mcafee endpoint security 10.1
TRANSCRIPT
.
Intel Security Confidential
Владислав Радецкий | Technical Lead, [email protected]
Endpoint Security 10.1Как его правильно использовать
.
Intel Security Confidential
О себе
2
Владислав Радецкий
Technical Lead
В ИТ официально с 2007 года.
С июля 2011-го работаю в группе компаний БАКОТЕК®.
Более 5 лет опыта в сфере ИБ.
Отвечаю за координацию тех. поддержки проектов по ИБ.
Провожу pre-sale, пилоты, тренинги.
Пишу статьи, заметки по ИБ и McAfee (Intel Security).
https://radetskiy.wordpress.com
https://ua.linkedin.com/in/vladislav-radetskiy-80940547
.
Intel Security Confidential
О чем мы будем говорить
• Современные угрозы
• Комплекты защиты
• Отличия ENS
• Практика использования
3
.
Intel Security Confidential
Современные целевые атаки
4
.
Intel Security Confidential
Современные целевые атаки
5
.
Intel Security Confidential
Фишинг + соц. инженерия = ключ к успеху
6
.
Intel Security Confidential
Фишинг + соц. инженерия = ключ к успеху
.
Intel Security Confidential
Ряд недавних атак на предприятия Украины
23 декабря 2015 энергетика/макросы (BlackEnergy3)
19 января 2016 энергетика/макросы (Sandworm)
1 февраля 2016 широкий спектр/.exe (ZBot/ZeuS)
4 февраля 2016 широкий спектр/макросы (Dridex)
.
Intel Security Confidential
Фишинг + соц. инженерия = ключ к успеху
.
Intel Security Confidential
Фишинг + соц. инженерия = ключ к успеху
.
Intel Security Confidential
Фишинг + соц. инженерия = ключ к успеху
.
Intel Security Confidential
Фишинг + соц. инженерия = ключ к успеху
.
Intel Security Confidential
Сигнатуры не помогают от целевых атакРассылка прошла 24 часа тому назад
.
Intel Security Confidential
Intel Security – решения ИБ
14
SecurityManagement
SecurityIntelligence
Software-DefinedData Center
NetworkSecurity
DataProtection
Server Security ApplicationSecurity
Intel® HardwareSecurity Foundation
on-premises | private cloud | public cloud | hybrid
Лидер в производстве микросхемКомпания основана в 1968Цель: использования закона Мура для того, чтобы обеспечить потребность людей в быстрых и надежных вычислительных устройствах.
Лидер на рынке ИБ решенийКомпания основана в 1987Приобретена Intel в 2010Цель: Обеспечение защиты заказчиков
Объединение разработок McAfee с продукцией Intel.
.
Intel Security Confidential15
McAfee = ~ 70 решений, единая консоль управления
DLP
Encryption
Web Gateway
EndpointProtection
DB Security
NSP + NTBA
…
MAR
SIEM
TIE + ATD
.
Intel Security Confidential
Модульная защита
16
McAfee ePOMcAfeeAgent
VSE
DLP
Encryption
HIPS
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
.
Intel Security Confidential
Комплекты для защиты конечных точек
17
Модули Endpoint ProtectionEndpoint Protection
Advanced Suite
Complete Endpoint Protection Business
(only 2k< users)
Complete Endpoint Protection Enterprise
Suite
VSE for Linux √ √ √ √
VSE for command line √ √ √ √
EPS for Mac √ √ √ √
VSE for Windows √ √ √ √
HIPS for Windows (Desktop) √ √ √
Site Advisor (web-filtering) √ √ √ √
Firewall √ √ √ √
Device Control √ √ √ √
Application Control √
Encryption (DE + MNE + FRM) √
Security for Exch. & Lotus √ √ √ √
.
Intel Security Confidential
Комплекты для защиты конечных точек
18
Модули Endpoint ProtectionEndpoint Protection
Advanced Suite
Complete Endpoint Protection Business
(only 2k< users)
Complete Endpoint Protection Enterprise
Suite
VSE for Linux √ √ √ √
VSE for command line √ √ √ √
ENS 10.1
Device Control √ √ √ √
Application Control √
Encryption (DE + MNE + FRM) √
Security for Exch. & Lotus √ √ √ √
.
