01.10.14
Описание новых технологий защиты, таких как
"песочница" ATD, шина обмена данными TIE.
Построение системы защиты которая умеет обучаться.
Кроме прочего обзор решений McAfee по
+ защите конечных точек
+ шифрованию данных
~ ~ ~
Информация технического характера.
Предназначена в первую очередь для сотрудников ИТ/ИБ департаментов.
Практики застосування рішень McAfee. Історії успіху.
McAfee Иммунная система [ATD + TIE]
1. McAfee Confidential—Internal Use Only
McAfee ATD, TIE, EPS
Иммунная система защиты.
Шифрование данных.
Владислав Радецкий
vr@bakotech.com
01-10-14
2. McAfee Confidential—Internal Use Only
Пару слов о себе
Работаю в Группе компаний БАКОТЕК.
Отвечаю за техническое сопровождение McAfee:
» Data Protection
» Email Security
» Endpoint Security
» Mobile Security
» One Time Password
» Security-as-a-Service
» Security Management
Обратите внимание: на слайдах вы можете обнаружить ссылки на
статьи из моего блога, которые помогут вам лучше разобраться в
принципе работе тех решений, о которых пойдет речь.
Владислав Радецкий
radetskiy.wordpress.com
vr@bakotech.com
3. McAfee Confidential—Internal Use Only
Основные пункты
1. «Песочница» + шина обмена данными новое
2. Иммунная система [ATD + TIE] новое
3. Управление решениями McAfee (консоль еРО)
4. Шифрование (McAfee + BitLocker + FileVault)
5. Антивирусы + MOVE
6. HIPS, AppControl, DevControl, DeepDefender & DeepCommand новое
7. EMM – защита BYOD
8. Источники полезной информации
4. McAfee Confidential—Internal Use Only
1. Шина обмена данными TIE
VSE
Как было раньше
Каждый модуль защиты был сам по себе. Фактор обучения отсутствовал.
Атакующие могли продолжать «прощупывать» систему в поисках слабого звена.
IPS
EG
WG
Обнаружил вирус, ничему не научился
«Отбил атаку», ничему не научился
Обнаружил зараженное вложение…
«Отбил атаку», ничему не научился
5. McAfee Confidential—Internal Use Only
1. Шина обмена данными TIE
VSE
IPS
EG
WG
Теперь есть TIE – шина обмена данными
McAfee Threat Intelligence Exchange
TIE
McAfee GTI
Комплекс средств защиты
получил возможность
самообучаться.
Пример:
VSE обнаружил вирус и
передал информацию на
остальные устройства через
TIE.
Теперь этот семпл блокируется
по всем каналам. Исключаем
слабые места в защите.
6. McAfee Confidential—Internal Use Only
1. Шина обмена данными TIE
McAfee GTI Cloud
VSE
Проверка репутации файла
по слепку контрольной суммы
Как было раньше
Базово, VSE обеспечивает три степени защиты: сигнатурный анализ (в наши дни не релевантен),
проверка контрольной суммы файла по облаку McAfee GTI и политики защиты доступа.
Если сигнатуры (DAT) устарели, связи с GTI нет, а защита доступа не настроена* – получаем риск
заражения системы.
* Многие администраторы манкируют данным функционалом из-за лени / незнания
7. McAfee Confidential—Internal Use Only
1. Шина обмена данными TIE
McAfee GTI Cloud
VSE
(опционально)
Теперь есть TIE – локальное «облако»
McAfee Threat Intelligence Exchange
TIE
Шина обмена данными (TIE) выполняет роль локального «облака», которое накапливает и хранит
информацию об актуальных угрозах в инфраструктуре предприятия. TIE может работать автономно,
либо получать обновления с облака McAfee GTI. Кроме того TIE является шиной, по которой
компоненты защиты могут обмениваться информацией об атаках.
8. McAfee Confidential—Internal Use Only
1. «Песочница» ATD
McAfee Advanced Threat Defense
Программно-аппаратный комплекс
- Динамический анализ кода
- Статический анализ кода (с
возможностью вмешательства
компетентного инженера)
- Гипервизор в котором запускаются от 3
до 5 ВМ, слепки рабочих систем с теми
версиями ОС и ПО, которые
используются в production - среде
- Принимает на анализ файлы от VSE, EG,
WG, IPS и других компонентов защиты
PC1 PC2 SRV1
9. McAfee Confidential—Internal Use Only
2. Иммунная система
Брюс Шнайер
Black Hat 2014
The State of Incident Response Брюс разделил атакующих на четыре группы.
