McAfee Endpoint Protection 2014

McAfee Confidential—Internal Use Only
McAfee Endpoint Protection
Защита конечных точек.
Когда одного антивируса мало.
Владислав Радецкий
vr@bakotech.com
12-06-2014

Пару слов о себе
С 2011 года работаю в Группе компаний БАКОТЕК.
Занимаюсь технической поддержкой проектов по ИБ.
Отвечаю за такие направления McAfee:
» Data Protection
» Email Security
» Endpoint Security
» Mobile Security
» One Time Password
» Security-as-a-Service
» Security Management
Vladislav Radetskiy
Technical Support Engineer
BAKOTECH GROUP
M: +380 95 880-7370
О: +380 44 273-3333 # 131
vr@bakotech.com

Основные пункты
1. Методика Security Connected, стадии атаки
2. Наборы EPS, «облако» GTI
3. Антивирусы + HIPS
4. Application Control, Device Control
5. EMM + VirusScan Mobile
6. Deep Defender (Intel VT)
7. Deep Command (Intel vPro)
8. Выводы, источники

Стандартный подход к организации ИБ:
Агент
HIPS
Агент для
управления
системами безопасности
Мобильные
устройства
Агент средства
защиты
от вредоносных
программ
Шифрование
Белый
список
Агент
DLP
У КАЖДОГО
РЕШЕНИЯ ЕСТЬ
КОНСОЛЬ
КАЖДАЯ
КОНСОЛЬ ТРЕБУЕТ
НАЛИЧИЯ СЕРВЕРА
КАЖДЫЙ
СЕРВЕР ТРЕБУЕТ
НАЛИЧИЯ ОС/БД
НУЖНО СОБИРАТЬ
ОТЧЕТЫ И СВОДИТЬ
ВРУЧНУЮ
ПРОБЛЕМЫ
МАСШТАБИРОВАНИЯ
И РАЗБОРА
ИНЦИДЕНТОВ

Подход компании McAfee
ePO
Directory * ePO = McAfee ePolicy Orchestrator

Почему одного антивируса мало ?
Это может быть линк на вредоносный
файл, письмо с активным
содержимым, фейковый сайт
(фишинг), «случайно» забытая
флешка, подарок и т.д..
Средства
доставки
Сетевой доступ
Физический доступ
SPAM
Запуск вредоносного кода на целевой
системе. Это может быть компьютер
рядового сотрудника либо
промежуточная цепочка атаки
(сетевое оборудование/сервер).
Компрометация
целевой системы
Ошибка конфигурации
Инсайд
Способы сохранения
жизнедеятельности вредоносного
кода. Противодействие
антивирусным сканерам.
Мероприятия по сохранению
функционала после перезагрузки ОС.
Разведка и
закрепление
Самосохранение
Загрузка вредоносных
модулей
Эскалация привилегий
Цель, которую преследует
атакующий: кража паролей,
банковское мошенничество, скрытое
наблюдение, составление карты
сети, отказ оборудования в заданный
момент.
Активные
действия
Вымогательство
Кража информации
Отказ оборудования
Подмена документов
Соц. инженерия
Уязвимость ОС/ПО
Скрытие присутствия
Мошенничество
Пример атаки

McAfee - Защита на каждой стадии
Средства
доставки
Компрометация
целевой системы
Разведка и
закрепление
Активные
действия
McAfee® SiteAdvisor®
McAfee Enterprise
Mobility Management
McAfee Device Control
McAfee Desktop Firewall
McAfee Web Gateway и
McAfee Email Gateway
Фильтрация веб-сайтов
Управление мобильными
устройствами
Физическая передача файлов
Сетевой экран McAfee для ПК
Фильтрация веб-
трафика
Фильтрация
электронной почты
McAfee VirusScan® Enterprise
Сканирование при доступе Сканирование файлов Блокирование записи на диск
McAfee Database Activity Monitor
Блокирование уязвимостей баз данных
McAfee Deep Defender
Предотвращение атак с использованием руткитов
McAfee Host Intrusion Prevention
Защита от переполнения буфера Предотвращение угроз путем анализа поведения
McAfee Application Control for Servers / Desktops
Предотвращение установки и запуска ПО Защита от внесения изменений

