McAfee Endpoint Security 10.1

Information about McAfee Endpoint Security 10.1

Published on February 29, 2016

Author: Glok17

Source: slideshare.net

Content

1. . Intel Security Confidential Владислав Радецкий | Technical Lead, CEH [email protected] Endpoint Security 10.1 Как его правильно использовать

2. . Intel Security Confidential О себе 2 Владислав Радецкий Technical Lead [email protected] В ИТ официально с 2007 года. С июля 2011-го работаю в группе компаний БАКОТЕК®. Более 5 лет опыта в сфере ИБ. Отвечаю за координацию тех. поддержки проектов по ИБ. Провожу pre-sale, пилоты, тренинги. Пишу статьи, заметки по ИБ и McAfee (Intel Security). https://radetskiy.wordpress.com https://ua.linkedin.com/in/vladislav-radetskiy-80940547

3. . Intel Security Confidential О чем мы будем говорить • Современные угрозы • Комплекты защиты • Отличия ENS • Практика использования 3

4. . Intel Security Confidential Современные целевые атаки 4

5. . Intel Security Confidential Современные целевые атаки 5

6. . Intel Security Confidential Фишинг + соц. инженерия = ключ к успеху 6

7. . Intel Security Confidential Фишинг + соц. инженерия = ключ к успеху

8. . Intel Security Confidential Ряд недавних атак на предприятия Украины 23 декабря 2015 энергетика/макросы (BlackEnergy3) 19 января 2016 энергетика/макросы (Sandworm) 1 февраля 2016 широкий спектр/.exe (ZBot/ZeuS) 4 февраля 2016 широкий спектр/макросы (Dridex)

9. . Intel Security Confidential Фишинг + соц. инженерия = ключ к успеху

10. . Intel Security Confidential Фишинг + соц. инженерия = ключ к успеху

11. . Intel Security Confidential Фишинг + соц. инженерия = ключ к успеху

12. . Intel Security Confidential Фишинг + соц. инженерия = ключ к успеху

13. . Intel Security Confidential Сигнатуры не помогают от целевых атак Рассылка прошла 24 часа тому назад

14. . Intel Security Confidential Intel Security – решения ИБ 14 Security Management Security Intelligence Software-Defined Data Center Network Security Data Protection Server Security Application Security Intel® Hardware Security Foundation on-premises | private cloud | public cloud | hybrid Лидер в производстве микросхем Компания основана в 1968 Цель: использования закона Мура для того, чтобы обеспечить потребность людей в быстрых и надежных вычислительных устройствах. Лидер на рынке ИБ решений Компания основана в 1987 Приобретена Intel в 2010 Цель: Обеспечение защиты заказчиков Объединение разработок McAfee с продукцией Intel.

15. . Intel Security Confidential 15 McAfee = ~ 70 решений, единая консоль управления DLP Encryption Web Gateway Endpoint Protection DB Security NSP + NTBA … MAR SIEM TIE + ATD

16. . Intel Security Confidential Модульная защита 16 McAfee ePO McAfee Agent VSE DLP Encryption HIPS Endpoint Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса. Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

17. . Intel Security Confidential Комплекты для защиты конечных точек 17 Модули Endpoint Protection Endpoint Protection Advanced Suite Complete Endpoint Protection Business (only 2k< users) Complete Endpoint Protection Enterprise Suite VSE for Linux √ √ √ √ VSE for command line √ √ √ √ EPS for Mac √ √ √ √ VSE for Windows √ √ √ √ HIPS for Windows (Desktop) √ √ √ Site Advisor (web-filtering) √ √ √ √ Firewall √ √ √ √ Device Control √ √ √ √ Application Control √ Encryption (DE + MNE + FRM) √ Security for Exch. & Lotus √ √ √ √

18. . Intel Security Confidential Комплекты для защиты конечных точек 18 Модули Endpoint Protection Endpoint Protection Advanced Suite Complete Endpoint Protection Business (only 2k< users) Complete Endpoint Protection Enterprise Suite VSE for Linux √ √ √ √ VSE for command line √ √ √ √ ENS 10.1 Device Control √ √ √ √ Application Control √ Encryption (DE + MNE + FRM) √ Security for Exch. & Lotus √ √ √ √

