McAfee Endpoint Security 10.1

.

Intel Security Confidential

Владислав Радецкий | Technical Lead, [email protected]

Endpoint Security 10.1Как его правильно использовать

mailto:[email protected]

.


О себе

2

Владислав Радецкий

Technical Lead

[email protected]

В ИТ официально с 2007 года.

С июля 2011-го работаю в группе компаний БАКОТЕК®.

Более 5 лет опыта в сфере ИБ.

Отвечаю за координацию тех. поддержки проектов по ИБ.

Провожу pre-sale, пилоты, тренинги.

Пишу статьи, заметки по ИБ и McAfee (Intel Security).

https://radetskiy.wordpress.com

https://ua.linkedin.com/in/vladislav-radetskiy-80940547


https://radetskiy.wordpress.com/

https://ua.linkedin.com/in/vladislav-radetskiy-80940547

.


О чем мы будем говорить

• Современные угрозы

• Комплекты защиты

• Отличия ENS

• Практика использования

3

.


Современные целевые атаки

4

.


Современные целевые атаки

5

.


Фишинг + соц. инженерия = ключ к успеху

6

.



.


Ряд недавних атак на предприятия Украины

23 декабря 2015 энергетика/макросы (BlackEnergy3)

19 января 2016 энергетика/макросы (Sandworm)

1 февраля 2016 широкий спектр/.exe (ZBot/ZeuS)

4 февраля 2016 широкий спектр/макросы (Dridex)

.



.



.



.



.


Сигнатуры не помогают от целевых атакРассылка прошла 24 часа тому назад

.


Intel Security – решения ИБ

14

SecurityManagement

SecurityIntelligence

Software-DefinedData Center

NetworkSecurity

DataProtection

Server Security ApplicationSecurity

Intel® HardwareSecurity Foundation

on-premises | private cloud | public cloud | hybrid

Лидер в производстве микросхемКомпания основана в 1968Цель: использования закона Мура для того, чтобы обеспечить потребность людей в быстрых и надежных вычислительных устройствах.

Лидер на рынке ИБ решенийКомпания основана в 1987Приобретена Intel в 2010Цель: Обеспечение защиты заказчиков

Объединение разработок McAfee с продукцией Intel.

.

Intel Security Confidential15

McAfee = ~ 70 решений, единая консоль управления

DLP

Encryption

Web Gateway

EndpointProtection

DB Security

NSP + NTBA

…

MAR

SIEM

TIE + ATD

.


Модульная защита

16

McAfee ePOMcAfeeAgent

VSE

DLP

Encryption

HIPS

Endpoint

Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

.


Комплекты для защиты конечных точек

17

Модули Endpoint ProtectionEndpoint Protection

Advanced Suite

Complete Endpoint Protection Business

(only 2k< users)

Complete Endpoint Protection Enterprise

Suite

VSE for Linux √ √ √ √

VSE for command line √ √ √ √

EPS for Mac √ √ √ √

VSE for Windows √ √ √ √

HIPS for Windows (Desktop) √ √ √

Site Advisor (web-filtering) √ √ √ √

Firewall √ √ √ √

Device Control √ √ √ √

Application Control √

Encryption (DE + MNE + FRM) √

Security for Exch. & Lotus √ √ √ √

.



18


Advanced Suite


(only 2k< users)


Suite



ENS 10.1





.



19


Advanced Suite


(only 2k< users)


Suite



ENS 10 for Mac OS √ √ √ √

ENS 10 for Windows √ √ √ √

ENS 10 Threat Prevention √ √ √

ENS10 WebProtection √ √ √ √

ENS10 FIrewall √ √ √ √





.


ENS 10.1

20

Основа защиты для серверов и рабочих станций.

Имеет пять степеней защиты:

1. DAT V3 – новые, оптимизированные вирусные сигнатуры

2. GTI – облачный сервис репутации (!) требует доступа к Интернет либо GTI Proxy

3. AMCore (Threat Prevention)

4. Access Protection Rules – правила защиты (!) by Default только самозащита McAfee

5. Интеграция с McAfee Advanced Threat Defense (ATD) через TIE (DXL)

.


Упрощенное быстрое развертывание

21

ePO 4.6

HIPS

Site Advisor Enterprise

VSE

90 minutes

ePO 5.x

15 minutes

.


Сценарии управления

Standalone

ePO Cloud ePO On-Premises

Managed

22

.


В чем отличие ENS от VSE+HIPS+SA

23

Улучшенноеуправление

(еРО Cloud или on-premise);

Единая политика для

Windows и Mac

Основадля усиления (добавления

новых модулей)

Расширеннаяинформация об

отслеженных/предотвращенных

угрозах (forensic information)

Обеспечениемиграции для

заказчиков, которые

используют текущие версии

VSE, HIPS

Единаяплатформа

(пакет)который

содержит модули: Threat

Prevention, WebSecurity &

Firewall

.


ENS 10.1

24

Threat Prevention ModuleOAS, ODS, Exploit Prevention & Access Protection

Firewall ModuleНа основе Firewall из “старого” HIPS

Web Control ModuleВ основе - SiteAdvisor® Enterprise

Threat Intelligence Exchange ModuleИнтеграция с шиной DXL (TIE), подключение к ATD

Client UI

ePO

24

TIEThreat

Prevention

Web Control Firewall

Управляется из консоли ePO

.


Результат детекта (forensic information)

Real-time threat intelligence

Детальное описание угрозы на простом языке

Позволяет оценить уровень серьезности и принять решение

Доступна как на клиенте так и на консоли McAfee ePO

BEAQA\JBlaine ran DLLHOST.EXE which attempted to access C:\PROGRAM FILES\McAfee\Endpoint\ in a manner which violates self-protection rules and was blocked

25

.


