Слайди доповіді Олега Лободіна з McAfeeCybersecForum
Детально про можливості McAfee IPS та McAfee Web Gateway
Практтичні поради, приклади.
Схема застосування.
Що таке ATD і для чого вона потрібна.
Інтеграція з іншими рішеннями для обміну IOC.
Контроль репутації файлів.
OpenDXL як механізм під'єднання до шини McAfee DXL.
Автоматична передача маркерів з McAfee ATD на пристрої Cisco, Fortinet, Checkpoint та інші.
Побудова комплексу захисту на різних рішеннях.
Демо роботи із ATD та OpenDXL.
#OptiData
Огляд технік актуальних масових атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Поширені типи приманок та способи їх знешкодження. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Те, про що забувають.
Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.
Автоматичне відновлення зашифрованих файлів - слайди 17-18. McAfee оновило Endpoint Security (ENS).
Розбираю нові функції та поясню як правильно ними користуватися. Дивіться відео щоб знати більше: https://youtu.be/9dAWKMnFJ5A
Будьте уважні та обережні.
Слайди до мого виступу на Trellix Cyber Month.
Опис сценарію атаки взятого з реальних подій.
Відео стріму тут https://youtu.be/3LvR609nn3Q?t=266
Відповіді на запитання тут https://youtu.be/3LvR609nn3Q?t=3776
Наведено приклад несанкціонованого доступу нападників через скомпрометованого підрядника.
Показано типові дії зловмисників: розвідка, ескалація привілей, відключення антивірусного захисту і запуск Ransomware.
Наведені поради щодо кастомізації правил та політик захисту McAfee Endpoint Security для захисту від таких атак.
Будьте здорові, уважні та обережні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#Trellix #McAfee #VR #malware #TTPs #ransomware
Короткий опис історії успіху впровадження та супроводу комплексної системи захисту. Чому замовники обирають нас та довіряють нам. OptiData LLC
Трохи про нашу волонтерську діяльність з приводу аналізу шкідливого коду та розсилки/публікації маркерів компрометації.
"Наступну атаку можна попередити", Олександр ЧубарукHackIT Ukraine
Багато компаній покладаються на технології ІТ-безпеки, засновані на принципах виявлення атак, а не на їх запобігання. Такий фрагментований підхід фокусується на виправленні наслідків вже реалізованої атаки! На сьогоднішній день є потреба у зміні курсу і впровадженні нової архітектури, що дозволяє запобігати атакам.
Що таке ATD і для чого вона потрібна.
Інтеграція з іншими рішеннями для обміну IOC.
Контроль репутації файлів.
OpenDXL як механізм під'єднання до шини McAfee DXL.
Автоматична передача маркерів з McAfee ATD на пристрої Cisco, Fortinet, Checkpoint та інші.
Побудова комплексу захисту на різних рішеннях.
Демо роботи із ATD та OpenDXL.
#OptiData
Огляд технік актуальних масових атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Поширені типи приманок та способи їх знешкодження. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Те, про що забувають.
Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.
Автоматичне відновлення зашифрованих файлів - слайди 17-18. McAfee оновило Endpoint Security (ENS).
Розбираю нові функції та поясню як правильно ними користуватися. Дивіться відео щоб знати більше: https://youtu.be/9dAWKMnFJ5A
Будьте уважні та обережні.
Слайди до мого виступу на Trellix Cyber Month.
Опис сценарію атаки взятого з реальних подій.
Відео стріму тут https://youtu.be/3LvR609nn3Q?t=266
Відповіді на запитання тут https://youtu.be/3LvR609nn3Q?t=3776
Наведено приклад несанкціонованого доступу нападників через скомпрометованого підрядника.
Показано типові дії зловмисників: розвідка, ескалація привілей, відключення антивірусного захисту і запуск Ransomware.
Наведені поради щодо кастомізації правил та політик захисту McAfee Endpoint Security для захисту від таких атак.
