2. .
McAfee Confidential
Celkové množství Malware v McAfee Labs databázi
2
0
50,000,000
100,000,000
150,000,000
200,000,000
250,000,000
300,000,000
350,000,000
400,000,000
Q1 2013 Q2 2013 Q3 2013 Q4 2013 Q1 2014 Q2 2014 Q3 2014 Q4 2014
Total Malware
Source: McAfee Labs, December 2014
Množstvívzorků
Je detekováno 387 nových hrozeb kažnou
minutu
Více než 6 hrozeb každou sekundu
3. .
McAfee Confidential
Malware vs. Antimalware
Nekonečný boj, ve kterém nezvítězí ani jedna strana, ale malware bude vždy o
krok napřed, protože reaguje na aktuálně dostupné bezpečnostní technologie
Vznik
malwaru
Jednoduché
signatury
Modifikace
kódu a úhyb
signaturám
Heuristika,
hledání kostry
kódu,
vynechávání
zbytečných
instrukcí
Polymorfní
malware,
kryptovací
malware
4. .
McAfee Confidential
Jaký je další krok?
• Výrobci bezpečnostních technologií musí reagovat
• Detekovat malware bez signatur podle jeho chování,
protože
• Velmi často se jedná o jednoduché modifikace stejného malwaru
• Malware provádí velmi podobné operace, např.:
– Zajišťuje své znovuspuštění po restartu
– Spojuje se se svým Command&Control centrem
– Vykrádá informace z dalšího softwaru a z klávesnice
– …
• Detekce před samotnou infekcí koncového stroje
• Detekce malware na perimetru pomocí síťových prvků
• Propojení síťová a endpoint bezpečnosti
5. .
McAfee Confidential
Výzvy pro bezpečnou virtualizaci
5
Virtualizace = nová IT platforma
• s vlastními specifickými zranitelnostmi
Virtualizace mění pohled na koncové systémy
• Virtualizované systémy přestávají být
systémy a stávají se daty
• Virtuální obrazy jsou budovány a
nastavovány za pochodu bez ohledu na
související hodnoty
•Virtuální svět je také zranitelný
• Hypervisor
• Offline Virtual Images
• Virtualization Center Console
Out-of-date
offline images
Virus
Spam
Trojan
Worms
DDoS
Vulnerabilities
Hypervisor
Apps
OS
Virtual
Machine
Apps
OS
Virtual
Machine
Apps
OS
Offline
Virtual
Image
13 October 2015
6. .
McAfee Confidential
Hypervisor
Optimalizovaný McAfee Anti-Virus – MOVE AV
6
Datacenter
MOVE
Appliance
MA
OS
McAfee ePO
Vlastnosti
• Offload On-Access skenování
• Menší dopad skenování na HW
• Ochrana paměti
• Karanténa
• GTI reputace souborů
• VSE licence pro virtuální stroje
VM
MA
OS
MOVE
VM
MA
OS
MOVE
13 October 2015
7. .
McAfee Confidential
October 13, 20157
Nová McAfee virtuální IPS sonda kontroluje jak fyzický provoz, tak provoz
virtuálních strojů
VMware Host
vswitch
VM Image VM Image
Fyzická síť
vswitch
vswitch
McAfee
virtual IPS
Virtuální IPS sonda pro datová centra
8. .
McAfee Confidential
Hypervisor
McAfee Next Generation Firewall jako virtuální
appliance pro datová centra
8
Nová virtuální platforma s více možnostmi nasazení
Snadná instalace McAfee NGFW
image pro různé hypervisory
Tenant A Tenant CTenant B
Virtuální switch
Fyzická síť
Verze 5.9
• Podporuje hybridní nasazení – fyzická a virtuální appliance
• Snadná migrace z HW appliance na virtuální
• Snadná správa stejný centrální managenet a politky
9. .
