McAfee Иммунная система [ATD + TIE]

McAfee Confidential—Internal Use Only
McAfee ATD, TIE, EPS
Иммунная система защиты.
Шифрование данных.
Владислав Радецкий
vr@bakotech.com
01-10-14

Пару слов о себе
Работаю в Группе компаний БАКОТЕК.
Отвечаю за техническое сопровождение McAfee:
» Data Protection
» Email Security
» Endpoint Security
» Mobile Security
» One Time Password
» Security-as-a-Service
» Security Management
Обратите внимание: на слайдах вы можете обнаружить ссылки на
статьи из моего блога, которые помогут вам лучше разобраться в
принципе работе тех решений, о которых пойдет речь.
radetskiy.wordpress.com
vr@bakotech.com

Основные пункты
1. «Песочница» + шина обмена данными новое
2. Иммунная система [ATD + TIE] новое
3. Управление решениями McAfee (консоль еРО)
4. Шифрование (McAfee + BitLocker + FileVault)
5. Антивирусы + MOVE
6. HIPS, AppControl, DevControl, DeepDefender & DeepCommand новое
7. EMM – защита BYOD
8. Источники полезной информации

1. Шина обмена данными TIE
VSE
Как было раньше
Каждый модуль защиты был сам по себе. Фактор обучения отсутствовал.
Атакующие могли продолжать «прощупывать» систему в поисках слабого звена.
IPS
EG
WG
Обнаружил вирус, ничему не научился
«Отбил атаку», ничему не научился
Обнаружил зараженное вложение…
«Отбил атаку», ничему не научился

VSE
IPS
EG
WG
Теперь есть TIE – шина обмена данными
McAfee Threat Intelligence Exchange
TIE
McAfee GTI
Комплекс средств защиты
получил возможность
самообучаться.
Пример:
VSE обнаружил вирус и
передал информацию на
остальные устройства через
TIE.
Теперь этот семпл блокируется
по всем каналам. Исключаем
слабые места в защите.

McAfee GTI Cloud
VSE
Проверка репутации файла
по слепку контрольной суммы
Как было раньше
Базово, VSE обеспечивает три степени защиты: сигнатурный анализ (в наши дни не релевантен),
проверка контрольной суммы файла по облаку McAfee GTI и политики защиты доступа.
Если сигнатуры (DAT) устарели, связи с GTI нет, а защита доступа не настроена* – получаем риск
заражения системы.
* Многие администраторы манкируют данным функционалом из-за лени / незнания

McAfee GTI Cloud
VSE
(опционально)
Теперь есть TIE – локальное «облако»
McAfee Threat Intelligence Exchange
TIE
Шина обмена данными (TIE) выполняет роль локального «облака», которое накапливает и хранит
информацию об актуальных угрозах в инфраструктуре предприятия. TIE может работать автономно,
либо получать обновления с облака McAfee GTI. Кроме того TIE является шиной, по которой
компоненты защиты могут обмениваться информацией об атаках.

1. «Песочница» ATD
McAfee Advanced Threat Defense
Программно-аппаратный комплекс
- Динамический анализ кода
- Статический анализ кода (с
возможностью вмешательства
компетентного инженера)
- Гипервизор в котором запускаются от 3
до 5 ВМ, слепки рабочих систем с теми
версиями ОС и ПО, которые
используются в production - среде
- Принимает на анализ файлы от VSE, EG,
WG, IPS и других компонентов защиты
PC1 PC2 SRV1

2. Иммунная система
Брюс Шнайер
Black Hat 2014
The State of Incident Response Брюс разделил атакующих на четыре группы.
Иммунная система нужна при APT и целевых атаках.

McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
3rd Party
Feeds
McAfee
TIE Server
Комплекс защиты в исходном состоянии

McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
3rd Party
Feeds
McAfee
TIE Server
ATD получает подозрительный файл от VSE*
*
Начальный вектор
атаки может быть
другим. В примере
выбран антивирус на
конечной точке.

McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
3rd Party
Feeds
McAfee
TIE Server
NOYES
ATD определил, что файл инфицирован

McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
3rd Party
Feeds
McAfee
TIE Server
ATD передал информацию об угрозе на TIE

McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
3rd Party
Feeds
McAfee
TIE Server
TIE предупредил весь комплекс защиты

Шина обмена данными является открытым стандартом.
Это означает, что к концу 2014 года большинство решений McAfee получат
возможность интегрироваться с TIE.
С начала 2015 года шину смогут использовать партнеры McAfee.
В дальнейшем другие разработчики ИБ решений смогут использовать TIE для
обмена информацией об угрозах.
Компоненты защиты начинают работать как единый механизм
(по аналогии с иммунной системой человека).
Фактически мы получаем систему защиты, которая обучается.
Атакующие не смогут повторно использовать один и тот же эксплойт – как
только атака будет обнаружена одним из модулей, вся система будет знать
параметры угрозы (имя, hex-заголовок, контрольная сумма, домены/адреса на
которые идет соединение, источник файла и т.д.).
Адаптивная защита перестает быть научной фантастикой.

3. Управление решениями McAfee
McAfee ePO Endpoint
В портфеле McAfee более 70 программных и программно-аппаратных комплексов для разных задач /
разных сфер ИБ. Все эти решения объединяет то, что они управляются из одной и той же консоли –
McAfee ePO. Это позволяет сократить расходы на обучение и сопровождение.

McAfee ePO
McAfee
Agent Endpoint
Работа с конечными точками (сервера, рабочие станции, виртуальные машины) начинается с
установки небольшого агента, который отвечает за синхронизацию политик, задач и событий.

McAfee ePO
McAfee
Agent
VSE
Endpoint
После того, как агент установлен, конечная точка становиться управляемой, это значит, что теперь
оператор консоли еРО может давать агенту задачи на установку/обновление модулей защиты.

McAfee ePO
McAfee
Agent
VSE
DLP
Encryption
HIPS
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в
зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.
Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.

4. Шифрование
McAfee ePO
McAfee
Drive Encryption
+ File and Media
Защиту данных для ОС Windows обеспечивают два решения, которые обычно применяются
«внахлёст»: полнодисковое шифрование (McAfee Drive Encryption) и выборочное шифрование
файлов, каталогов и внешних носителей (McAfee File and Removable Media protection)

McAfee ePO
Apple FileVault
McAfee
Drive Encryption
+ File and Media
Для защиты Mac OS применяется отдельное решение – McAfee Management of Native Encryption
(MNE), которое позволяет контролировать встроенные средства шифрования Apple File Vault.

McAfee ePO
MS BitLocker
Apple FileVault
McAfee
Drive Encryption
+ File and Media
McAfee Management of Native Encryption
также может использоваться
администраторами еРО для управления
систем, защищенных MS BitLocker

McAfee ePO
MS BitLocker
Apple FileVault
McAfee
Drive Encryption
+ File and Media
миграция
McAfee Management of Native Encryption
позволяет оператору еРО упростить
процедуру миграции с BitLocker на Drive
Encryption. Фактически из еРО можно
управлять тремя системами шифрования.

Защита от НСД в случае кражи/утери ноутбука, изъятия серверов.
Аутентификация: пароль, токен+PIN, токен+сертификат, отпечаток.
Защита от перебора паролей.
Локальная БД для учетных записей + сопоставление с AD.
Работает на серверных и клиентских редакциях Windows.
Выборочное шифрование файлов/каталогов/съемных носителей.
Гибкие политики назначения ключей.
Решение проблем с «субординацией».
Пользователи могут не знать о том, что файлы зашифрованы.
Может создавать криптоконтейнеры на USB носителях.
Работает на клиентских редакциях Windows.
* Подробнее о шифровании в моем блоге: статья1, статья2
Drive Encryption
File and Media

4. Шифрование _ McAfee Drive Encryption 7.1.1
• Шифрование HDD используя AES256-CBC
• Аутентификация по паролю, USB токену, смарт-карте или
отпечатку пальца
• Предназначен для клиентских и серверных ОС Windows
(от XP и до 8.1; от 2003 до 2008 R2)
• Возможно 5 сценариев восстановления доступа
• Поддерживает SSO, TPM, Intel AMT (vPro), UEFI, GPT,
Secure Boot, Hybrid Boot, устойчив к “Cold boot” атакам
• Использует инструкции Intel AES-NI для ускорения
криптографических операций
• Развертывается и управляется через консоль еРО
* Подробнее – см. статью в моем блоге
.DOC .XLS .APPS
2
3
1
4
Files / App
OS
Encryption
Driver
HDD (SSD)
Loremipsumdolorsitamet#$$%%#%%&&
Loremipsumdolorsitamet#$$%%#%%&&

4. Шифрование _ McAfee File and Removable Media P.
• Выборочное шифрование отдельных файлов/каталогов по алгоритму AES256;
• Создание криптоконтейнеров на внешних носителях с возможностью привязки к
конкретному рабочему месту либо же с возможностью доступа с других ПК;
• Гибкое делегирование ключей шифрования:
– На систему;
– На пользователя.
• Возможность принудительно переводить
USB накопители в “read only” режим без
установки DLP Endpoint
• Интеграция с DevCon/DLP Endpoint

4. Шифрование _ делегирование доступа к документам
McAfee ePO
Выборочное шифрование файлов и каталогов может применяться не только для защиты
содержимого файлов но также поможет решить задачу разграничения прав доступа внутри
организации, особенно если речь идет о запретах для сотрудников с повышенными привилегиями.

