思科推出進階惡意程式防護 AMP 方案

思科於Cisco Connect 2015推出其進階惡意程式防護 (Advanced Malware Protection，AMP) 方案，採用了Snort及ClamAV等開源技術。
AMP 方案為保安專業人員提供全面的情報及分析，了解潛在入侵情況，以及提供解決方案，防範及應付攻擊，並從攻擊中復原。新增的 AMP Threat Grid 整合思科在2014年收購ThreatGRID的技術。是次整合支援實體伺服器(On-Premise) 及雲端的環境，提供最新的惡意程式威脅情報及動態惡意程式分析功能，強化思科 AMP 持續分析及零時差偵測的能力。

思科2015年度安全報告指出，惡意廣告攻擊 (Malvertising attacks) 數量於2014年整體上升250%。此外報告亦繼續顯示企業現正持續受襲，指出100%被分析的網路，均有前往含有惡意程式網站的流量。思科AMP全新的威脅情報，動態惡意程式分析及保安追溯功能，增強對整個攻擊過程的防護。配合目前所整合的AMP Threat Grid，這些功能均能部署於整個延展網路，包括終端、流動裝置、虛擬系統、以及思科網頁和電郵保安的設備。AMP Threat Grid提供動態惡意程式分析及威脅情報︳這些功能可提供作單一的雲端服務，或透過全新基於UCS的內置設備提供。AMP Threat Grid的分析引擎為保安團隊提供應付進階惡意程式的入侵偵測，透過提供豐富情境 (Context-rich)，可行的威脅情報，讓保安團隊迅速審視，並從入侵中復原。

終端進階惡意程式防護 (AMP for Endpoints) 透過提供一系列具有漏洞程式的主機，以及各主機漏洞程式，和最易受入侵主機的清單，為擴展網絡提供額外的可視性。由思科威脅情報及保安分析作支援，AMP可辨識受惡意程式狙擊的漏洞程式以及潛在的攻擊，並為客戶提供按優先順序處理主機補漏的清單。AMP 方案獨特之處，在於初步檢測保安威脅期間及之後，持續記錄及分析檔案的活動。若檔案於攻擊後作出惡意行為，保安追溯將查看潛在威脅的源頭以及其所作出的行為，並提供內置回應功能，以控制及消除威脅。

保安團隊現可透過向思科AMP直接提交終端入侵指標 (Endpoint Indicators of Compromise，IoCs)，於其應用環境內，對較少認知的特定進階威脅作更深入的調查。除了強化保安團隊迅速審視及了解目標攻擊之外，終端進階惡意程式防護現在可進一步從最低至最高的實例數字排列，呈現整個機構中執行的檔案。客戶亦能夠將所識別到的罕見檔案，提交至動態惡意程式分析工具，透過手動或自動政策，實現更高的可視性及情境感知。這一系列的功能將可幫助揭示出以往未被偵測，或只有少數用戶發現的目標威脅。