Presentatie McAfee: Optimale Endpoint Protection 26062015
•Download as PPTX, PDF•
2 likes•1,437 views
Beveiligingsdag SLBdiesten: 26 juni 2015 Presentatie McAfee: Leer hoe op een (kosten)efficiënte manier gebruik kunt maken van nieuwe, geïntegreerde McAfee-technologieën voor de bescherming tegen geavanceerde malware. Door Wim van Campen, Regional Vice President North & East Europe, Intel Security.
Recommended
More Related Content
What's hot
What's hot (20)
Similar to Presentatie McAfee: Optimale Endpoint Protection 26062015
Similar to Presentatie McAfee: Optimale Endpoint Protection 26062015 (20)
More from SLBdiensten
More from SLBdiensten (20)
Recently uploaded
Recently uploaded (20)
Presentatie McAfee: Optimale Endpoint Protection 26062015
- 1. . McAfee Confidential Wim van Campen Regional VP, Northern & Eastern Europe Optimale Endpoint Protection - en beste bescherming tegen Ransomware
- 2. . McAfee Confidential Four Phases of an Attack 2 Example: Fake AV How the attacker first crosses path with target. First Contact Malicious Website Network Access Physical Access Unsolicited Message How the attacker gets code running first time on target machine. Local Execution Configuration Error Exploit Social Engineering How the attacker persists code on the system, to survive reboot, stay hidden, hide from user and security software. Establish Presence Persist on System Self-Preservation Download Malware Escalate Privilege The business logic, what the attacker wants to accomplish, steal passwords, bank fraud, purchase Fake AV. Malicious Activity Adware & Scareware Identity & Financial Fraud Propagation Bot Activities Tampering Malicious Website Exploit Persist on System Adware & Scareware
- 3. . McAfee Confidential LOCAL EXECUTION ESTABLISH PRESENCE MALICIOUS ACTIVITYFIRST CONTACT 4 Phase Protection Methods McAfee® SiteAdvisor® Website Filtering McAfee Enterprise Mobility Management Mobile Device Management McAfee Device Control Physical File Transfer McAfee Desktop Firewall McAfee Desktop Firewall McAfee Web Gateway and McAfee Email Gateway Web Filtering Email Filtering McAfee VirusScan® Enterprise On-Access Scanning File Scanning Write Blocking McAfee Database Activity Monitor Database Vulnerability Blocking McAfee VirusScan® Enterprise Rootkit Detection McAfee Host Intrusion Prevention Buffer Overflow Prevention Behavioral Prevention McAfee Application Control for Servers or Desktops Install and Execution Prevention Change Protection 3
- 4. . McAfee Confidential Intel Security - A Proven Leader in Endpoint Security 4 Gartner Magic Quadrant Leader for 7 straight years! Placed furthest on Completeness of Vision axis Superior Manageability with ePO Next Generation Endpoint Platform Security Connected Vision attainable for customers Advancing Protection Rankings Comprehensive Solution Strength of Intel / McAfee Together Gartner Disclaimer This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from http://www.gartner.com/technology/reprints.do?id=1-26F1285&ct=141223&st=sb. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
- 5. . McAfee Confidential Portfolio voor SLB 5 EPACDE-AA MFE Endpoint Protection CEECDE-AA MFE Complete EP Protection ACDCKE-AA MFE Application Control for PC ACSCKE-AB MFE Application Control for Servers MOVCDE-AA MFE MOVE AV for Virtual Desktop MOVCKE-AT MFE MOVE AV for Virtual Servers TSBECE-AA MFE SaaS Endpoint Protection CDBCDE-AA MFE Complete Data Protection
- 6. . McAfee Confidential Uitgelicht 6 McAfee Endpoint Protection - gebruik tot 1.000 nodes Speciaal Umbrella License Pack voorziet in gebruik voor Instituut, geregistreerde medewerkers en geregistreerde studenten mbt : PRODUCT CONTENT: VirusScan Enterprise, VirusScan Command Line, VirusScan Enterprise for Linux, SiteAdvisor Enterprise with Web Filtering, Endpoint Protection for MAC, Device Control, Desktop Firewall, McAfee Security for Email Servers with AntiSpam. Management system included: ePolicy Orchestrator. McAfee Endpoint Protection - Advanced Suite Pack – gebruik tot 10.000 nodes Speciaal Umbrella License Pack voorziet in gebruik voor School, geregistreerde medewerkers en geregistreerde studenten mbt PRODUCT CONTENT: VirusScan Enterprise, VirusScan Command Line, VirusScan Enterprise for Linux, Endpoint Protection for MAC, Host Intrusion Prevention for Desktops, Desktop Firewall, Device Control, SiteAdvisor Enterprise with Web Filtering, McAfee Security for Email Servers with AntiSpam, Policy Auditor for Desktop. Management system: ePolicy Orchestrator.
