Новые продукты mcafee/intel

McAfee Confidential—Internal Use Only

McAfee® Enterprise Mobility Management (McAfee EMM™)


Эволюция пользователей


Тенденции

• Консьюмеризация IT

– Устройства, принадлежащие сотрудникам, в корпоративной сети

• Разнообразие устройств

– iOS, Android, Windows, и т.д.

• Взрывной рост количества приложений

– Дополнительные риски

• Угрозы для мобильных устройств

– Основная часть для Android


Утерянные устройства

4%

5%

11%

17%

19%

31%

57%

0% 10% 20% 30% 40% 50% 60%

Other

Anti-virus/anti-malware

Client firewall

Password or keypad lock

Encryption

Anti-theft device

No protection


Новые вызовы

IT

HR

Finance

Sales

IT

60,000 новых вирусов в день

Более половины пользователей не делают lock на своих устройствах

80% IT-пользователей обеспокоено вероятностью утечки данных

Мобильные устройства – новая цель для злоумышленников

May 21, 2012

McAfee Confidential—Internal Use Only McAfee Confidential—Internal Use Only

Требования к безопасности


Безопасность для мобильных устройств

Devices

Apps

Data

Защита устройств • Device Management (MDM)

• Anti-Malware

• Web Protection

Защита приложений • Enterprise App Store

• McAfee SECURE™ for App Stores

• McAfee App Alert™

Защита данных • Data Protection (Locate, Lock, Wipe, Delete)

• Jailbroken and Rooted Device Exclusion

• Encryption


Защита сегодня и завтра

Сегодня Завтра

• Enterprise App Store • App Management

(blacklisting)

• Embedded URL site reputation • Developer reputation • App reputation • Vulnerabilities/malware • Behavior/history (monitoring)

• Policy-based blacklist • Reputation-based blacklist • McAfee Secure for App Store

REAL TIME QUERIES


Обзор решения


Добавьте мобильные устройства

You already built one security

infrastructure. Why build another?


McAfee Enterprise Mobility Management

Win 7 & WinMo

• Безопасность

– Управление нативными свойствами

– Обеспечение соответствия – Расширяет

инфраструктуру безопасности через ePO

– Интеграция в сеть • Простота

– Удобное управление и отчетность через ePO

– Централизованная консоль

– Персонализация устройств • Масштабируемость

– От десяткой до тысяч устройств

– Отказоустойчивость

Database

Files

Directory

Applications

Certificate Services

Messaging

Enterprise Environment

Symbian

Android

webOS

BlackBerry

iPhone

iPad

McAfee EMM

VPN


Самостоятельная установка для iOS

GO TO THE APP STORE

1

ENTER YOUR EMAIL CREDENTIALS

2

AGREE TO CORPORATE POLICY

3

IT SERVICES ARE AUTO-PROVISIONED

4

Просто, Безопасно, Автоматически Optional Two-Factor Authentication


Самостоятельная установка для Android

Просто, Безопасно, Автоматически

GO TO THE MARKETPLACE

1

ENTER YOUR EMAIL CREDENTIALS

2

AGREE TO CORPORATE POLICY

3

IT SERVICES ARE AUTO-PROVISIONED

4


McAfee VirusScan Mobile

Оптимизировано для Android

Сканирование в реальном времени

Проверка аттачей

Карантин и лечение

Обновления 24x7


Enterprise Application Store

• Безопасный доступ к рекомендованным приложениям на основе групп, пользователей или типов устройств.

– Собственные разработки

– Приложения сторонних производителей (Apple App Store / Android Marketplace)

– Веб-ссылки

• Аудит и инвентаризация приложений


Вопросы/Ответы


McAfee Deep Defender


Intel and McAfee

Network Security Cloud Security

Security Management Endpoint Security

Technology Ecosystem

vPro Active Management Technology Advanced Encryption Standard Virtualization One Time Password Secure BIOS

Безопасность


Изменения индустрии

McAfee DeepSAFE

Технические детали

Темы



Проблемы индустрии

• Сегодняшние решения обеспечивают защиту внутри ОС

• Злоумышленники обходят такую защиту с помощью специальных стелс-техник

• Сегодняшние решения являются неэффективными для борьбы с такими видами атак


Рост количества Стелс-вирусов

• Распространение техники Стелс

• Разработаны для обхода традиционных средств защиты

• Злоумышленники используют Стелс-вирусы для скрытия хищения данных

– 110,000 новых образцов каждый квартал

– 1,200 новых образцов в день

• Все больше вирусов используют руткиты

– Stuxnet был нацелен на государственные предприятия Ирана и Индии

– Koobface спокойно превращал систему в бот

– SpyEye - инструментарий для создания Стелс-вирусов

– TDSS – семейство руткитов, которых невозможно определить с помощью традиционных средств защиты, работающих внутри/над ОС

