4. Тенденции
• Консьюмеризация IT
– Устройства, принадлежащие
сотрудникам, в корпоративной сети
• Разнообразие устройств
– iOS, Android, Windows, и т.д.
• Взрывной рост количества
приложений
– Дополнительные риски
• Угрозы для мобильных устройств
– Основная часть для Android
McAfee Confidential—Internal Use Only
5. Утерянные устройства
No protection 57%
Anti-theft device 31%
Encryption 19%
Password or keypad lock 17%
Client firewall 11%
Anti-virus/anti-malware 5%
Other 4%
0% 10% 20% 30% 40% 50% 60%
McAfee Confidential—Internal Use Only
6. Новые вызовы
Более половины
60,000 новых вирусов пользователей не
в день HR делают lock на своих
устройствах
IT Sales
IT
80% IT-
пользователей
Мобильные Finance обеспокоено
устройства – новая вероятностью
цель для утечки данных
злоумышленников
McAfee Confidential—Internal Use2012
May 21, Only
8. Безопасность для мобильных устройств
Защита устройств
Devices
• Device Management (MDM)
• Anti-Malware
• Web Protection
Защита данных
Data
• Data Protection (Locate, Lock, Wipe, Delete)
• Jailbroken and Rooted Device Exclusion
• Encryption
Защита приложений
Apps
• Enterprise App Store
• McAfee SECURE™ for App Stores
• McAfee App Alert™
McAfee Confidential—Internal Use Only
9. Защита сегодня и завтра
Сегодня Завтра
REAL TIME
QUERIES
• Embedded URL site reputation
• Developer reputation
• App reputation
• Vulnerabilities/malware
• Behavior/history (monitoring)
• Enterprise App Store
• App Management • Policy-based blacklist
(blacklisting) • Reputation-based blacklist
• McAfee Secure for App Store
McAfee Confidential—Internal Use Only
11. You already
built one
security
infrastructure.
Why build
another?
Добавьте мобильные устройства
McAfee Confidential—Internal Use Only
12. McAfee Enterprise Mobility Management
• Безопасность
– Управление нативными
свойствами iPad Enterprise Environment
– Обеспечение соответствия Messaging
Android
– Расширяет
инфраструктуру Applications
безопасности через ePO iPhone
– Интеграция в сеть Directory
• Простота Win 7 McAfee
– Удобное управление и & WinMo EMM Certificate
отчетность через ePO Services
– Централизованная BlackBerry
консоль Files
– Персонализация устройств webOS
Database
• Масштабируемость
– От десяткой до тысяч Symbian
устройств VPN
– Отказоустойчивость McAfee Confidential—Internal Use Only
13. Самостоятельная установка для iOS
1 2 3 4
GO TO THE ENTER YOUR EMAIL AGREE TO CORPORATE IT SERVICES ARE AUTO-
APP STORE CREDENTIALS POLICY PROVISIONED
Optional Two-Factor
Authentication Просто, Безопасно, Автоматически
McAfee Confidential—Internal Use Only
14. Самостоятельная установка для Android
1 2 3 4
GO TO THE ENTER YOUR EMAIL AGREE TO CORPORATE IT SERVICES ARE AUTO-
MARKETPLACE CREDENTIALS POLICY PROVISIONED
Просто, Безопасно, Автоматически
McAfee Confidential—Internal Use Only
15. McAfee VirusScan Mobile
Оптимизировано для Android
Сканирование в реальном времени
Проверка аттачей
Карантин и лечение
Обновления 24x7
McAfee Confidential—Internal Use Only
16. Enterprise Application Store
• Безопасный доступ к
рекомендованным
приложениям на основе
групп, пользователей или
типов устройств.
