Краткий обзор нововведений ENSv10.1
Усиленная защита, улучшенный скан, упрощенные политики и редизайн интерфейса. На закуску - интеграция с TIE (DXL) и ATD. Ну и мое любимое - конструктор правил Access Protection.
2. .
Intel Security Confidential
О себе
2
Владислав Радецкий
Technical Lead
vr@bakotech.com
В ИТ официально с 2007 года.
С июля 2011-го работаю в группе компаний БАКОТЕК®.
Более 5 лет опыта в сфере ИБ.
Отвечаю за координацию тех. поддержки проектов по ИБ.
Провожу pre-sale, пилоты, тренинги.
Пишу статьи, заметки по ИБ и McAfee (Intel Security).
https://radetskiy.wordpress.com
https://ua.linkedin.com/in/vladislav-radetskiy-80940547
3. .
Intel Security Confidential
О чем мы будем говорить
• Современные угрозы
• Комплекты защиты
• Отличия ENS
• Практика использования
3
8. .
Intel Security Confidential
Ряд недавних атак на предприятия Украины
23 декабря 2015 энергетика/макросы (BlackEnergy3)
19 января 2016 энергетика/макросы (Sandworm)
1 февраля 2016 широкий спектр/.exe (ZBot/ZeuS)
4 февраля 2016 широкий спектр/макросы (Dridex)
14. .
Intel Security Confidential
Intel Security – решения ИБ
14
Security
Management
Security
Intelligence
Software-Defined
Data Center
Network
Security
Data
Protection
Server Security Application
Security
Intel® Hardware
Security Foundation
on-premises | private cloud | public cloud | hybrid
Лидер в производстве микросхем
Компания основана в 1968
Цель: использования закона Мура
для того, чтобы обеспечить
потребность людей в быстрых и
надежных вычислительных
устройствах.
Лидер на рынке ИБ решений
Компания основана в 1987
Приобретена Intel в 2010
Цель: Обеспечение защиты
заказчиков
Объединение разработок McAfee с
продукцией Intel.
15. .
Intel Security Confidential
15
McAfee = ~ 70 решений, единая консоль управления
DLP
Encryption
Web Gateway
Endpoint
Protection
DB Security
NSP + NTBA
…
MAR
SIEM
TIE + ATD
16. .
Intel Security Confidential
Модульная защита
16
McAfee ePO
McAfee
Agent
VSE
DLP
Encryption
HIPS
Endpoint
Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в
зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса.
Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
17. .
Intel Security Confidential
Комплекты для защиты конечных точек
17
Модули Endpoint Protection
Endpoint Protection
Advanced Suite
Complete Endpoint
Protection Business
(only 2k< users)
Complete Endpoint
Protection Enterprise
Suite
VSE for Linux √ √ √ √
VSE for command line √ √ √ √
EPS for Mac √ √ √ √
VSE for Windows √ √ √ √
HIPS for Windows (Desktop) √ √ √
Site Advisor (web-filtering) √ √ √ √
Firewall √ √ √ √
Device Control √ √ √ √
Application Control √
Encryption (DE + MNE + FRM) √
Security for Exch. & Lotus √ √ √ √
18. .
Intel Security Confidential
Комплекты для защиты конечных точек
18
Модули Endpoint Protection
Endpoint Protection
Advanced Suite
Complete Endpoint
Protection Business
(only 2k< users)
Complete Endpoint
Protection Enterprise
Suite
VSE for Linux √ √ √ √
VSE for command line √ √ √ √
ENS 10.1
Device Control √ √ √ √
Application Control √
Encryption (DE + MNE + FRM) √
Security for Exch. & Lotus √ √ √ √
19. .
Intel Security Confidential
Комплекты для защиты конечных точек
19
Модули Endpoint Protection
Endpoint Protection
Advanced Suite
Complete Endpoint
Protection Business
(only 2k< users)
Complete Endpoint
Protection Enterprise
Suite
VSE for Linux √ √ √ √
VSE for command line √ √ √ √
ENS 10 for Mac OS √ √ √ √
ENS 10 for Windows √ √ √ √
ENS 10 Threat Prevention √ √ √
ENS10 WebProtection √ √ √ √
ENS10 FIrewall √ √ √ √
Device Control √ √ √ √
Application Control √
Encryption (DE + MNE + FRM) √
Security for Exch. & Lotus √ √ √ √
20. .
Intel Security Confidential
ENS 10.1
20
Основа защиты для серверов и рабочих станций.
Имеет пять степеней защиты:
1. DAT V3 – новые, оптимизированные вирусные сигнатуры
2. GTI – облачный сервис репутации (!) требует доступа к Интернет либо GTI Proxy
3. AMCore (Threat Prevention)
4. Access Protection Rules – правила защиты (!) by Default только самозащита McAfee
5. Интеграция с McAfee Advanced Threat Defense (ATD) через TIE (DXL)
23. .
Intel Security Confidential
В чем отличие ENS от VSE+HIPS+SA
23
Улучшенное
управление
(еРО Cloud или
on-premise);
Единая
политика для
Windows и Mac
Основа
для усиления
(добавления
новых модулей)
Расширенная
информация об
отслеженных/пре
дотвращенных
угрозах (forensic
information)
Обеспечение
миграции для
заказчиков,
которые
используют
текущие версии
VSE, HIPS
Единая
платформа
(пакет)
который
содержит
модули: Threat
Prevention, Web
Security &
Firewall
24. .