McAfee ePO
Сотрудник1 Сотрудник2
Для примера выбраны два сотрудника
из одного отдела, которым нужно
обмениваться важными документами.

McAfee ePO
На консоли еРО создается ключ
шифрования и правилами назначается
только тем сотрудникам, у которых
есть допуск. Правила назначения
позволяют гибко управлять «раздачей
ключей». У администратора может
быть доступ к файлам на ПК директора
но без ключа он их не сможет получить
доступ к содержимому.

McAfee ePO
Документы зашифрованны

5. Антивирусы _ много и разные
Основное решение для Windows. От 2k SP4 до 2012. Управляется из еРО.VSE (Win)
VSE (Lin)
VSE (Mac)
VSE for Storage
VSE for Android
VSE (cmd)
MOVE
Используется для защиты deb и rpm дистрибутивов, Novell. Управляется из еРО.
Поддерживает MacOS X Server и Mac OS от 10.7 и выше. Управляется из еРО.
Сканирование NAS типа NetApp и подобных. Управляется из еРО.
Поддерживает Android 2.1 – 4.х. Управляется из консоли ЕММ (еРО).
Для AIX, FreeBSD, HP-UIX, Sun, Linux, Windows. Standalone.
Для Windows гостевых систем. Защита ВМ. Hyper-V/VMware/Xen и т.д.

5. MOVE _ Агентный (Multi-Platform)
Виртуальная инфраструктура
MOVE
Security
Appliance
OS
ВМ
ОС
ВМ
ОС
VSE VSE
Возможности
• Сканирование по сети
• Кроссплатформенность
• Поддержка отказоустойчивости и
балансировка нагрузки на SVA
MOVE MOVE
McAfee ePO
“Облако”
GTI
ЦОД
MOVE AV
VSE
virtual switch

5. MOVE _ Безагентный
McAfee ePO
ЦОД
MOVE
Security
Appliance
ВМ ВМ
MOVE MOVE
OSОС ОС
VMware vShield Endpoint
VMware ESX
VMtools VMtools MOVE AV
VSE
“Облако”
GTI
• Сканирование по VMware VMCI
• Поддержка кластеров
• Защита ВМ при vMotion

5. MOVE _ Варианты развертывания
Опции Агентный 3.5 Безагентный 3.5
Сканирование по доступу ✔ ✔
Сканирование по запросу ✔ ✔
Проверка репутации GTI ✔ ✔
Возможность карантина ✔ ✔
Область применения политик отдельно на ВМ
отдельно на ВМ,
группу или пул ресурсов
Исключения (путь/файл) ✔ ✔
Уведомления пользователя ✔ ожидается от VMware
Гипервизор любой только VMware
Сервер сканирования Windows 2008 R2 VM готовый образ Linux OVF
Масштабируемость 450 ВМ на 1 сервер 1 сервер на хост ESX
Передача файлов сеть VMware vShield: VMCI
Дополнительные затраты никаких лицензия vShield
Дополнительные возможности Балансировка нагрузки, RAM диск Поддержка NSX Manager

6. McAfee HIPS
Комплексная защита конечных
точек
• Анализ поведения процессов как
способ защиты от атак zero day
• Защита систем с отсроченными
обновлениями ОС и ПО
• Контроль приложений
• Использует Windows Filtering
Platform
• Поддерживает Windows 8.1 и
Server 2012
Брандмауэр + система предотвращения вторжений.
Основные функции:
- Контроль трафика при загрузке ОС
- Черный список доменов
- Защита от спуфинга
- Контроль VMware гипервизоров
- Проверка репутации IP по облаку GTI
- Конструктор правил
- Три режима работы:
- Постоянный
- Адаптивный
- Обучаемый

