最近,我花了很多时间把安全系统整合在一起,特别是我把很多精力放在思科的高级威胁安全产品系列上。(披露:我受雇于思科。)
这让我想到了思科的高级恶意软件保护(AMP),这是一个解决方案,使恶意软件检测,阻止,持续分析和回顾行动和警报。
事实上,当塔洛斯CYBER-私刑跳伞到一个环境中进行取证分析和主动防御攻击- amp是他们使用的主要工具之一。
自收购SourceFire以来,思科一直在将AMP整合到许多其他安全产品中,如:火力NGIPS、火力NGFW、思科(Ironport)网络安全设备(WSA)、思科(Cisco) Ironport电子邮件安全设备(ESA),以及Meraki MX安全设备。
在我看来,Meraki的通常看事情有点不同于传统产品,包括传统的思科产品线。我对Meraki的方法的解释是,他们遵循优先的易于操作和管理作为首要任务的方法。这意味着它们的接口倾向于保持,而不是提供所有的许多选项和书呆子,旋钮是传统的思科事情变得简单。在Meraki的MX无疑延续了这一模式,这是本文的重点。
当我需要一个好的UTM部署在远程位置,但仍然需要集中管理时,我经常使用MX。MX上运行了Snort,用于进行入侵检测和预防。然后,Meraki添加了高级恶意软件保护(AMP)的MX,集中白名单url和白名单文件。
要添加到MX安全设备的最新威胁防护功能与思科的集成威胁电网沙箱和威胁智能解决方案。你可能不知道的有关释放,因为思科宣布网络直观的同时,历时聚光灯(自然)。
所以,让我们有AMP快速审查,威胁电网的AMP故事中如何发挥,然后它是如何工作与Meraki的MX。
曾几何时,有一个创业公司命名Immunet AV。他们采取了一个新的和不同的方法来端点安全,他们保持了安全智能云中,这有助于保持端点上的轻量级足迹。此外,通过保持智能云,而不是下载签名的巨型数据库到端点,确保情报是高达最新越好。
为被移动的文件/复制的/端点内执行Immunet客户端(称为云连接器)抓起该文件的SHA散列(这样的:0723932d68702a59c4c8bf6a670a098cd55c39f4a3037fa8c2e6d2641fbfe85f),并发送该散列到其中散列进行比较巨云文件哈希数据库及其处置(清洁,恶意软件或未知)。
一晃几年马蒂罗斯奇,Snort的和Sourcefire公司创始人的创建者,喜欢这个技术,它的视野,而且,砰!SourceFire在2008年1月收购了它们。这个解决方案被重新命名为FireAMP,许多人至今仍这样称呼它。
思科在2013年收购Sourcefire公司后,该产品更名为先进的恶意软件保护(AMP),并且它已经集成到许多安全产品和服务。虽然Immunet AV的消费者版本仍然是免费的,它不具备的所有功能和商业版本的功能。
这些天来,AMP连接端点上运行,以及网络安全产品,如Meraki的MX。基本解释是:当一个文件遍历与AMP连接的设备之一,AMP抓住该文件的SHA哈希码,并将其发送到云学习文件的处置。如果文件哈希已知是恶意的,那么它可以被阻止。如果它的清洁,让文件去通过,但要注意的是哈希被视为&什么日期/时间等未知往往是你的,管理员。在许多情况下,根据您定义的设置,未知文件可以被红牌罚下威胁电网的动态分析。
注意:使用AMP,文件永远不会被发送到云,只有文件的散列。然而,为了让威胁网格正确地分析文件和文件的行为(想想可执行的或启用了宏的word文档),文件必须被上传到沙箱中。
现在让我们看看Meraki团队是如何施展他们的魔法使一切变得简单的。他们首先与AMP集成。配置可以在下面找到安全设备>威胁防护。如图1所示,AMP集成可以启用或禁用。您可以添加白名单url,也可以添加白名单SHA256散列。
亚伦·t·Woland
就是这样!保持它的简单。
什么威胁电网?我们需要能够通过对沙箱和分析,把那些未知文件。这是仅低于配置页上的AMP部分,正如你在图2中看到的,它也很简单:启用/禁用,和速率限制器具一定数量每天提交的。
亚伦·t·Woland
为什么会有人想限制提交给威胁电网的数量?嗯,这是因为动态分析并不便宜,并威胁电网的定价都是基于“提交包”,这是每天提交数量的许可证。
威胁电网有两种形式因素。它可以是较常见的云服务模式,也可以是内部部署的应用谁是担心发送文件到云那些环境。那么,在Meraki的团队人想到这一点。您可以配置威胁电网整合去云要么,或内部部署应用。
亚伦·t·Woland
该配置下组织>设置,这是将MXs链接到威胁网格实例(云或设备)的地方,如图3所示。
好吧,这大概是为了这篇轻松的文章。请注意以后的文章,我将在其中深入介绍这些非常强大的技术。