Техническая презентация решений McAfee (Intel Security) по шифрованию данных.
Рассматривается процесс развертывания и управления.
Подробно расписаны особенности и возможности актуальных версий продуктов.
Содержимое:
- номенклатура решений шифрования
- основы работы с еРО
- Drive Encryption (Win) детально
- Management of Native Encryption (Win, Mac) детально
- File & Removable Media Protection (Win)
- Источники знаний
- Советы из практики
Целевая аудитория:
Руководители ИТ/ИБ подразделений, специалисты по защите информации.
Комплекты для защиты серверов и рабочих станций от Intel Security (McAfee).
Рассмотрены основные комплекты EPS и модули, которые в них входят. Более подробно описана работа с консолью еРО и средствами шифрования.
В заключительной части даны практические советы и ссылки на источники достоверной информации.
Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP
Свежая презентация по комплекту шифрования Intel Security (McAfee). Рассмотрены сценарии интеграции выборочного шифрования файлов с модулем DLP Endpoint. Даны практические рекомендации по внедрению шифрования. Рассмотрены особенности каждого из модулей шифрования.
01.10.14
Описание новых технологий защиты, таких как
"песочница" ATD, шина обмена данными TIE.
Построение системы защиты которая умеет обучаться.
Кроме прочего обзор решений McAfee по
+ защите конечных точек
+ шифрованию данных
~ ~ ~
Информация технического характера.
Предназначена в первую очередь для сотрудников ИТ/ИБ департаментов.
Презентация по направлению McAfee Endpoint Protection.
Защита конечных точек. VSE, HIPS, Application Control.
Новые разработки McAfee совместно с Intel.
Краткий обзор нововведений ENSv10.1
Усиленная защита, улучшенный скан, упрощенные политики и редизайн интерфейса. На закуску - интеграция с TIE (DXL) и ATD. Ну и мое любимое - конструктор правил Access Protection.
Защита от эксплойтов и новых, неизвестных образцов.
Рассмотрены технические аспекты работы решения.
Отображена работа защиты на актуальных семплах ransomware, RAT и т.д. Дополнительно показаны схемы активации и закрепления семплов в системе. Контент будет полезен руководителям и сотрудникам ИТ/ИБ подразделений.
Комплекты для защиты серверов и рабочих станций от Intel Security (McAfee).
Рассмотрены основные комплекты EPS и модули, которые в них входят. Более подробно описана работа с консолью еРО и средствами шифрования.
В заключительной части даны практические советы и ссылки на источники достоверной информации.
Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP
Свежая презентация по комплекту шифрования Intel Security (McAfee). Рассмотрены сценарии интеграции выборочного шифрования файлов с модулем DLP Endpoint. Даны практические рекомендации по внедрению шифрования. Рассмотрены особенности каждого из модулей шифрования.
01.10.14
Описание новых технологий защиты, таких как
"песочница" ATD, шина обмена данными TIE.
Построение системы защиты которая умеет обучаться.
Кроме прочего обзор решений McAfee по
+ защите конечных точек
+ шифрованию данных
~ ~ ~
Информация технического характера.
Предназначена в первую очередь для сотрудников ИТ/ИБ департаментов.
Презентация по направлению McAfee Endpoint Protection.
Защита конечных точек. VSE, HIPS, Application Control.
Новые разработки McAfee совместно с Intel.
Краткий обзор нововведений ENSv10.1
Усиленная защита, улучшенный скан, упрощенные политики и редизайн интерфейса. На закуску - интеграция с TIE (DXL) и ATD. Ну и мое любимое - конструктор правил Access Protection.
Защита от эксплойтов и новых, неизвестных образцов.
Рассмотрены технические аспекты работы решения.
Отображена работа защиты на актуальных семплах ransomware, RAT и т.д. Дополнительно показаны схемы активации и закрепления семплов в системе. Контент будет полезен руководителям и сотрудникам ИТ/ИБ подразделений.
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Защита данных от Dell Software: краткий обзор и планы развития продуктов BAKOTECH
Презентация Дмитрия Крайнова, регионального менеджера по развитию бизнеса в России и странах СНГ на мероприятии Dell Data Protection Seminar (2015/05/28).