- 7. . McAfee Confidential 7 Endpoint Security Product Suites 2015 Endpoint Protection EPS Endpoint Advanced EPA Complete Enterprise CEE MOVE for VDI License per OS Instance McAfee ePolicy Orchestrator (ePO - Security Management Platform) Anti-Virus / Antispyware (Windows for Desktop and Server) Anti-Virus Multiplatform (MAC / Linux / Unix for Desktop and Server) SiteAdvisor Enterprise incl. Web Filter Endpoint Desktop Firewall (Desktop and Server) Security for Email Servers (Microsoft Exchange and Lotus Domino) Device Control (Desktop) ePO Deep Command Discovery Host IPS (Desktop) Policy Auditor (Desktop) EMM Enterprise Mobility Management & Secure Container (Android) & VirusScan Mobile (Android) Application Control (Desktop) MOVE AV for Virtual Desktops (VDI) VSE & VSEL for the Scan Server VSE for Offline Virtual Images Datacenter Connector for VMware and vSphere
- 8. . McAfee Confidential Voorkom schade door Ransomware 2015 nu al het jaar van de Ransomware 8
- 9. . McAfee Confidential 9 Agenda 1. Ransomware in het nieuws • 2015 het jaar van de Ransomware 2. Ransomware (korte) opfrisser • Bezorgen • Verspreiding • Schade 3. Ransomware groeit enorm • Waarom? 4. Voorkomen (is beter dan genezen) • Intel Security benadering
- 10. . McAfee Confidential 10 Ransomware in het nieuws
- 12. . McAfee Confidential 12 Ransomware korte opfrisser • Wat is Ransomware/Cryptoware • Schade • Bezorgen • Verspreiding
- 13. . McAfee Confidential 13 New technologies have been adapted over the years to make ransomware more powerful Ransomware returns: new families emerge with a vengeance Source: McAfee Labs
- 14. . McAfee Confidential Ransomware returns Beginning in Q3 2014, the number of new ransomware samples began to grow again after a four-quarter decline. In Q4 2014, the number of new samples leaped 155%, we counted more than two million samples. 3 months later, in Q1 2015, this family of malware has exploded with a further 165% increase and driving towards an incredible 3 million samples!
- 15. . McAfee Confidential I need a solution to this problem It takes an Advanced System that is easy to implement, operate and maintain Source: McAfee Labs
- 16. . McAfee Confidential Employing an advanced system moves detection from 63% to 99.96%* *Source: McAfee Labs and Avtest Org
- 17. . McAfee Confidential Endpoint ModuleEndpoint Module Management Console Intel Security ATD YES NO Global Threat Intelligence 3rd Party Feeds Data Exchange Layer Threat Intelligence Exchange Server File age hidden Signed with a revoked certificate Created by an untrusted process Ransomware Prevention Model Adapt and Immunize — From Encounter to Containment in Milliseconds
- 18. . McAfee Confidential SIEM Endpoint ModuleEndpoint Module Management Console Intel Security ATD Web Gateway Email GatewayNGFW IPS Instant Ransomware Protection Data Exchange Layer Global Threat Intelligence 3rd Party Feeds Gateways block access based on endpoint convictions Security components operate as one to immediately share relevant data between endpoint, gateway, and other security products Proactively and efficiently protect your organization as soon as a threat is revealed Threat Intelligence Exchange Server
- 19. . McAfee Confidential SIEM Endpoint ModuleEndpoint Module Management Console Intel Security ATD Web Gateway Email GatewayNGFW IPS Instant Ransomware Protection Adapt and Immunize — From Encounter to Containment in Milliseconds Data Exchange Layer NOYES Global Threat Intelligence 3rd Party Feeds Endpoints are protected based on gateway convictions Threat Intelligence Exchange Server
- 20. . McAfee Confidential Instant Ransomware Protection Example Adapt and Immunize — From Encounter to Containment in Milliseconds
- 21. . McAfee Confidential Employing an advanced system moves detection from 63% to 99.96%* *Source: McAfee Labs and Avtest Org
- 22. . McAfee Confidential In theory everything sounds great, how about in real life?