McAfee _ состав комплектов EPS
Содержимое
Endpoint Protection
Advanced Suite
Complete Endpoint
Protection Business
Complete Endpoint
Protection Enterprise Suite
VSE for Windows + + +
VSE for Linux + + +
VSE for Storage +
VSE for SharePoint +
VSE for command line + + +
VSE & HIPS for Mac + + +
HIPS for Windows + + +
Site Advisor + + +
Device Control + + +
Application Control +
Deep Defender + +
EMM (MDM) + +
Risk Advisor
Encryption disk & files +
Security for Email Serv. + + +

McAfee ePO Advanced Suite Installer (eASI)
Упрощенный процесс установки
• Не требуется досконально разбираться в продукте
• Возможность уделить время
обеспечению защиты, а не установке продукта
• Возможность быстрее обеспечить
высокий уровень защиты

McAfee _ антивирусы на каждую задачу
Основное решение для Windows. От 2k SP4 до 2012. Управляется из еРО.
VSE (Win)
VSE (Lin)
VSE (Mac)
VSE for Storage
VSE for Android
VSE (cmd)
MOVE
Используется для защиты deb и rpm дистрибутивов, Novell. Управляется из еРО.
Поддерживает MacOS X Server и Mac OS от 10.7 и выше. Управляется из еРО.
Сканирование NAS типа NetApp и подобных. Управляется из еРО.
Поддерживает Android 2.1 – 4.х. Управляется из консоли ЕММ (еРО).
Для AIX, FreeBSD, HP-UIX, Sun, Linux, Windows. Standalone.
Для Windows гостевых систем. Защита ВМ. Hyper-V/VMware/Xen и т.д.

McAfee _ HIPS
Комплексная защита конечных
точек
• Анализ поведения процессов как
способ защиты от атак zero day
• Защита систем с отсроченными
обновлениями ОС и ПО
• Контроль приложений
• Использует Windows Filtering
Platform
• Поддерживает Windows 8.1 и
Server 2012
Брандмауэр + система предотвращения вторжений.
Основные функции:
- Контроль трафика при загрузке ОС
- Черный список доменов
- Защита от спуфинга
- Контроль VMware гипервизоров
- Проверка репутации IP по облаку GTI
- Конструктор правил
- Три режима работы:
- Постоянный
- Адаптивный
- Обучаемый

McAfee _ Application Control
точек
• Блокирование скрытых угроз
(атаки без вирусного кода,
использование «дыр» в
механизмах ОС)
• Использование «белых списков»
для разрешения работы только
санкционированных приложений
• Хорошая возможность
обеспечить защиту
неподдерживаемых устаревших
систем, таких как Microsoft
Windows NT, 2000 и с апреля
2014 уже и ХР
– Разрешен запуск только определенного перечня ПО
– Защита от zeroday атак без обновления сигнатурных баз
– Работает на основе «белых списков» приложений
– Возможно автоматически разрешать новое ПО, добавленное с помощью
разрешенного процесса
– Может быть развернут как в
standalone режиме, так и управляем с еРО
McAfee Application Control позволяет обеспечивать защиту систем, на
которых в силу различных причин не возможна своевременная установка
обновлений ОС и ПО.

McAfee _ Device Control
– Контроль устройств:
Мониторинг, блокирование, r/o USB носителей.
– С поддержкой «отпечатков», но без меток.
– Входит в пакет Content Security Suite
(MWG + MEG + NDLP Prevent + DC = DLP для «начинающих»)
– Поддержка USB-накопителей, медиапроигрывателей iPod,
записываемых компакт-дисков/видеодисков, устройств
Bluetooth и инфракрасных устройств, портов COM и LPT
точек
• Защита утечки данных
• Щадящие требования к
конечным точкам
• Развертывается и управляется
из еРО
• Подтверждение нормативно-
правового соответствия
с меньшими усилиями
McAfee Device Control не дает вашим данным попасть в чужие руки через
съемные носители информации: USB-накопители, MP3-плейеры, компакт-
диски (CD), цифровые видеодиски (DVD).