Иммунная система нужна при APT и целевых атаках.
10. McAfee Confidential—Internal Use Only
2. Иммунная система
McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
3rd Party
Feeds
McAfee
TIE Server
Комплекс защиты в исходном состоянии
11. McAfee Confidential—Internal Use Only
2. Иммунная система
McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
3rd Party
Feeds
McAfee
TIE Server
ATD получает подозрительный файл от VSE*
*
Начальный вектор
атаки может быть
другим. В примере
выбран антивирус на
конечной точке.
12. McAfee Confidential—Internal Use Only
2. Иммунная система
McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
3rd Party
Feeds
McAfee
TIE Server
NOYES
ATD определил, что файл инфицирован
13. McAfee Confidential—Internal Use Only
2. Иммунная система
McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
3rd Party
Feeds
McAfee
TIE Server
ATD передал информацию об угрозе на TIE
14. McAfee Confidential—Internal Use Only
2. Иммунная система
McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
3rd Party
Feeds
McAfee
TIE Server
TIE предупредил весь комплекс защиты
15. McAfee Confidential—Internal Use Only
2. Иммунная система
Шина обмена данными является открытым стандартом.
Это означает, что к концу 2014 года большинство решений McAfee получат
возможность интегрироваться с TIE.
С начала 2015 года шину смогут использовать партнеры McAfee.
В дальнейшем другие разработчики ИБ решений смогут использовать TIE для
обмена информацией об угрозах.
Компоненты защиты начинают работать как единый механизм
(по аналогии с иммунной системой человека).
Фактически мы получаем систему защиты, которая обучается.
Атакующие не смогут повторно использовать один и тот же эксплойт – как
только атака будет обнаружена одним из модулей, вся система будет знать
параметры угрозы (имя, hex-заголовок, контрольная сумма, домены/адреса на
которые идет соединение, источник файла и т.д.).
Адаптивная защита перестает быть научной фантастикой.
16. McAfee Confidential—Internal Use Only
3. Управление решениями McAfee
McAfee ePO Endpoint
В портфеле McAfee более 70 программных и программно-аппаратных комплексов для разных задач /
разных сфер ИБ. Все эти решения объединяет то, что они управляются из одной и той же консоли –
McAfee ePO. Это позволяет сократить расходы на обучение и сопровождение.
17. McAfee Confidential—Internal Use Only
3. Управление решениями McAfee
McAfee ePO
McAfee
Agent Endpoint
Работа с конечными точками (сервера, рабочие станции, виртуальные машины) начинается с
установки небольшого агента, который отвечает за синхронизацию политик, задач и событий.
18. McAfee Confidential—Internal Use Only
3. Управление решениями McAfee
McAfee ePO
McAfee
Agent
VSE
Endpoint
После того, как агент установлен, конечная точка становиться управляемой, это значит, что теперь
оператор консоли еРО может давать агенту задачи на установку/обновление модулей защиты.
19. McAfee Confidential—Internal Use Only
3. Управление решениями McAfee
McAfee ePO
McAfee
Agent
VSE
DLP
Encryption
HIPS
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в
зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.
Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
20. McAfee Confidential—Internal Use Only
4. Шифрование
McAfee ePO
McAfee
Drive Encryption
+ File and Media
Защиту данных для ОС Windows обеспечивают два решения, которые обычно применяются
«внахлёст»: полнодисковое шифрование (McAfee Drive Encryption) и выборочное шифрование
файлов, каталогов и внешних носителей (McAfee File and Removable Media protection)
21. McAfee Confidential—Internal Use Only
4. Шифрование
McAfee ePO
Apple FileVault
McAfee
Drive Encryption
+ File and Media
Для защиты Mac OS применяется отдельное решение – McAfee Management of Native Encryption
(MNE), которое позволяет контролировать встроенные средства шифрования Apple File Vault.
22. McAfee Confidential—Internal Use Only
4. Шифрование
McAfee ePO
MS BitLocker
Apple FileVault
McAfee
Drive Encryption
+ File and Media
McAfee Management of Native Encryption
также может использоваться
администраторами еРО для управления
систем, защищенных MS BitLocker
23. McAfee Confidential—Internal Use Only
4. Шифрование
McAfee ePO
MS BitLocker
Apple FileVault
McAfee
Drive Encryption
+ File and Media
миграция
McAfee Management of Native Encryption
позволяет оператору еРО упростить
процедуру миграции с BitLocker на Drive
Encryption. Фактически из еРО можно
управлять тремя системами шифрования.