19. . Intel Security Confidential Комплекты для защиты конечных точек 19 Модули Endpoint Protection Endpoint Protection Advanced Suite Complete Endpoint Protection Business (only 2k< users) Complete Endpoint Protection Enterprise Suite VSE for Linux √ √ √ √ VSE for command line √ √ √ √ ENS 10 for Mac OS √ √ √ √ ENS 10 for Windows √ √ √ √ ENS 10 Threat Prevention √ √ √ ENS10 WebProtection √ √ √ √ ENS10 FIrewall √ √ √ √ Device Control √ √ √ √ Application Control √ Encryption (DE + MNE + FRM) √ Security for Exch. & Lotus √ √ √ √

20. . Intel Security Confidential ENS 10.1 20 Основа защиты для серверов и рабочих станций. Имеет пять степеней защиты: 1. DAT V3 – новые, оптимизированные вирусные сигнатуры 2. GTI – облачный сервис репутации (!) требует доступа к Интернет либо GTI Proxy 3. AMCore (Threat Prevention) 4. Access Protection Rules – правила защиты (!) by Default только самозащита McAfee 5. Интеграция с McAfee Advanced Threat Defense (ATD) через TIE (DXL)

21. . Intel Security Confidential Упрощенное быстрое развертывание 21 ePO 4.6 HIPS Site Advisor Enterprise VSE 90 minutes ePO 5.x 15 minutes

22. . Intel Security Confidential Сценарии управления Standalone ePO Cloud ePO On-Premises Managed 22

23. . Intel Security Confidential В чем отличие ENS от VSE+HIPS+SA 23 Улучшенное управление (еРО Cloud или on-premise); Единая политика для Windows и Mac Основа для усиления (добавления новых модулей) Расширенная информация об отслеженных/пре дотвращенных угрозах (forensic information) Обеспечение миграции для заказчиков, которые используют текущие версии VSE, HIPS Единая платформа (пакет) который содержит модули: Threat Prevention, Web Security & Firewall

24. . Intel Security Confidential ENS 10.1 24 Threat Prevention Module OAS, ODS, Exploit Prevention & Access Protection Firewall Module На основе Firewall из “старого” HIPS Web Control Module В основе - SiteAdvisor® Enterprise Threat Intelligence Exchange Module Интеграция с шиной DXL (TIE), подключение к ATD Client UI ePO 2 TIE Threat Prevention Web Control Firewall Управляется из консоли ePO

25. . Intel Security Confidential Результат детекта (forensic information) Real-time threat intelligence Детальное описание угрозы на простом языке Позволяет оценить уровень серьезности и принять решение Доступна как на клиенте так и на консоли McAfee ePO BEAQAJBlaine ran DLLHOST.EXE which attempted to access C:PROGRAM FILESMcAfeeEndpoint in a manner which violates self-protection rules and was blocked 25

26. . Intel Security Confidential ENS 10.1 -> Forensic Information 26 Найти, понять и отследить источник Система Host Name Ipv6 Address Ipv4 Address Mac Location Цель Ipv4 Address Parent Process Signed Ipv6 Address Parent Process Signer Port Name URL Path Share Name File Size Mac Modify Time Protocol Access Time User Name Create Time Process Name Device Display Name Hash Serial Number Signed Device VID Signer Device PID Description Детект Name Version Content Version Content Creation Date Rule ID Rule Name Reg Info GTI Query Name Детали угрозы Event ID Severity Name Type Action Taken Handled Detected On Create Impact Event ID Источник Ipv4 Address File Path Ipv6 Address File Size Port Hash URL Signed Share Name Signer Mac Modify Time User Name Access Time Process Name Create Time Parent Process Name Device Serial Number Parent Process HashDevice VID Parent Process Signed Source Description Parent Process Signer Дополнительно Cleanable Task Name API Name First Attempted Action Second Attempted Action First Action Status Second Action Status Event ID Description Natural Language Description Duration Before Detection Attack Vector Type Direction ICMP Type Firewall Event Type Throttled Event Count

