Новые продукты McAfee/Intel

McAfee® Enterprise Mobility
Management (McAfee EMM™)

McAfee Confidential—Internal Use Only

Эволюция пользователей


Тенденции

• Консьюмеризация IT
– Устройства, принадлежащие
сотрудникам, в корпоративной сети
• Разнообразие устройств
– iOS, Android, Windows, и т.д.
• Взрывной рост количества
приложений
– Дополнительные риски
• Угрозы для мобильных устройств
– Основная часть для Android


Утерянные устройства

No protection 57%

Anti-theft device 31%

Encryption 19%

Password or keypad lock 17%

Client firewall 11%

Anti-virus/anti-malware 5%

Other 4%

0% 10% 20% 30% 40% 50% 60%


Новые вызовы

Более половины
60,000 новых вирусов пользователей не
в день HR делают lock на своих
устройствах

IT Sales
IT
80% IT-
пользователей
Мобильные Finance обеспокоено
устройства – новая вероятностью
цель для утечки данных
злоумышленников

McAfee Confidential—Internal Use2012
May 21, Only

Требования к безопасности


Безопасность для мобильных устройств

Защита устройств
Devices
• Device Management (MDM)
• Anti-Malware
• Web Protection

Защита данных
Data
• Data Protection (Locate, Lock, Wipe, Delete)
• Jailbroken and Rooted Device Exclusion
• Encryption

Защита приложений
Apps
• Enterprise App Store
• McAfee SECURE™ for App Stores
• McAfee App Alert™


Защита сегодня и завтра

Сегодня Завтра

REAL TIME
QUERIES
• Embedded URL site reputation
• Developer reputation
• App reputation
• Vulnerabilities/malware
• Behavior/history (monitoring)
• Enterprise App Store
• App Management • Policy-based blacklist
(blacklisting) • Reputation-based blacklist
• McAfee Secure for App Store


Обзор решения


You already
built one
security
infrastructure.
Why build
another?

Добавьте мобильные устройства

McAfee Enterprise Mobility Management
• Безопасность
– Управление нативными
свойствами iPad Enterprise Environment

– Обеспечение соответствия Messaging
Android
– Расширяет
инфраструктуру Applications

безопасности через ePO iPhone

– Интеграция в сеть Directory
• Простота Win 7 McAfee
– Удобное управление и & WinMo EMM Certificate
отчетность через ePO Services

– Централизованная BlackBerry
консоль Files

– Персонализация устройств webOS
Database
• Масштабируемость
– От десяткой до тысяч Symbian
устройств VPN
– Отказоустойчивость McAfee Confidential—Internal Use Only

Самостоятельная установка для iOS
1 2 3 4

GO TO THE ENTER YOUR EMAIL AGREE TO CORPORATE IT SERVICES ARE AUTO-
APP STORE CREDENTIALS POLICY PROVISIONED

Optional Two-Factor
Authentication Просто, Безопасно, Автоматически

Самостоятельная установка для Android

1 2 3 4

GO TO THE ENTER YOUR EMAIL AGREE TO CORPORATE IT SERVICES ARE AUTO-
MARKETPLACE CREDENTIALS POLICY PROVISIONED

Просто, Безопасно, Автоматически

McAfee VirusScan Mobile

Оптимизировано для Android

Сканирование в реальном времени

Проверка аттачей

Карантин и лечение

Обновления 24x7


Enterprise Application Store
• Безопасный доступ к
рекомендованным
приложениям на основе
групп, пользователей или
типов устройств.
– Собственные
разработки
– Приложения
сторонних
производителей
(Apple App Store /
Android Marketplace)
– Веб-ссылки
• Аудит и инвентаризация


Вопросы/
Ответы


McAfee Deep Defender


Intel and McAfee

Безопасность

vPro Network Security
Active Management Technology Cloud Security
Advanced Encryption Standard Security Management
Virtualization Endpoint Security
One Time Password Technology Ecosystem
Secure BIOS