Будьте здорові, уважні та обережні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#Trellix #McAfee #VR #malware #TTPs #ransomware
Короткий опис історії успіху впровадження та супроводу комплексної системи захисту. Чому замовники обирають нас та довіряють нам. OptiData LLC
Трохи про нашу волонтерську діяльність з приводу аналізу шкідливого коду та розсилки/публікації маркерів компрометації.
"Наступну атаку можна попередити", Олександр ЧубарукHackIT Ukraine
Багато компаній покладаються на технології ІТ-безпеки, засновані на принципах виявлення атак, а не на їх запобігання. Такий фрагментований підхід фокусується на виправленні наслідків вже реалізованої атаки! На сьогоднішній день є потреба у зміні курсу і впровадженні нової архітектури, що дозволяє запобігати атакам.
Продовження попередньої доповіді про кібербезпеку.
Цього разу розглядаються практичні аспекти тестів на проникнення включаючи інструменти та їх застосування.
Контент специфічний, розрахований на технічних спеціалістів та ентузіастів у галузі кібербезпеки, проте буде корисним для усіх користувачів високих технологій.
Слайди моєї доповіді з Форуму Кібербезпеки 2021.
Практичні поради щодо захисту кінцевих точок від приманок у вигляді документів і не тільки.
Відео:
Кіберполігон: https://youtu.be/mibBBcQpgWM?t=7426
Доповідь: https://youtu.be/mibBBcQpgWM?t=13910
#OptiData #VR #McAfee #MVISION #ENS
"Request Lifecycle at Prom.ua", Vitaliy KharytonskiyFwdays
A detailed journey of a single user request through prom.ua infrastructure including hardware, networks, services, and databases.
This talk will feature an explanation of our architecture and reasons behind its current state and external and internal challenges which arise in a high load project built completely on premise.
- World best practices of vulnerability analysis and risk prevention in terms of DevSecOps activity.
- Integration of automatic systems.
- Storing secrets and passwords: management and protection.
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Anastasiia Konoplova
Handouts of ISACA Kyiv event, 05.11.2019, "How works cloud services, which we use". Presentation incudes:
- basics of cloud services in current context,
- risks of cloud services orchestration from cloud auditor,
- references to sources, were best practices of cloud use can be found.
"What is a RAG system and how to build it",Dmytro SpodaretsFwdays
Today, large language models are becoming an integral part of almost every IT solution. However, their use is often accompanied by certain limitations, such as the relevance of information or its depth and specificity. One of the ways to overcome these limitations is the method of working with LLMs - RAG (Retrieval Augmented Generation).
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУSSCoding Group
Презентація доповіді к.т.н. Сободянюка Олександра Васильовича. Основні підходи до класифікації відомих вразливостей веб-ресурсів, проводиться аналіз активності найбільш розповсюджених типів загроз на основі звітів компаній, що займаються моніторингом інцидентів порушення безпеки веб-ресурсів, а також
розглянуто основні технології захисту від можливих реалізацій погроз. Більшість
веб-сайтів та веб-сервісів характеризуються цілим рядом вразливостей, завдяки яким зловмисники мають реальні можливості проводити атаки на самі найрізноманітніші сайти із використанням досить широкого інструментарію.Дані вразливості викликані як ненавмисно допущеними помилками розробниками на стадії проектування так і недосконалістю технологій, що були використані при створенні ресурсу.
11 січня відбувся вебінар “Introduction to Embedded QA”.
Під час вебінару ми поговорили на такі теми:
Огляд вбудованих систем;
Основні складнощі, що виникають під час їх тестування;
Основні напрямки та технології, які необхідно відслідковувати під час роботи з вбудованими системами.
Більше про захід: https://www.globallogic.com/ua/about/events/globallogic-webinar-introduction-to-embedded-qa/
Приємного перегляду і не забудьте залишити коментар про враження від вебінару!
Продовження попередньої доповіді про кібербезпеку.
Цього разу розглядаються практичні аспекти тестів на проникнення включаючи інструменти та їх застосування.
Контент специфічний, розрахований на технічних спеціалістів та ентузіастів у галузі кібербезпеки, проте буде корисним для усіх користувачів високих технологій.