Презентация Защита данных от Dell Software: краткий обзор и планы развития ...Marina Gryshko
Презентация Дмитрия Крайнова, региональный менеджер по развитию бизнеса в России и странах СНГ на мероприятии Dell Data Protection Seminar (2015/05/28).
Обзор решений McAfee по направлению Data Protection.
Архитектура, принцип работы комплекса McAfee DLP.
Преимущества и отличия систем шифрования данных.
http://radetskiy.wordpress.com/2013/06/10/dlp-endpoint-9-3/
http://radetskiy.wordpress.com/2013/06/27/mcafee-encryption-intro/
Презентация с вебинара по комплексу McAfee DLP.
Основной упор был сделан на использование новых возможностей DLP Endpoint 9.4 для пресечения случайных/умышленных попыток передачи информации в чужие руки по различным каналам.
Анонс новых моделей серверов ДЕПО Шторм российского производстваDEPO Computers
Андрей Состин, руководитель направления серверной продукции DEPO Computers, рассказал о возможностях и преимуществах отечественных серверных систем DEPO и анонсировал новые модели двухпроцессорных серверов DEPO Storm российского производства на базе ОС Windows Server 2016.
СУБД Firebird: Краткий обзор, Дмитрий Еманов (in Russian)Alexey Kovyazin
Небольшая презентация Дмитрия Еманова, ведущего разработчика Firebird, посвящена обзору СУБД Firebird, в том числе текущему состоянию и планам развития.
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
Як перевіряти файли (документи) на наявність активного (шкідливого) вмісту:
• Розглянув роботу з документами MS Office, PDF, LNK та архівами.
• Показав основні типи активної начинки, через яку пробують інфікувати системи.
• Показав роботу з онлайн інструментами та з інструментами статичного аналізу.
• Дав поради по налаштуванню тестового середовища.
Запис можете подивитись тут https://youtu.be/U8uRqq5pC5U?t=205
Будьте здорові, уважні та обережні. Слава Україні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#malware #sandbox #перевірка #аналіз #пісочниця
Слайди + додаткові матеріали https://radetskiy.wordpress.com/2022/03/22/2fa_mobile_in_warzone/
Як правильно створити новий обліковий запис для телефону та/або активувати другий фактор для існуючого облікового запису Google. Матеріал в першу чергу для цивільних, які пішли в ТРО чи ЗСУ. Якщо вам сподобалося - поширюйте, особливо серед військових.
Слава Україні!
Слайди + відео на блозі https://radetskiy.wordpress.com/2022/03/20/mobile_in_warzone/
Це відео про те, як правильно користуватися телефоном на війні. Матеріал в першу чергу для цивільних, які пішли в ТРО чи ЗСУ. Якщо вам сподобалося - поширюйте, особливо серед військових. Слава Україні!
Слайди до мого виступу на Trellix Cyber Month.
Опис сценарію атаки взятого з реальних подій.
Відео стріму тут https://youtu.be/3LvR609nn3Q?t=266
Відповіді на запитання тут https://youtu.be/3LvR609nn3Q?t=3776
Наведено приклад несанкціонованого доступу нападників через скомпрометованого підрядника.
Показано типові дії зловмисників: розвідка, ескалація привілей, відключення антивірусного захисту і запуск Ransomware.
Наведені поради щодо кастомізації правил та політик захисту McAfee Endpoint Security для захисту від таких атак.
Будьте здорові, уважні та обережні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#Trellix #McAfee #VR #malware #TTPs #ransomware
Слайди моєї доповіді з Форуму Кібербезпеки 2021.
Практичні поради щодо захисту кінцевих точок від приманок у вигляді документів і не тільки.
Відео:
Кіберполігон: https://youtu.be/mibBBcQpgWM?t=7426
Доповідь: https://youtu.be/mibBBcQpgWM?t=13910
#OptiData #VR #McAfee #MVISION #ENS
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatVladyslav Radetsky
On those slides I will show you 7 simple steps to test different McAfee ENS protection mechanism.
And as a bonus I will show you how to use MVISION Insights to react on SunBurst threat.
List of tests:
- OAS AMCore detection
- OAS GTI detection
- Access Protection
- Exploit Prevention
- Real Protect (ATP-RP)
- Dynamic Application Containment (ATP-DAC)
- Credential Theft Protection (ATP-RP-CTP)
All tests made for built-in rules and conducted without using real malware, so it is safe to repeat those steps in your environment.
