未知のマルウェアに感染した場合
組織内ネットワークの
PC
からの
マルウェア特定が非常に困難
侵入した原因と感染範囲の調査、
解析に時間とコストがかかる
発見と対応が遅れると
感染拡大や情報漏えいが
拡大する恐れ
1
2
3
4
侵入経路を
特定
感染範囲を
把握
マルウェアを
撲滅
過去データの
継続解析
Cisco AMP 専用 パブリック クラウドCisco AMP
各 PC からの 情報を高速分析
Sourcefire is now part
of Cisco
クライアント PC にコネクタ(エージェント)をインストールします。そし
Cisco AMP for Endpoint
とは?
マルウェア感染の経路を自動で追跡し、感染した PC やマルウェアの検 体を高速に特定することで企業・組織を防御するソリューションです。 また、マルウェア感染が発生した際のフォレンジック ツールとしても利 用できます。
必要な情報を収集して可視化
シスコの次世代マルウェア対策ソリューション
Cisco Advanced Malware Protection for Endpoint
(Cisco AMP for Endpoint)は
これらの課題を解決します。
Cisco AMP for Endpoint
ソリューション概要
マルウェア特定が困難
解析が困難
被害拡大のリスク
マルウェア対策におけるこれまでの課題
未知のマルウェアの感染経路を追跡、撲滅!
企業をセキュリティ侵害から守ります
Cisco Advanced Malware Protection for Endpoint
クラウドベースエンドポイント次世代マルウェア対策ソリューション セキュリティ
初期解析結果=クリーン 最終解析結果=マルウェア発見 & 撲滅 最初の解析 継続調査実施 時間をさかのぼって可視化! セキュリティの死角も逃さず クラウド リコール対応! 時間軸 Ev en H or izo n
ファイル
トラジェクトリ機能
デバイス
トラジェクトリ機能
レトロスペクティブ
セキュリティ
アウトブレイク
コントロール機能
お客様に最適なセキュリティ
ソリューションをご提案します。
詳細は下記までお気軽にお問い合わせください
感染 PC 内のマルウェア感染挙動を管理画面で確認で きます。例えば、どのブラウザを使ってどのサイトから、 どんなファイルをダウンロードしたのかを知ることがで きます。 未知のマルウェアを発見した場合、ウイルス対策ベン ダーの対応を待たずに管理者が検知ルールを作成する ことで、簡単に迅速にブロックが可能です。※ Cisco AMP コネクタ(オフライン エンジン TETRA 無し)は、ウイルス対策ソフトと共存できます。次のウイルス対策ソフトと動作確認済みです。
McAfee VirusScan Enterprise 8.8 / Microsoft Security Essentials 4.1 / Symantec Endpoint Protection 12.1 / Trend Micro ウイルスバスター コーポレートエディション 10.6 ※ 最新の対応バージョンについては、販売店または下記までご連絡ください。 マルウェアが組織内ネットワーク上でどのように広がっ ているかを分析することができます。いつ、どの端末で マルウェア感染したのかがわかります。 Cisco AMP は膨大なビックデータ解析により過去に侵 入されてしまったマルウェアも見つけることが可能です。 この再帰的で継続的な解析技術をファイル トラジェクト リ機能のレトロスペクティブ セキュリティと呼んでいます。
Cisco AMP for Endpoint 4
つの主な機能Cisco AMP
for Endpoint Windows XP SP3 以上、Windows Vista SP2 以上、Windows 7、Windows 8、Windows 8.1、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Mac OS 10.7 10.8 10.9 Cisco AMPfor Mobile Android 2.1 以上 管理機能 パブリック クラウド インターネット上のクラウド システムが提供する管理ポータル プライベート クラウド VMWare ESX 上に構築されたプライベート管理ポータル インターネット ファイル? Eメール? どこから感染したのか? どこまで拡大しているのか? わからない! あらゆる機能を可視化した 管理画面により、スピーディな追跡、 特定が可能。 マルウェアを迅速に撲滅します! 管理者 管理者 検知ルールを作成 マルウェアをブロック! Cisco AMP専用 クラウドサーバ
1
2
3
4
侵入経路を 特定 感染範囲を把握 マルウェアを撲滅 過去データの継続解析1
2
3
4
侵入経路を 特定 感染範囲を把握 マルウェアを撲滅 過去データの継続解析1
2
3
4
侵入経路を 特定 感染範囲を把握 マルウェアを撲滅 過去データの継続解析1
2
3
4
侵入経路を 特定 感染範囲を把握 マルウェアを撲滅 過去データの継続解析©2014 Cisco Systems, Inc. All rights reserved.
