória sebezhetősége ellenére a rosszindulatú szoftverek utasításokat illesszenek be a memóriába.

Szkript-védelem – Az AMP4E jobb rálátást biztosít a végberendezéseken keresztül elvégzett szkriptek végrehajtására, ezzel segítve a rosszindulatú szoftverek által gyakran használt szkript-alapú támadások elleni védelmet. A parancsfuttatás vezérlése további védelmi réteget biztosít, mivel így az Exploit Prevention modul meg tudja akadályozni bizonyos DLL-ek betöltését olyan számítógépeken, amelyek alkalmazásai releváns sebezhetőséggel rendelkeznek.

Viselkedésvédelem – Az AMP4E biztosítja a végpontok továbbfejlesztett viselkedéselemzését, amely folyamatosan figyelemmel kíséri a felhasználók és a végpontok összes tevékenységét, és valós időben hasonlítja össze őket a rosszindulatú szoftverek viselkedési mintáival, amelyek a rosszindulatú szoftverek fejlődésével együtt dinamikusan frissülnek. Ezzel a módszerrel például a „living-off-the-land” típusú támadások felderítése is lehetséges.

AMP4E észlelés

Védelem a káros tevékenységekkel szemben – Az AMP4E folyamatosan figyeli a végponton zajló összes tevékenységet, és biztosítja a végberendezésen futó program által okozott szokatlan viselkedés azonnali észlelését és blokkolását. Ha például a végpontok viselkedése zsarolóprogramra utal, akkor az észlelt folyamatok leállnak, ezzel akadályozza meg a végpont titkosítását, és állítja meg a támadást.

 

A kompromittáltság felhő-indikátorai – A Talos egy vezető kiberfenyegetés-elemző szervezet, amely folyamatosan elemez minden rosszindulatú szoftvert, hogy új típusú fenyegetéseket fedezzen fel, és viselkedési-, valamint vizsgálati profilokat hozzon létre az újonnan megjelenő fenyegetésekről, más néven kompromittáltság indikátorokról (IoC). A kapott vizsgálati adatok, például a fájlok helyei, a folyamatok nevei vagy a rendszerleíró kulcsok értékeinek módosításai, segíthetnek a rendszergazdáknak a már kompromittált rendszerek felkutatásában.

 

Host IoC – A rendszergazdák saját IoC-ket írhatnak, hogy ezzel reagáljanak az incidensekre, és ezáltal olyan végállomáson keressék a kompromittáltság indikátorait, amelyre az AMP4E telepítve van.  Maguk az IoC-k nyílt szabványos formátumban (OpenIOC) vannak megírva, ami megkönnyíti a meglévő információs csatornákból származó adatok felhasználását.

 

AMP4E válasz

Tekintettel az óvintézkedések kijátszására tervezett fejlett fenyegetések egyre nagyobb számára és növekvő változatosságára, a hálózat biztonságának megsértésére irányuló minden kísérletet incidensnek kell tekinteni.

Ezen beállításnak olyan hatékony eszközöket kell telepítenie, amelyek segítségével könnyen azonosíthatja a fertőzött végberendezéseket, és láthatja a támadás mértékét. A még több megelőzési- és észlelési funkció mellett az AMP a biztonsági incidensekre való gyors és hatékony reagálás érdekében a végberendezések és eszközök részletes átláthatóságát is biztosítja.

Végponti vizsgálatok –  Olyan hatékony eszközök, mint például a fájlok és az eszközök útvonalai, amelyek az AMP4E folyamatos elemzési képességeit használják fel a támadás teljes körű megjelenítésére. Az AMP4E azért azonosítja az összes érintett alkalmazást, folyamatot és rendszert, hogy meghatározza az elsődleges fertőzést, valamint a támadás módját és a fertőzés helyét. Ezek a funkciók segítenek gyorsan átlátni a probléma mértékét úgy, hogy azonosítják a támadók által a rendszerhez való hozzáféréshez használt összes útvonalat (vektort).

Dinamikus elemzés – Az AMP4E egy integrált és rendkívül biztonságos, elszigetelt térbeli környezetet tartalmaz, amely a Cisco Threat Grid technológiáját használja a gyanús fájlok viselkedésének elemzésére. A fájlelemzés részletes információkat generál a fájlokról, beleértve a viselkedésük súlyosságát, az eredeti fájlnevet, a rosszindulatú kód végrehajtása közben készült képernyőfotókat, valamint a mintacsomagok rögzítését. Ezen információk birtokában jobban megértheti, hogy mi szükséges a veszély elhárításához és a jövőbeli támadások megakadályozásához.

A parancssor láthatósága – A parancssor argumentumainak láthatósága annak megállapításában segít, hogy a törvényes alkalmazásokat (beleértve a Windows rendszereszközeit is) valóban rosszindulatú célokra használják-e.

Az AMP4E tudja azonosítani a nehezen felderíthető viselkedési mintákat, például:

  • vssadmin használata az árnyékmásolatok eltávolítására
  • a biztonságos rendszerindítás kikapcsolása
  • a PowerShell használata,
  • a hozzáférési jog kiterjesztésének végrehajtása
  • a hozzáférés-vezérlési listák módosítása
  • A rendszer részletezése.

Visszavezetett biztonság – Az AMP4E olyan szabadalmaztatott technológiát használ, amely automatikusan észleli az Ön környezetébe behatoló fejlett fenyegetéseket. A folyamatos felügyeletnek köszönhetően az AMP for Endpoints összefüggésbe hozza az új fenyegetési információkat a korábbi előzményekkel, és azonnal automatikusan karanténba helyezi a fájlokat, amint azok rosszindulatúan kezdenek viselkedni. A legújabb fenyegetésekre való automatikus reagálás gyorsabb észlelési időt biztosít, és jelentősen csökkenti a rosszindulatú szoftverek terjedését.

 

Részletes keresés –  A Részletes keresés több mint száz előre elkészített lekérdezéssel egyszerűsíti a fenyegetések kivizsgálását és észlelését, ami lehetővé teszi, hogy bármely (vagy az összes) végberendezésen gyorsan elvégezze a komplex lekérdezéseket. Ez lehetővé teszi, hogy mélyebb betekintést nyerj abba, hogy mi és mikor történt egy adott végberendezéssel, az aktuális állapot pillanatfelvételének köszönhetően. Akár az incidensekre adott válaszok részeként, akár fenyegetések észlelésekor végez vizsgálatokat, a részletes keresés gyorsan megadja a szükséges válaszokat a végberendezéseidről.

További szolgáltatásaink:

Lépj kapcsolatba velünk!

HU-sales@alef.com