Темы

Изменения индустрии

McAfee DeepSAFE


Технические детали


Проблемы индустрии

• Сегодняшние решения
обеспечивают защиту
внутри ОС

• Злоумышленники обходят
такую защиту с помощью
специальных стелс-техник

• Сегодняшние решения
являются неэффективными
для борьбы с такими
видами атак


Рост количества Стелс-вирусов
2500000
Образцы руткитов • Распространение техники Стелс
• Разработаны для обхода
традиционных средств защиты
2000000 • Злоумышленники используют Стелс-
вирусы для скрытия хищения данных
– 110,000 новых образцов каждый
квартал
1500000
– 1,200 новых образцов в день
• Все больше вирусов используют
руткиты
1000000 – Stuxnet был нацелен на
государственные предприятия
Ирана и Индии
– Koobface спокойно превращал
500000 систему в бот
– SpyEye - инструментарий для
создания Стелс-вирусов
0
– TDSS – семейство руткитов,
1Q09 2Q09 3Q09 4Q09 1Q10 2Q10 3Q10 4Q10 1Q11 2Q11 3Q11 которых невозможно
определить с помощью
традиционных средств защиты,
работающих внутри/над ОС


Необходимость нового подхода
Традиционные атаки и
решения по защите
Applications/RDBMS работают на уровне
Атаковать и
отключить AV HIPS
антивирус
Заражение ОС незаметно
Operating для антивируса
System

Заражение
виртуальной Virtual Machine
машины, и соседних Опасная прошивка
устройств обходит все
уровни защиты
I/O Memory Disk Network Display

BIOS
Заражение устройств
ниже ОС, либо до,
либо после отгрузки
CPU

Intel & McAfee Confidential McAfee Confidential—Internal Use Only

Защищаемся когда уже слишком поздно

Период незащищённости

t0 t1 t2 t3 t4
Стелс-вирус Вирус Кража Ущерб Решение
установлен скрыт данных нанесён пост-фактум

Кража конфиденциальных данных
Злоумышленники завладевают ПК
ПК стал счастью ботнет


Слелс-техники увеличивают риск
Низкая производительность из-за Стелс-техника для
заражения ПК снижает распространения вируса по всей
производительность труда компании (Zeus)

Reduced Spread of
Employee malware
Productivity

Полная переустановка ПО
для удаления скрытых Koobface использовал
угроз Increased Stealth стелс-технику для
Operational
Costs
ePO
Threats
Unauthorized
Access
превращения ПК в бот

Compliance Data Leakage Скрытые кейлоггеры
Стелс-вирусы ставят ваш Issues незаметно похищают
бизнес под серьёзную угрозу
конфиденциальные данные


McAfee DeepSAFE – продукт нового поколения

Технология McAfee и Intel
McAfee Deep
Defender
Первый в отрасли продукт
такого класса
Operating System

Новый виток развития – McAfee DeepSAFE
Безопасность ниже ОС Technology

CPU
Основная технология для
миграции в будущие продукты
Intel® Core™ i3, i5, i7 | VT-x



Использует технологию McAfee DeepSAFE McAfee Deep
Defender

Защита ядра системы в реальном времени
Operating System

Защита от ранее скрытых угроз McAfee DeepSAFE
Technology

Управляется с помощью ePO CPU

Intel® Core™ i3, i5, i7 | VT-x


Deep Defender

DeepSAFE Loader / Agent
(BIOS VT-x Enabled)
Application

Intel i3/i5/i7 CPU

Boot Driver

Boot Driver
Deep

AV Driver
Rootkit

Rootkit
McAfee OS

Driver

Driver

Driver
Defender Application
DeepSAFE Loader malware
Agent

Application

DeepSAFE Loaded OS Boot Other Services and
Beyond the OS Initialization Drivers Drivers Applications

• Мониторинг памяти в реальном времени
• Идентифицирует руткиты на уровне ядра
• Предотвращает загрузку драйвера
• Технология DeepSAFE загружается до ОС
• Технология DeepSAFE сообщает Deep Defender об опасном поведении

Deep Defender

t0 t1
Попытка Установка Защита в реальном времени
установки заблокирована
стелс-вируса Никаких утечек данных
ПК не скомпрометирован


Установка Deep Defender

• Установка через ePO 4.5 или 4.6
– Точно так же и другие решения McAfee
• Новые ПК или использующиеся в ePO
• ПК с процессорами Intel Core i3, i5 or i7
• Разработано для рабочих станций
• Поддержка Windows 7; 32 & 64 bit

May 21, 2012 McAfee Confidential—Internal Use Only

Deep Defender поддерживает GTI

Threat
Reputation

Network Web Mail Deep
Firewall Gateway Gateway Host AV Host IPS
IPS Defender

.


Почему это важно для клиентов?