0

500000

1000000

1500000

2000000

2500000

1Q09 2Q09 3Q09 4Q09 1Q10 2Q10 3Q10 4Q10 1Q11 2Q11 3Q11

Образцы руткитов


I/O Memory Disk Network Display

AV HIPS

Заражение ОС незаметно для антивируса

Традиционные атаки и решения по защите работают на уровне приложений

Опасная прошивка устройств обходит все уровни защиты

Атаковать и отключить антивирус

Заражение виртуальной

машины, и соседних

Заражение устройств ниже ОС, либо до,

либо после отгрузки

Intel & McAfee Confidential

Необходимость нового подхода

BIOS

CPU

Virtual Machine

Operating System

Applications/RDBMS


Период незащищённости

Защищаемся когда уже слишком поздно

t0

Стелс-вирус установлен

t1

Вирус скрыт

t2

Кража данных

t3

Ущерб нанесён

t4

Решение пост-фактум

Кража конфиденциальных данных Злоумышленники завладевают ПК

ПК стал счастью ботнет


Слелс-техники увеличивают риск

ePO

Стелс-техника для распространения вируса по всей компании (Zeus)

Data Leakage Compliance Issues

Increased Operational

Costs

Reduced Employee

Productivity

Spread of malware

Unauthorized Access

Stealth Threats

Koobface использовал стелс-технику для превращения ПК в бот

Скрытые кейлоггеры незаметно похищают конфиденциальные данные

Стелс-вирусы ставят ваш бизнес под серьёзную угрозу

Полная переустановка ПО для удаления скрытых угроз

Низкая производительность из-за заражения ПК снижает производительность труда


McAfee DeepSAFE – продукт нового поколения

Технология McAfee и Intel

Первый в отрасли продукт такого класса

Новый виток развития – Безопасность ниже ОС

Основная технология для миграции в будущие продукты

Operating System

McAfee DeepSAFE Technology

CPU

Intel® Core™ i3, i5, i7 | VT-x




Защита от ранее скрытых угроз

Защита ядра системы в реальном времени

Управляется с помощью ePO

Использует технологию McAfee DeepSAFE

Operating System

McAfee DeepSAFE Technology

CPU

Intel® Core™ i3, i5, i7 | VT-x



Deep Defender

• Мониторинг памяти в реальном времени

• Идентифицирует руткиты на уровне ядра

• Предотвращает загрузку драйвера

• Технология DeepSAFE загружается до ОС

• Технология DeepSAFE сообщает Deep Defender об опасном поведении

DeepSAFE Loaded Beyond the OS

OS Initialization

OS Loader

Boot Drivers

Bo

ot D

river

Bo

ot D

river

Deep

SAF

E L

oad

er / Agen

t

Other Drivers

AV

Driver

Driver

Driver

Driver

McAfee DeepSAFE

Ro

otk

it

Ro

otk

it

Services and Applications

Application

Application

Application

Deep Defender

Agent malware

Intel i3

/i5/i7

CP

U

(BIO

S VT

-x En

ab

led)


Deep Defender

t0

Попытка установки

стелс-вируса

t1

Установка заблокирована

Защита в реальном времени Никаких утечек данных

ПК не скомпрометирован


Установка Deep Defender

May 21, 2012

• Установка через ePO 4.5 или 4.6

– Точно так же и другие решения McAfee

• Новые ПК или использующиеся в ePO

• ПК с процессорами Intel Core i3, i5 or i7

• Разработано для рабочих станций

• Поддержка Windows 7; 32 & 64 bit


Deep Defender поддерживает GTI

.

Threat

Reputation

Network IPS

Firewall Web

Gateway Host AV Mail

Gateway Host IPS Deep Defender


Почему это важно для клиентов?

