Расскажите о средстве Advanced Malware Protection (AMP)?
Advanced Malware Protection AMP представляет собой средство защиты от вредоносного кода. Возможности этой платформы могут быть реализованы в виде решения AMP for endpoint (SourceFire FireAMP) для использования на конечном оборудовании, в решениях Cisco IronPort Email Security Appliance и Cisco IronPort Web Security Appliance на устройствах контентной безопасности и в версии AMP For Networks для использования сетевом оборудовании.
Для использования AMP For Networks необходимо установить специализированный высокоскоростной шлюз, который может быть как отдельным устройством, так и модулем, интегрированным в межсетевые экраны и системы предотвращения вторжения.
AMP проверяет файл, который пересылается через устройство или записывается на конечное оборудование на присутствие вредоносного кода. С файла снимается хэш SHA-256, а затем отправляется на Defense Center. Defense Center отправляет хэш в облако SourceFire VRT, где на основе базы данных сигнатур определяется содержит ли файл вредносный код. Если определить это не получается, то файл размещается в облачной песочнице и запускается для анализа его поведения. На основании комплексного анализа выносится вердикт является ли файл опасным.
Платформа AMP позволяет осуществлять ретроспективный анализ и обеспечивает защиту не только до момента атаки или во время атаки, но и после того, как атака прошла. Кроме того, это решение позволяет отследить все пути распространения файла и позволяет заблокировать файл на уровне сети. При использовании FireAMP файл с вредоносным кодом может блокироваться и на уровне конечного оборудования.