– Собственные
разработки
– Приложения
сторонних
производителей
(Apple App Store /
Android Marketplace)
– Веб-ссылки
• Аудит и инвентаризация
приложений
McAfee Confidential—Internal Use Only
19. Intel and McAfee
Безопасность
vPro Network Security
Active Management Technology Cloud Security
Advanced Encryption Standard Security Management
Virtualization Endpoint Security
One Time Password Technology Ecosystem
Secure BIOS
McAfee Confidential—Internal Use Only
21. Проблемы индустрии
• Сегодняшние решения
обеспечивают защиту
внутри ОС
• Злоумышленники обходят
такую защиту с помощью
специальных стелс-техник
• Сегодняшние решения
являются неэффективными
для борьбы с такими
видами атак
McAfee Confidential—Internal Use Only
22. Рост количества Стелс-вирусов
2500000
Образцы руткитов • Распространение техники Стелс
• Разработаны для обхода
традиционных средств защиты
2000000 • Злоумышленники используют Стелс-
вирусы для скрытия хищения данных
– 110,000 новых образцов каждый
квартал
1500000
– 1,200 новых образцов в день
• Все больше вирусов используют
руткиты
1000000 – Stuxnet был нацелен на
государственные предприятия
Ирана и Индии
– Koobface спокойно превращал
500000 систему в бот
– SpyEye - инструментарий для
создания Стелс-вирусов
0
– TDSS – семейство руткитов,
1Q09 2Q09 3Q09 4Q09 1Q10 2Q10 3Q10 4Q10 1Q11 2Q11 3Q11 которых невозможно
определить с помощью
традиционных средств защиты,
работающих внутри/над ОС
McAfee Confidential—Internal Use Only
23. Необходимость нового подхода
Традиционные атаки и
решения по защите
Applications/RDBMS работают на уровне
приложений
Атаковать и
отключить AV HIPS
антивирус
Заражение ОС незаметно
Operating для антивируса
System
Заражение
виртуальной Virtual Machine
машины, и соседних Опасная прошивка
устройств обходит все
уровни защиты
I/O Memory Disk Network Display
BIOS
Заражение устройств
ниже ОС, либо до,
либо после отгрузки
CPU
Intel & McAfee Confidential McAfee Confidential—Internal Use Only
24. Защищаемся когда уже слишком поздно
Период незащищённости
t0 t1 t2 t3 t4
Стелс-вирус Вирус Кража Ущерб Решение
установлен скрыт данных нанесён пост-фактум
Кража конфиденциальных данных
Злоумышленники завладевают ПК
ПК стал счастью ботнет
McAfee Confidential—Internal Use Only
25. Слелс-техники увеличивают риск
Низкая производительность из-за Стелс-техника для
заражения ПК снижает распространения вируса по всей
производительность труда компании (Zeus)
Reduced Spread of
Employee malware
Productivity
Полная переустановка ПО
для удаления скрытых Koobface использовал
угроз Increased Stealth стелс-технику для
Operational
Costs
ePO
Threats
Unauthorized
Access
превращения ПК в бот
Compliance Data Leakage Скрытые кейлоггеры
Стелс-вирусы ставят ваш Issues незаметно похищают
бизнес под серьёзную угрозу
конфиденциальные данные
McAfee Confidential—Internal Use Only
26. McAfee DeepSAFE – продукт нового поколения
Технология McAfee и Intel
McAfee Deep
Defender
Первый в отрасли продукт
такого класса
Operating System
Новый виток развития – McAfee DeepSAFE
Безопасность ниже ОС Technology
CPU
Основная технология для
миграции в будущие продукты
Intel® Core™ i3, i5, i7 | VT-x
McAfee Confidential—Internal Use Only
27. McAfee Deep Defender
Использует технологию McAfee DeepSAFE McAfee Deep
Defender
Защита ядра системы в реальном времени
Operating System
Защита от ранее скрытых угроз McAfee DeepSAFE
Technology
Управляется с помощью ePO CPU
Intel® Core™ i3, i5, i7 | VT-x
McAfee Confidential—Internal Use Only
28. Deep Defender
DeepSAFE Loader / Agent
(BIOS VT-x Enabled)
Application
Intel i3/i5/i7 CPU
Boot Driver
Boot Driver
Deep
AV Driver
Rootkit
Rootkit
McAfee OS
Driver
Driver
Driver
Defender Application
DeepSAFE Loader malware
Agent
Application