27. . Intel Security Confidential Интеграция с локальной базой угроз и ATD Усиление защиты путем подключения “картотеки” и “песочницы” Централизованное отслеживание Угроз, атак, инцидентов ENS = сенсор для ATD Интеграция позволяет использовать 5-й уровень проверки (динамический и статический анализ кода) Открытый стандарт Объединение модулей защиты в единую иммунную систему Шина обмена данными (DXL) Быстрая передача информации по двунаправленному каналу 27 TIE Server Intel Security Solutions 3rd Party Partners Threat Intelligence Feeds TIE Endpoints

28. . Intel Security Confidential В результате Медленная реакция на инциденты; Сложности с интеграцией; Ограниченный контроль.. В результате Адекватное время реакции; Масштабируемость Добавление новых модулей Шина обмена данными (DLX, Data Exchange Layer) Стандартизированный канал обмена данными об угрозах Схема построенная на API, без координации Схема DXL 28

29. . Intel Security Confidential Улучшенное сканирование 29 ENS при выполнении проверки постоянно следит за потреблением ресурсов системы. Как только пользователь начинает активно работать – скан приостанавливается. Проверка продолжается с того места, на котором была остановлена. Перезагрузка системы/выключение не прерывают задачу сканирования. Проверка…

30. . Intel Security Confidential Архитектура ENS 30 Фреймворк – основа для раширения Endpoint Security Client Security Management McAfee ePO Agent Client UI Cloud Endpoint Connector Kernel Mode Drivers Common Components Firewall Web Control Future ModulesTIEThreat Prevention

31. . Intel Security Confidential Endpoint Migration Assistant 31 Модуль Migration Assistant для упрощения процедуры перехода от старых версий защиты к ENS. В автоматическом режиме может создавать новые политики, задачи, которые будут основаны на текущих настройках. Новые политики и задачи будут применены с учетом групп систем и сортировки. Миграция в полу-автоматическом режиме позволяет перенести только выбранные элементы (отдельные политики, задачи). В процессе переноса элементы могут быть отредактированы под требования заказчика. Автоматическая Полу-автоматическая Select what items you want to migrate: • Policies • Client tasks • Catalog (FW only) Select what items you want to migrate: • Policies • Client tasks Preview policy migration results Configure policies or tasks Migrated items are created and assigned automatically Migrated items are created Manually assign migrated items Repeat to migrate additional items

32. . Intel Security Confidential Требования для развертывания 32 Microsoft WorkstationsMacintoshePOMcAfee Agent Windows 10, 8.1, 8.0, 7.0, Vista Windows Embedded 8.1, 8, 7 Microsoft Servers Windows 2012, 2012 R2 Windows 2008, 2008 R2 Windows Small Business Server 2011, 2008 Windows Embedded 2009 Windows Point of Service 2009, 1.1 Mac OS X (server and workstation): El Capitan 10.11x, Yosemite 10.10x Mavericks 10.9x ePO 5.3 or later ePO Cloud 5.5 McAfee Agent 5.02 or later

33. Источники полезной информации  ENS on McAfee Expert Center - каталог инструкций  ePO Cloud + ENS10 Trial - пробная версия  ENS for std. ePO Trial - пробная версия#2  ENS for standalone Trial - пробная версия#3  HW Req. & supported OS - требования  https://radetskiy.wordpress.com/ - мой блог (статьи, заметки, аналитика)

34. . Intel Security Confidential 34 Благодарю за внимание Владислав Радецкий | Technical Lead, CEH radetskiy.wordpress.com [email protected]

Related presentations


Other presentations created by Glok17

McAfee Data Protection 2014
10. 06. 2014
0 views

McAfee Data Protection 2014

McAfee Endpoint Protection 2014
16. 06. 2014
0 views

McAfee Endpoint Protection 2014

McAfee Encryption 2015
03. 03. 2015
0 views

McAfee Encryption 2015