ENS 10.1 -> Forensic Information

26Найти, понять и отследить источник

СистемаHost Name

Ipv6 Address

Ipv4 Address

Mac

Location

ЦельIpv4 Address Parent Process SignedIpv6 Address Parent Process SignerPort NameURL PathShare Name File SizeMac Modify TimeProtocol Access TimeUser Name Create TimeProcess Name Device Display NameHash Serial NumberSigned Device VIDSigner Device PIDDescription

ДетектNameVersionContent VersionContent Creation DateRule IDRule NameReg InfoGTI QueryName

Детали угрозыEvent IDSeverityNameTypeAction TakenHandledDetected On CreateImpactEvent ID

ИсточникIpv4 Address File PathIpv6 Address File SizePort HashURL SignedShare Name SignerMac Modify TimeUser Name Access TimeProcess Name Create TimeParent Process Name

Device Serial Number

Parent Process HashDevice VIDParent Process Signed

Source Description

Parent Process Signer

ДополнительноCleanable

Task Name

API Name

First Attempted Action

Second Attempted Action

First Action Status

Second Action Status

Event ID Description

Natural Language Description

Duration Before Detection

Attack Vector Type

Direction

ICMP Type

Firewall Event Type

Throttled Event Count

.


Интеграция с локальной базой угроз и ATDУсиление защиты путем подключения “картотеки” и “песочницы”

Централизованное отслеживаниеУгроз, атак, инцидентов

ENS = сенсор для ATDИнтеграция позволяет использовать 5-й уровень проверки(динамический и статический анализ кода)

Открытый стандартОбъединение модулей защиты в единую иммунную систему

Шина обмена данными (DXL)Быстрая передача информации по двунаправленному каналу

27

TIE Server

Intel Security Solutions

3rd PartyPartners

Threat Intelligence

Feeds

TIE Endpoints

.


В результате

Медленная реакция на инциденты;

Сложности с интеграцией;

Ограниченный контроль..

В результате

Адекватное время реакции;

Масштабируемость

Добавление новых модулей

Шина обмена данными (DLX, Data Exchange Layer)Стандартизированный канал обмена данными об угрозах

Схема построенная на API, без координации

Схема DXL

28

.


Улучшенное сканирование

29

ENS при выполнении проверки постоянно следит за потреблением ресурсов системы.

Как только пользователь начинает активно работать – скан приостанавливается.

Проверка продолжается с того места, на котором была остановлена.

Перезагрузка системы/выключение не прерывают задачу сканирования.

Проверка…

.


Архитектура ENS

30

Фреймворк – основа для раширения

Endpoint Security Client

Security Management

McAfee ePO Agent Client UI Cloud Endpoint Connector

Kernel Mode Drivers

Common Components

Firewall Web Control Future ModulesTIEThreatPrevention

.


Endpoint Migration Assistant

31

Модуль Migration Assistant для упрощения процедуры перехода от старых версий защиты к ENS.

В автоматическом режиме может создавать новые политики, задачи, которые будут основаны на текущих настройках. Новые политики и задачи будут применены с учетом групп систем и сортировки.

Миграция в полу-автоматическом режиме позволяет перенести только выбранные элементы (отдельные политики, задачи). В процессе переноса элементы могут быть отредактированы под требования заказчика.

Автоматическая Полу-автоматическая

Select what items you want to migrate:• Policies• Client tasks• Catalog (FW only)

Select what items you want to migrate:• Policies• Client tasks

Preview policy migration results

Configure policies or tasks

Migrated items are created and assigned automatically

Migrated items are created

Manually assign migrated items

Repeat to migrate additional items

.


Требования для развертывания

32

Microsoft WorkstationsMacintoshePOMcAfee Agent

Windows 10, 8.1, 8.0, 7.0, Vista

Windows Embedded 8.1, 8, 7

Microsoft Servers

Windows 2012, 2012 R2

Windows 2008, 2008 R2

Windows Small Business Server 2011, 2008

Windows Embedded 2009

Windows Point of Service 2009, 1.1

Mac OS X (server and workstation):

El Capitan 10.11x,

Yosemite 10.10x

Mavericks 10.9x

ePO 5.3 or later

ePO Cloud 5.5

McAfee Agent 5.02 or later

Источники полезной информации

ENS on McAfee Expert Center - каталог инструкций

ePO Cloud + ENS10 Trial - пробная версия

ENS for std. ePO Trial - пробная версия#2

ENS for standalone Trial - пробная версия#3

HW Req. & supported OS - требования

https://radetskiy.wordpress.com/ - мой блог (статьи, заметки, аналитика)

https://community.mcafee.com/community/business/expertcenter/products/ens

https://login.mcafee.com/v1/SignUp/en-US/epo/CLDEPOTRIAL

https://secure.mcafee.com/apps/downloads/free-evaluations/survey.aspx?mktg=ESD1196&cid=ESD1196&eval=900C49C3-492B-4248-9C70-12D727E55233&region=us

https://secure.mcafee.com/apps/downloads/free-evaluations/survey.aspx?mktg=ESD1195&cid=ESD1195&eval=05E6610B-F904-4EB1-9874-FF0DECDB60FE&region=us

https://kc.mcafee.com/corporate/index?page=content&id=KB82761

https://radetskiy.wordpress.com/

.

Intel Security Confidential34

Благодарю за внимание

Владислав Радецкий | Technical Lead, [email protected]

http://radetskiy.wordpress.com/


Technology

McAfee Endpoint Security 10.1