Intel Security Endpoint Protection 2015
0 likes2,777 views
Документ представляет собой подробное руководство по инструментам защиты от McAfee, освещая управление безопасностью конечных точек, обработку веб и email-трафика, а также шифрование данных. Он включает описание различных компонентов и решений, таких как Virusscan, Data Loss Prevention, и возможности применения ePolicy Orchestrator. Также рассматриваются лучшие практики настройки и управления защитой с помощью централизованных систем.
![Secure Container for Android
EMM (защита мобильных устройств)
• Полноценная синхронизация ящика, контактов и календаря
• Все данные включая кэш шифруется [AES 256]
• Запрет передачи вложения сторонним приложениям
• При переборе пароля автоматически затирается
• При увольнении достаточно затереть только содержимое контейнера
• Встроенный просмотр основных форматов: Word, Excel, PDF
• Управляется из ЕММ, может быть развернут принудительно](https://image.slidesharecdn.com/maeps2015270815vrad-150902080810-lva1-app6892/85/Intel-Security-Endpoint-Protection-2015-44-320.jpg)
Intel Security Endpoint Protection 2015
- 1. . McAfee Confidential 1 Инструменты для защиты конечных точек, каналов Web и Mail Владислав Радецкий radetskiy.wordpress.com vr@bakotech.com
- 2. Пару слов о себе Владислав Радецкий radetskiy.wordpress.com vr@bakotech.com С 2011 года работаю в Группе компаний БАКОТЕК. Занимаюсь технической поддержкой проектов по ИБ. Отвечаю за такие направления McAfee: • Data Protection • Email Security • Endpoint Security • Mobile Security • One Time Password • Security-as-a-Service • Security Management
- 3. О чем мы будем говорить Управление защитой конечных точек Пакеты EPS и их отличия Детальный обзор компонентов защиты Шлюзы очистки Web и Email трафика (MEG + MWG) Практические советы
- 4. McAfee = ~ 70 решений, единая консоль управления DLP Encryption Web & Email Gateway Endpoint Protection DB Protection Vulnerability Manager IPS & NGFW SaaS SIEM TIE + ATD
- 5. Сценарии управления защитой ePO Cloud StandaloneePO On-premise Security Center
- 6. McAfee позволяет контролировать 6 разных механизмов шифрования Пример – управление шифрованием из еРО McAfee ePO MS BitLocker Apple FileVault McAfee Drive Encryption + File and Media EMM Portal iOS & Android
- 7. Три основных порта, необходимых для коммуникации между еРО и McAfee Agent ePO – основы: агент McAfee ePO McAfee Agent Encryption Endpoint 443 TCP 80 TCP 8081 TCP
- 8. ePO – основы: агент McAfee ePO McAfee Agent VSE Endpoint Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса. Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
- 9. ePO – основы: агент McAfee ePO McAfee Agent VSE DLP Encryption HIPS Endpoint Работа с компонентами защиты напоминает конструктор LEGO. Наборы решений могут разниться в зависимости от аппаратных ресурсов целевых систем либо в зависимости от задач комплекса. Консоль еРО позволяет автоматически отсортировать системы по уровню производительности.
- 10. Перечень систем ePO – основы: дерево систем Формируется • Вручную • Синхронизация с MS AD Возможна сортировка систем по • Тегам (меткам) • IP адресам/подсетям
- 11. Разделение системы по группам ePO – основы: метки (теги) Могут назначаться • По критериям • Вручную (без критериев) Используются для • Сортировки систем • Выборочного запуска задач • Выбор. применения политик
- 12. Каждый модуль имеет свой набор политик ePO – основы: политики Политика My Default применяется сразу! Принцип управления: Создаем наборы политик и переключаем - наследование - по системам - по группам
- 13. Делегирование наборов разрешений ePO – основы: ролевая модель доступа Операции могут быть распределены между: • Администраторами (политики); • Help-Desk`ом (сброс паролей); • Инженерами (восстановление доступа); • Аудиторами/руководством (отчетность)…
- 14. ePolicy Orchestrator 5.1.0 Best Practices Guide стр. 18 - 23 ePO – основы: системные требования
- 15. Консоль еРО предлагает различные методы обеспечения доставки обновлений ePO – основы: обновление пакетов McAfee ePO Super Agent Lazy Caching зеркало SMB / FTP / WEB Сервера McAfee