DeepSAFE Loaded OS Boot Other Services and
Beyond the OS Initialization Drivers Drivers Applications
• Мониторинг памяти в реальном времени
• Идентифицирует руткиты на уровне ядра
• Предотвращает загрузку драйвера
• Технология DeepSAFE загружается до ОС
• Технология DeepSAFE сообщает Deep Defender об опасном поведении
McAfee Confidential—Internal Use Only
29. Deep Defender
t0 t1
Попытка Установка Защита в реальном времени
установки заблокирована
стелс-вируса Никаких утечек данных
ПК не скомпрометирован
McAfee Confidential—Internal Use Only
30. Установка Deep Defender
• Установка через ePO 4.5 или 4.6
– Точно так же и другие решения McAfee
• Новые ПК или использующиеся в ePO
• ПК с процессорами Intel Core i3, i5 or i7
• Разработано для рабочих станций
• Поддержка Windows 7; 32 & 64 bit
May 21, 2012 McAfee Confidential—Internal Use Only
31. Deep Defender поддерживает GTI
Threat
Reputation
Network Web Mail Deep
Firewall Gateway Gateway Host AV Host IPS
IPS Defender
.
McAfee Confidential—Internal Use Only
32. Почему это важно для клиентов?
• Обнаружение скрытых угроз
– Обнаружение ранее неизвестных и невидимых
угроз
• Быстрая защита
– Блокировка попыток установки стелс-вирусов
Deep
• Предотвращение утечек Defender
– Предотвращение распространения вирусов для
кражи данных
• Снижение затрат
– Сокращение времени простоя
McAfee Confidential—Internal Use Only
36. Изменения индустрии
Быстрое
распространение
Стоимость визита ПК должны быть “Зелёная &
угроз требует
ИТ и связанные всегда доступны Чистая” планета.
быстрого
операционные для Управление
распространения
расходы – 250$ пользователей питанием
политик
безопасности
McAfee Confidential—Internal Use Only
37. Уменьшение стоимости управления
Невозможно вовремя обновить Сбой требует восстановления на
политики безопасности месте
Policy “Truck Rolls”
Deployment
Delays
Невозможно выполнить
Конфигурация ПК сканирование и обновление в
$ нерабочее время
блокирует соединения System
Connectivity
Issues
ePO Green Initiatives
Help Desk Encrypted Невозможно включить ПК и
Calls Drives
Невозможно загрузить ПК установить патч без
удалённо с *.ISO вмешательства человека
McAfee Confidential—Internal Use Only
38. McAfee ePO Deep Command
ePO Agent
Handler
• Использует технологию Intel vPro
(AMT)
• Позволяет удалённо помогать,
Apps контролировать политики, и
McAfee Security восстанавливать ПК
McAfee Agent • Управление через ePO
OS • Выгода
Preboot – Уменьшение расходов на обслуживание
Intel vPro – Защита для выключенных ПК
– Возможность доступа при
минимальном потреблении энергии
38 McAfee Confidential—Internal Use Only
39. Панель McAfee ePO Deep Command
39 McAfee Confidential—Internal Use Only
40. Определение ПК с vPro AMT
40 McAfee Confidential—Internal Use Only
41. ePO Deep Command - Примеры
Задачи бизнеса McAfee ePO Deep Command
Сбои в системе часто
ePO Deep Command позволяет загрузить
требуют
систему образа диска, тем самым позволяя
вмешательства на
восстановить систему полностью
месте
Невозможно
установить новые ePO Deep Command может применить все
обновления для необходимые политики безопасности для ПК с
защиты, если ПК AMT, независимо от их состояния по питанию
выключен
Необходимо снизить
потребление ePO Deep Command позволяет устанавливать
энергии, но обновления, патчи, и новые продукты или
сохранить уровень политики за счет технологии AMT alarm и
безопасности удалённого включения
Политики или
неправильная ePO Deep Command подключается к системе на
конфигурация уровне AMT и позволяет внести правки в
мешает конфигурацию или политики
подключению
41 McAfee Confidential—Internal Use Only
42. Восстановление системы
Цели
ePolicy
Orchestrator
(a) Восстановление системы через ePO
(b) Выполнение диагностики с