• Обнаружение скрытых угроз
– Обнаружение ранее неизвестных и невидимых
угроз

• Быстрая защита
– Блокировка попыток установки стелс-вирусов
Deep
• Предотвращение утечек Defender
– Предотвращение распространения вирусов для
кражи данных

• Снижение затрат
– Сокращение времени простоя


McAfee ePO Deep Command


Темы


Обзор решения

Обнаружение

Примеры

Выгода

35 May 21, 2012


Быстрое
распространение
Стоимость визита ПК должны быть “Зелёная &
угроз требует
ИТ и связанные всегда доступны Чистая” планета.
быстрого
операционные для Управление
распространения
расходы – 250$ пользователей питанием
политик
безопасности


Уменьшение стоимости управления
Невозможно вовремя обновить Сбой требует восстановления на
политики безопасности месте

Policy “Truck Rolls”
Deployment
Delays

Невозможно выполнить
Конфигурация ПК сканирование и обновление в

$ нерабочее время
блокирует соединения System
Connectivity
Issues
ePO Green Initiatives

Help Desk Encrypted Невозможно включить ПК и
Calls Drives
Невозможно загрузить ПК установить патч без
удалённо с *.ISO вмешательства человека



ePO Agent
Handler

• Использует технологию Intel vPro
(AMT)
• Позволяет удалённо помогать,
Apps контролировать политики, и
McAfee Security восстанавливать ПК
McAfee Agent • Управление через ePO
OS • Выгода
Preboot – Уменьшение расходов на обслуживание
Intel vPro – Защита для выключенных ПК
– Возможность доступа при
минимальном потреблении энергии
38 McAfee Confidential—Internal Use Only

Панель McAfee ePO Deep Command


Определение ПК с vPro AMT


ePO Deep Command - Примеры

Задачи бизнеса McAfee ePO Deep Command
Сбои в системе часто
ePO Deep Command позволяет загрузить
требуют
систему образа диска, тем самым позволяя
вмешательства на
восстановить систему полностью
месте
Невозможно
установить новые ePO Deep Command может применить все
обновления для необходимые политики безопасности для ПК с
защиты, если ПК AMT, независимо от их состояния по питанию
выключен
Необходимо снизить
потребление ePO Deep Command позволяет устанавливать
энергии, но обновления, патчи, и новые продукты или
сохранить уровень политики за счет технологии AMT alarm и
безопасности удалённого включения
Политики или
неправильная ePO Deep Command подключается к системе на
конфигурация уровне AMT и позволяет внести правки в
мешает конфигурацию или политики
подключению


Восстановление системы

Цели
ePolicy
Orchestrator
(a) Восстановление системы через ePO
(b) Выполнение диагностики с
загрузочного диска

1. Пользователь сообщает Connection to AMT
Администратору о проблеме
Remote Boot from .iso
2. Администратор ePO подключается к
системе на уровне AMT

3. Administrator инструктирует систему
для загрузки с удалённого образа

4. Как только система загрузилась,
Администратор может выполнить все
необходимые шаги


Применение политик безопасности

Цели
ePolicy
Orchestrator
(a) Необходимо, чтобы все системы,
даже выключенные, имели
обновлённую политику
безопасности
Connection to AMT

1. Отдел ИТ определил новую атаку в
Task: “Update DAT” now
сети

2. Администратор ePO подключается к
выключенной станции с помощью AMT

3. При загрузке, ePO Deep Command
выполняет серию необходимых задач
по обновлению

4. Когда задача выполнится, станции
снова выключатся

ePO Deep Command
Загрузка и выполнение команд
ePO will send tasks to the McAfee Agent, e.g.
upgrade VSE, update DAT,computersendMcAfee
Intel AMT will power up run ODS, and events,
Agent will start and check for open tasks
shutdown

Apps

McAfee
VirusScan

McAfee Agent

OS

Preboot

Intel AMT
Wake Up Computer
AMT Alarm or Power-on !

ePO Deep Command
Экономия электричества

ON

OFF
S
Сохранить Выключение для Потребление Стоимость
затраты на ПК с Intel vPro энергии киловатта
энергию, но не
проиграть в Пример: 25,000 систем Рабочая станция – 125 $0.097
безопасности Выключение систем в ватт
нерабочее время

Экономия в год — $500,000 Ноутбук – 35 ватт


Преимущества

ePO Deep Command

Оптимизация Надёжность Снижение Зелёная Сохранение
затрат планета времени
Необходимый ПК всегда готовы Ликвидация Сохранение Постоянный
уровень защиты для работы необходимости необходимого доступ к ПК
независимо от конечных присутствовать на уровня
состояния ПК пользователей месте при безопасности и
появлении экономия энергии
проблем