- 23. . McAfee Confidential Nieuw in SLB contract 23 Advanced Threat Defense (ATD) De huidige malware is gemaakt met het doel om zo lang mogelijk niet ondekt te worden. De traditionele virusscanner kan de geavanceerde malware lang niet allemaal tegen houden. Zeker niet als het Malware is die nog nooit is gezien in de wereld. Deze Malware (zero day attacks) detecteren vergt andere technieken. Advanced Threat Defense pakt deze files (PDF, Excel, Word etc.) uit in een beveiligde omgeving alvorens zij op de endpoint terecht komen. In deze veilige omgeving doet de ATD appliance een serie van testen om te kijken wat deze file wilt doen met uw endpoint. Wanneer een file kwaadwaardig is, dan zal de ATD de nodige maatregelen nemen op de betreffende endpoint én alle andere endpoints om deze malware te verwijderen dan wel preventief te blokkeren. Dit zorgt voor een maximale preventie en maakt het bijna onmogelijk om een groot network te infecteren.
- 24. . McAfee Confidential Uitgelicht 24 McAfee ATD/TIE Starter Kit - 2500 nodes De 2500 ATD/TIE Starter Kit bevat: 1 ATD 3000 Appliance met 1jr Hardware Support + Gold Software Support. Perpetual Licenses met Gold Software Support voor 2500 Nodes van McAfee Threat Intelligence Exchange Software. McAfee ATD/TIE Starter Kit – 10.000 nodes De 2500 ATD/TIE Starter Kit bevat: 1 ATD 6000 Appliance met 1jr Hardware Support + Gold Software Support. Perpetual Licenses met Gold Software Support voor 10.000 Nodes van McAfee Threat Intelligence Exchange Software.
- 25. . McAfee Confidential Bescherming in 99,96% van de gevallen Samenvattend – Instant Ransomware Protection Ja, ransomware is in opkomst en kan leiden tot imago-schade en financiële schade. Ja, ransomware vindt ook in Nederland plaats, bij thuisgebruikers, MKB en grote bedrijven. Ja, het is mogelijk om uzelf te beschermen tegen ransomware met behulp van onze Instant Ransomware Protection. 25
Editor's Notes
- Goede morgen In dit webinar bespreken wij hoe je de schade van ransomware kunt beperken. Waarom is het (bijna) onmogelijk om te voorkomen dat ransomware je bedrijfsomgeving binnenkomt (met de traditionele oplossingen)? Poliymorphise ransomeware Hoe kun je het met de juiste oplossingen tijdig blokkeren, zodat je geen financiële schade lijdt?