Слайди моєї доповіді з Форуму Кібербезпеки 2021.
Практичні поради щодо захисту кінцевих точок від приманок у вигляді документів і не тільки.
Відео:
Кіберполігон: https://youtu.be/mibBBcQpgWM?t=7426
Доповідь: https://youtu.be/mibBBcQpgWM?t=13910
#OptiData #VR #McAfee #MVISION #ENS
"Request Lifecycle at Prom.ua", Vitaliy KharytonskiyFwdays
A detailed journey of a single user request through prom.ua infrastructure including hardware, networks, services, and databases.
This talk will feature an explanation of our architecture and reasons behind its current state and external and internal challenges which arise in a high load project built completely on premise.
- World best practices of vulnerability analysis and risk prevention in terms of DevSecOps activity.
- Integration of automatic systems.
- Storing secrets and passwords: management and protection.
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Anastasiia Konoplova
Handouts of ISACA Kyiv event, 05.11.2019, "How works cloud services, which we use". Presentation incudes:
- basics of cloud services in current context,
- risks of cloud services orchestration from cloud auditor,
- references to sources, were best practices of cloud use can be found.
"What is a RAG system and how to build it",Dmytro SpodaretsFwdays
Today, large language models are becoming an integral part of almost every IT solution. However, their use is often accompanied by certain limitations, such as the relevance of information or its depth and specificity. One of the ways to overcome these limitations is the method of working with LLMs - RAG (Retrieval Augmented Generation).
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУSSCoding Group
Презентація доповіді к.т.н. Сободянюка Олександра Васильовича. Основні підходи до класифікації відомих вразливостей веб-ресурсів, проводиться аналіз активності найбільш розповсюджених типів загроз на основі звітів компаній, що займаються моніторингом інцидентів порушення безпеки веб-ресурсів, а також
розглянуто основні технології захисту від можливих реалізацій погроз. Більшість
веб-сайтів та веб-сервісів характеризуються цілим рядом вразливостей, завдяки яким зловмисники мають реальні можливості проводити атаки на самі найрізноманітніші сайти із використанням досить широкого інструментарію.Дані вразливості викликані як ненавмисно допущеними помилками розробниками на стадії проектування так і недосконалістю технологій, що були використані при створенні ресурсу.
11 січня відбувся вебінар “Introduction to Embedded QA”.
Під час вебінару ми поговорили на такі теми:
Огляд вбудованих систем;
Основні складнощі, що виникають під час їх тестування;
Основні напрямки та технології, які необхідно відслідковувати під час роботи з вбудованими системами.
Більше про захід: https://www.globallogic.com/ua/about/events/globallogic-webinar-introduction-to-embedded-qa/
Приємного перегляду і не забудьте залишити коментар про враження від вебінару!
Як перевіряти файли (документи) на наявність активного (шкідливого) вмісту:
• Розглянув роботу з документами MS Office, PDF, LNK та архівами.
• Показав основні типи активної начинки, через яку пробують інфікувати системи.
• Показав роботу з онлайн інструментами та з інструментами статичного аналізу.
• Дав поради по налаштуванню тестового середовища.
Запис можете подивитись тут https://youtu.be/U8uRqq5pC5U?t=205
Будьте здорові, уважні та обережні. Слава Україні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#malware #sandbox #перевірка #аналіз #пісочниця
Слайди + додаткові матеріали https://radetskiy.wordpress.com/2022/03/22/2fa_mobile_in_warzone/
Як правильно створити новий обліковий запис для телефону та/або активувати другий фактор для існуючого облікового запису Google. Матеріал в першу чергу для цивільних, які пішли в ТРО чи ЗСУ. Якщо вам сподобалося - поширюйте, особливо серед військових.
Слава Україні!
Слайди + відео на блозі https://radetskiy.wordpress.com/2022/03/20/mobile_in_warzone/
Це відео про те, як правильно користуватися телефоном на війні. Матеріал в першу чергу для цивільних, які пішли в ТРО чи ЗСУ. Якщо вам сподобалося - поширюйте, особливо серед військових. Слава Україні!