загрузочного диска
1. Пользователь сообщает Connection to AMT
Администратору о проблеме
Remote Boot from .iso
2. Администратор ePO подключается к
системе на уровне AMT
3. Administrator инструктирует систему
для загрузки с удалённого образа
4. Как только система загрузилась,
Администратор может выполнить все
необходимые шаги
42 McAfee Confidential—Internal Use Only
43. Применение политик безопасности
Цели
ePolicy
Orchestrator
(a) Необходимо, чтобы все системы,
даже выключенные, имели
обновлённую политику
безопасности
Connection to AMT
1. Отдел ИТ определил новую атаку в
Task: “Update DAT” now
сети
2. Администратор ePO подключается к
выключенной станции с помощью AMT
3. При загрузке, ePO Deep Command
выполняет серию необходимых задач
по обновлению
4. Когда задача выполнится, станции
снова выключатся
McAfee Confidential—Internal Use Only
44. ePO Deep Command
Загрузка и выполнение команд
ePO will send tasks to the McAfee Agent, e.g.
upgrade VSE, update DAT,computersendMcAfee
Intel AMT will power up run ODS, and events,
Agent will start and check for open tasks
shutdown
Apps
McAfee
VirusScan
McAfee Agent
OS
Preboot
Intel AMT
Wake Up Computer
AMT Alarm or Power-on !
McAfee Confidential—Internal Use Only
45. ePO Deep Command
Экономия электричества
ON
OFF
S
Сохранить Выключение для Потребление Стоимость
затраты на ПК с Intel vPro энергии киловатта
энергию, но не
проиграть в Пример: 25,000 систем Рабочая станция – 125 $0.097
безопасности Выключение систем в ватт
нерабочее время
Экономия в год — $500,000 Ноутбук – 35 ватт
45 McAfee Confidential—Internal Use Only
46. McAfee ePO Deep Command
Преимущества
ePO Deep Command
Оптимизация Надёжность Снижение Зелёная Сохранение
затрат планета времени
Необходимый ПК всегда готовы Ликвидация Сохранение Постоянный
уровень защиты для работы необходимости необходимого доступ к ПК
независимо от конечных присутствовать на уровня
состояния ПК пользователей месте при безопасности и
появлении экономия энергии
проблем
46 McAfee Confidential—Internal Use Only
47. Итог: ePO Deep Command
1
ePO Deep
ePO Deep Command повышает
Command уменьшит защищённость ПК, Бережёт Планету
расходы на ИТ даже если они
выключены из сети
47 McAfee Confidential—Internal Use Only
50. Текущее состояние SIEM
Обещания:
Поддержка данных по Платформа для глубокого Управление поддержкой и
безопасности исследования соответствием
Реальность:
00001001001111
11010101110101
10001010010100
VS
00101011101101
Устаревшая архитектура События сами по себе не Сложные управление и
Вынужденный выбор между помогут справится с установка приводят к
скоростью и информативностью современными угрозами увеличению расходов
McAfee Confidential—Internal Use Only
51. Выполнение обещаний
Превосходный Быстрая
интеллект реакция
Big
Security
Data DB
Непрерывное Значительная
соответствие выгода
McAfee Confidential—Internal Use Only
52. Управление логами и поиск
• Наблюдение за Исследование
частотой записей
• Поиск логов
Управление логами
Исследование логов пост-фактум
McAfee Confidential—Internal Use Only
53. Настоящий SIEM
Визуализация и исследование
• Наблюдение за
частотой записей
• Поиск логов
• Корреляция Device and
Authentication
Events from
User
Application Log Security Devices Location
and IAM Identity
событий Files and Endpoints
VA Scan Data Network Flows Time OS Events
Традиционный контекст
Управление логами
Определение известных опасных потоков
McAfee Confidential—Internal Use Only
54. Основа на содержании
Визуализация, Исследование и Ответ
• Наблюдение за
частотой записей • Частота потоков, но непонятно кто,
• Поиск логов когда и что сделал
• Корреляция • Полная картина использования
приложений и баз данных
событий
• Производительность приложений
• Какие данные?