Итог: ePO Deep Command

1

ePO Deep
ePO Deep Command повышает
Command уменьшит защищённость ПК, Бережёт Планету
расходы на ИТ даже если они
выключены из сети


McAfee SIEM


Текущее состояние SIEM
Обещания:

Поддержка данных по Платформа для глубокого Управление поддержкой и
безопасности исследования соответствием

Реальность:

00001001001111
11010101110101
10001010010100
VS
00101011101101

Устаревшая архитектура События сами по себе не Сложные управление и
Вынужденный выбор между помогут справится с установка приводят к
скоростью и информативностью современными угрозами увеличению расходов


Выполнение обещаний

Превосходный Быстрая
интеллект реакция
Big
Security
Data DB

Непрерывное Значительная
соответствие выгода


Управление логами и поиск

• Наблюдение за Исследование
частотой записей
• Поиск логов

Управление логами

Исследование логов пост-фактум

Настоящий SIEM

Визуализация и исследование
• Наблюдение за
частотой записей
• Корреляция Device and
Authentication
Events from
User
Application Log Security Devices Location
and IAM Identity
событий Files and Endpoints

VA Scan Data Network Flows Time OS Events

Традиционный контекст

Определение известных опасных потоков


Основа на содержании

Визуализация, Исследование и Ответ
частотой записей • Частота потоков, но непонятно кто,
• Поиск логов когда и что сделал
• Корреляция • Полная картина использования
приложений и баз данных
событий
• Производительность приложений
• Какие данные?
• Нарушение политик Баз Данных
• Кто это сделал?

Приложения Традиционный контекст База данных

Управлением логами


Современные требования

Визуализация, Исследование и Ответ
частотой записей Корреляционный модуль
GLOBAL THREAT ENTERPRISE RISK
• Корреляция
LANDSCAPE LANDSCAPE
событий
• Информация об угрозах • Уязвимости
• Какие данные?
• Немедленные алармы • Контрмеры
• Кто это сделал?
• Анализ истории • Лица
• Плохие ребята?
Risk ePolicy
• Каков риск Advisor Orchestrator
системы?
• Каков риск
пользователя?

Динамическое содержание
Традиционный контекст


GTI вместе с SIEM

Сортировка событий…

Я общался с плохими ребятами? 200M
записей

18,000
Какие соединения были блокированы? алертов

Десятки
Какие конкретно Сервера/ПК/Устройства были атакованы?
станций

Несколько
Какие учетные записи были скомпрометированы? юзеров

Точные
Что случилось с этими аккаунтами? нарушения

Точный
RESPOND Как я должен ответить? ответ


Производительность и масштабируемость

• Недостижимая скорость
– Наиболее производительный
SIEM на рынке
– В сотни (а часто и в тысячи) раз быстрее
аналогичных решений конкурентов
– Запросы, корреляция и анализ за секунды (а не минуты или часы)

• Недостижимая масштабируемость
– Сбор всей релевантной информации
– Анализ информации за месяцы и годы,
включая высокоуровневую информацию о
контенте и контексте
– Работа с миллиардами записей в БД


Интерфейс


Интеллектуальная архитектура
Разведка и операционная GTI ePO MRA SIA
деятельность

McAfee Advanced Correlation Engine
Анализ рисков

McAfee Enterprise Security Manager
SIEM и управление McAfee Enterprise Log Manager
логами

McAfee Application McAfee Database
Data Monitor Event Monitor
Анализ приложений

Big
Производительный McAfee Receivers Security
коллектор Data DB


Сертификация продуктов


Сертификация -
Соответствие Техническим условиям

- McAfee Total Protection for Endpoint

 Host IPS
 Virus Scan Enterprise
 ePO

- McAfee Data Loss Prevention Endpoint

 Host DLP
 ePO


Сертификация –
Отсутствие НДВ (4 уровень)

- McAfee Total Protection for Endpoint

 Host IPS
 Virus Scan Enterprise
 ePO

- McAfee Data Loss Prevention Endpoint

 Host DLP
 ePO


Сертификация – Следующий шаг

- McAfee Total Protection for Data Loss
Prevention Appliance Software

- McAfee Web Gateway

- McAfee Network Security Platform (IPS)

- McAfee Database Security

- McAfee Firewall Enterprise


Новые продукты McAfee/Intel

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (15)

En vedette

En vedette (20)

Similaire à Новые продукты McAfee/Intel

Similaire à Новые продукты McAfee/Intel (20)

Новые продукты McAfee/Intel