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatVladyslav Radetsky
On those slides I will show you 7 simple steps to test different McAfee ENS protection mechanism.
And as a bonus I will show you how to use MVISION Insights to react on SunBurst threat.
List of tests:
- OAS AMCore detection
- OAS GTI detection
- Access Protection
- Exploit Prevention
- Real Protect (ATP-RP)
- Dynamic Application Containment (ATP-DAC)
- Credential Theft Protection (ATP-RP-CTP)
All tests made for built-in rules and conducted without using real malware, so it is safe to repeat those steps in your environment.
#McAfee #MVISION #Insights #SunBurst #SolarWinds #supplychain
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Vladyslav Radetsky
Як проводити практичну перевірку роботи захисту ENS, та як MVISION Insights може стати у нагоді у світлі атак на FireEye та SolarWinds.
На слайдах відображено наступні тести:
- OAS AMCore detection
- OAS GTI detection
- Access Protection
- Exploit Prevention
- Real Protect (ATP-RP)
- Dynamic Application Containment (ATP-DAC)
- Credential Theft Protection (ATP-RP-CTP)
Усі тести виконані на базі вбудованих правил та сигнатур _без_ використання реального шкідливого коду.
#McAfee #MVISION #Insights #SunBurst #SolarWinds #supplychain
Слайди моєї доповіді з #CyberCrimeOperationUkraine
Відео дивіться тут: https://youtu.be/kxQdF6m_feU
Стисла аналітика по зразкам malware за 2019-2020.
Розглянуто 3 основні типи: примітивні, середні та складні.
Певні слайди публікуються вперше. Приємного перегляду.
#OptiData #VR #malware #cybercrime #samples2020
11 хибних кроків які можуть зупинити проект або звести ефективність системи нанівець. без прив'язки до конкретного вендора чи технології. те, що часто зустрічав на практиці.
розглянуті проблеми та шляхи їх вирішення.
Слайди з моєї доповіді на львівській конференції "Сталевий Бубен". Коротко про мої враження від ставлення фахівців до минулих та поточних атак. Що ми робимо не так, або не робимо взагалі. Три реальні історії з моєї практики аналізу вірусного коду та підтримки замовників.
Тренінг/майстер клас по основам безпечного використання комп`ютерів, гаджетів та сервісів мережі Інтернет.
Контент розрахований в першу чергу на простих користувачів, які, як правило не є технічними спеціалістами.
Матеріал на слайдах допомагає ознайомити персонал із основними ризиками при роботі з ІТ та надати практичні поради щодо:
- роботі з email
- передачі інформації
- вибору сервісів та додатків
- поведінці в соц. мережах
- генерації паролів
Та інше.
Окремої уваги заслуговують слайди із прикладами свіжих атак з використанням фішингу.
Презентація буде корисною для НЕтехнічних спеціалістів.
Дана інформація відображає особисту думку автора.
Защита от эксплойтов и новых, неизвестных образцов.
Рассмотрены технические аспекты работы решения.
Отображена работа защиты на актуальных семплах ransomware, RAT и т.д. Дополнительно показаны схемы активации и закрепления семплов в системе. Контент будет полезен руководителям и сотрудникам ИТ/ИБ подразделений.
В доповіді розглянуті основні моменти атак, що здійснювалися на державні організації через канал електронної пошти із застосуванням елементів соціальної інженерії. Наведено приклади фішингових листів та результат активації ШПЗ. У підсумку знайдете практичні рекомендації щодо перевірки приєднань та інформації з відкритих джерел. Цільова аудиторія - співробітники та керівники відділів ІТ та ІБ.
Краткий обзор нововведений ENSv10.1
Усиленная защита, улучшенный скан, упрощенные политики и редизайн интерфейса. На закуску - интеграция с TIE (DXL) и ATD. Ну и мое любимое - конструктор правил Access Protection.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
Короткий огляд атак, у розслідуванні який приймав участь.
Аналітика. Маркери компрометації. Рекомендації.