Intel Security Confidential
Комплекты для защиты конечных точек
19
Модули Endpoint ProtectionEndpoint Protection
Advanced Suite
Complete Endpoint Protection Business
(only 2k< users)
Complete Endpoint Protection Enterprise
Suite
VSE for Linux √ √ √ √
VSE for command line √ √ √ √
ENS 10 for Mac OS √ √ √ √
ENS 10 for Windows √ √ √ √
ENS 10 Threat Prevention √ √ √
ENS10 WebProtection √ √ √ √
ENS10 FIrewall √ √ √ √
Device Control √ √ √ √
Application Control √
Encryption (DE + MNE + FRM) √
Security for Exch. & Lotus √ √ √ √
.
Intel Security Confidential
ENS 10.1
20
Основа защиты для серверов и рабочих станций.
Имеет пять степеней защиты:
1. DAT V3 – новые, оптимизированные вирусные сигнатуры
2. GTI – облачный сервис репутации (!) требует доступа к Интернет либо GTI Proxy
3. AMCore (Threat Prevention)
4. Access Protection Rules – правила защиты (!) by Default только самозащита McAfee
5. Интеграция с McAfee Advanced Threat Defense (ATD) через TIE (DXL)
.
Intel Security Confidential
Упрощенное быстрое развертывание
21
ePO 4.6
HIPS
Site Advisor Enterprise
VSE
90 minutes
ePO 5.x
15 minutes
.
Intel Security Confidential
Сценарии управления
Standalone
ePO Cloud ePO On-Premises
Managed
22
.
Intel Security Confidential
В чем отличие ENS от VSE+HIPS+SA
23
Улучшенноеуправление
(еРО Cloud или on-premise);
Единая политика для
Windows и Mac
Основадля усиления (добавления
новых модулей)
Расширеннаяинформация об
отслеженных/предотвращенных
угрозах (forensic information)
Обеспечениемиграции для
заказчиков, которые
используют текущие версии
VSE, HIPS
Единаяплатформа
(пакет)который
содержит модули: Threat
Prevention, WebSecurity &
Firewall
.
Intel Security Confidential
ENS 10.1
24
Threat Prevention ModuleOAS, ODS, Exploit Prevention & Access Protection
Firewall ModuleНа основе Firewall из “старого” HIPS
Web Control ModuleВ основе - SiteAdvisor® Enterprise
Threat Intelligence Exchange ModuleИнтеграция с шиной DXL (TIE), подключение к ATD
Client UI
ePO
24
TIEThreat
Prevention
Web Control Firewall
Управляется из консоли ePO
.
Intel Security Confidential
Результат детекта (forensic information)
Real-time threat intelligence
Детальное описание угрозы на простом языке
Позволяет оценить уровень серьезности и принять решение
Доступна как на клиенте так и на консоли McAfee ePO
BEAQA\JBlaine ran DLLHOST.EXE which attempted to access C:\PROGRAM FILES\McAfee\Endpoint\ in a manner which violates self-protection rules and was blocked
25
.
Intel Security Confidential
ENS 10.1 -> Forensic Information
26Найти, понять и отследить источник
СистемаHost Name
Ipv6 Address
Ipv4 Address
Mac
Location
ЦельIpv4 Address Parent Process SignedIpv6 Address Parent Process SignerPort NameURL PathShare Name File SizeMac Modify TimeProtocol Access TimeUser Name Create TimeProcess Name Device Display NameHash Serial NumberSigned Device VIDSigner Device PIDDescription
ДетектNameVersionContent VersionContent Creation DateRule IDRule NameReg InfoGTI QueryName
Детали угрозыEvent IDSeverityNameTypeAction TakenHandledDetected On CreateImpactEvent ID
ИсточникIpv4 Address File PathIpv6 Address File SizePort HashURL SignedShare Name SignerMac Modify TimeUser Name Access TimeProcess Name Create TimeParent Process Name
Device Serial Number
Parent Process HashDevice VIDParent Process Signed
Source Description
Parent Process Signer
ДополнительноCleanable
Task Name
API Name
First Attempted Action
Second Attempted Action
First Action Status
Second Action Status
Event ID Description
Natural Language Description
Duration Before Detection
Attack Vector Type
Direction
ICMP Type
Firewall Event Type
Throttled Event Count
.