McAfee Confidential
October 13, 20159
– MWG – McAfee Web Gateway
– MEG – McAfee Email Gateway
– Network DLP
• Prevent
• Discover
– SIEM appliance
• ESM – Enterprise Security Manager
• Receiver
• ELM – Enterprise Log Manager
• ACE – Advanced Correlation Engine
– ePO – ePolicy Orchestrator server
Další bezpečnostní nástroje McAfee
nasaditelné do virtuálního prostředí
11. .
McAfee Confidential
11
Ochrana před Cryptolocker a dalším malware
• Standardní antivirové řešení nestačí
• Základní kámen bezpečnosti, nikoliv hradba....
• AV skenuje soubory porovnámím s DAT databází – blacklistig
• Co je v DAT databázi je nalezeno, co není v DAT databázi je povoleno
• AV není schopen v reálném čase reagovat na nové nebo modifikované hrozby
• Vyšší úroveň bezpečnosti pomocí Adaptivní inteligence při vyhledávání hrozeb
• McAfee Threat Inteligence Exchange / Data Exchange Layer – TIE/DXL
• McAfee Advanced Threat Defense - ATD
• Řešení
• Antivirové a antispamové řešení na bráně i endpointu
• Host nebo Network IPS
• Důležitá je záloha souborů
• Vzdělávání uživatelů – neotevírat přílohy podezřelých
emailů, kontrola URL adres při webové komunikaci
12. .
McAfee Confidential
Co je Data Exchange Layer
12
Data Exchange Layer (DXL) je základní vrstva pro Security Connected
architekturu
DXL poskytuje Enterprise Message Bus framework, který umožňuje
sdílení kontextových bezpečnostních informací mezi bezpečnostními
produkty, zajišťuje adaptivní bezpečnost a nápravu.
13. McAfee Internal Use Only
Co je Threat Intelligence Exchange
13
Threat Intelligence Exchange (TIE) je systém, který poskytuje
informace o reputaci souborů, které jsou získávané z různých zdrojů a
tím zajišťuje vyšší bezpečnost pro celou informační infrastrukturu.
• Využívá Data eXchange Layer(DXL) k distribuci reputací na TIE klienta
• Kombinuje informace z více bezpečnostních zdrojů k určení reputace
• Adaptivní bezpečností snižuje riziko při spouštění souborů
14. .
McAfee Confidential
TIE/DXL architektura
McAfee Threat Intelligence Exchange
Komponenty řešení
- TIE Server
- TIE Client
- DXL Fabric
Global Threat
Intelligence
3rd Party
Feeds
DXL Fabric
TIE Server ePO
TIE Client
Fyzický nebo
VDI
TIE Client
Fyzický nebo
VDI
TIE Client
Fyzický nebo
VDI
15. McAfee Internal Use Only
Co je reputace souboru
analogie s identifikačním průkazem
15
Jméno
Bydliště
Datum narození
Vydání dokladu
Otisk prstu
Odkud přichází
Dotaz na registr osob
Jak často přichází
.....
Jméno
Cesta k úložišti
Datum vzniku souboru
Podpis certifikátem
Hash souboru
Lokální cesta, download z Internetu
Dotaz na globální reputační server
Kolikrát byl spuštěn v lokálním prostředí
.....
Identifikační údaje osoby Identifikační údaje souboru
16. .
McAfee Confidential
Podepsaný
důvěryhodným
certifikátem
Silná globální
reputace z GTI
Žádný podpis
Žádná globální reputace
Mnohokrát spouštěný v
lokálním prostředí /
důvěryhodná lokální aplikace
Žádné další atributy
bezpečnostní hrozby
Žádný podpis
Žádná globální ani lokální
reputace
První spuštění v lokálním
prostředí
Podezřelý atribut –
download z Internetu
Jak pracuje reputace TIE - porovnání třech
spouštěných souborů
Neznámý soubor - malwareMicrosoft Visio Zákaznická aplikace
Důvěryhodnost : Vysoká
Akce: Povolit
Důvěryhodnost: Velmi vysoká
Akce: Povolit
Důvěryhodnost : Nízká
Akce: Blokovat
17. .