#McAfee #MVISION #Insights #SunBurst #SolarWinds #supplychain
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Vladyslav Radetsky
Як проводити практичну перевірку роботи захисту ENS, та як MVISION Insights може стати у нагоді у світлі атак на FireEye та SolarWinds.
На слайдах відображено наступні тести:
- OAS AMCore detection
- OAS GTI detection
- Access Protection
- Exploit Prevention
- Real Protect (ATP-RP)
- Dynamic Application Containment (ATP-DAC)
- Credential Theft Protection (ATP-RP-CTP)
Усі тести виконані на базі вбудованих правил та сигнатур _без_ використання реального шкідливого коду.
#McAfee #MVISION #Insights #SunBurst #SolarWinds #supplychain
Слайди моєї доповіді з #CyberCrimeOperationUkraine
Відео дивіться тут: https://youtu.be/kxQdF6m_feU
Стисла аналітика по зразкам malware за 2019-2020.
Розглянуто 3 основні типи: примітивні, середні та складні.
Певні слайди публікуються вперше. Приємного перегляду.
#OptiData #VR #malware #cybercrime #samples2020
Автоматичне відновлення зашифрованих файлів - слайди 17-18. McAfee оновило Endpoint Security (ENS).
Розбираю нові функції та поясню як правильно ними користуватися. Дивіться відео щоб знати більше: https://youtu.be/9dAWKMnFJ5A
Будьте уважні та обережні.
11 хибних кроків які можуть зупинити проект або звести ефективність системи нанівець. без прив'язки до конкретного вендора чи технології. те, що часто зустрічав на практиці.
розглянуті проблеми та шляхи їх вирішення.
Огляд технік актуальних масових атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Поширені типи приманок та способи їх знешкодження. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Те, про що забувають.
Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.
Слайди доповіді Олега Лободіна з McAfeeCybersecForum
Детально про можливості McAfee IPS та McAfee Web Gateway
Практтичні поради, приклади.
Схема застосування.
Що таке ATD і для чого вона потрібна.
Інтеграція з іншими рішеннями для обміну IOC.
Контроль репутації файлів.
OpenDXL як механізм під'єднання до шини McAfee DXL.
Автоматична передача маркерів з McAfee ATD на пристрої Cisco, Fortinet, Checkpoint та інші.
Побудова комплексу захисту на різних рішеннях.
Демо роботи із ATD та OpenDXL.
#OptiData
Слайди з моєї доповіді на львівській конференції "Сталевий Бубен". Коротко про мої враження від ставлення фахівців до минулих та поточних атак. Що ми робимо не так, або не робимо взагалі. Три реальні історії з моєї практики аналізу вірусного коду та підтримки замовників.
Короткий опис історії успіху впровадження та супроводу комплексної системи захисту. Чому замовники обирають нас та довіряють нам. OptiData LLC
Трохи про нашу волонтерську діяльність з приводу аналізу шкідливого коду та розсилки/публікації маркерів компрометації.
2. .
Пару слов о себе
С 2011 года работаю в Группе компаний БАКОТЕК.
Занимаюсь технической поддержкой проектов по ИБ.
Отвечаю за такие направления McAfee:
Data Protection
Email Security
Endpoint Security
Mobile Security
One Time Password
Security-as-a-Service
Security Management
Vladislav Radetskiy
Lead Technical Support Engineer
BAKOTECH GROUP
+380 95 880-7370
vr@bakotech.com
3. .
О чем мы будем говорить
Инструменты шифрования McAfee
Основы работы с консолью McAfee ePO
Детальный обзор решений
Рассмотрение реальных проектов
Q&A
3
4. .
Процесс эволюции инструментов шифрования
McAfee Encryption
4
DE = Drive Encryption, бывший Endpoint Encryption for PC (EEPC)
FRMP = File and Removable Media Protection, бывший Endpoint Encryption for Files & Folders (EEFF)
MNE = Management of Native Encryption (Apple FileVault + MS BitLocker)
EEMac = Endpoint Encryption for Mac (использовался до выхода Mavericks 10.9)
5. .
По состоянию на 1 марта 2015
Актуальные версии ПО
Управление
• ePO 4.6.8 & ePO 5.1.1
• McAfee Agent 4.8 p3 & 5.0
Шифрование
• Drive Encryption 7.1.2
• Management of Native Encryption 2.1.0
• File and Removable Media Protection 4.3.1
5
6. .
