Документ представляет собой подробный обзор платформы сетевой безопасности McAfee, включая статистику пользователей и внедрения. Он освещает ключевые функции, такие как проактивная защита от вторжений и интеграция с облачными сервисами, а также задачи по борьбе с киберугрозами, включая атаки нулевого дня. Кроме того, документ выделяет преимущества использования различных интеграций и технологий для повышения уровня безопасности в рамках корпоративной инфраструктуры.

1. Network Security Platform
Андрей Новиков, технический специалист

2. McAfee: Факты
125 миллионов — количество пользователей продуктами McAfee
94 % компаний, входящих в список Fortune 100, используют ПО McAfee
Более 180 миллионов мобильных устройств поставлены в комплекте
с ПО McAfee
5 миллионов — объем самого крупного развертывания McAfee
7 раз аналитическое агентство Gartner включало McAfee в свои «Магические квадранты»
450+ — патентов получено McAfee; еще выше число заявок на патенты
100+ — партнеров партнеров программы McAfee Security Innovation Alliance
6095 — число сотрудников McAfee по всему миру
120 — стран, так или иначе связанны с McAfee
Confidential McAfee Internal Use Only

3. McAfee: Основные вехи
Количество файлов
антивирусной базы превысило
отметку 50 000
McAfee обнаруживает
McAfee обнаруживает вирус Phage McAfee разрабатывает Artemis, уязвимость в MS Internet
McAfee обнаруживает первую первую технологию защиты Explorer и дает этой атаке
McAfee начинает предлагать в реальном времени «в облаке»
локальную уязвимость ядра название «Операция
защиту для конечных точек и
„Аврора―»
антивирусы в виде сервиса (SaaS)
McAfee обнаруживает McAfee раскрывает уязвимость McAfee публикует отчет,
первую вредоносную McAfee обнаруживает Microsoft Windows ANI согласно которому важные
программу для IRC вирус Naked объекты инфраструктуры
McAfee обнаруживает постоянно подвергаются
McAfee выпускает McAfee злоумышленников, серьезным кибератакам
Virus Patrol обнаруживает манипулирующих Google
вирус Party
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
McAfee обнаруживает McAfee обнаруживает McAfee первой McAfee принадлежит
вирус Melissa двух из числа начинает заслуга изобретения
крупнейших предлагать Global Threat Intelligence
McAfee разрабатывает Host IPS самозапускающихся систему сетевой
червей в истории: Blaster, защиты от
McAfee обнаруживает первый Sasser ботнетов
полевой полиморфный вирус
McAfee обнаруживает McAfee
McAfee разработывает технологию три обнаруживает
обнаружения троянов, крадущих пароли из самых крупных в несколько атак
истории угрозы массовой «нулевого дня»
рассылки: Lirva,
MyWife, MyDoom
Confidential McAfee Internal Use Only

4. Основная проблема
Confidential McAfee Internal Use Only

5. Новые границы
Confidential McAfee Internal Use Only

6. Киберпреступность касается каждого
Информация о 77 000 000 пользователей досталась
хакерам!
Confidential McAfee Internal Use Only

7. Январь 2010. Аврора
Confidential McAfee Internal Use Only

8. Январь 2010. Аврора
―Это одна из самых сложных и быстрых атак за последние
годы, нацеленная на определенные компании. Атака
использовала zero-day exploit в Internet Explorer.‖
– George Kurtz, McAfee CTO
Confidential McAfee Internal Use Only

9. Время реакции
Jan 10:
Aurora Samples into Artemis
Jan 13:
MFE Labs confirms IE zero-day
Jan 14:
MFE releases coverage
MSFT issues advisory
Jan 15:
MSFT assigns CVE
Jan 15:
Sourcefire, ISS, Cisco, and
PAN announce coverage
Jan 17:
TippingPoint announces coverage
Jan 18: Check Point
announces coverage
Jan 19: Fortinet
announces coverage
Confidential McAfee Internal Use Only

10. Семейство продуктов Network Security
Network Intrusion User
Defense Prevention NAC Behavior Firewall
Internet Web Email DLP UTM
Gateways
Confidential McAfee Internal Use Only

11. Оценка Gartner
Confidential McAfee Internal Use Only

12. Разнообразие угроз
Боты и ботнеты
Атаки «нулевого дня» Клиенты
Попытки взлома
Черви McAfee Network
Попытки переполнения Security Platform
буфера
DoS / DDoS атаки
Вирусы
Атаки на не обновленные системы
Зашифрованные атаки
Атаки «Троянов»
Управляющие серверы
VoIP атаки
Атаки через P2P приложения
Confidential McAfee Internal Use Only