24. McAfee Confidential—Internal Use Only
4. Шифрование
Защита от НСД в случае кражи/утери ноутбука, изъятия серверов.
Аутентификация: пароль, токен+PIN, токен+сертификат, отпечаток.
Защита от перебора паролей.
Локальная БД для учетных записей + сопоставление с AD.
Работает на серверных и клиентских редакциях Windows.
Выборочное шифрование файлов/каталогов/съемных носителей.
Гибкие политики назначения ключей.
Решение проблем с «субординацией».
Пользователи могут не знать о том, что файлы зашифрованы.
Может создавать криптоконтейнеры на USB носителях.
Работает на клиентских редакциях Windows.
* Подробнее о шифровании в моем блоге: статья1, статья2
Drive Encryption
File and Media
25. McAfee Confidential—Internal Use Only
4. Шифрование _ McAfee Drive Encryption 7.1.1
• Шифрование HDD используя AES256-CBC
• Аутентификация по паролю, USB токену, смарт-карте или
отпечатку пальца
• Предназначен для клиентских и серверных ОС Windows
(от XP и до 8.1; от 2003 до 2008 R2)
• Возможно 5 сценариев восстановления доступа
• Поддерживает SSO, TPM, Intel AMT (vPro), UEFI, GPT,
Secure Boot, Hybrid Boot, устойчив к “Cold boot” атакам
• Использует инструкции Intel AES-NI для ускорения
криптографических операций
• Развертывается и управляется через консоль еРО
* Подробнее – см. статью в моем блоге
.DOC .XLS .APPS
2
3
1
4
Files / App
OS
Encryption
Driver
HDD (SSD)
Loremipsumdolorsitamet#$$%%#%%&&
Loremipsumdolorsitamet#$$%%#%%&&
26. McAfee Confidential—Internal Use Only
4. Шифрование _ McAfee File and Removable Media P.
• Выборочное шифрование отдельных файлов/каталогов по алгоритму AES256;
• Создание криптоконтейнеров на внешних носителях с возможностью привязки к
конкретному рабочему месту либо же с возможностью доступа с других ПК;
• Гибкое делегирование ключей шифрования:
– На систему;
– На пользователя.
• Возможность принудительно переводить
USB накопители в “read only” режим без
установки DLP Endpoint
• Интеграция с DevCon/DLP Endpoint
27. McAfee Confidential—Internal Use Only
4. Шифрование _ делегирование доступа к документам
McAfee ePO
Выборочное шифрование файлов и каталогов может применяться не только для защиты
содержимого файлов но также поможет решить задачу разграничения прав доступа внутри
организации, особенно если речь идет о запретах для сотрудников с повышенными привилегиями.
28. McAfee Confidential—Internal Use Only
4. Шифрование _ делегирование доступа к документам
McAfee ePO
Сотрудник1 Сотрудник2
Для примера выбраны два сотрудника
из одного отдела, которым нужно
обмениваться важными документами.
29. McAfee Confidential—Internal Use Only
4. Шифрование _ делегирование доступа к документам
McAfee ePO
Сотрудник1 Сотрудник2
На консоли еРО создается ключ
шифрования и правилами назначается
только тем сотрудникам, у которых
есть допуск. Правила назначения
позволяют гибко управлять «раздачей
ключей». У администратора может
быть доступ к файлам на ПК директора
но без ключа он их не сможет получить
доступ к содержимому.
30. McAfee Confidential—Internal Use Only
4. Шифрование _ делегирование доступа к документам
McAfee ePO
Сотрудник1 Сотрудник2
Документы зашифрованны
31. McAfee Confidential—Internal Use Only
5. Антивирусы _ много и разные
Основное решение для Windows. От 2k SP4 до 2012. Управляется из еРО.VSE (Win)
VSE (Lin)
VSE (Mac)
VSE for Storage
VSE for Android
VSE (cmd)
MOVE
Используется для защиты deb и rpm дистрибутивов, Novell. Управляется из еРО.
Поддерживает MacOS X Server и Mac OS от 10.7 и выше. Управляется из еРО.
Сканирование NAS типа NetApp и подобных. Управляется из еРО.