- Back up data. Although this seems obvious, far too often there is no backup available or the backup process was never tested and didn’t work. Removable storage is widely available, inexpensive, and simple to use. Home users should create a backup, disconnect the device, and store it in a safe place. For cloud-based backup services, be aware of the chance that the victim’s endpoint could have copied encrypted files to the cloud, too. Some cloud-based backup services offer to restore the most recent versions of files. Perform ongoing user-awareness education. Because most ransomware attacks begin with phishing emails, user awareness is critically important and necessary. For every ten emails sent by attackers, statistics have shown that at least one will be successful. Don’t open emails or attachments from unverified or unknown senders. Employ antispam. Most ransomware campaigns start with a phishing email that contains a link or a certain type of attachment. In phishing campaigns that pack the ransomware in a .scr file or some other uncommon file format, it is easy to set up a spam rule to block these attachments using McAfee Email Gateway. If .zip files are allowed to pass, scan at least two levels into the .zip file for possible malicious content. Protect against polymorphic ransomware. The worst ransomware variants, including CryptoLocker, are polymorphic. This makes it incredibly difficult for traditional antimalware technology to stop them. However, McAfee Threat Intelligence Exchange is specifically designed to stop threats like these by using the newness of files as threat indicators. Recognizing files as new to the environment and combining that with other behavioral detection techniques, McAfee Threat Intelligence Exchange can stop polymorphic ransomware. Protect endpoints. Use McAfee VirusScan Enterprise endpoint protection and its advanced features. In many cases, the client is installed with just default features enabled. By implementing some advanced features—for example, “block executable from being run from Temp folder”—more malware can be detected and blocked. Additionally, stay up to date with daily antimalware definition files (DATs). McAfee Labs works around the clock to identify and fight ransomware, but the value of that work is realized only if the latest DATs are deployed. Block unwanted or unneeded programs and traffic. Blocking Tor, often used by ransomware to communicate anonymously, is simple with McAfee network security products such as McAfee Network Security Platform and McAfee Next Generation Firewall. Blocking Tor will often block ransomware from getting the public RSA key from the control server, thereby stopping the ransomware encryption process. For customers without McAfee network security products, our Endpoint Intelligence Agent is a good alternative. It runs on the endpoint and identifies malicious outbound traffic and its associated application. Keep system patches up to date. Many vulnerabilities commonly abused by ransomware can be patched. Keep up to date with patches to operating systems, Java, Adobe Reader, Flash, and applications. Have a patching procedure in place and verify whether the patches were applied successfully. McAfee Vulnerability Manager can spot vulnerabilities within your trusted network. Herstel kosten na aanval rapport (cost etc) Hoe is de huidige beveiliging (tegen ransomware)? In zicht in Netwerk verkeer/apps Zero day bescherming herkenning herstellen en of voorkomen Continuïteit (kosten van schade) database en bestanden niet beschikbaar voor geruime tijd
- Veel over gepubliceerd en ransomware is echt aan een opmars bezig, ook in Nederland - Vrije Universiteit Amsterdam (9 maart 2015) : 200 computers geinfecteerd, het netwerk op read-only gezet Bol.com: niet gehackt, maar wel gebruikt in phishing emails, bij bezorging Rijkswaterstaat (20 maart 2015): onbekend aantal computers en schade, via phishing email / linken (ook gerefereerd aan gemeenten Lochem en Dronten) Gemeente Vianen (19 mei 2015): alle compueters, servers uitgeschakeld. Back up van paar dagen eerder teruggezet, geen toegang tot email en aanvragen paspoorten-rijbewijzen tijdelijk niet behandeld aan balie Friese Gemeenten (9 juni 2015): het werk enkele uren stilgelegd (gelegenheid om kasten uit te ruimen, veel meer oud papier dan normaal ) Ook even een voorbeeld bij onze Oosterburen, aangezien dat afgelopen week in het nieuws kwam: Duitse parlement (12 juni 2015): mogelijk 20.000 computers gaat waarschijnlijk in de miljoenen lopen.
- Geen wonder dat we ook in Nederland veelvuldig voorbeelden zien: 35% van alle CTB-Locker slachtoffers bevindt zich in Europa. Over de hele linie: prive gebruikers, MKB, grote bedrijven Waar is het slachtoffer Meest gebruikt CBT
