mcafee adaptive threat intelligence i ve virtuálním prostředí
Post on 08-Apr-2017
464 Views
Preview:
TRANSCRIPT
.
McAfee Confidential
McAfee Adaptive threat intelligencei ve virtuálním prostředíJan Strnad, Sales Engineer Intel Security
.
McAfee Confidential 2
Celkové množství Malware v McAfee Labs databázi
Q1 2013
Q2 2013
Q3 2013
Q4 2013
Q1 2014
Q2 2014
Q3 2014
Q4 2014
0
50,000,000
100,000,000
150,000,000
200,000,000
250,000,000
300,000,000
350,000,000
400,000,000
Total Malware
Source: McAfee Labs, December 2014
Mno
žstv
í vzo
rků
Je detekováno 387 nových hrozeb kažnou minutu
Více než 6 hrozeb každou sekundu
.
McAfee Confidential
Malware vs. Antimalware
Nekonečný boj, ve kterém nezvítězí ani jedna strana, ale malware bude vždy o krok napřed, protože reaguje na aktuálně dostupné bezpečnostní technologie
Vznik malwaru
Jednoduché signatury
Modifikace kódu a úhyb signaturám
Heuristika, hledání kostry kódu, vynechávání zbytečných instrukcí
Polymorfní malware, kryptovací malware
.
McAfee Confidential
Jaký je další krok?
• Výrobci bezpečnostních technologií musí reagovat• Detekovat malware bez signatur podle jeho
chování, protože• Velmi často se jedná o jednoduché modifikace stejného
malwaru• Malware provádí velmi podobné operace, např.:– Zajišťuje své znovuspuštění po restartu– Spojuje se se svým Command&Control centrem– Vykrádá informace z dalšího softwaru a z klávesnice–…
• Detekce před samotnou infekcí koncového stroje• Detekce malware na perimetru pomocí síťových prvků• Propojení síťová a endpoint bezpečnosti
.
McAfee Confidential
Výzvy pro bezpečnou virtualizaci
5
Virtualizace = nová IT platforma • s vlastními specifickými zranitelnostmi
Virtualizace mění pohled na koncové systémy• Virtualizované systémy přestávají být
systémy a stávají se daty• Virtuální obrazy jsou budovány a
nastavovány za pochodu bez ohledu na související hodnoty
•Virtuální svět je také zranitelný • Hypervisor • Offline Virtual Images • Virtualization Center Console
Out-of-date offline images
Virus
Spam
Trojan
Worms
DDoS
Vulnerabilities
Hypervisor
Apps
OS
Virtual Machine
Apps
OS
Virtual Machine
Apps
OS
OfflineVirtual Image
May 2, 2023
.
McAfee Confidential
Hypervisor
Optimalizovaný McAfee Anti-Virus – MOVE AV
6
Datacenter
MOVE Appliance
MAOS
McAfee ePO
Vlastnosti• Offload On-Access skenování• Menší dopad skenování na HW• Ochrana paměti • Karanténa• GTI reputace souborů • VSE licence pro virtuální stroje
VM
MAOS
MOVE
VM
MAOS
MOVE
May 2, 2023
.
McAfee Confidential May2,20237
Nová McAfee virtuální IPS sonda kontroluje jak fyzický provoz, tak provoz virtuálních strojů
VMware Host
vswitch
VM Image VM Image
Fyzická síť
vswitch
vswitch
McAfeevirtual IPS
Virtuální IPS sonda pro datová centra
.
McAfee Confidential
Hypervisor
McAfee Next Generation Firewall jako virtuální appliance pro datová centra
8
Nová virtuální platforma s více možnostmi nasazení
Snadná instalace McAfee NGFW image pro různé hypervisory
Tenant A Tenant CTenant B
Virtuální switch
Fyzická síť
Verze 5.9
• Podporuje hybridní nasazení – fyzická a virtuální appliance • Snadná migrace z HW appliance na virtuální • Snadná správa stejný centrální managenet a politky
.