Intel Security Confidential
ENS 10.1
24
Threat Prevention Module
OAS, ODS, Exploit Prevention & Access Protection
Firewall Module
На основе Firewall из “старого” HIPS
Web Control Module
В основе - SiteAdvisor® Enterprise
Threat Intelligence Exchange Module
Интеграция с шиной DXL (TIE), подключение к ATD
Client UI
ePO
2
TIE
Threat
Prevention
Web
Control Firewall
Управляется из консоли ePO
25. .
Intel Security Confidential
Результат детекта (forensic information)
Real-time threat intelligence
Детальное описание угрозы на
простом языке
Позволяет оценить уровень
серьезности и принять решение
Доступна как на клиенте так и на
консоли McAfee ePO
BEAQAJBlaine ran DLLHOST.EXE which attempted
to access C:PROGRAM FILESMcAfeeEndpoint in a
manner which violates self-protection rules and was
blocked
25
26. .
Intel Security Confidential
ENS 10.1 -> Forensic Information
26
Найти, понять и отследить источник
Система
Host Name
Ipv6 Address
Ipv4 Address
Mac
Location
Цель
Ipv4 Address Parent Process Signed
Ipv6 Address Parent Process Signer
Port Name
URL Path
Share Name File Size
Mac Modify Time
Protocol Access Time
User Name Create Time
Process Name Device Display Name
Hash Serial Number
Signed Device VID
Signer Device PID
Description
Детект
Name
Version
Content Version
Content Creation
Date
Rule ID
Rule Name
Reg Info
GTI Query
Name
Детали угрозы
Event ID
Severity
Name
Type
Action Taken
Handled
Detected On Create
Impact
Event ID
Источник
Ipv4 Address File Path
Ipv6 Address File Size
Port Hash
URL Signed
Share Name Signer
Mac Modify Time
User Name Access Time
Process Name Create Time
Parent Process
Name
Device Serial
Number
Parent Process HashDevice VID
Parent Process
Signed
Source Description
Parent Process
Signer
Дополнительно
Cleanable
Task Name
API Name
First Attempted Action
Second Attempted Action
First Action Status
Second Action Status
Event ID Description
Natural Language
Description
Duration Before Detection
Attack Vector Type
Direction
ICMP Type
Firewall Event Type
Throttled Event Count
27. .
Intel Security Confidential
Интеграция с локальной базой угроз и ATD
Усиление защиты путем подключения “картотеки” и “песочницы”
Централизованное
отслеживание
Угроз, атак, инцидентов
ENS = сенсор для ATD
Интеграция позволяет
использовать 5-й уровень проверки
(динамический и статический
анализ кода)
Открытый стандарт
Объединение модулей защиты в единую
иммунную систему
Шина обмена
данными (DXL)
Быстрая передача
информации по
двунаправленному
каналу
27
TIE
Server
Intel Security
Solutions
3rd Party
Partners
Threat
Intelligence
Feeds
TIE Endpoints
28. .
Intel Security Confidential
В результате
Медленная реакция на инциденты;
Сложности с интеграцией;
Ограниченный контроль..
В результате
Адекватное время реакции;
Масштабируемость
Добавление новых модулей
Шина обмена данными (DLX, Data Exchange Layer)
Стандартизированный канал обмена данными об угрозах
Схема построенная на API,
без координации
Схема DXL
28
29. .
Intel Security Confidential
Улучшенное сканирование
29
ENS при выполнении проверки
постоянно следит за потреблением
ресурсов системы.
Как только пользователь начинает
активно работать – скан
приостанавливается.
Проверка продолжается с того места,
на котором была остановлена.
Перезагрузка системы/выключение не
прерывают задачу сканирования.
Проверка…
30. .
Intel Security Confidential
Архитектура ENS
30
Фреймворк – основа для раширения
Endpoint Security Client
Security Management
McAfee ePO Agent Client UI Cloud Endpoint Connector
Kernel Mode Drivers
Common Components
Firewall Web Control Future ModulesTIEThreat
Prevention
31. .
Intel Security Confidential
Endpoint Migration Assistant
31
Модуль Migration Assistant для упрощения
процедуры перехода от старых версий
защиты к ENS.
В автоматическом режиме может создавать
новые политики, задачи, которые будут основаны
на текущих настройках. Новые политики и задачи
будут применены с учетом групп систем и
сортировки.
Миграция в полу-автоматическом режиме
позволяет перенести только выбранные элементы
(отдельные политики, задачи). В процессе
переноса элементы могут быть отредактированы
под требования заказчика.
Автоматическая Полу-автоматическая
Select what items you want
to migrate:
• Policies
• Client tasks
• Catalog (FW only)
Select what items you want
to migrate:
• Policies
• Client tasks
Preview policy
migration results
Configure policies
or tasks
Migrated items are created and
assigned automatically
Migrated items
are created
Manually assign
migrated items
Repeat to migrate
additional items
32. .
Intel Security Confidential
Требования для развертывания
32
Microsoft WorkstationsMacintoshePOMcAfee Agent
Windows 10, 8.1, 8.0, 7.0, Vista
Windows Embedded 8.1, 8, 7
Microsoft Servers
Windows 2012, 2012 R2
Windows 2008, 2008 R2
Windows Small Business Server 2011, 2008
Windows Embedded 2009
Windows Point of Service 2009, 1.1
Mac OS X (server
and workstation):
El Capitan 10.11x,
Yosemite 10.10x
Mavericks 10.9x
ePO 5.3 or later
ePO Cloud 5.5
McAfee Agent 5.02
or later
33. Источники полезной информации
ENS on McAfee Expert Center - каталог инструкций
ePO Cloud + ENS10 Trial - пробная версия
ENS for std. ePO Trial - пробная версия#2
ENS for standalone Trial - пробная версия#3
HW Req. & supported OS - требования
https://radetskiy.wordpress.com/ - мой блог (статьи, заметки, аналитика)