13. Что такое IPS?
• Это устройство, которое инспектирует сетевой трафик и блокирует угрозы в
реальном времени. Оно выполняет следующие функции:
– Инспектирует входящий и исходящий трафик в реальном времени
– Останавливает вредоносный или нежелательный трафик
– Категорирует все потенциальные угрозы и составляет отчеты
– Размещается в любом месте, где трафик проходит между известной и
неизвестной зоной (например, после Firewall)
Удаленные Корпоративная
работники и штаб-квартира
WAN
Почтовые
серверы
Региональный офис
Система
предотвращения Управляющие
вторжений серверы
Confidential McAfee Internal Use Only

14. Интеграция с GTI
File Reputation
Web Reputation
Email Reputation
Network Reputation
Confidential McAfee Internal Use Only

15. Ключевые особенности и функции
 Проактивная защита от вторжений
 Производительность до 10GE
 Использование Artemis и McAfee Labs GTI
 Artemis (защита от malware)
 TrustedSource (определение репутации IP)
 Интеграция с продуктами McAfee:
• Host IPS
• ePO
• Vulnerability Manager
• Network Access Control
• Network Threat Behavior Analysis
 Надежная платформа (Appliance)
 Персонализированное управление и отчеты
 Поддержка правил Snort
Confidential McAfee Internal Use Only

16. Архитектура
UPDATE SERVER ADMIN WEB BROWSER
SSL SSL
MANAGER
ENVIRONMENT THREAT FORENSIC DATA FUSION RESPONSE SYSTEM
CONFIGURATION DATABASE ANALIZES
HIPS INTEGRATION ALERT DELIVERY
SECURITY POLICIES TRAFIC LOGGING
PROFILES ALERT ANALYSIS AGGREGATION USER-DEFINED ACTIONS
SIGNATURES
ADMINISTRATIVE DOMAINS REPORTING CORRELATION SNMP TRAPS
SECURE CHANNELS
SENSOR
INTRUSION PREVENTION
VIRTUAL IDS • DEDICATED DROP TERMINATE MODIFY FIREWAL GENERATES
LOG PACKETS ENCRYPTED
ATTAKS SESSIONS POLICIES ALERTS
INTERFACES ATTACK
DETECTION CORRELATION DETECTION
SIGNATURE DETECTION ANOMLY DETECTION DoS/DDoS DETECTION
VIRTUAL IPS
• VLAN DROP ATTAKS TERMINATE SESSIONS MODIFY FIREWAL POLICIES
STATEFUL ANALISIS HARDWARE
VIRTUAL • CIDR CAPTURE ACCELERATION
FIREWAL
SPAN TAP IN-LINE PORT CLUSTERS
Confidential McAfee Internal Use Only

17. Модели устройств
M-8000
10 Gbps
M-6050 * 10GE соединение
5 Gbps
M-4050 * 10GE соединение
3 Gbps
M-3050 * 10GE Соединение
1.5 Gbps
M-2750
* 10GE Соединение
600 Mbps
M-1450
200 Mbps
M-1250
100 Mbps
СМБ и региональные Корпоративный Корпорации, Главные корпоративные
офисы периметр ЦОД, системы,
провайдеры услуг ЦОД,
провайдеры услуг
Confidential McAfee Internal Use Only

18. Защита от угроз «zero-day»
M-8000
Artemis
1 Попытка пользователя скачать вредоносный файл
2 NSP определяет, что файл вызывает подозрения
3 Признаки файла пересылаются в облако Artemis
4 Artemis проверяет файл по глобальной базе данных
5 Artemis выясняет, что файл ПЛОХОЙ и присылает ответ в течение миллисекунд
6 NSP блокирует угрозу, отказывая в загрузке
Confidential McAfee Internal Use Only

19. Защита от угроз «zero-day»
Функция
Проактивное предотвращение вторжений
Что это дает?
Блокирует широкий спектр атак еще до того, как они достигли назначения
— Защищает от наиболее сложных атак «нулевого дня», DoS и зашифрованных атак,
уязвимостей VoIP, ботнетов, червей, вредоносного ПО, Троянов и P2P атак.
Преимущества для заказчика
• Реализует защиту периметра, обеспечивая доступность критических
систем, защищая даже от специально нацеленных кибер-атак и ограблений
• Предоставляет немедленную защиту в реальном времени, не идя на
компромисс с производительностью.
Confidential McAfee Internal Use Only

