思科高级恶意软件防护(AMP)—— SecureX 威胁搜索

安全侠 2020-07-01
专栏 发布于 2020-07-01 15:26:59 阅读 180 评论 0

使用SecureX的威胁搜索,可以添加主动的、受管理的威胁搜索功能。随着高级威胁在组织的IT基础设施中不断扩散,威胁搜索已经成为总体安全策略的重要组成部分。威胁搜索通常被保存在成熟的环境中,在这些环境中,技术人员可以制定或调查与他们的组织跨威胁环境的安全性相关的假设。幸运的是,随着技术的进步和自动化,现在每个组织都可以追踪威胁。
当进行威胁搜索时,会面临以下五个关键挑战:

  • 有限的资源 缺少威胁搜索专业人士。公司正面临着有限的能力、遗留的基础设施和架构的挑战
  • 警报的优先级 每天都存在大量的警报并且很难进行优先级的调查,而且很难确定威胁的来源。
  • 有效的Inter使用 威胁情报难以运作,许多来源往往不可靠或者是过时的。
  • 全网威胁的可见性 技术人员很难确定攻击者在哪里发动攻击,以及域、ip、ASNs和恶意软件如何连接。
  • 威胁搜索需要一个成熟的过程 当开始威胁搜索时,通常只从低级的IOCs开始,逐渐升级到更高的级别。
    SecureX威胁搜寻是Cisco AMP for Endpoints的一项功能,可以唯一地识别威胁,并在进一步造成破坏之前通过以下方式发出警报:
  • 通过MITER ATT&CK™和其他行业最佳实践,更快地发现隐藏的威胁
  • 立即改善安全状况 –添加已建立的威胁搜寻,可以显着提高安全成熟度。
  • 减少警报疲劳 -通过 SecureX威胁搜索度,将收到更少、高信任度和高影响的可操作警报。

新威胁搜索功能结合了Orbital Advanced搜索功能和威胁搜索技术人员的专业知识,可以主动发现更复杂的威胁,就会在客户的AMP控制台内通知他们,这样他们就可以开始补救。AMP控制台提供了一份威胁搜索报告,该报告显示了新的发现,并将所有相关上下文和事件映射到MITRE ATT&CK™TTP中,同时还提供了针对事件响应人员下一步该如何根据发现进行进一步调查或补救的建议。

威胁搜索是至关重要的,因为传统的安全工具无法阻止高级威胁,复杂的攻击使检测极其困难,甚至人工智能和机器学习技术可能无法阻止所有攻击。

思科SecureX威胁搜索是一个以分析为中心的过程,发现隐藏的高级威胁,可发现客户环境中自动和侦探性控制所遗漏的隐藏的高级威胁。威胁搜索通过以下方式发挥作用:

  • 减少停留时间(检测感染)
  • 减少突围时间(最初对横向运动有所妥协)
  • 增加渗透检测(检测到的数据离开您的组织)
  • 减少围堵时间(检测/防止扩散或横向移动)

在威胁搜寻提供了警报功能后,Beta SOC Manager的一个用户说道: “当晚,当我们收到思科的通知时,我们正在使用这一功能。我很喜欢SecureX Threat Hunting,喜欢它补救步骤、如何处理以及如何补救。它可以理解所有警报,并告诉我们该怎么做”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!