Контроль четырех систем шифрования из одной панели
еРО – единая консоль управления
6
McAfee ePO
MS BitLocker
Apple FileVault
McAfee
Drive Encryption
+ File and Media
7. .
Три основных порта, необходимых для коммуникации Агент-Сервер
ePO – основы: агент
7
McAfee ePO
McAfee
Agent
Encryption
Endpoint
443 TCP
80 TCP
8081 TCP
8. .
Перечень систем
ePO – основы: дерево систем
Формируется
• Вручную
• Синхронизация с MS AD
Возможна сортировка систем по
• Тегам (меткам)
• IP адресам/подсетям
8
9. .
Разделяем системы между группами
ePO – основы: метки (теги)
Могут назначаться
• По критериям
• Вручную (без критериев)
Используются для
• Сортировки систем
• Выборочного запуска задач
• Выбор. применения политик
9
10. .
Каждый модуль имеет свой набор политик
ePO – основы: политики
Политика My Default применяется сразу!
Принцип управления:
Создаем наборы политик и переключаем
- наследование
- по системам
- по группам
10
11. .
Делегируем наборы разрешений
ePO – основы: ролевая модель доступа
Операции могут быть распределены между:
• Администраторами (политики);
• Help-Desk`ом (сброс паролей);
• Инженерами (восстановление доступа);
• Аудиторами/руководством (отчетность)…
11
12. .
Короткая характеристика решения
Drive Encryption
• Система FDE с поддержкой HDD, Opal, SED и SSD дисков
• Широкий перечень поддерживаемых редакций Windows (XP – 8.1)
• Поддержка технологий: AES-NI, SSO, TPM, AMT, UEFI, GPT, Secure/Hybrid Boot…
• Возможность добавить в pre-boot как доменных, так и недоменных пользователей
• Поддержка различных токенов (KB79787) и кард-ридеров (KB79788)
• Возможность сброса забытого пароля 6 разными способами
• Симметричное шифрование секторов жесткого диска алгоритмом AES‐256-CBC
• Для генерации случайных чисел DRBG использует HMAC SHA256
• Для аутентификации используется асимметричное шифрование RSA 2048 bit
12
13. .
Правильная последовательность внедрения
Drive Encryption
Выполнить резервное копирование важной информации с целевых систем
Настроить задачу синхронизации учетных записей из MS AD
Определить политики по отношению к дереву систем, назначить пользователей
Установить DEGO для проверки конфликтного ПО и SMART
Установить модули шифрования при неактивной политике (Encryption_OFF)
Активировать шифрование (Encryption_ON) с включенным Pre-Boot Smart Check
По завершению процесса перезагрузить систему и пройти pre-boot
* Подробнее см. заметку в блоге
13
14. .
Методы сброса пароля/восстановления доступа к зашифрованной системе
Drive Encryption
Self-recovery - автономно
Admin recovery (challenge-response) - email, phone
EETech boot USB/CD - локально
DeepCommand on intel AMT systems - через Internet (IPsec)
Endpoint Assistant (Android & iOS devices) - автономно / 7.1
Self Service Portal (DPSSP) - через Internet / 7.2
Итого: 6 различных сценариев восстановления доступа
14
15. .
Полезные вещи, которые не включены по умолчанию
Drive Encryption
SSO при использовании учетных записей из AD
Использование TPM модуля для выгрузки ключа шифрования
Add local domain users (EE:ALDU)
Отключение pre-boot при отсутствии синхронизации
Logon Hours на десктопах / серверах
Процессы и каталоги DE должны быть в исключениях антивирусного ПО
15
16. .
Короткая характеристика решения
Management of Native Encryption
• Контроль Apple FileVault и MS BitLocker средствами еРО
• Два режима работы (report only & control)
• При использовании MNE нет необходимости в MBAM сервере
• Self Service Portal (DPSSP)
• Поддержка DEGO для Mac
• Периодическое пересоздание ключей восстановления
• Поддержка устройств Windows To Go, Microsoft Surface Tablets
16
17. .