6. McAfee Application Control
точек
• Блокирование скрытых угроз
(атаки без вирусного кода,
использование «дыр» в
механизмах ОС)
• Использование «белых списков»
для разрешения работы только
санкционированных приложений
• Хорошая возможность
обеспечить защиту
неподдерживаемых устаревших
систем, таких как Microsoft
Windows NT, 2000 и с апреля
2014 уже и ХР
– Разрешен запуск только определенного перечня ПО
– Защита от zeroday атак без обновления сигнатурных баз
– Работает на основе «белых списков» приложений
– Возможно автоматически разрешать новое ПО, добавленное с помощью
разрешенного процесса
– Может быть развернут как в
standalone режиме, так и управляем с еРО
McAfee Application Control позволяет обеспечивать защиту систем, на
которых в силу различных причин не возможна своевременная установка
обновлений ОС и ПО.

6. McAfee Device Control / DLP Endpoint 9.3.300.31
Контроль устройств. Мониторинг, блокирование, r/o USB носителей.
Интегрируется с выборочным шифрованием файлов и каталогов.
С поддержкой «отпечатков», но без меток.
Входит в пакет Content Security Suite
(MWG + MEG + NDLP Prevent + DC = DLP для «начинающих»)
Device Control + контроль действий пользователей (Email, Web, Print..).
Полный спектр механизмов классификации.
Discover файловой системы рабочей станции.
Интегрируется с выборочным шифрованием файлов и каталогов.
Полный функционал на рабочих станциях и серверах*
* Включая сервера терминалов
** оба решения поддерживают Windows и Mac OS
Сравнение возможностей – см. статью в моем блоге
Device Control
DLP Endpoint

6. McAfee Device Control / DLP Endpoint 9.3.300.31
• «Белые»/«Черные» списки устройств
• Блокирование неявных каналов утечки
• «Понимает» разные классы устройств

6. McAfee Deep Defender
точек – Более глубокий уровень защиты
– Мониторинг памяти в режиме
реального времени на уровне ядра
– Активируется до загрузки ОС
– Защита MBR и BIOS
– Управляется с помощью ePO
– Использование механизмов rootkits
для борьбы против них самих
• Работает за пределами ОС
• Предотвращает установку руткитов
Совместная разработка McAfee и
Intel
• Может работать совместно с
другими защитными модулями
• Поддерживает процессоры Intel
Core i3, i5, i7 или Core i5 или i7 vPro
Представляет собой гипервизор, внутри которого запускается ОС.
Работает на системах с Intel VT.
Обеспечивает анализ кода на стадии выполнения.
Не подвержен атакам, т.к. запускается не из под ОС.

6. McAfee Deep Defender
– Использует технологии Intel® vPro™ Active Management
Technology (AMT)
– Обнаруживает ПК на базе процессоров Intel vPro
в инфраструктуре организаций
– Позволяет активировать Intel AMT с консоли ePO;
– Обеспечивает соответствие отключенных от сети,
удаленных и мобильных конечных точек политикам и
конфигурациям
– Обеспечивает безопасное расширение возможностей
дистанционной установки исправлений благодаря
функции KVM с использованием IP-протокола (IP-KVM)
точек
• Дистанционная установка
исправлений
• Пробуждение ПК и установка
исправлений
• Доступ к ПК на уровне
аппаратного обеспечения
• Удаленное управление
шифрованием
• Поддержка процессоров Intel
Core i5 vPro или Core i7 vPro
Удаленное включение и доступ к любому компьютеру за пределами
локальной сети, не зависимо от состояния ОС.
Отложенное выполнение сервисных операций.

7. McAfee EMM12
• Консоль управления (MDM)
• Защита и контроль BYOD
• iOS, Android, WinPhone
Enterprise
Mobility
Management
(EMM)
• Защищенный почтовый клиент
• Шифрование почты, календарей и
контактов (AES 256)
• Запрет передачи вложений
Secure
Container for
Android
• Антивирусная защита
• Оптимизирован для моб. устройств
• Управляется из консоли ЕММ
VirusScan
Mobile for
Android
Кроме консоли, к которой подключаются устройства:
EMM в состав двух комплектов:
McAfee Complete Endpoint Protection Enterprise [CEB] и Business [CEE]

McAfee Confidential—Internal Use OnlyOctober 3, 201442
7. McAfee EMM12

8. Источники полезной информации
• Мой личный блог - статьи на русском по настройке решений
https://radetskiy.wordpress.com/
• База знаний по продуктам McAfee - очень, очень много подсказок
http://kc.mcafee.com
• Официальный сайт McAfee - описание продуктов, пробные версии
http://www.mcafee.com/ru/
• Раздел McAfee на сайте БАКОТЕК - новости, мероприятия, пресс-релизы
http://bakotech.ua/vendor/mcafee/

radetskiy.wordpress.com
vr@bakotech.com
На этом заканчивается основная часть презентации.
Но, это не последний слайд.
Рекомендую ознакомиться со схемами, которые не вошли в основную часть (листать дальше).
Данная презентация по большей части состоит из материалов, которые публиковались в моем блоге.
Если у Вас остались вопросы – я буду рад на них ответить.