McAfee Confidential May2,20239
– MWG – McAfee Web Gateway– MEG – McAfee Email Gateway– Network DLP
• Prevent• Discover
– SIEM appliance• ESM – Enterprise Security Manager• Receiver• ELM – Enterprise Log Manager• ACE – Advanced Correlation Engine
– ePO – ePolicy Orchestrator server
Další bezpečnostní nástroje McAfee nasaditelné do virtuálního prostředí
.
McAfee Confidential10
Notable Ransomware Attacks - March 2015
.
McAfee Confidential11
Ochrana před Cryptolocker a dalším malware
• Standardní antivirové řešení nestačí• Základní kámen bezpečnosti, nikoliv hradba....• AV skenuje soubory porovnámím s DAT databází – blacklistig• Co je v DAT databázi je nalezeno, co není v DAT databázi je povoleno• AV není schopen v reálném čase reagovat na nové nebo modifikované hrozby
• Vyšší úroveň bezpečnosti pomocí Adaptivní inteligence při vyhledávání hrozeb
• McAfee Threat Inteligence Exchange / Data Exchange Layer – TIE/DXL
• McAfee Advanced Threat Defense - ATD
• Řešení• Antivirové a antispamové řešení na bráně i endpointu• Host nebo Network IPS • Důležitá je záloha souborů• Vzdělávání uživatelů – neotevírat přílohy podezřelých
emailů, kontrola URL adres při webové komunikaci
.
McAfee Confidential
Co je Data Exchange Layer
12
Data Exchange Layer (DXL) je základní vrstva pro Security Connected architekturu
DXL poskytuje Enterprise Message Bus framework, který umožňuje sdílení kontextových bezpečnostních informací mezi bezpečnostními produkty, zajišťuje adaptivní bezpečnost a nápravu.
McAfee Internal Use Only
Co je Threat Intelligence Exchange
13
Threat Intelligence Exchange (TIE) je systém, který poskytuje informace o reputaci souborů, které jsou získávané z různých zdrojů a tím zajišťuje vyšší bezpečnost pro celou informační infrastrukturu.
• Využívá Data eXchange Layer(DXL) k distribuci reputací na TIE klienta
• Kombinuje informace z více bezpečnostních zdrojů k určení reputace
• Adaptivní bezpečností snižuje riziko při spouštění souborů
.
McAfee Confidential
TIE/DXL architektura
McAfee Threat Intelligence Exchange
Komponenty řešení- TIE Server- TIE Client- DXL Fabric
Global ThreatIntelligence
3rd Party Feeds
DXL Fabric
TIE Server ePO
TIE ClientFyzický nebo
VDI TIE Client
Fyzický nebo VDI
TIE ClientFyzický nebo
VDI
McAfee Internal Use Only
Co je reputace souboruanalogie s identifikačním průkazem
15
Jméno BydlištěDatum narozeníVydání dokladuOtisk prstuOdkud přicházíDotaz na registr osobJak často přichází.....
Jméno Cesta k úložištiDatum vzniku souboruPodpis certifikátemHash souboruLokální cesta, download z InternetuDotaz na globální reputační serverKolikrát byl spuštěn v lokálním prostředí.....
Identifikační údaje osoby Identifikační údaje souboru
.
McAfee Confidential
Podepsaný důvěryhodným certifikátemSilná globální reputace z GTI
Žádný podpisŽádná globální reputaceMnohokrát spouštěný v lokálním prostředí / důvěryhodná lokální aplikaceŽádné další atributy bezpečnostní hrozby
Žádný podpisŽádná globální ani lokální reputacePrvní spuštění v lokálním prostředíPodezřelý atribut – download z Internetu
Jak pracuje reputace TIE - porovnání třech spouštěných souborů
Neznámý soubor - malwareMicrosoft Visio Zákaznická aplikace
Důvěryhodnost : VysokáAkce: Povolit
Důvěryhodnost: Velmi vysokáAkce: Povolit
Důvěryhodnost : NízkáAkce: Blokovat
.
McAfee Confidential
McAfeeVSE Threat Intelligence
Module
McAfeeVSE Threat Intelligence
Module
McAfeeePO
McAfeeATD
Threat Intelligence Exchange Adapt and Immunize—From Encounter to Containment in Milliseconds
YES NO
McAfeeGlobal ThreatIntelligence
3rd PartyFeeds
Data Exchange Layer
McAfeeTIE Server
Skryté stáří souboru Není podepsaný
certifikátem První spuštění v prostředí
společnosti Stažen z Internetu
.