Intel Security Confidential
Интеграция с локальной базой угроз и ATDУсиление защиты путем подключения “картотеки” и “песочницы”
Централизованное отслеживаниеУгроз, атак, инцидентов
ENS = сенсор для ATDИнтеграция позволяет использовать 5-й уровень проверки(динамический и статический анализ кода)
Открытый стандартОбъединение модулей защиты в единую иммунную систему
Шина обмена данными (DXL)Быстрая передача информации по двунаправленному каналу
27
TIE Server
Intel Security Solutions
3rd PartyPartners
Threat Intelligence
Feeds
TIE Endpoints
.
Intel Security Confidential
В результате
Медленная реакция на инциденты;
Сложности с интеграцией;
Ограниченный контроль..
В результате
Адекватное время реакции;
Масштабируемость
Добавление новых модулей
Шина обмена данными (DLX, Data Exchange Layer)Стандартизированный канал обмена данными об угрозах
Схема построенная на API, без координации
Схема DXL
28
.
Intel Security Confidential
Улучшенное сканирование
29
ENS при выполнении проверки постоянно следит за потреблением ресурсов системы.
Как только пользователь начинает активно работать – скан приостанавливается.
Проверка продолжается с того места, на котором была остановлена.
Перезагрузка системы/выключение не прерывают задачу сканирования.
Проверка…
.
Intel Security Confidential
Архитектура ENS
30
Фреймворк – основа для раширения
Endpoint Security Client
Security Management
McAfee ePO Agent Client UI Cloud Endpoint Connector
Kernel Mode Drivers
Common Components
Firewall Web Control Future ModulesTIEThreatPrevention
.
Intel Security Confidential
Endpoint Migration Assistant
31
Модуль Migration Assistant для упрощения процедуры перехода от старых версий защиты к ENS.
В автоматическом режиме может создавать новые политики, задачи, которые будут основаны на текущих настройках. Новые политики и задачи будут применены с учетом групп систем и сортировки.
Миграция в полу-автоматическом режиме позволяет перенести только выбранные элементы (отдельные политики, задачи). В процессе переноса элементы могут быть отредактированы под требования заказчика.
Автоматическая Полу-автоматическая
Select what items you want to migrate:• Policies• Client tasks• Catalog (FW only)
Select what items you want to migrate:• Policies• Client tasks
Preview policy migration results
Configure policies or tasks
Migrated items are created and assigned automatically
Migrated items are created
Manually assign migrated items
Repeat to migrate additional items
.
Intel Security Confidential
Требования для развертывания
32
Microsoft WorkstationsMacintoshePOMcAfee Agent
Windows 10, 8.1, 8.0, 7.0, Vista
Windows Embedded 8.1, 8, 7
Microsoft Servers
Windows 2012, 2012 R2
Windows 2008, 2008 R2
Windows Small Business Server 2011, 2008
Windows Embedded 2009
Windows Point of Service 2009, 1.1
Mac OS X (server and workstation):
El Capitan 10.11x,
Yosemite 10.10x
Mavericks 10.9x
ePO 5.3 or later
ePO Cloud 5.5
McAfee Agent 5.02 or later
Источники полезной информации
ENS on McAfee Expert Center - каталог инструкций
ePO Cloud + ENS10 Trial - пробная версия
ENS for std. ePO Trial - пробная версия#2
ENS for standalone Trial - пробная версия#3
HW Req. & supported OS - требования
https://radetskiy.wordpress.com/ - мой блог (статьи, заметки, аналитика)
.
Intel Security Confidential34
Благодарю за внимание
Владислав Радецкий | Technical Lead, [email protected]