McAfee Confidential
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
Threat Intelligence Exchange
Adapt and Immunize—From Encounter to Containment in Milliseconds
YES NO
McAfee
Global Threat
Intelligence
3rd Party
Feeds
Data Exchange Layer
McAfee
TIE Server
Skryté stáří souboru
Není podepsaný
certifikátem
První spuštění v prostředí
společnosti
Stažen z Internetu
18. .
McAfee Confidential
McAfee Advanced Threat Defense
Specializovaná appliance určená na detekci známého i neznámého (tzv. zero-
day) malwaru
Detekci neznámého malware zařizuje kombinace několika metod, jednou z
hlavních je sandboxing
• Soubor je otevřen/spuštěn ve virtuálním prostředí, které simuluje klientský stroj
a ATD sleduje veškeré jeho činnosti
19. .
McAfee Confidential
Dynamická a statická analýza kódu
DYNAMICKÁ ANALÝZA
• Sledování modifikace registrů
• Sledování síťové komunikace
• Sledování aktivity procesů
• Sledování systémových změn
Klasifikace a reporty
Sleduje chování podezřelého
kódu …
Dobré, ale nedostatečné!
Klasifikace a reporty
Na základě pozorovnání chování
a statické analýzy nespuštěných
kódů
STATICKÁ ANALÝZA
• Rozbalení komprimovaných souborů
• Statická analýza „rozebraného“ kódu
• Detekce pozdrženého spuštění kódu
• Skryté logické cesty
PE Files
Adobe
Reader
Mobile Archives
Microsoft
Office
20. .
McAfee Confidential
Architektura MWG, MEG, IPS a ATD
20
McAfee Advanced
Threat Defense
McAfee xxx
Gateway
Stahovaný soubor z
Internetu
REST API
Soubor je
odeslán na ATD
na hloubkovou
kontrolu
Výsledek
hloubkové
analýzy
McAfee ePO
Dotaz na verzi OS
koncového bodu /
výběr VM profilu
statická a dynamická
analýza, sandboxing
(out-of-band)
Skenování souboru
pomocí GTI, AV a
GAM
(možnost definice v
politice)
21. .
McAfee Confidential
McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Data Exchange Layer
McAfee
Global Threat
Intelligence
3rd Party
Feeds
Bránové nástroje blokují přístup do interní sítě společnosti na
základě detekce na koncových stanicích
Bezpečnostní
nástroje pracují
jako celek.
Okamžitě sdílí
relevantní
informace o
hrozbách mezi
sebou.
Proaktivní a
efektivní ochrana
celé společnosti
okamžitě při detekci
hrozby
McAfee
TIE Server
Threat Intelligence Exchange
Adapt and Immunize—From Encounter to Containment in Milliseconds
22. .
McAfee Confidential
McAfee
ESM
McAfee
VSE Threat
Intelligence
Module
McAfee
VSE Threat
Intelligence
Module
McAfee
ePO
McAfee
ATD
McAfee
Web Gateway
McAfee
Email Gateway
McAfee
NGFW
McAfee
NSP
Threat Intelligence Exchange
Adapt and Immunize—From Encounter to Containment in Milliseconds
Data Exchange Layer
NOYES
McAfee
Global Threat
Intelligence
3rd Party
Feeds
Koncové stanice jsou
chráněny na základě
bezpečnostních nástrojů
na bráně společnosti
McAfee
TIE Server
23. .
McAfee Confidential
Adaptive Threat Prevention and Detection
Integrace se SIEM
23
Web Gateway Email GatewayNGFW NSP
Network & Gateway
ATD
Endpoints
Sandbox
ESM
SIEM
IOC 1
IOC 2
IOC 3
IOC 4
Informace o
detekci malware
je odeslána na
síťové prvky a
koncové systémy
Soubor je
analyzován
Nová IOC inteligence
provede historické
vyhledávání
Již napadené
systémy jsou
izolovány nebo
vyčištěny
TIE Endpoint
Module
TIE Endpoint
Module
TIE Endpoint
Module
TIE Endpoint
Module
DXL Ecosystem DXL Ecosystem