McAfee Confidential
McAfee Advanced Threat Defense
Specializovaná appliance určená na detekci známého i neznámého (tzv. zero-day) malwaruDetekci neznámého malware zařizuje kombinace několika metod, jednou z hlavních je sandboxing• Soubor je otevřen/spuštěn ve virtuálním prostředí, které simuluje
klientský stroj a ATD sleduje veškeré jeho činnosti
.
McAfee Confidential
Dynamická a statická analýza kódu
DYNAMICKÁ ANALÝZA• Sledování modifikace registrů• Sledování síťové komunikace• Sledování aktivity procesů • Sledování systémových změn
Klasifikace a reporty
Sleduje chování podezřelého kódu …
Dobré, ale nedostatečné!
Klasifikace a reporty
Na základě pozorovnání chování a statické analýzy
nespuštěných kódů
STATICKÁ ANALÝZA• Rozbalení komprimovaných souborů • Statická analýza „rozebraného“ kódu• Detekce pozdrženého spuštění kódu• Skryté logické cesty
PE FilesAdobe Reader Mobile Archives Microsoft
Office
.
McAfee Confidential
Architektura MWG, MEG, IPS a ATD
20
McAfee Advanced Threat Defense McAfee xxx
Gateway
Stahovaný soubor z Internetu
REST API
Soubor je odeslán na ATD na hloubkovou
kontrolu
Výsledek hloubkové
analýzy
McAfee ePO
Dotaz na verzi OS koncového bodu /výběr VM profilu
statická a dynamická analýza,
sandboxing (out-of-band) Skenování souboru
pomocí GTI, AV a GAM
(možnost definice v politice)
.
McAfee Confidential
McAfeeESM McAfee
VSE Threat Intelligence
Module
McAfeeVSE Threat Intelligence
Module
McAfeeePO
McAfeeATD
McAfeeWeb Gateway
McAfeeEmail GatewayMcAfee
NGFWMcAfee
NSP
Data Exchange Layer
McAfeeGlobal ThreatIntelligence
3rd PartyFeeds
Bránové nástroje blokují přístup do interní sítě společnosti na základě detekce na koncových stanicích
Bezpečnostní nástroje
pracují jako celek.
Okamžitě sdílí relevantní
informace o hrozbách mezi
sebou.
Proaktivní a efektivní
ochrana celé společnosti okamžitě při
detekci hrozby
McAfeeTIE Server
Threat Intelligence Exchange Adapt and Immunize—From Encounter to Containment in Milliseconds
.
McAfee Confidential
McAfeeESM McAfee
VSE Threat Intelligence
Module
McAfeeVSE Threat Intelligence
Module
McAfeeePO
McAfeeATD
McAfeeWeb Gateway
McAfeeEmail GatewayMcAfee
NGFWMcAfee
NSP
Threat Intelligence ExchangeAdapt and Immunize—From Encounter to Containment in Milliseconds
Data Exchange Layer
NOYES
McAfeeGlobal ThreatIntelligence
3rd PartyFeeds
Koncové stanice jsou chráněny na základě bezpečnostních nástrojů na bráně společnosti
McAfeeTIE Server
.
McAfee Confidential
Adaptive Threat Prevention and DetectionIntegrace se SIEM
23
Web Gateway Email GatewayNGFW NSP
Network & GatewayATD
Endpoints
SandboxESM
SIEM
IOC 1IOC 2IOC 3IOC 4
Informace o detekci malware je odeslána na síťové prvky a koncové systémy
Soubor je analyzován
Nová IOC inteligence provede historické vyhledávání
Již napadené systémy jsou izolovány nebo vyčištěny
TIE Endpoint Module
TIE Endpoint Module
TIE Endpoint Module
TIE Endpoint Module
DXL Ecosystem DXL Ecosystem
.
McAfee Confidential 24
Jan Strnad, jan_strnad@mcafee.com, +420 602280387
top related