• «Белые»/«Черные» списки устройств
• Блокирование неявных каналов утечки
• «Понимает» разные классы устройств

• Блокирование
• Шифрование
• Мониторинг
• Обоснование запроса
• Теневая копия (подтверждение)
• Уведомление пользователя
* Действия одной и той же
политики могут отличатся
в зависимости от состояния
системы (Online/Offline)
** Подробнее о DLP Endpoint в моем блоге: статья

McAfee _ Site Advisor
точек
• Проверка репутации URL
• Возможность
принудительного
блокирования
посещения/загрузок с
определенных категорий
• Возможность интеграции с
McAfee Web Gateway на уровне
синхронизации списков Web
фильтрации по категориям URL
• Защиту на уровне URL-адресов,
а не на уровне доменов
• Поддерживает браузеры
IE, Firefox и Chrome

McAfee _ EMM12 состав
• Консоль управления (MDM)
• Защита и контроль BYOD
• iOS, Android, WinPhone
Enterprise
Mobility
Management
(EMM)
• Защищенный почтовый клиент
• Шифрование почты, календарей и
контактов (AES 256)
• Запрет передачи вложений
Secure
Container for
Android
• Антивирусная защита
• Оптимизирован для моб. устройств
• Управляется из консоли ЕММ
VirusScan
Mobile for
Android
Кроме консоли, к которой подключаются устройства:
EMM в состав двух комплектов:
McAfee Complete Endpoint Protection Enterprise [CEB] и Business [CEE]

McAfee _ EMM12 функционал
Управление
BYOD
• Применение ограничений в соотв. с возможностями API устройств
• Удаленное блокирование и очистка аппарата (выборочно)
• Интеграция с консолью еРО
• Инициализация удаленных устройств по каналам Wi-Fi, 3G, VPN
Соответствие
(Compliance)
• Идентификация и запрет доступа jailbrakeroot устройств
• Блокирование доступа для non-compliance устройств
• Контроль шифрования iOS и Android, Secure Container
• Отчеты о состоянии соответствия
• Применение политик с привязкой к AD
Защита
данных
• Блеклистинг приложений
• Настройка профилей Wi-Fi/VPN
• VirusScan Mobile для Android
• Secure Container для Android (шифрование почты)
• Принудительное применение политик
• Принудительное усиление аутентификации (PIN, pass)

Secure Container
McAfee _ EMM12 Secure Container for Android
•Полноценная синхронизация ящика, контактов и календаря
•Все данные включая кэш шифруется [AES 256]
•Запрет передачи вложения сторонним приложениям
•При переборе пароля автоматически затирается
•При увольнении достаточно затереть только содержимое контейнера
•Встроенный просмотр основных форматов: Word, Excel, PDF
•Управляется из ЕММ, может быть развернут принудительно

McAfee _ VirusScan Mobile Security for Android
•Антивирус для платформы Android, управляется из консоли еРО
•Принудительная установка, обновление и сканирование
•Дополнительный механизм проверки репутации приложений
•Не злоупотребляет ресурсами и не садит батарею

June 16, 2014
21
McAfee _ EMM12 Архитектура решения

McAfee _ Deep Defender
точек – Более глубокий уровень защиты
– Мониторинг памяти в режиме
реального времени на уровне ядра
– Активируется до загрузки ОС
– Защита MBR и BIOS
– Управляется с помощью ePO
– Использование механизмов rootkits
для борьбы против них самих
• Работает за пределами ОС
• Предотвращает установку руткитов
Совместная разработка McAfee и
Intel
• Может работать совместно с
другими защитными модулями
• Поддерживает процессоры Intel
Core i3, i5, i7 или Core i5 или i7 vPro
Представляет собой гипервизор, внутри которого запускается ОС.
Работает на системах с Intel VT.
Обеспечивает анализ кода на стадии выполнения.
Не подвержен атакам, т.к. запускается не из под ОС.

McAfee _ Deep Defender
• Зачем он нужен?
Обычные зловреды
сосредоточены на уровне
приложений
I/O Memory Disk Network Display
ВМ
ОС
Приложения
CPU
AV HIPS
BIOS
Атаки направлены на отключение
защитного обеспечения
Инфицированные компьютеры
являються рассадниками зловредов
Руткиты/буткиты и APT стремятся
закрепиться надолго и не подавать
признаков жизни
DeepSAFE работает вне ОС,
а значит не подвержен атакам
Поведенческий анализ содержимого
памяти
Защита от инфицирования MBR и BIOS
Анализ кода на этапе выполнения
Буткиты пытаються модифицировать
MBR

