Cisco Secure использует множество движков обнаружения, TETRA, MAP, Exploit Prevention, Script Control, Behavioral Protection и так далее.
Продолжать, или вы поймете, что статья не грамотно написана?

Ок, когда контраргументы основываются на не ясных для простых смертных картинках и попытках доказать исключительность продуктов какого-то конкретного вендора - "как действующему Cisco CCNA и CCNP тренеру" скажу я тебе такие вещи:
Во первых в начале статьи есть примечания для "представителей вендоров или людей с отдельным устройством души и тела"



Во вторых, не нужно навязывать свой взгляд на безопасность, удобство и в целом КПД продукта основываясь на "своей вере в продукт", если есть желание пояснить массам об исключительности продукта и его невероятном превосходстве на рынке - напиши статью, приведи аргументы и пусть грамотные люди оценят.
В третьих, не люблю спорить с людьми работающими с "циска-продуктами", люблю показывать картинки и вот еще один пример, и пожалуйста оцени подход вендора и аргументируй такое поведение:
Постоянная нагрузка на ЦПУ, которую специалисты с сертификатами CCNA, CCNP и с представителями циски не в состоянии решить уже больше 4 лет, почти каждый день открывая новые и новые тикеты, общаясь по телефону, делая регулярные митапы с 1-2 линиями поддержки



Вот еще один пример "превосходства" продукта перед другими:
Обновили в начале года циско-специалисты АМП с 7.4.5.20701 до версии 7.5.1.20813, после обновления ампа, путь до исполняемого файла в свойствах службы указывал на путь до старой версии, которая автоматически удаляется при удалении...
Соответственно если служба смотрит туда где ничего нет, то и запуститься не может и это признали только пару месяцев спустят как баг апдейта и таких случаев настолько много, что считать это системой защиты и предовращения попросту нельзя:



В том числе данный продукт достаточно легко байпасится и даже легко отключается и удаляется если перезагрузить хост в безопасном режиме, при условии если есть права админа на хосте.

Вот пример как я это делал легко и не принужденно на момент написания статьи:
Положим всем известный nc.exe в папку, предположим C:\Bombyao\

1. Открываемpowershell
   
2. Переходим в нашу папку
   
   
   
   
   Код:
   
   
   
   Код:

   cd C:\Bombyao\

3. Пишем слудеющее
   
   
   
   
   Код:
   
   
   
   Код:

   add-content '.\nc.exe' `0

   Запоминаем такое значение `0 Жмякаем на ентер
   
   Все! Cisco AMP не предотвратит и даже не залогирует это.

`0 -- Null
`a -- Alert
`b -- Backspace
`n -- New line
`r -- Carriage return
`t -- Horizontal tab
`' -- Single quote
`" -- Double quote

Вот DLL Hijacking

Давайте остановим этот не понятный и мне лично не нужный спор пожалуйста и каждый продолжит заниматься своим любимым делом.

Вот пруфы





Ну или невероятное количество FP







И так можно продолжать бесконечно долго
Вы поймите, что посыл был статьи направлен на то, что нельзя "бить себя в грудь" со стороны вендора, а делать работу над ошибками и постоянно развивать продукт прислушиваясь к пользователям, называть нельзя продукт EDR когда это даже не AV и делать консоли удобочитаемыми и не нагроможденными не нужными данными для тех же аналитиков L1
И это еще раз повторюсь мой личный взгляд на вещи, на удобство пользования и защиту, которую не сложно обойти. Хотел сюда добавить еще и KATA/KEDR но увы времени нет столько и вендору направлены замечания по продукту и тот же Kasperky адекватно воспринял факты и признал и обещал провести работу над ошибками.

За сим я отклоняюсь от дальнейших обсуждений 2-х годовалой статьи...

Это просто AV с ретроспективой. Но к сожалению, как постоянный пользователь/администратор этого "продукта" в компании, могу сказать, что во время инцидента, не получилось найти траектории запуска exe файлов. Просто провалы во временной шкале.
Да, возможно, когда-нибудь AMP или Secure Endpoint станет полноценным продуктом... и их экосистема SecureX и ThreatResponse станут действительно корпоративного уровня. Но на данный момент продукты сырые и неоправданно дорогие. Если уж платить деньги за подобный класс решений, лучше внимательней изучить рынок на момент выбора, сравнить с замечаниями описанными в интернете 1-3 года назад и понять, насколько интенсивно развивается продукт, чтобы быть уверенным, что проблемы с ним будут решаться оперативно, а не через год-два.