Контент доповіді стосується не лише енергетиків і є актуальним не лише для державного сектору.
Розраховано на широкий загал. В першу чергу - працівників ІТ/ІБ підрозділів.
Презентация с вебинара по комплексу McAfee DLP.
Основной упор был сделан на использование новых возможностей DLP Endpoint 9.4 для пресечения случайных/умышленных попыток передачи информации в чужие руки по различным каналам.
Свежая презентация по комплекту шифрования Intel Security (McAfee). Рассмотрены сценарии интеграции выборочного шифрования файлов с модулем DLP Endpoint. Даны практические рекомендации по внедрению шифрования. Рассмотрены особенности каждого из модулей шифрования.
Комплекты для защиты серверов и рабочих станций от Intel Security (McAfee).
Рассмотрены основные комплекты EPS и модули, которые в них входят. Более подробно описана работа с консолью еРО и средствами шифрования.
В заключительной части даны практические советы и ссылки на источники достоверной информации.
Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP
This document summarizes the anatomy of a targeted cyber attack known as ShadyRAT. Over 5+ years, ShadyRAT compromised over 70 victims, maintaining persistence for an average of 9 months to steal data. Attackers used open-source intelligence to profile targets, then sent malicious emails to install remote access tools allowing command and control. Stolen data was encrypted and transferred over months without detection. Lessons are that simple attacks can be highly effective when combined with social engineering and long-term access. Vigilance against such advanced persistent threats requires awareness of social media disclosures and carefully handling potentially malicious files and communications.
Доповідь про різні аспекти інформаційної чи то пак кібербезпеки. Розглянуті як суто технічні моменти забезпечення захисту інформації так і соціальна складова.
Загалом буде корисною у вигляді вступної доповіді для людей, які користуються високими технологіями, але не замислюються над актуальністю кібербезпеки.
2. Захист мережевого та веб-трафіка.
Контроль мережевої активності та
запобігання небажаним (шкідливим)
підключенням
Олег Лободін
OL@optidata.com.ua
3. Про мене
Працюю у компанії OptiData
Відповідаю за технічну підтримку проектів
Допомога у проектах та pre-sale
4. Виклики з виявлення порушень
20%
Помилкові
спрацювання
35%
Виявлення
3%
Інші
9%
Пошкодження
Відновлення
22%
Захист
11%
Своєчасне
реагування
9%
Години
11%
Дні
64%
Тижні
4%
Роки
12%
Місяці
Компроміс
щодо
виявлення
Виклики
з керування
безпекою
80% стверджують, що пошук порушень
триває тижні, місяці…fail :)
5. Гартнер?! Так, той самий квадрант
Completeness of Vision
AbilitytoExecute
послідовних разів займає
місце Лідери Квадранта:
1
2017 IPS
Magic Quadrant
“ Лідер у сферах таких як контекст у розвідці загроз та
евристичні методи які зменшують залежність від
сігнатур.”
“ Зручність керування, зручність розгортання та
продуктивність під навантаженням, консоль IDPS отримує
добрі оцінки у оглядах та незалежних тестах.”
CHALLENGERS
VISIONARIES
TrendMicro
(TippingPoint)
IBM
Venusteh
NSFOCUS
Wins
Cisco
Intel Security*
(McAfee)
NICHE PLAYERS
LEADERS
AhnLab
Huawe
Hillstone Networks
AlertLogic
1
6. .
McAfee Confidential
6
Data Center IPS Comparative Analysis 2016 NSS Labs
NSP з один з лідерів у останніх
тестах IPS від NSS Labs.
Забезпечує виняткову безпеку при мінімальних
зусиллях рекомендованим (не налаштованим)
блокуванням на рівні ~ 99.4%.
Зазначено майже тричі більшу пропускну
здатність ніж заявлено виробником, 31,358 Mbps
(IPv4), 30,200 Mbps (IPv6) проти заявленої
сукупної продуктивності у10 Gbps.