• Обнаружение скрытых угроз

– Обнаружение ранее неизвестных и невидимых угроз

• Быстрая защита

– Блокировка попыток установки стелс-вирусов

• Предотвращение утечек

– Предотвращение распространения вирусов для кражи данных

• Снижение затрат

– Сокращение времени простоя

Deep Defender


McAfee ePO Deep Command



Обзор решения

Обнаружение

Выгода

Темы

May 21, 2012 35

Примеры



ПК должны быть всегда доступны

для пользователей

Быстрое распространение

угроз требует быстрого

распространения политик

безопасности

“Зелёная & Чистая” планета.

Управление питанием

Стоимость визита ИТ и связанные операционные расходы – 250$


Уменьшение стоимости управления

ePO

Сбой требует восстановления на месте

Encrypted Drives

Help Desk Calls

System Connectivity

Issues

Policy Deployment

Delays

“Truck Rolls”

Green Initiatives $ Невозможно выполнить

сканирование и обновление в нерабочее время

Невозможно включить ПК и установить патч без

вмешательства человека Невозможно загрузить ПК удалённо с *.ISO

Конфигурация ПК блокирует соединения

Невозможно вовремя обновить политики безопасности


Intel vPro

Preboot

OS

McAfee Agent

McAfee Security

Apps

McAfee ePO Deep Command

38

• Использует технологию Intel vPro (AMT)

• Позволяет удалённо помогать, контролировать политики, и восстанавливать ПК

• Управление через ePO

• Выгода – Уменьшение расходов на обслуживание

– Защита для выключенных ПК

– Возможность доступа при минимальном потреблении энергии

ePO Agent Handler


Панель McAfee ePO Deep Command

39


Определение ПК с vPro AMT

40


ePO Deep Command - Примеры

41

ePO Deep Command подключается к системе на уровне AMT и позволяет внести правки в конфигурацию или политики

Политики или неправильная конфигурация мешает подключению

Сбои в системе часто требуют вмешательства на месте

ePO Deep Command позволяет загрузить систему образа диска, тем самым позволяя восстановить систему полностью

Необходимо снизить потребление энергии, но сохранить уровень безопасности

ePO Deep Command позволяет устанавливать обновления, патчи, и новые продукты или политики за счет технологии AMT alarm и удалённого включения

ePO Deep Command может применить все необходимые политики безопасности для ПК с AMT, независимо от их состояния по питанию

Невозможно установить новые обновления для защиты, если ПК выключен

McAfee ePO Deep Command Задачи бизнеса


Восстановление системы

42

Connection to AMT

Remote Boot from .iso

Цели

(a) Восстановление системы через ePO (b) Выполнение диагностики с

загрузочного диска

1. Пользователь сообщает

Администратору о проблеме

2. Администратор ePO подключается к системе на уровне AMT

3. Administrator инструктирует систему для загрузки с удалённого образа

4. Как только система загрузилась, Администратор может выполнить все необходимые шаги

ePolicy Orchestrator


Применение политик безопасности

Цели

(a) Необходимо, чтобы все системы, даже выключенные, имели обновлённую политику безопасности

1. Отдел ИТ определил новую атаку в

сети

2. Администратор ePO подключается к выключенной станции с помощью AMT

3. При загрузке, ePO Deep Command выполняет серию необходимых задач по обновлению

4. Когда задача выполнится, станции

снова выключатся

Connection to AMT

Task: “Update DAT” now


http://scrapetv.com/News/News Pages/Technology/images/windows-logo.jpg


Intel AMT

Preboot

OS

McAfee Agent

McAfee

VirusScan

Apps

Intel AMT will power up computer and McAfee Agent will start and check for open tasks

ePO Deep Command Загрузка и выполнение команд

! Wake Up Computer AMT Alarm or Power-on

ePO will send tasks to the McAfee Agent, e.g. upgrade VSE, update DAT, run ODS, send events,