- Wie het nog niet weet/op een opfrisser, Ransomware is een vorm van malware dat je bestanden onbereikbaar maakt: je financiële (excel), klantenbestanden documenten etc. Bovendien is het gedurende de encryptie niet mogelijk om met de bestanden te werken. Dit zorgt vaak voor de grootste schade door gemiste orders en werkprocessen die stil komen te liggen. Kosten van Schade en Herstel kosten na aanval zijn vrij specifiek maar kunnen snel behoorlijk oplopen Denk aan Continuïteit kosten, database en bestanden niet beschikbaar voor geruime tijd. De van een besmetting van 10.000 euro naar tonnen. En zoals we in het nieuws horen zelfs miljoenen. Denkt u eens in, hoelang duurt het en kost het om een volledige back terug te plaatsen? Ook is ransomware er voor iedereen van thuisgebruikers, mkb, van banken en van enterprise omgevingen. Wat we nu vooral zien zijn CTB-Locker varianten. Office Documents (DOC, XLS, PDF, PPT, MDB) images (PNG, GIF, BMP, PSD, JPG), audio (MP3, ITL, ITDB) video (MPG, WMA), archives (RAR, ZIP, 7Z), certificate files (CER, CRT, PEM, PFX, P7B, P12) source code (JS, PY, PL, MD) databases (ODB, DBF) Bezorging Networkworld leert oon dat in In 2014 95% van alle successvolle aanvalllen om een enterprise netwerk zijn begonnen met spear phishing Source: http://www.networkworld.com/article/2164139/network-security/how-to-blunt-spear-phishing-attacks.html En 1 op de 5 gebruikers zal op de link klikken binnen in de phishing email, zo konden we lezen in het Verizon Data Breach Investigation Report van 2014 In 2015 Vinden we in het Breach Investigation Report dat 2 op de 3 aanvallen spear phishing betreft Dat lijkt een verbetering maar helaas, het ook zo dat 50% van de gebruikers de email opent en klikt (vorig jaar nog 1 op de 5) Medewerkers spelen een rol bij Phishing, USB, drive by downalod Maar ook je bedrijfsbeveiliging. Doe Voorbeeld Phishing quiz. Spreek met ons over web, email security en clickprotect 1 Malware zelf genereerd encryptiesleutels/keys die specifiek zijn voor de gebruiker Bestanden worden versleuteld met deze gebruikers key de authors publieke key is ook al aanwezig in malware Key is versleuteld met behulp van malware authors publieke key 2 Encrypted key wordt encrypted aan C&C server verstuurd. Publiek en prive key worden gegenereerd op de C & C-server Publieke key wordt downloaded door malware Bestanden versleuteld met de publieke key, kan alleen worden gedecodeerd met een eigen key, die wordt vernietigd na een ingestelde periode In beide voorbeelden, de enige manier om bestanden te decoderen is (zie voorbeeld) met malware authors prive key gekoppeld aan de publieke key.
- Ransomware neemt wraak, met nieuwe technologieën om ransomware krachtiger te maken: Door het gebruik van Bitcoins als de methode om losgeld te betalen, zijn aanvallers niet meer blootgesteld aan de traditioneel bankieren. Mooi bussiness model. Loont enorm een nettowinst van ongeveer $ 8.000 $ 10.000, afhankelijk van het aantal slachtoffers die betalen en de kosten van een exploit kit, de aangepaste cryptors, etc. Bots Tor-netwerk: Door het gebruik van het Tor netwerk, kunnen aanvallers gemakkelijker de locatie van hun controle servers, die de slachtoffers private sleutels op te slaan verbergen. Tor maakt het mogelijk de criminele infrastructuur gedurende lange tijd te handhaven en zelfs te huren infrastructuur aan andere aanvallers zodat ze campagnes van partners kunnen lopen. Verhuizen naar mobiel: In juni 2014 ontdekten onderzoekers de eerste ransomware familie om gegevens op Android-apparaten te versleutelen. Pletor gebruikt AES encryptie versleutelt de gegevens op de telefoon geheugenkaart en gebruikt Tor, SMS of HTTP verbinding met de aanvallers. Targeting mass-storage-apparaten: In augustus 2014 begon Synolocker targeting network attached storage (NAS) disk en rek stations van Synology. De malware maakt gebruik van een kwetsbaarheid in ongepatchte versies van de NAS-servers op afstand te versleutelen alle gegevens op de servers met behulp van zowel RSA 2048-bit sleutels of 256-bits sleutels. Virtual currency. By using virtual currency as the method to pay ransoms, attackers are not exposed to traditional banking and the possibility that money transfers can be traced – it is also massive headache for organisations to buy bitcoins and get currency converted! Tor network. By using the Tor network, attackers can more easily hide the location of their control servers, which store the victims’ private keys. Tor makes it possible to maintain the criminal infrastructure for a long time and to even rent the infrastructure to other attackers so they can run affiliate campaigns. Moving to mobile. In June 2014, researchers discovered the first ransomware family to encrypt data on Android devices. Pletor uses AES encryption, encrypts the data on the phone’s memory card, and uses Tor, SMS, or HTTP to connect to the attackers. Targeting mass-storage devices. In August 2014 Synolocker began targeting network attached storage (NAS) disk and rack stations from Synology. The malware exploits a vulnerability in unpatched versions of the NAS servers to remotely encrypt all data on the servers using both RSA 2,048-bit keys or 256-bit keys.