Поддерживает Android 2.1 – 4.х. Управляется из консоли ЕММ (еРО).
Для AIX, FreeBSD, HP-UIX, Sun, Linux, Windows. Standalone.
Для Windows гостевых систем. Защита ВМ. Hyper-V/VMware/Xen и т.д.
32. McAfee Confidential—Internal Use Only
5. MOVE _ Агентный (Multi-Platform)
Виртуальная инфраструктура
MOVE
Security
Appliance
OS
ВМ
ОС
ВМ
ОС
VSE VSE
Возможности
• Сканирование по сети
• Кроссплатформенность
• Поддержка отказоустойчивости и
балансировка нагрузки на SVA
MOVE MOVE
McAfee ePO
“Облако”
GTI
ЦОД
MOVE AV
VSE
virtual switch
33. McAfee Confidential—Internal Use Only
5. MOVE _ Безагентный
McAfee ePO
ЦОД
MOVE
Security
Appliance
ВМ ВМ
MOVE MOVE
OSОС ОС
VMware vShield Endpoint
VMware ESX
VMtools VMtools MOVE AV
VSE
“Облако”
GTI
Возможности
• Сканирование по VMware VMCI
• Поддержка кластеров
• Защита ВМ при vMotion
34. McAfee Confidential—Internal Use Only
5. MOVE _ Варианты развертывания
Опции Агентный 3.5 Безагентный 3.5
Сканирование по доступу ✔ ✔
Сканирование по запросу ✔ ✔
Проверка репутации GTI ✔ ✔
Возможность карантина ✔ ✔
Область применения политик отдельно на ВМ
отдельно на ВМ,
группу или пул ресурсов
Исключения (путь/файл) ✔ ✔
Уведомления пользователя ✔ ожидается от VMware
Гипервизор любой только VMware
Сервер сканирования Windows 2008 R2 VM готовый образ Linux OVF
Масштабируемость 450 ВМ на 1 сервер 1 сервер на хост ESX
Передача файлов сеть VMware vShield: VMCI
Дополнительные затраты никаких лицензия vShield
Дополнительные возможности Балансировка нагрузки, RAM диск Поддержка NSX Manager
35. McAfee Confidential—Internal Use Only
6. McAfee HIPS
Комплексная защита конечных
точек
• Анализ поведения процессов как
способ защиты от атак zero day
• Защита систем с отсроченными
обновлениями ОС и ПО
• Контроль приложений
• Использует Windows Filtering
Platform
• Поддерживает Windows 8.1 и
Server 2012
Брандмауэр + система предотвращения вторжений.
Основные функции:
- Контроль трафика при загрузке ОС
- Черный список доменов
- Защита от спуфинга
- Контроль VMware гипервизоров
- Проверка репутации IP по облаку GTI
- Конструктор правил
- Три режима работы:
- Постоянный
- Адаптивный
- Обучаемый
36. McAfee Confidential—Internal Use Only
6. McAfee Application Control
Комплексная защита конечных
точек
• Блокирование скрытых угроз
(атаки без вирусного кода,
использование «дыр» в
механизмах ОС)
• Использование «белых списков»
для разрешения работы только
санкционированных приложений
• Хорошая возможность
обеспечить защиту
неподдерживаемых устаревших
систем, таких как Microsoft
Windows NT, 2000 и с апреля
2014 уже и ХР
– Разрешен запуск только определенного перечня ПО
– Защита от zeroday атак без обновления сигнатурных баз
– Работает на основе «белых списков» приложений
– Возможно автоматически разрешать новое ПО, добавленное с помощью
разрешенного процесса
– Может быть развернут как в
standalone режиме, так и управляем с еРО
McAfee Application Control позволяет обеспечивать защиту систем, на
которых в силу различных причин не возможна своевременная установка
обновлений ОС и ПО.
37. McAfee Confidential—Internal Use Only
6. McAfee Device Control / DLP Endpoint 9.3.300.31
Контроль устройств. Мониторинг, блокирование, r/o USB носителей.
Интегрируется с выборочным шифрованием файлов и каталогов.
С поддержкой «отпечатков», но без меток.
Входит в пакет Content Security Suite
(MWG + MEG + NDLP Prevent + DC = DLP для «начинающих»)
Device Control + контроль действий пользователей (Email, Web, Print..).
Полный спектр механизмов классификации.
Discover файловой системы рабочей станции.
Интегрируется с выборочным шифрованием файлов и каталогов.