Перечень поддерживаемых ОС
Management of Native Encryption
17
Windows Server 2012 R2
Windows 7.0 (32-bit/64-bit) Enterprise and Ultimate
Windows 8.0 (32-bit/64-bit)
Windows 8.1 Update 2 (32-bit/64-bit)
Windows 8.1 Update 1 (32-bit/64-bit)
Windows 8.1 (32-bit/64-bit)
Windows 8 Enterprise and Professional
Windows to Go
OS X 10.8 (Mountain Lion)
OS X 10.9 (Mavericks)
OS X 10.10.1 (Yosemite)
18. .
Короткая характеристика решения
File and Removable Media Protection
• Симметричное шифрование локальных/сетевых файлов/каталогов (AES 256)
• Шифрование внешних USB накопителей, CD/DVD, вложений электронной почты
• Гибкое делегирование ключей (User based / System based)
18
19. .
Работа с CD/DVD и USB накопителями
File and Removable Media Protection
• Без шифрования/вручную/принудительно либо Read Only
• (USB) возможность привязки накопителя к конкретной системе
• (USB) возможность доступа на внешней системе (Windows & Mac)
• Доступ к зашифрованному без необходимости доп. ПО
19
20. .
Принцип назначения ключей
File and Removable Media Protection
• Создаем необходимые ключи
• Создаем политику назначения ключа
• Выбираем к какому пользователю и на
какой системе должна применяться
политика, т.е.
20
21. .
Особенности использования или о чем следует помнить
File and Removable Media Protection
• Развертывается только на клиентские ОС Windows, тем не менее может
шифровать документы на сетевых хранилищах
• Может интегрироваться с McAfee Device Control / DLP Endpoint
• Рекомендуется использовать для усиления с Drive Encryption
• При шифровании CD/DVD методом Onsite Access Only нужно использовать
Windows Burner, Nero либо Roxio
• Отдельные накопители можно исключить из действия политики (KB75531)
• Процессы и каталоги ОС и ПО не шифровать
21
22. .
Основные источники достоверной информации
www.mcafee.com/expertcenter - каталог технических материалов
https://kc.mcafee.com - база знаний
https://radetskiy.wordpress.com - мой блог
https://community.mcafee.com/community/business/data - анонсы, обсуждения
https://www.youtube.com/user/McAfee - канал McAfee на YouTube
22
23. .
Ключевые моменты для DE, F&RMP и MNE
Реальные внедрения шифрования
• Ликбез или пилот для заказчика
• Разработка политик шифрования (на бумаге), планирование операций (по этапам)
• Формирование групп систем по общим признакам (сортировка + теги)
• Назначение пользователей/ключей/соотв. политик (выбор токенов / ридеров)
• Обучение/информирование персонала заказчика (до запуска шифрования!)
• Резервное копирование важных данных с целевых систем
• Развертывание и активация шифрования по отделам/департаментам
• Контроль работы (запросы/отчеты), автоматизация (задачи, метки, автоответы)
• Периодическая проверка восстановления доступа к зашифрованному
23
24. .
Важные моменты
Реальные внедрения шифрования
• Сайзинг сервера еРО, SQL Standard
• Организация коммуникации MA <-> ePO, смена портов
• Исключения антивируса
• Построение зеркал, обеспечение покрытия всех систем
• Отличия пилота от внедрения или процесс миграции/переноса
• Наличие загрузочного носителя EETech и инструкции для заказчика
• Наличие резервных копий (если что-то пойдет не так)
24
25. .
Полезные советы
Реальные внедрения шифрования
• (MA) C:Program Files (x86)McAfeeCommon FrameworkcmdAgent.exe /s
• (DE) Используйте Autobooting для регламентных работ (обновление ОС, ПО)
• (DE) Всегда добавляйте в pre-boot сервисную учетную запись
• (DE) Pre-Boot Smart Check требует ~10 перезагрузок перед началом шифрования
• (DE) Automatic Repair Windows 8 off [ bcdedit /set {current} recoveryenabled No ]
• (MNE) Помните про исключения из парольной политики и DEGO для Mac
• (F&RMP) Ключи лучше деактивировать а не удалять, избегайте Local Keys
• (F&RMP) Если ключи не приходят по RDP – выполните logon локально
• (F&RMP) Шифрует файлы на уровне I/O, не сокетов(!) помнить о blocking process
• (F&RMP) При шифровании накопителя возможно два сценария
25