maxkabakov - Fotolia
Cisco renforce son offre AMP pour les points de terminaison
Lancée il y a plus de deux ans, l’offre de protection et de suivi des menaces dans l’infrastructure jusqu’aux terminaux et serveurs se dote de nouvelles capacités de prévention, de visualisation et de remédiation.
Cisco vient de présenter la nouvelle version de son offre d’EDR (Endpoint Detection and Remediation) AMP for Endpoints. Initialement lancée au printemps 2014, cette offre s’appuie sur des agents légers – appelés connecteurs – à déployer sur les machines Windows (client et serveur), macOS, Linux (Red Hat et CentOS) ou encore Android. AMP for Endpoints peut être déployé seul ou de manière combinée avec son pendant réseau.
On retrouve là la technologie d’Immunet, rachetée par Sourcefire début 2011. Le concept initial est simple : il s’agit de faire profiter au plus vite chaque poste client de toute nouvelle information (alors remontée par d’autres) sur d’éventuelles menaces - connues ou nouvelles, afin de bloquer les attaques non détectées par les autres dispositifs de sécurité. Ainsi, celui que SourceFire appelait FireAMP début 2012 ne vise pas à remplacer la pile complète de gestion de la sécurité du poste de travail, ni même véritablement un antivirus conventionnel : il procède à la protection dynamique contre les menaces sans faire d’analyse locale de signatures. Et de permettre au passage de suivre le cheminement des menaces dans le système d’information. Et cela encore plus depuis que Cisco a intégré la technologie AMP à ses appliances de sécurité Web et e-mail, puis à ses pare-feu et même à son client VPN AnyConnect.
Depuis, l’équipementier est allé plus loin, enrichissant l’ensemble de la surveillance des flux réseau avec les outils StealthWatch de Lancope, racheté à l’automne 2015. Et de mettre à profit la solution d’analyse dynamique de code suspect de ThreatGrid pour renforcer les capacités de détection d’AMP, lequel profite aussi des travaux de l’unité Talos de Cisco, spécialisée dans le renseignement sur les menaces.
Mais Cisco a également intégré AMP for Endpoints avec sa plateforme Cognitive Threat Analytics, une offre SaaS conçue pour détecter les communications entre logiciels malveillants et centres de commande et de contrôle au travers des proxy Web du groupe – ainsi que ceux de Blue Coat. Et depuis février une API permet d’intégrer à AMP for Endpoint des outils de sécurité tiers pour collecter les informations relatives aux événements de sécurité sans passer par la console d’administration.
L’agent résident déployé sur les points de terminaison permet donc d’analyser en continu l’activité sur les fichiers et de protéger contre les logiciels malveillants, mais il surveille aussi les activités en ligne de commande pour aider à découvrir des opérations malicieuses basées sur des outils légitimes d’administration comme PowerShell, entre autres. Les fichiers exécutés sont également suivis, de quoi mettre le doigt sur ceux, potentiellement suspects, à la prévalence réduite dans l’environnement. Les capacités d’inventaire offertes par l’agent sont en outre mises à profit pour signaler les logiciels vulnérables devant faire l’objet de correctifs.