- Een belangrijke resourse is Threat Advisory is published by McAfee Labs, neem een abonnement op “Malware and Threat Reports” via URL: https://sns.snssecure.mcafee.com/content/signup_login. In November zagen we de trend, maar ook wij konden het huidige explosive landschap niet voorspellen In ons McAfee Labs Threat Advisory rapport van November 2014 kwamen we met voorspelling voor 2015 en idd Ransomware zal blijven evolueren, en nu hebben we last van ransomware familie CTB-Locker. Het wordt verspreid op vele manieren, met inbegrip van Internet Relay Chat, peer-to-peer netwerken, postings nieuwsgroepen, e-mail spam, dubbel gezipt, misleidend en nog veel meer 2014 en Q1, 165% De data komt van millions of sensors across key threats vectors—file, web, message, and network—McAfee Labs delivers real-time threat intelligence, critical analysis, and expert thinking to improve protection and reduce risks. McAfee is now part of Intel Security. CTB-Locker is a ransomware that on execution encrypts certain file types present in the user’s system. The compromised user has to pay the attacker a ransom to get the files decrypted. McAfee detects this threat under the following detection name[s]: BackDoor-FCKQ Downloader-FAMV Injector-FMZ Downloader-CTB Ransom-CTB Niet alleen thuisgebruikers maar ook banken en andere bedrijftstakken zijn getroffen en/of target
- Stel uzelf de vragen herstel kosten na aanval Continuïteit (kosten van schade) database en bestanden niet beschikbaar voor geruime tijd Hoe is de huidige beveiliging (tegen ransomware en zero day)? In zicht in Netwerk verkeer/apps Zero day bescherming herkenning herstellen en of voorkomen We dienen ons beter te verdedigingen tegen geavanceerde aanvallen!
- Marina Suggestie: Met bestaande AV, firewalls, gateways komt ransomware er toch doorheen. De malware wordt vernieuwd en de hash is steeds uniek 63% is pure AV User Education – don’t open attachments in suspicious emails, check URLs. Clickprotect, web security Access Protection Rules HIPS Rules Kan dit hoger liggen dan met standaard VSE DATs coverage
- Om on Ransomware Preventie Model uitteleggen in actie, lopen we door hoe wij proactief een geavanceerde gerichte aanval kunnen voorkomen We hebben hier als voorbeeld een endpoint sensor genomen, maar dit dat ook met de gateway sensoren gekund. We hebben groot scala aan oplossingen, die we graag later toelichten. Nu hebben we ATD In dit voorbeeld, nemen we spearphising aanval op de prive email van de gebruiker die de gebruiker de avond ervoor op de PC heeft binnen gehaald. De executive (openen van de e-mail op het eindpunt die een zero-day probeert te draaien is de volgende dag. <Bouwen 1> Het is een echte zero-day de payload is een bestand dat VSE nooit eerder heeft gezien en is geen onderdeel onze of concullega’s DAT-bestanden Het bestands wordt naar de TIE server verzonden om te bepalen of het een bekend bestand betreft. In dit geval heeft TIE bepaald of het een unknown bestand betreft en heeft en kent ook de reputatie voor dit bestand niet. <Build 2> Vanaf dit punt, het TIE server zal de McAfee Global Threat Intelligence controleren in de cloud voor een reputatie. Het zal dan terug te sturen de resultaten van deze opzoeken terug naar het eindpunt. <Build 3> Op dit moment zijn er een aantal opties in te stellen per beleid 1. laat het bestand uit te voeren, 2. voorkomen dat het uitvoeren en quarantaine het, 3. Voorkom executie want het is een bekend slechte bestand, 4. Of als het weet niet de reputatie, kan het voor verdere analyse naar McAfee Geavanceerd Threat Defense (ATD). <Build4> naar volgende dia <Build 2> From this point, the TIE server will check the McAfee Global Threat Intelligence in the cloud for a reputation. It will then send back the results of this look up back to the endpoint. <Build 3> At this point, there are some options set per policy, 1. allow the file to execute, 2. prevent it from executing and quarantine it, 3. Prevent execution because it is a known bad file, 4. Or if it doesn’t know the reputation, it can sent it to McAfee Advanced Threat Defense (ATD) for further analysis. <Build4> to next slide
- <Build 1> The suspect file is sent to ATD for and in depth sandboxing analysis and it is determined that it is indeed malicious. Once classification is determined, ATD publishes the new reputation information for our zero-day spearphishing payload using the collaborative DXL fabric Endpoints, Gateways and other security components consume this classification change instantaneously and automatically update themselves to protect against any future encounter Endpoints in the environment will now immunize themselves automatically and without requiring a traditional DAT file update. Not only will they prevent any future encounters of the payload on endpoints which had not observed this file as of yet. They will also contain and remediate any existing instances of the payload on endpoints which had been previously infected.