shutdown


ePO Deep Command Экономия электричества

45

Выключение для ПК с Intel vPro

Пример: 25,000 систем

Выключение систем в нерабочее время

Экономия в год — $500,000

Потребление энергии

Рабочая станция – 125

ватт

Ноутбук – 35 ватт

Стоимость киловатта

$0.097

Сохранить затраты на

энергию, но не проиграть в

безопасности

S OFF

ON


McAfee ePO Deep Command Преимущества

46

Зелёная планета

Сохранение необходимого

уровня безопасности и

экономия энергии

Надёжность

ПК всегда готовы для работы конечных

пользователей

Оптимизация

Необходимый уровень защиты

независимо от состояния ПК

Сохранение времени

Постоянный доступ к ПК

Снижение затрат

Ликвидация необходимости

присутствовать на месте при появлении

проблем

ePO Deep Command


Итог: ePO Deep Command

47

1

ePO Deep Command повышает защищённость ПК,

даже если они выключены из сети

Бережёт Планету ePO Deep

Command уменьшит расходы на ИТ


McAfee SIEM

May 21,

2012

49


Текущее состояние SIEM

Устаревшая архитектура Вынужденный выбор между

скоростью и информативностью

События сами по себе не помогут справится с

современными угрозами

Сложные управление и установка приводят к увеличению расходов

00001001001111

11010101110101

10001010010100

00101011101101 VS

Реальность:

Поддержка данных по безопасности

Платформа для глубокого исследования

Управление поддержкой и соответствием

Обещания:


Выполнение обещаний

Превосходный интеллект

Быстрая реакция

Значительная выгода

Big Security Data DB

Непрерывное соответствие


Управление логами

Исследование логов пост-фактум

Исследование

Управление логами и поиск

• Наблюдение за частотой записей

• Поиск логов


Традиционный контекст

Настоящий SIEM

Device and Application Log

Files

Authentication and IAM

Events from Security Devices and Endpoints

User Identity

Location

VA Scan Data Network Flows Time OS Events

Определение известных опасных потоков


Визуализация и исследование • Наблюдение за

частотой записей


• Корреляция

событий


Управлением логами


Основа на содержании


VA Scan Data Network Flows Time OS Events

Приложения База данных

• Частота потоков, но непонятно кто, когда и что сделал

• Полная картина использования приложений и баз данных

• Производительность приложений

• Нарушение политик Баз Данных

• Наблюдение за




событий

• Какие данные?

• Кто это сделал?

Визуализация, Исследование и Ответ


Современные требования




Динамическое содержание

Визуализация, Исследование и Ответ

GLOBAL THREAT LANDSCAPE

ENTERPRISE RISK LANDSCAPE


Risk Advisor

Корреляционный модуль • Наблюдение за




событий

• Какие данные?

• Кто это сделал?

• Плохие ребята?

• Каков риск системы?

• Каков риск пользователя?

• Информация об угрозах

• Немедленные алармы

• Анализ истории

• Уязвимости

• Контрмеры

• Лица


GTI вместе с SIEM

Сортировка событий…

200M записей

18,000 алертов

Десятки станций

Несколько юзеров

Точные нарушения

Точный ответ

RESPOND

Я общался с плохими ребятами?

Какие соединения были блокированы?

Какие конкретно Сервера/ПК/Устройства были атакованы?

Какие учетные записи были скомпрометированы?

Что случилось с этими аккаунтами?

Как я должен ответить?


Производительность и масштабируемость

• Недостижимая скорость

– Наиболее производительный

SIEM на рынке

– В сотни (а часто и в тысячи) раз быстрее

аналогичных решений конкурентов

– Запросы, корреляция и анализ за секунды (а не минуты или часы)

• Недостижимая масштабируемость

– Сбор всей релевантной информации

– Анализ информации за месяцы и годы,

включая высокоуровневую информацию о

контенте и контексте

– Работа с миллиардами записей в БД


Интерфейс


Интеллектуальная архитектура

McAfee Enterprise Security Manager McAfee Enterprise Log Manager

McAfee Application Data Monitor

McAfee Database Event Monitor

McAfee Advanced Correlation Engine

McAfee Receivers Big

Security Data DB

Анализ рисков

SIEM и управление логами

Анализ приложений

Производительный коллектор

Разведка и операционная деятельность

MRA SIA ePO GTI


Сертификация продуктов

May 21,

2012

61


Сертификация - Соответствие Техническим условиям

- McAfee Total Protection for Endpoint Host IPS Virus Scan Enterprise ePO - McAfee Data Loss Prevention Endpoint

Host DLP ePO


Сертификация – Отсутствие НДВ (4 уровень)

- McAfee Total Protection for Endpoint Host IPS Virus Scan Enterprise ePO - McAfee Data Loss Prevention Endpoint

Host DLP ePO


Сертификация – Следующий шаг

- McAfee Total Protection for Data Loss Prevention Appliance Software - McAfee Web Gateway - McAfee Network Security Platform (IPS) - McAfee Database Security

- McAfee Firewall Enterprise

Новые продукты mcafee/intel

Documents