20. Производительность
Возможность
Производительность до 10 Гигабит в секунду
Что это дает?
Обеспечивает самую высокую в индустрию пропускную способность с
максимальной плотностью портов на рынке систем IPS в настоящее время.
Позволяет защищать сети следующего поколения - IPv6 и 10GE.
Преимущества для заказчика
• Защищает заказчика от прерывания бизнес-операций, позволяя обогнать
конкурентов.
• Защищает сети и инфраструктуру, обеспечивая высокую
производительность, надежность и доступность.
Confidential McAfee Internal Use Only

21. Artemis и GTI
Возможность
Интеграция с Artemis и GTI
Что это дает?
Как и многие другие продукты McAfee, Network Security Platform
взаимодействует с облачной системой Artemis в реальном времени, чтобы
сравнить подозрительный трафик дополнительно к БД McAfee Global Threat
Intelligence.
Преимущество для заказчика
• Заказчик получает более высокий уровень защиты сети, за счет
использования глобальной сети сбора информации об угрозах.
• Он также получает доступ к новейшей системе распознавания угроз, которая
помогает быстрее определять угрозы, чем любая другая технология IPS
(включая атаки «нулевого дня»).
Confidential McAfee Internal Use Only

22. TrustedSource
Функция
Интеграция с Trusted Source
Что это дает?
Trusted Source – это система сбора репутации IP-адресов в реальном времени.
McAfee Network Security Platform проверяет входящий и исходящий
трафик, используя репутацию IP-адресов, полученную через Trusted Source.
Преимущества для заказчика
• Интеграция с Trusted Source позволяет устройствам McAfee NSP защитить
пользователей от «серых» угроз (которые еще не были подтверждены), просто
за счет того, что они рассылаются с «плохих» IP адресов.
• Результат – лучшая защита от неизвестных угроз.
Confidential McAfee Internal Use Only

23. Host IPS
Функция
Интеграция c Host IPS
Что это дает?
Предупреждения Host IPS интегрированы с предупреждениями Network IPS,
обеспечивая всеобъемлющую защиту систем и сетей, одновременно с
возможностью просмотра внедрений на уровне сети и конечных устройств.
Преимущества для заказчика
• Лучшие возможности для корреляции сообщений о внедрениях на уровне
сети и отдельных компьютеров
• Более широкий обзор внедрений в системы для сетевого администратора
• Ускорение анализа угроз.
Confidential McAfee Internal Use Only

24. ePolicy Orchestrator
Функция
Интеграция с ePO
Что это дает?
Предоставляет информацию через агента ePO и использует данные из NSP,
чтобы создать релевантную картину. События ассоциируемые с управляемыми
хостами диагностируются и быстрее оцениваются, что предоставляет больше
информации оператору IDS, одновременно с усилением применения политик,
мониторингом безопасности, выполнением обновлений и созданием отчетов.
Преимущества для заказчика
• Управление различными слоями информации из одной централизованной
консоли
• Ускорение управлением рисками ИБ и защита инвестиций
• Повышение отдачи от инвестиций в ePO.
Confidential McAfee Internal Use Only

25. Vulnerability Manager
Функция
Интеграция с Vulnerability Manager
Что это дает?
Результаты автоматически импортируются в NSP. Обеспечивает
информированность системы о существующих рисках в реальном времени.
Система автоматически импортирует отчеты о сканировании уязвимостей VM.
Функция ―Scan now‖ позволяет по требованию оценить уязвимости
конкретного хоста. Это позволяет сфокусироваться на критических событиях и
обеспечить соответствие требованиям
Преимущества для заказчика
• Идентификация релевантных атак и определение угроз, на которые нужно
отреагировать В ПЕРВУЮ ОЧЕРЕДЬ
• Предоставляет своевременную информацию о рисках, связанных с
событиями ИБ
• Сокращает время анализа и реакции на релевантные атаки
• Определяет слабые места, требующие направления ресурсов больше всего!
Confidential McAfee Internal Use Only

26. Network Access Control
Функция
Интеграция с NAC
Что это дает?
Обеспечивает усиление защиты сети функциями NAC Обеспечивает полную
функциональность IPS с NAC в ОДНОМ устройстве сетевого уровня.
Предоставляет контроль разрешений и доступа для неуправляемых хостов.
Информация NAC о пользователях поступает в IPS, чтобы определить степень
угрозы, реализуя контроль доступа на основе учетных записей.
Преимущества для заказчика
• Исключает необходимость наличия дополнительного агента для управления
различными политиками NAC
• Сокращает время отсутствия доступа и другой вред, который агент NAC
может принести пользователям сети.
Confidential McAfee Internal Use Only

27. Спасибо
Андрей Новиков
Andrei_Novikau@McAfee.com
Confidential McAfee Internal Use Only