ЕФЕКТИВНІСТЬ
БЕЗПЕКИ
TCO захищеного MBPS
NSS Labs Data Center IPS, Вам за який рік?
McAfee NS9100
7. NGFW - IPS – NGIPS – що відбувається?
NG-NG-come out
11. Endpoint Intelligence в дії
Network
Security
Platform
Network Perspective
User Network Application
Alice
Oracle
SalesForce
Twitter
Bob
Skype
SSH
Oracle
Carol
HTTP, SSL
IMAP
Oracle
Host Process
Hyperion
Firefox
TweetDeck
Skype
PuTTy
Oracle CRM
Safari
Thunderbird
OUTLOOK.EXE
Anomaly
No
No
No
No
No
No
No
No
Yes
Endpoint Intelligence
Process
Device
User
Single
Packet
Signal
Endpoint
Intelligence
Agent
Connection Anomaly
Повна видимість рівня додатків
12. Швидке виявлення порушень
Звичайна перспектива
Збільшує шум та
помилки користувача
Інтелектуальний підхід
Оптимізовані розслідування
та відображення
Послідовність Сповіщень
Ефективні Події
EVENT 1
ALERT 2
ALERT 3
ALERT 5
ALERT 6
ALERT
1
ALERT
2
ALERT
3
ALERT
4
ALERT
5
ALERT
6
13. Блокування зв’язків С2 : приклад
Деталізація
інфікованих систем
Зрозуміти
вплив інфікування
Визначення
найактивніших спроб
зв’язку
Вжити заходів
карантин кінцевих точок
15. 15McAFEE CONFIDENTIAL
v9.2 – Key New Features
Public GA March 13, 2018
Inbound SSL Decryption (patent pending)
Native Snort Compatibility
STIX Enhancements
vNSP for Microsoft Azure
vNSP High Performance Sensor (AWS)
Outbound SSL Decryption
v9.2 Complete Feature List & Release Notes at PD27453
Device Manager in NSM
vNSP Listed in AWS & Azure Marketplaces
16. 16McAFEE CONFIDENTIAL
High Performance Inbound SSL Decryption
▪ Inbound SSL decryption to inspect encrypted traffic
▪ Protect web applications from malware
▪ Agent based approach uses a “shared key” – McAfee patent pending!
▪ Agent on server shares the key with NSP sensor
▪ Supports Diffie-Hellman (DH) / Elliptic-Curve Diffie–Hellman (ECDH) ciphers
▪ No impact on sensor performance!
▪ Faster, supports modern ciphers, less overheard, better experience!
For NS-Series Only
17. 17McAFEE CONFIDENTIAL
Outbound SSL Decryption
▪ By 2020, encrypted traffic will carry more than 70 percent of web malware….
▪ Outbound SSL decryption to inspect encrypted traffic:
▪ Requires subscription license, applied via NSM
▪ MITM Proxy for outbound traffic
▪ Dedicated compute resources for SSL
▪ All cipher suites available in OpenSSL1.1
▪ Supports NSP models 9х00, 7х00 & 5х00
▪ Category based whitelisting using GTI
For NS-Series Only
18. 18McAFEE CONFIDENTIAL
Native Snort Compatibility
▪ Snort rules widely used by majority of our customers
▪ Enhances our support for Snort open source IPS
▪ McAfee NSP and vNSP now have native Snort support
▪ Fully integrates with McAfee Network Security Manager (NSM)
▪ New NSM workflow for Snort rules
19. 19McAFEE CONFIDENTIAL
STIX – Whitelist / Blacklist Enhancements
▪ Structured Threat Information eXpression (STIX)
▪ Popular with our customers, open source
▪ Enhanced STIX support (phase 1):
▪ Ensure existing lists meet latest presentation standards
▪ Change the IPS inspection whitelist from view-only to editable
▪ Update existing lists to support add/edit of a single record at a time
▪ Improved cyber threat identification and analysis!