Полный функционал на рабочих станциях и серверах*
* Включая сервера терминалов
** оба решения поддерживают Windows и Mac OS
Сравнение возможностей – см. статью в моем блоге
Device Control
DLP Endpoint
38. McAfee Confidential—Internal Use Only
6. McAfee Device Control / DLP Endpoint 9.3.300.31
• «Белые»/«Черные» списки устройств
• Блокирование неявных каналов утечки
• «Понимает» разные классы устройств
39. McAfee Confidential—Internal Use Only
6. McAfee Deep Defender
Комплексная защита конечных
точек – Более глубокий уровень защиты
– Мониторинг памяти в режиме
реального времени на уровне ядра
– Активируется до загрузки ОС
– Защита MBR и BIOS
– Управляется с помощью ePO
– Использование механизмов rootkits
для борьбы против них самих
• Работает за пределами ОС
• Предотвращает установку руткитов
Совместная разработка McAfee и
Intel
• Может работать совместно с
другими защитными модулями
• Поддерживает процессоры Intel
Core i3, i5, i7 или Core i5 или i7 vPro
Представляет собой гипервизор, внутри которого запускается ОС.
Работает на системах с Intel VT.
Обеспечивает анализ кода на стадии выполнения.
Не подвержен атакам, т.к. запускается не из под ОС.
40. McAfee Confidential—Internal Use Only
6. McAfee Deep Defender
– Использует технологии Intel® vPro™ Active Management
Technology (AMT)
– Обнаруживает ПК на базе процессоров Intel vPro
в инфраструктуре организаций
– Позволяет активировать Intel AMT с консоли ePO;
– Обеспечивает соответствие отключенных от сети,
удаленных и мобильных конечных точек политикам и
конфигурациям
– Обеспечивает безопасное расширение возможностей
дистанционной установки исправлений благодаря
функции KVM с использованием IP-протокола (IP-KVM)
Комплексная защита конечных
точек
• Дистанционная установка
исправлений
• Пробуждение ПК и установка
исправлений
• Доступ к ПК на уровне
аппаратного обеспечения
• Удаленное управление
шифрованием
• Поддержка процессоров Intel
Core i5 vPro или Core i7 vPro
Удаленное включение и доступ к любому компьютеру за пределами
локальной сети, не зависимо от состояния ОС.
Отложенное выполнение сервисных операций.
41. McAfee Confidential—Internal Use Only
7. McAfee EMM12
• Консоль управления (MDM)
• Защита и контроль BYOD
• iOS, Android, WinPhone
Enterprise
Mobility
Management
(EMM)
• Защищенный почтовый клиент
• Шифрование почты, календарей и
контактов (AES 256)
• Запрет передачи вложений
Secure
Container for
Android
• Антивирусная защита
• Оптимизирован для моб. устройств
• Управляется из консоли ЕММ
VirusScan
Mobile for
Android
Кроме консоли, к которой подключаются устройства:
EMM в состав двух комплектов:
McAfee Complete Endpoint Protection Enterprise [CEB] и Business [CEE]
43. McAfee Confidential—Internal Use Only
8. Источники полезной информации
• Мой личный блог - статьи на русском по настройке решений
https://radetskiy.wordpress.com/
• База знаний по продуктам McAfee - очень, очень много подсказок
http://kc.mcafee.com
• Официальный сайт McAfee - описание продуктов, пробные версии
http://www.mcafee.com/ru/
• Раздел McAfee на сайте БАКОТЕК - новости, мероприятия, пресс-релизы
http://bakotech.ua/vendor/mcafee/
44. McAfee Confidential—Internal Use Only
Владислав Радецкий
radetskiy.wordpress.com
vr@bakotech.com
На этом заканчивается основная часть презентации.
Но, это не последний слайд.
Рекомендую ознакомиться со схемами, которые не вошли в основную часть (листать дальше).
Данная презентация по большей части состоит из материалов, которые публиковались в моем блоге.
Если у Вас остались вопросы – я буду рад на них ответить.