Шифрование

McAfee Email Gateway _ шифрование писем
• Шифруется весь трафик между серверами
• Используется TLS, PGP, S/MIME
• Поддерживается импорт ключей/сертификатов
• Идеальное решение для защищенной коммуникации с бизнес-партнерами
Server to server
• Выборочное шифрование для отдельных адресатов
• Используется безопасный Web-портал
• Переписка и ключи хранятся на Email Gateway, а не на рабочих станциях
• Идеальное решение для безопасного общения с клиентами
Secure Web Mail – Pull (link)
• Адресат получает зашифрованное вложение
• Нет ограничения на хранение давней переписки
• Письма хранятся локально на рабочих станциях, а ключи – на Email Gateway
Secure Web Mail – Push (attachment)

Модули
Endpoint Protection
Advanced Suite
Complete Endpoint
Protection Business
(only 1k< users)
Complete Endpoint
Protection Enterprise
Suite
VSE for Windows + + +
VSE for Linux + + +
VSE for command line + + +
EPS for Mac + + +
HIPS for Windows (Desktop) + + +
Site Advisor + + +
Device Control + + +
Application Control +
Deep Defender + +
EMM (MDM) + +
Encryption disk & files & native +
SPAM/AV for Exchange & Lotus + + +
Состав пакетов EPS

MOVE AV _ Механизм работы безагентного варианта
ESX
vSphere Platform
VM
APP
OS
Kernel
BIOS
VM
APP
OS
Kernel
BIOS
OS
vShield
Endpoint
Library
MOVE AV SVA
vShield Endpoint ESX Module
vCenter
VMTools Driver
vShield Manager
EPsec
Interface
VI Admin
Security
Admin
APPsAPPsAPPs
REST
EPSec hooks
McAfee Components
EPSec APIsEPSec Components
VMWare interfacesvShield Components
New for EPSec 2.0
VMCI
REST
McAfee ePO
AV
Scanner
DA
T
Engine
Shared
Cache
GTI File
Reputation
VMs
Clean cache

Как работает агентный MOVE
October 3, 201449
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
CacheMcAfee AgentMcAfee Agent
ВМ пытается получить доступ к файлу…

October 3, 201450
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
Агент MOVE создает “отпечаток” файла и
пытается найти его в локальном кэше
19870110AE
1D2675DB

October 3, 201451
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
Если “отпечаток” отсутствует в локальном кэше,
агент отправляет его по сети на SVA
19870110AE
1D2675DB
19870110AE
1D2675DB

October 3, 201452
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
Если SVA не обнаружил “отпечаток” у себя
в глобальном кэше, агент передает файл целиком на SVA
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл

October 3, 201453
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
SVA проверяет файл используя оба метода:
сигнатурный анализ + репутация по «облаку» GTI
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл

October 3, 201454
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
Если файл инфицирован, файл будет удален / помещен в
карантин / заблокирован (зависит от политик)
Файл

October 3, 201455
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
Если файл «чистый», «отпечаток» добавляется в локальный
и глобальный кэш, доступ к файлу разрешается
Файл
19870110AE
1D2675DB
19870110AE
1D2675DB
1987..
.
1987..
.

October 3, 201456
Endpoint Endpoint
Файл
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
При последующем доступе к тому же файлу, «отпечаток»
сравнивается с содержимым локального кэша.
Повторное сканирование не выполняется.
1987..
.
1987..
.
19870110AE
1D2675DB

October 3, 201457
Endpoint Endpoint
Local
Cache
Local
Cache
Scan Server
McAfee Agent
Global
Когда другая ВМ попытается открыть этот же файл, будет
использован глобальный кэш. Повторной проверки не будет.
1987..
.
1987..
.
19870110AE
1D2675DB
19870110AE
1D2675DB
Файл

В чем отличие безагентного MOVE
October 3, 201458
VMware ESX Hypervisor
Endpoint Endpoint SVA
McAfee AgentVMware VMtools
Local
Cache VMware VMtools
Global
Cache
Local
Cache
Виртуальные машины и сканирующий сервер (SVA)
запущенны на одном гипервизоре (ESX).
Решение использует драйвер vShield Endpoint
вместо агента MOVE.