For NS-Series and vNSP solutions
20. 20McAFEE CONFIDENTIAL
Device Manager in McAfee Network Security Manager (NSM)
▪ Enables users to perform key device management tasks via a single pane of glass
▪ Provides an overview of the entire sensor installation
▪ In current release this is a read-only feature with a goal towards making it actionable in upcoming releases
▪ Simplifies management and delivers an improved customer experience!
For NS-Series and vNSP solutions
21. 21McAFEE CONFIDENTIAL
McAfee Virtual IPS for Public Clouds
Support for Microsoft Azure
▪ vNSP now supports Azure environments!
▪ vNSP listed on Microsoft Azure Marketplace
▪ Licensing - Bring Your Own License (BYOL)
High Performance Sensor for AWS
▪ Virtual sensor throughput now up to 1Gbps for AWS
vNSP on AWS Marketplace
▪ vNSP listed on AWS Marketplace -
▪ Licensing - Bring Your Own License (BYOL)
For vNSP solutions
22. 22McAFEE CONFIDENTIAL
McAfee Network Security Platform Appliances
5
Gbps
3
Gbps
1.5
Gbps
600
Mbps
200
Mbps
100
Mbps
20
Gbps
1
Gbps
10
Gbps
40
Gbps
NS9100
NS9200
NS9300
NS7100 NS7150
NS7200 NS7250
10 GigE
Connectivity
40 GigE
Connectivity
NS7300 NS7350
NS5200
NS5100
▪ Seamless integration with VMware’s
NSX and the Open Security Controller
and KVM
▪ Single management console
▪ Scale to hundreds of sensors
Virtual IPS
Sensors
NS3200
NS3100
24. Клас рішень Web Gateway / Web Protection
Основні завдання
1. Не допустити проникнення шкідливого коду
в локальну мережу
2. Забезпечити виконання корпоративної
політики використання доступу в мережу
Інтернет
3. Ефективне використання каналу доступу в
Інтернет
25. McAfee Web Protection Багаторівнева Безпека
Визначення хмарних додатків
включаючи shadow IT, керування їх
доступом або функціоналом
Контроль даних за допомогою
вбудованих словників та
шифрування для хмарних середовищ
Підвищення ефективності та
покращення операцій з безпекою
шляхом інтеграції до пісочниці,
кінцевих точок, обміну інформацією
про загрози, SIEM та ін.
eP
Anti-
Malware
Security
Integration
Data
Protection
Application
Visibility and
Control
Content
Inspection
SSL
Scanning
Блокування відомого та 0-day
шкідливого програмного
забезпечення, перш ніж воно
досягне мети
Видимість у зашифрованому
трафіку та запобігання
прихованим загрозам
Фільтрація небажаних URLs, категорій
та типів контенту
Rule
Outbound Traffic Inbound Traffic
Engine
26. 26Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE
▪ Проксі (HTTPHTTPSFTP, SOCKS, ICQ,
XMPP и др.)
▪ Зворотній Проксі
▪ URL фільтрація
▪ Репутація (URLДоменIPФайл)
▪ Антивірус (Сигнатури, Евристика,
Поведінка, «Пісочниця»)
▪ Квотування (часоб’єм)
▪ Фільтрація застосунків (1000+)
▪ Вбудовані правила обробки запитів
▪ Фільтрація по типу контента
▪ Інспекція SSL
▪ Аутентифікація (NTLM, Kerberos, LDAP,
RADIUS и др. )
▪ Розширена звітність
McAfee Web Gateway
Основний Функціонал
26
27. Режими роботи. Відмовостійкість
Підтримка 4х режимів:
▪ Explicit proxy
▪ Proxy w/ WCCP
▪ Transparent router
▪ Transparent bridge
▪ Відмовостійкість та балансування навантаження у всіх режимах:
▪ Explicit proxy – VRRP
▪ Proxy w/ WCCP – WCCP Redundancy
▪ Transparent router – VRRP
▪ Transparent bridge –STP
28. Як більшість організацій підходять до веб-загроз
Filter Known Bad Sandbox (zero-day)
Web Gateways Sandbox
Dynamic Analysis
URL Category
AntivirusURL Rep.