46. McAfee Confidential—Internal Use Only
McAfee Email Gateway _ шифрование писем
• Шифруется весь трафик между серверами
• Используется TLS, PGP, S/MIME
• Поддерживается импорт ключей/сертификатов
• Идеальное решение для защищенной коммуникации с бизнес-партнерами
Server to server
• Выборочное шифрование для отдельных адресатов
• Используется безопасный Web-портал
• Переписка и ключи хранятся на Email Gateway, а не на рабочих станциях
• Идеальное решение для безопасного общения с клиентами
Secure Web Mail – Pull (link)
• Адресат получает зашифрованное вложение
• Нет ограничения на хранение давней переписки
• Письма хранятся локально на рабочих станциях, а ключи – на Email Gateway
Secure Web Mail – Push (attachment)
47. McAfee Confidential—Internal Use Only
Модули
Endpoint Protection
Advanced Suite
Complete Endpoint
Protection Business
(only 1k< users)
Complete Endpoint
Protection Enterprise
Suite
VSE for Windows + + +
VSE for Linux + + +
VSE for command line + + +
EPS for Mac + + +
HIPS for Windows (Desktop) + + +
Site Advisor + + +
Device Control + + +
Application Control +
Deep Defender + +
EMM (MDM) + +
Encryption disk & files & native +
SPAM/AV for Exchange & Lotus + + +
Состав пакетов EPS
48. McAfee Confidential—Internal Use Only
MOVE AV _ Механизм работы безагентного варианта
ESX
vSphere Platform
VM
APP
OS
Kernel
BIOS
VM
APP
OS
Kernel
BIOS
OS
vShield
Endpoint
Library
MOVE AV SVA
vShield Endpoint ESX Module
vCenter
VMTools Driver
vShield Manager
EPsec
Interface
VI Admin
Security
Admin
APPsAPPsAPPs
REST
EPSec hooks
McAfee Components
EPSec APIsEPSec Components
VMWare interfacesvShield Components
New for EPSec 2.0
VMCI
REST
McAfee ePO
AV
Scanner
DA
T
Engine
Shared
Cache
GTI File
Reputation
VMs
Clean cache
49. McAfee Confidential—Internal Use Only
Как работает агентный MOVE
October 3, 201449
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
ВМ пытается получить доступ к файлу…
50. McAfee Confidential—Internal Use Only
Как работает агентный MOVE
October 3, 201450
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Агент MOVE создает “отпечаток” файла и
пытается найти его в локальном кэше
19870110AE
1D2675DB
51. McAfee Confidential—Internal Use Only
Как работает агентный MOVE
October 3, 201451
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если “отпечаток” отсутствует в локальном кэше,
агент отправляет его по сети на SVA
19870110AE
1D2675DB
19870110AE
1D2675DB
52. McAfee Confidential—Internal Use Only
Как работает агентный MOVE
October 3, 201452
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если SVA не обнаружил “отпечаток” у себя
в глобальном кэше, агент передает файл целиком на SVA
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл
53. McAfee Confidential—Internal Use Only
Как работает агентный MOVE
October 3, 201453
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
SVA проверяет файл используя оба метода:
сигнатурный анализ + репутация по «облаку» GTI
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл
54. McAfee Confidential—Internal Use Only
Как работает агентный MOVE
October 3, 201454
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если файл инфицирован, файл будет удален / помещен в
карантин / заблокирован (зависит от политик)
Файл
55. McAfee Confidential—Internal Use Only
Как работает агентный MOVE
October 3, 201455
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Если файл «чистый», «отпечаток» добавляется в локальный
и глобальный кэш, доступ к файлу разрешается
Файл
19870110AE
1D2675DB
19870110AE
1D2675DB
1987..
.
1987..
.
56. McAfee Confidential—Internal Use Only
Как работает агентный MOVE
October 3, 201456
Виртуальная инфраструктура
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
При последующем доступе к тому же файлу, «отпечаток»
сравнивается с содержимым локального кэша.
Повторное сканирование не выполняется.
1987..
.
1987..
.
19870110AE
1D2675DB
57. McAfee Confidential—Internal Use Only
Как работает агентный MOVE
October 3, 201457
Виртуальная инфраструктура
Endpoint Endpoint
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
Когда другая ВМ попытается открыть этот же файл, будет
использован глобальный кэш. Повторной проверки не будет.
1987..
.
1987..
.
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл
58. McAfee Confidential—Internal Use Only
В чем отличие безагентного MOVE
October 3, 201458
VMware ESX Hypervisor
Endpoint Endpoint SVA
McAfee AgentVMware VMtools
Local
Cache VMware VMtools
Global
Cache
Local
Cache
Виртуальные машины и сканирующий сервер (SVA)
запущенны на одном гипервизоре (ESX).