Cisco、Cisco Systems、および Cisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(0809R) この資料の記載内容は 2014 年 6 月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。 シスコシステムズ合同会社 〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp お問い合わせ先:シスココンタクトセンター 0120-092-255(フリーコール、携帯電話・PHS含む) 電話受付時間:平日10:00∼12:00、13:00∼17:00 http://www.cisco.com/jp/go/contactcenter/ お問い合せ 0969-1406-03A-F
Sourcefire is now part
of Cisco
Cisco AMP for Network
、
Cisco AMP for WSA/ESA
※は、
Web
へのアクセスや
E
メールの送受信などネットワーク
サービス利用時のマルウェア感染を防ぐと共に、感染が発生した際のフォレンジック
ツールとしても利用できる、シスコの
次世代マルウェア対策ソリューションです。
シスコの次世代セキュリティ
ソリューション
Cisco Advanced Malware Protection
(
Cisco AMP
)
が
マルウェア対策の課題を解決します。
Web
アクセス時の
マルウェア感染の危険性が増大
E
メール経由のマルウェア感染
標的型攻撃をはじめ
未知のマルウェアの特定や追跡、
駆除が非常に困難
ネットワーク利用におけるマルウェア対策の課題Web
アクセス
E
メール
3
つの機能の連携で
セキュリティを強固に
ファイル
レピュテーション
WWW
Web
や
E
メールを経由した未知のマルウェアを
継続的な解析で可視化して確実に対処
Cisco Advanced Malware Protection for Network
Cisco Advanced Malware Protection for WSA/ESA
セキュリティサンド
ボックスで挙動を解析
セキュリティ
インテリジェンスと連携
お客様に最適なセキュリティ
ソリューションをご提案します。
詳細は下記までお気軽にお問い合わせください
Cisco AMP は、Web アクセスや E メール受信時に疑わしいと判断されたファイルの解析を継続的に行います。従来のように初期 解析で問題なしと判断され、セキュリティ対策をすり抜けて感染してしまったマルウェアがある場合でも、時期や経路を可視化し、 適切な対応が行えるようになります。
Cisco AMP は、Web へのアクセスやメール受信時 に未知の(疑わしい)ファイルを発見すると、それら の挙動を解析するサンド ボックスへ自動的に送信しま す。解析結果は以後のファイル レピュテーションに反 映され、セキュリティ強度を継続的に高めます。 Cisco AMP は、世界最大級の解析力と情報提供能 力を持つシスコのセキュリティ基盤 Cisco Security
Intelligence Operations(SIO)と連携し、常に最
新のセキュリティ脅威に対応します。 WSA:Web セキュリティ http/https, ftp, ftp over http ESA:E メール セキュリティ smtp Network:ネットワーク セキュリティ smtp, pop,imap, http, ftp, ftp over http, smb(v2)
解 析
連 携
継 続
解 析
連 携
継 続
解 析
連 携
対応プロトコルの違い
Cisco AMP for Network、Cisco AMP for WAS/ESA は、 監視対象となるプロトコルに違いがあります。要件に応じて最適 なものを選択、導入できます。 初期解析結果=クリーン 最終解析結果=マルウェア→再調査 セキュリティを すり抜けるテクニック 最初の解析 継続調査なし 調査 停止 死角をついて感染セキュリティの 時間軸 スリープテクニック 不明プロトコル 暗号化 パフォーマンス 初期解析結果=クリーン 最終解析結果=マルウェア発見 & 撲滅 最初の解析 継続調査実施 (感染が判明した後からでも) 時間を遡っての 可視化と制御が可能 時間軸 Ev en H or izo n
従来
これから
ファイル レピュテーション サンドファイルボックス レピュテーション アップデートCisco AMP for Network
Cisco AMP for WSA/ESA
既知のファイルレピュテーション 未知のファイルはサンド ボックスへ送信
Cisco AMP for Network
Cisco AMP for WSA/ESA
Cisco Collective Security Intelligence
Cisco
®SIO
Sourcefire VRT® Vulnerability Research Team)©2014 Cisco Systems, Inc. All rights reserved.