• Нарушение политик Баз Данных
• Кто это сделал?
Основа на содержании
Приложения Традиционный контекст База данных
Управлением логами
McAfee Confidential—Internal Use Only
55. Современные требования
Визуализация, Исследование и Ответ
• Наблюдение за
частотой записей Корреляционный модуль
• Поиск логов
GLOBAL THREAT ENTERPRISE RISK
• Корреляция
LANDSCAPE LANDSCAPE
событий
• Информация об угрозах • Уязвимости
• Какие данные?
• Немедленные алармы • Контрмеры
• Кто это сделал?
• Анализ истории • Лица
• Плохие ребята?
Risk ePolicy
• Каков риск Advisor Orchestrator
системы?
• Каков риск
пользователя?
Динамическое содержание
Основа на содержании
Традиционный контекст
Управление логами
McAfee Confidential—Internal Use Only
56. GTI вместе с SIEM
Сортировка событий…
Я общался с плохими ребятами? 200M
записей
18,000
Какие соединения были блокированы? алертов
Десятки
Какие конкретно Сервера/ПК/Устройства были атакованы?
станций
Несколько
Какие учетные записи были скомпрометированы? юзеров
Точные
Что случилось с этими аккаунтами? нарушения
Точный
RESPOND Как я должен ответить? ответ
McAfee Confidential—Internal Use Only
57. Производительность и масштабируемость
• Недостижимая скорость
– Наиболее производительный
SIEM на рынке
– В сотни (а часто и в тысячи) раз быстрее
аналогичных решений конкурентов
– Запросы, корреляция и анализ за секунды (а не минуты или часы)
• Недостижимая масштабируемость
– Сбор всей релевантной информации
– Анализ информации за месяцы и годы,
включая высокоуровневую информацию о
контенте и контексте
– Работа с миллиардами записей в БД
McAfee Confidential—Internal Use Only
58. Интерфейс
McAfee Confidential—Internal Use Only
59. Интеллектуальная архитектура
Разведка и операционная GTI ePO MRA SIA
деятельность
McAfee Advanced Correlation Engine
Анализ рисков
McAfee Enterprise Security Manager
SIEM и управление McAfee Enterprise Log Manager
логами
McAfee Application McAfee Database
Data Monitor Event Monitor
Анализ приложений
Big
Производительный McAfee Receivers Security
коллектор Data DB
McAfee Confidential—Internal Use Only
62. Сертификация -
Соответствие Техническим условиям
- McAfee Total Protection for Endpoint
Host IPS
Virus Scan Enterprise
ePO
- McAfee Data Loss Prevention Endpoint
Host DLP
ePO
McAfee Confidential—Internal Use Only
63. Сертификация –
Отсутствие НДВ (4 уровень)
- McAfee Total Protection for Endpoint
Host IPS
Virus Scan Enterprise
ePO
- McAfee Data Loss Prevention Endpoint
Host DLP
ePO
McAfee Confidential—Internal Use Only
64. Сертификация – Следующий шаг
- McAfee Total Protection for Data Loss
Prevention Appliance Software
- McAfee Web Gateway
- McAfee Network Security Platform (IPS)
- McAfee Database Security
- McAfee Firewall Enterprise
McAfee Confidential—Internal Use Only