MOVE Scheduler – для полноценного VSE
October 3, 201459
• Управление ресурсами
гипервизора для предотвращения
перегрузки
• Интеграция с vCenter и
XenManager
Hypervisor (vSphere, Xen)
Hypervisor Manager
MA
OS
VSE
MA
OS
VSE
MA
OS
VSE
McAfee ePO
ЦОД

Защита конечных точек _ DLP Endpoint 9.3.300.31
• Контроль доступа приложений к документам
• Контроль буфера обмена
• Контроль электронной почты (Outlook + Lotus)
• Контроль сетевых соединений + метки
• Блокирование PDF и XPS принтеров
• Контроль печати (локально + по сети)
• Контроль съемных носителей
• Блокирование снимков экрана + «ножницы»
• Контроль публикаций Web (IE + FF)
• Контроль различных устройств, включая:
– Контейнеры TrueCrypt
– Устройства тонких клиентов Citrix;
– Не системные жесткие диски…

McAfee Device Control / DLP Endpoint 9.3.300.31
• Блокирование
• Шифрование
• Мониторинг
• Обоснование запроса
• Теневая копия (подтверждение)
• Уведомление пользователя
* Действия одной и той же
политики могут отличатся
в зависимости от состояния
системы (Online/Offline)
** Подробнее о DLP Endpoint в моем блоге: статья

McAfee Deep Defender
• Зачем он нужен?
Обычные зловреды
сосредоточены на уровне
приложений
I/O Memory Disk Network Display
ВМ
ОС
Приложения
CPU
AV HIPS
BIOS
Атаки направлены на отключение
защитного обеспечения
Инфицированные компьютеры
являються рассадниками зловредов
Руткиты/буткиты и APT стремятся
закрепиться надолго и не подавать
признаков жизни
DeepSAFE работает вне ОС,
а значит не подвержен атакам
Поведенческий анализ содержимого
памяти
Защита от инфицирования MBR и BIOS
Анализ кода на этапе выполнения
Буткиты пытаються модифицировать
MBR

“Обновление ОС и ПО в нерабочее время.”
IT Help Desk
• Глобальная конфигурация
• Возможность планировать
• Требует AMT 5.1 или выше
• Система должна быть
подключена к 220
Автоматизация рутинных операций
Hard DriveIntel®
Core™
i5 vPro™
Processor
Intel®
Chipset
Intel® Network
Adapter
Set specific wake-up
time across Intel AMT
systems
Business PC

“Алло, техподдержка? У меня “синий экран”.
Можете ко мне подключиться?”
IT Help Desk
Использование AMT позволяет
подключаться к рабочей станции
пользователя не зависимо от
состояния ОС (сбой/выключена)
Intel®
Core™
i5 vPro™
Processor
Intel®
Chipset
Intel® Network
Adapter
Hard Drive
С использованием AMT
Help Desk не тратит времени зря

Secure Container
McAfee EMM12
•Полноценная синхронизация ящика, контактов и календаря
•Все данные включая кэш шифруется [AES 256]
•Запрет передачи вложения сторонним приложениям
•При переборе пароля автоматически затирается
•При увольнении достаточно затереть только содержимое контейнера
•Встроенный просмотр основных форматов: Word, Excel, PDF
•Управляется из ЕММ, может быть развернут принудительно

McAfee EMM12
•Антивирус для платформы Android, управляется из консоли еРО
•Принудительная установка, обновление и сканирование
•Дополнительный механизм проверки репутации приложений
•Не злоупотребляет ресурсами и не садит батарею

McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
McAfee
Global Threat
Intelligence
3rd Party
Feeds
McAfee
TIE Server
Иммунная система

McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
NOYES
McAfee
Global Threat
Intelligence
3rd Party
Feeds
McAfee
TIE Server
Иммунная система

Управление решениями McAfee
ePO
Directory * ePO = McAfee ePolicy Orchestrator

McAfee Иммунная система [ATD + TIE]

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à McAfee Иммунная система [ATD + TIE]

Similaire à McAfee Иммунная система [ATD + TIE] (20)

Plus de Vladyslav Radetsky

Plus de Vladyslav Radetsky (20)

McAfee Иммунная система [ATD + TIE]