- This adaptive response to a zero-day threat is orchestrated across all of the connected countermeasures on the fabric. Furthermore, this process will take place regardless of where a threat is first encountered – network, gateway or endpoint. In this example we see that our spearfishing payload could be just as easily incepted by a network intrusion prevention (NSP) product. The results are the same though in either case – the infrastructure learns and self-informs to automatically adapt. In fact, even endpoints that are not in the company-managed network can learn instantaneously from the insights discovered by the corporate firewall or mail gateway. A second executive checking their mail at a Starbucks or airport wifi will be protected from the adaptive response of this collaborative model, despite not being behind the corporate FW. Dit adaptieve reactie op een zero-day bedreiging georkestreerde over alle aangesloten tegenmaatregelen op de stof. Bovendien zal dit proces plaatsvinden ongeacht de plaats waar een bedreiging voor het eerst wordt aangetroffen - netwerk, gateway of eindpunt. In dit voorbeeld zien we dat onze spearfishing payload net zo gemakkelijk kunnen worden incepted door een netwerk intrusion prevention (NSP) product. De resultaten zijn echter hetzelfde in beide gevallen - de infrastructuur leert en zelf-informeert automatisch aangepast. Als het ego systeem op de hoogte is dan kan zelfs een eindpoint dat buiten de organisatie is, bijvoorbeeld bij de McDonnalds op een gratis wifi naar de reputatie luisteren en weet wat de reputatie is van dit bestand.
- This adaptive response to a zero-day threat is orchestrated across all of the connected countermeasures on the fabric. Furthermore, this process will take place regardless of where a threat is first encountered – network, gateway or endpoint. In this example we see that our spearfishing payload could be just as easily incepted by a network intrusion prevention (NSP) product. The results are the same though in either case – the infrastructure learns and self-informs to automatically adapt. In fact, even endpoints that are not in the company-managed network can learn instantaneously from the insights discovered by the corporate firewall or mail gateway. A second executive checking their mail at a Starbucks or airport wifi will be protected from the adaptive response of this collaborative model, despite not being behind the corporate FW.
- Marina Suggestie: Met bestaande AV, firewalls, gateways komt ransomware er toch doorheen. Waarom leg ik straks verder uit. 63% is pure AV User Education – don’t open attachments in suspicious emails, check URLs. Clickprotect, web security Access Protection Rules HIPS Rules Kan dit hoger liggen dan met standaard VSE DATs coverage
- Misschien denkt u ”ja, ja, het klinkt goed, maar in de praktijk zal het wel tegenvallen”. Wij hebben een aantal zaken die wij u kunnen aanbieden: wilt u zelf weten wat ATD vindt van u sample neem contact op Sample waardoor u getroffen bent doorsturen, halen wij door de ATD, krijg u een uitgebriede analyse van Demo via internet Afspraak (met ons of met een partner) met uw team om specifiek op uw situatie en IT omgeving in te gaan Sensor plaatsen in uw omgeving met volledig testrapport na afloop Via onze partners u laten informeren Naar het EMEA Executive Briefing center komen dat zich op Schiphol-Rijk bevindt
- (Speaker: choose one suite slide to present, Enterprise or Business, prior to presenting). Designed for mid-sized companies McAfee Complete Endpoint Protection – Business provides all the security medium sized companies need to protect their business. This suite contains advanced anti-virus technologies for all kinds of devices – from Windows/Mac PCs to storage and SharePoint servers to mobile devices like Android and iOS phones. As with our enterprise suite this also includes our single integrated management console, ePO to make managing your security simple and easy. It also includes full disk encryption for PCs and device control to protect corporate data on laptops. McAfee Complete Protection – business provides best in class security, unparalleled speed, and simple, unified management.
- Ransomware