Решение использует драйвер vShield Endpoint
вместо агента MOVE.
59. McAfee Confidential—Internal Use Only
MOVE Scheduler – для полноценного VSE
October 3, 201459
Возможности
• Управление ресурсами
гипервизора для предотвращения
перегрузки
• Интеграция с vCenter и
XenManager
Hypervisor (vSphere, Xen)
Hypervisor Manager
MA
OS
VSE
MA
OS
VSE
MA
OS
VSE
McAfee ePO
ЦОД
60. McAfee Confidential—Internal Use Only
Защита конечных точек _ DLP Endpoint 9.3.300.31
• Контроль доступа приложений к документам
• Контроль буфера обмена
• Контроль электронной почты (Outlook + Lotus)
• Контроль сетевых соединений + метки
• Блокирование PDF и XPS принтеров
• Контроль печати (локально + по сети)
• Контроль съемных носителей
• Блокирование снимков экрана + «ножницы»
• Контроль публикаций Web (IE + FF)
• Контроль различных устройств, включая:
– Контейнеры TrueCrypt
– Устройства тонких клиентов Citrix;
– Не системные жесткие диски…
61. McAfee Confidential—Internal Use Only
McAfee Device Control / DLP Endpoint 9.3.300.31
• Блокирование
• Шифрование
• Мониторинг
• Обоснование запроса
• Теневая копия (подтверждение)
• Уведомление пользователя
* Действия одной и той же
политики могут отличатся
в зависимости от состояния
системы (Online/Offline)
** Подробнее о DLP Endpoint в моем блоге: статья
62. McAfee Confidential—Internal Use Only
McAfee Deep Defender
• Зачем он нужен?
Обычные зловреды
сосредоточены на уровне
приложений
I/O Memory Disk Network Display
ВМ
ОС
Приложения
CPU
AV HIPS
BIOS
Атаки направлены на отключение
защитного обеспечения
Инфицированные компьютеры
являються рассадниками зловредов
Руткиты/буткиты и APT стремятся
закрепиться надолго и не подавать
признаков жизни
DeepSAFE работает вне ОС,
а значит не подвержен атакам
Поведенческий анализ содержимого
памяти
Защита от инфицирования MBR и BIOS
Анализ кода на этапе выполнения
Буткиты пытаються модифицировать
MBR
63. McAfee Confidential—Internal Use Only
McAfee Deep Defender
“Обновление ОС и ПО в нерабочее время.”
IT Help Desk
• Глобальная конфигурация
• Возможность планировать
• Требует AMT 5.1 или выше
• Система должна быть
подключена к 220
Автоматизация рутинных операций
Hard DriveIntel®
Core™
i5 vPro™
Processor
Intel®
Chipset
Intel® Network
Adapter
Set specific wake-up
time across Intel AMT
systems
Business PC
64. McAfee Confidential—Internal Use Only
McAfee Deep Defender
“Алло, техподдержка? У меня “синий экран”.
Можете ко мне подключиться?”
IT Help Desk
Использование AMT позволяет
подключаться к рабочей станции
пользователя не зависимо от
состояния ОС (сбой/выключена)
Intel®
Core™
i5 vPro™
Processor
Intel®
Chipset
Intel® Network
Adapter
Hard Drive
С использованием AMT
Help Desk не тратит времени зря
65. McAfee Confidential—Internal Use Only
Secure Container
McAfee EMM12
•Полноценная синхронизация ящика, контактов и календаря
•Все данные включая кэш шифруется [AES 256]
•Запрет передачи вложения сторонним приложениям
•При переборе пароля автоматически затирается
•При увольнении достаточно затереть только содержимое контейнера
•Встроенный просмотр основных форматов: Word, Excel, PDF
•Управляется из ЕММ, может быть развернут принудительно
66. McAfee Confidential—Internal Use Only
McAfee EMM12
•Антивирус для платформы Android, управляется из консоли еРО
•Принудительная установка, обновление и сканирование
•Дополнительный механизм проверки репутации приложений
•Не злоупотребляет ресурсами и не садит батарею
67. McAfee Confidential—Internal Use Only
McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
McAfee
Global Threat
Intelligence
3rd Party
Feeds
McAfee
TIE Server
Иммунная система
68. McAfee Confidential—Internal Use Only
McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
NOYES
McAfee
Global Threat
Intelligence
3rd Party
Feeds
McAfee
TIE Server
Иммунная система