McAfee _ Deep Command
– Использует технологии Intel® vPro™ Active Management
Technology (AMT)
– Обнаруживает ПК на базе процессоров Intel vPro
в инфраструктуре организаций
– Позволяет активировать Intel AMT с консоли ePO;
– Обеспечивает соответствие отключенных от сети,
удаленных и мобильных конечных точек политикам и
конфигурациям
– Обеспечивает безопасное расширение возможностей
дистанционной установки исправлений благодаря
функции KVM с использованием IP-протокола (IP-KVM)
точек
• Дистанционная установка
исправлений
• Пробуждение ПК и установка
исправлений
• Доступ к ПК на уровне
аппаратного обеспечения
• Удаленное управление
шифрованием
• Поддержка процессоров Intel
Core i5 vPro или Core i7 vPro
Удаленное включение и доступ к любому компьютеру за пределами
локальной сети, не зависимо от состояния ОС.
Отложенное выполнение сервисных операций.

“Обновление ОС и ПО в нерабочее время.”
IT Help Desk
• Глобальная конфигурация
• Возможность планировать
• Требует AMT 5.1 или выше
• Система должна быть
подключена к 220
Автоматизация рутинных операций
Hard Drive
Intel®
Core™
i5 vPro™
Processor
Intel®
Chipset
Intel® Network
Adapter
Set specific wake-up
time across Intel AMT
systems
Business PC

Intel AMT
Preboot
OS
McAfee Agent
McAfee Security
Apps
ePO Agent
Handler
McAfee ePO
Локальные
системы
Сотрудники в «поле»
• Защита данных
– AES 256 шифрование
• Удаленный сброс пароля
– Помощь удаленному сотруднику

“Алло, техподдержка? У меня “синий экран”.
Можете ко мне подключиться?”
IT Help Desk
Использование AMT позволяет
подключаться к рабочей станции
пользователя не зависимо от
состояния ОС (сбой/выключена)
Intel®
Core™
i5 vPro™
Processor
Intel®
Chipset
Intel® Network
Adapter
Hard Drive
С использованием AMT
Help Desk не тратит времени зря

О чем нужно помнить внедряя/используя EPS
• Системные требования зависят от конкретного перечня пакетов
• Политики (аудит, привязка по группам)
• VSE – Access Control как дополнительный слой защиты
• HIPS – Adaptive mode либо обучение вручную
• Система обновлений, варианты, советы

Выводы:
Защита
серверов
• Рещение для защиты ЦОДов и «облачных» служб
• Application Control for Servers
• MOVE (McAfee Optimized for Virtual Environments)
• Database Activity Monitor
Защита данных
• Total Protection for Data
• Endpoint Encryption
• DLP: Endpoint, Monitor, Discover, Prevent
Контроль
рисков
• Vulnerability Manager
• Policy Auditor
Управление
безопасностью
• Deep Command
• SIEM

Источники полезной информации
• Официальный сайт McAfee - описание продуктов, пробные версии
http://www.mcafee.com/ru/
• Раздел McAfee на сайте БАКОТЕК - новости, мероприятия, пресс-релизы
http://bakotech.ua/vendor/mcafee/
• Мой личный блог - статьи на русском по настройке решений
https://radetskiy.wordpress.com/
• База знаний по продуктам McAfee - очень, очень много подсказок
http://kc.mcafee.com

p.s.
• McAfee – это не только антивирус (более 70 решений в портфеле)
• Если у Вас есть насущные задачи в области ИБ – свяжитесь с нами*
• Мы* сможем:
– подобрать к вашим задачам оптимальные решения;
– провести толковую презентацию выбранных решений;
– помочь с PoC (т.н. «пилотный проект»);
– провести обучение ваших специалистов;
– оказать техническую поддержку.
* Мы = БАКОТЕК + наши партнеры по McAfee

Демонстрация работы
Если к Вам попала моя презентация и вы хотите посмотреть как работают вышеописанные
решения – просто свяжитесь со мной и я проведу демонстрацию в удобное для вас время.
Мои контакты на следующем слайде.

Владислав Радецкий
radetskiy.wordpress.com
vr@bakotech.com

McAfee Endpoint Protection 2014

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (6)

Similar to McAfee Endpoint Protection 2014

Similar to McAfee Endpoint Protection 2014 (20)

More from Vladyslav Radetsky

More from Vladyslav Radetsky (20)

McAfee Endpoint Protection 2014