~.05ms
Input
Quantity
Depth of Inspection
~.08ms ~8ms
~90s
(~80% detected) (~20% detected)
Speed and detection rates are test calculations.
Actual figures will vary in each organization.
Фільтрація URL та антивірус зупиняють відомі загрози, дозволяючи решті дістатися кінцевих точок та пісочниці
29. Підхід McAfee з видалення Zero-Days
Додатково ~ 20%
блокування zero-day
Filter Known Bad
Sandbox/Reverse Engineering
(zero-day)
Real-Time Behavioral Emulation
(zero-day)
McAfee Web Protection
McAfee Advanced Threat
Defense
Dynamic and Static
Analysis
Gateway Anti-Malware
Antivirus
Input
Quantity
Depth of Inspection
~.05ms ~.08ms ~8ms
~5ms
~90s
(~80% detected) (~19.5% detected) (~0.5% detected)
Speed and detection rates are test calculations.
Actual figures will vary in each organization.
URL Category
URL Rep.
30. Функціонал, приклад: квоти за обсягом
▪ McAfee Web Gateway також підтримує квоти за обсягом
трафіку, знижуючи завантаження каналу доступу в
Інтернет і втрати продуктивності
34. Data Loss Prevention
Застосування вбудованих правил DLP
Підтримуються попередньо налаштовані словники McAfee
(HIPAA, PCI, UK-NHS, European IBAN)
Виявлено номери кредитних карток
35. Підключення кінцевих точок безпосередньо до Хмари
Функція MCP у McAfee Endpoint Security 10.5
Клієнт Проксі
▪ Агент визначає розташування у
або поза – мережею та
забезпечує відповідний захист
▪ Не залежить від браузера,
маршрутизація на рівні порту
▪ Прозора аутентифікація
Off-network
ENS
On-network
ENS
36. 36Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE
Data Privacy
Encrypt data going to the cloud storage
Encryption protects cloud-based files
37. Огляд модельного ряду (revision D)
Продуктивність
Філія Головний Офіс
WG4500
WG5000
WG5500
42. 43McAFEE CONFIDENTIAL
Global Data Center Infrastructure
22 data centers providing local internet content in 59 locations across 42 countries
43. 44Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE
44
Полный разбор HTML. Удаление блока навигации VKontakte
Функционал McAfee Web Gateway
44. 45Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE
Protection For Web Connectivity Everywhere
Any device, any location – all visible and secured
Main Office
Appliance
(vm/hw)
Remote Office
Appliance (vm/hw)
Remote Office
Direct-to-cloud
Mobile User
Direct-to-cloud
MPLS/VPN backhaul
Direct-to-cloudDirect-to-cloud
Equal protection
everywhere
• Single set of policies
between on-premises and
cloud
• One management console
• One reporting interface
• Multiple routing options
• Dynamic routing to on-
premises or cloud based
on user location
+
+
45. 46McAFEE CONFIDENTIAL
Uploaded
File
Malware Status
Determined
Contents Sent
to MWG via
ICAP protocol
Content sent
for scanning
Bad File
Uploaded
File
Warning
Page
Good File
Web
Server
Business
Rules
ICAP
Client
Internet
ICAP Client Deployment
▪ Web server (ICAP Client) forwards
file to Web Gateway (ICAP Server)
for analysis
▪ Scan results returned to
ICAP client
▪ Infected content is discarded
▪ Clean content is processed
McAfee Web Gateway as
as ICAP Server
Continue processing
good files
Internet
Web form on site
User uploads file
to web site
46. 47McAFEE CONFIDENTIAL
Reverse Proxy Deployment
Protect web servers against malware uploads
▪ McAfee Web Gateway receives files
being uploaded to web server
▪ Scans inbound content
▪ Content containing malware
is blocked
▪ Clean content is forwarded to web
server for processing
User uploads file
to web site
McAfee Web Gateway as
a Reverse Proxy
Good File
Continue processing
good files
Bad File
Web Server
Uploaded
File
Load Balancer
HTTPS POST
403 Denied
200 OK
Quarantine Optional
Internet
Web form on site