Cisco、Cisco Systems、および Cisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(0809R) この資料の記載内容は 2014 年 6 月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。 シスコシステムズ合同会社 〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp お問い合わせ先:シスココンタクトセンター 0120-092-255(フリーコール、携帯電話・PHS含む) 電話受付時間:平日10:00∼12:00、13:00∼17:00 http://www.cisco.com/jp/go/contactcenter/ お問い合せ 0970-1406-03A-F
・シグニチャの定義やチューニングが面倒
・最適な設定を見つけるのが大変
・通信状況を把握しにくい
・脅威のブロック状況がわかりにくい
可視化
自動化
優先順位の
設定
Sourcefire is now part
of Cisco
Cisco FirePOWER アプライアンスは、動的に監視 対象を把握し、最適なチューニングを自動的に行う次 世代 IPS(侵入防御システム)です。物理アプライア ンスのほかに、仮想アプライアンスとしても提供してい ます。通信の可視化、運用の自動化
シスコの次世代
IPS
Cisco FirePOWER
アプライアンス
が
これらの課題を解決します。
設定が複雑で運用が難しい
NG
IPS
ならではの機能
(
Next Generation IPS
)
効果がよくわからない
IPS
(Intrusion Prevention System
、侵入防御システム)利用時の課題(アプライアンス+コンソール) 管理画面(
Web GUI
)Cisco FireSIGHT
システム
次世代の不正侵入防御システムで
脆弱性を突く攻撃から企業を守る
Cisco FirePOWER
アプライアンスCisco FireSIGHT
システム セキュリティスケジュールによる完全自動化が可能
お客様に最適なセキュリティ
ソリューションをご提案します。
詳細は下記までお気軽にお問い合わせください
各 OS、アプリケーションの通信パケットには、 その OS やアプリケーションを特定するための 情報が必ず含まれています。 Cisco FireSIGHT システムは、監視対象のネッ トワーク上を流れるすべての通信をモニタし、 各ホストがどのような OS を使用していて、そ の OS 上でどのようなアプリケーションが動作 しているのかを分析します。 分析の内容は、Web コンソール画面でいつで も確認できます。 Cisco FirePOWER アプライアンスによる通 信の監視状況は Cisco FireSIGHT システム のデータベースに蓄積され、セキュリティ イベ ント(脆弱性)に対応するシグニチャを自動的 に抽出。チューニングを行う範囲を決めて、シ グニチャの抽出と適用をスケジュール化するこ とで、面倒な設定を自動化して、運用の簡素 化とセキュリティ強度の向上を実現します。自動化
可視化
自動化
0 3 4 7 8 15 16 31 バージョン ヘッダ長 サービス・タイプ(TOS) TTL プロトコル番号 送信元 IPアドレス あて先 IPアドレス オプション部(32bit 単位で可変長。最小0byte) 以降はデータ部分 ヘッダ・チェックサム データグラム長 ID フラグ フラグメント・オフセット ● ● ● 監視ネットワーク FireSIGHT FirePOWER FireSIGHT DataBase IP 監視対象 IP Vulnerability Vulnerability Vulnerability OS Service Application この脆弱性を カバーする シグニチャを 自動抽出3
ステップの簡単自動チューニング
1.チューニングを行いたい範囲を決める 2.推奨シグニチャを抽出する(ワンクリックで簡単に実行) 3.シグニチャを適用する3
step
IPS
のコア
エンジンには業界標準の
SNORT
を採用
Cisco FirePOWER アプライアンスは、IPS のコアエンジンにオープン ソース ソフトウェアの SNORT を用いています。さまざまな IPS ベンダー で利用され、すでに 30 万台以上のデバイスが稼働しています。信頼性が高く、検知率も優れており、業界標準となっています。シグニチャの開発 がしやすく、使いやすいエンジンとしても評価されています。
©2014 Cisco Systems, Inc. All rights reserved.
Cisco、Cisco Systems、および Cisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(0809R) この資料の記載内容は 2014 年 6 月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。 シスコシステムズ合同会社 〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp お問い合わせ先:シスココンタクトセンター 0120-092-255(フリーコール、携帯電話・PHS含む) 電話受付時間:平日10:00∼12:00、13:00∼17:00 http://www.cisco.com/jp/go/contactcenter/ お問い合せ 0971-1406-03A-F