- 16. Пакеты EPS Модули Endpoint Protection Endpoint Protection Advanced Suite Complete Endpoint Protection Business (only 2k< users) Complete Endpoint Protection Enterprise Suite VSE for Windows √ √ √ √ VSE for Linux √ √ √ √ VSE for command line √ √ √ √ EPS for Mac √ √ √ √ HIPS for Windows (Desktop) √ √ √ Site Advisor (web-filtering) √ √ √ √ Firewall √ √ √ √ Device Control √ √ √ √ Application Control √ EMM (MDM) √ √ Encryption (DE + MNE + FRM) √ Security for Exch. & Lotus √ √ √ √
- 17. Пакеты EPS Модули Endpoint Protection Endpoint Protection Advanced Suite Complete Endpoint Protection Business (only 2k< users) Complete Endpoint Protection Enterprise Suite VSE for Windows √ √ √ √ VSE for Linux √ √ √ √ VSE for command line √ √ √ √ EPS for Mac √ √ √ √ HIPS for Windows (Desktop) √ √ √ Site Advisor (web-filtering) √ √ √ √ Firewall √ √ √ √ Device Control √ √ √ √ Application Control √ EMM (MDM) √ √ Encryption (DE + MNE + FRM) √ Security for Exch. & Lotus √ √ √ √
- 18. Уровни защиты антивируса. Это важно знать и помнить! VirusScan Enterprise (VSE) Файловый управляемый антивирус для разных платформ. Основа защиты серверов и рабочих станций. Имеет три степени защиты: DAT – вирусные сигнатуры GTI – облачный сервис репутации (!) требует доступа к Интернет либо GTI Proxy Access Protection Rules – правила защиты (!) by Default только самозащита VSE
- 19. Типы антивирусов VirusScan Enterprise (VSE) Основное решение для Windows. От XP до 2012. Управляется из еРО.VSE (Win) VSE (Lin) VSE (Mac) VSE for Storage VSE for Android VSE (cmd) MOVE Используется для защиты deb и rpm дистрибутивов. Управляется из еРО. Поддерживает MacOS X Server и Mac OS от 10.7 и выше. Управляется из еРО. Сканирование NAS типа NetApp и подобных. Управляется из еРО. Поддерживает Android 2.1 – 4.х. Управляется из консоли ЕММ (еРО). Для AIX, FreeBSD, HP-UIX, Sun, Linux, Windows. Standalone. Для Windows гостевых систем. Защита ВМ. Hyper-V/VMware/Xen и т.д.
- 20. MOVE – Безагентный (только для vShield) McAfee ePO VMware vShield Endpoint VMware ESX Функционал • Для защиты ВМ достаточно наличия гостевых утилит Vmware • Планировщик сканирования • Защита с поддержкой vMotion • Возможность автоматического развертывания серверов сканирования через NSX VM VM MOVE Security Appliance OS OS VMtools VMtools MOVEMOVE MOVE Сканирование систем через канал VMCI
- 21. MOVE – Агентный (Multi-Platform) MOVE Security Appliance VM VM VM MOVE MOVE MOVE OS OS OS hypervisor2 network McAfee ePO • Защита при перемещении ВМ между гипервизорами • Возможность восстановления файлов из локального карантина • Возможность сканирования по требованию как отдельной ВМ так и группы систем • Балансировка нагрузки, использование RAM диска, диагностика через ePO Функционал MOVE hypervisor1 Поддержка любых гипервизоров
- 22. MOVE – Возможности Функционал Multi-platform 3.6 Agentless 3.6 Anti-Virus Features Сканирование по доступу (On-Access Scanning) ✔ ✔ Сканирование по запросу (On-Demand Scanning) ✔ ✔ Сканирование сетевых дисков ✔ ― Работа с карантином Централизованно из ePO С помощью утилиты Автоматическое развертывание SVA через NSX ― ✔ Настройка политик на отдельную ВМ либо группу ВМ ✔ ✔ Поддерживаемые типы исключения По пути / По имени процесса Только по пути Проверка репутации по облаку GTI ✔ ✔ Масштабируемость до 450 ВМ на 1 сервер сканирования 1 сервер на хост ESX Гипервизор Любой Только VMware с vShield Доступно в пакетах по защите серверов Балансировка нагрузки (SVA Manager) ✔ ― McAfee Agentless Firewall ✔
- 23. MOVE – Пакеты по защите серверов McAfee MOVE AV for Virtual Servers McAfee Server Security Suite Essentials McAfee Server Security Suite Advanced ePolicy Orchestrator ✔ ✔ ✔ MOVE AV for Servers ✔ ✔ ✔ Advanced MOVE AV feature: ePO Easy Deployment ✔ ✔ Advanced MOVE AV feature: McAfee Agentless Firewall for VMware environments ✔ ✔ Data Center Connector for VMware vSphere ✔ ✔ ✔ Data Center Connectors for AWS, Azure, and OpenStack ✔ ✔ VSE and VSEL license for the scan server only ✔ VirusScan Enterprise (VSE) ✔ ✔ VirusScan Enterprise for Linux (VSEL) ✔ ✔ Host IPS for Servers & Linux Firewall ✔ ✔ Application Control for Servers ✔ Change Control for Servers ✔ Licensing Meter Per OS Instance Per OS Instance
- 24. Брандмауэр + защита от вторжений Комплексная защита конечных точек HIPS • Анализ поведения процессов как способ защиты от 0-day атак • Защита от атак типа buffer overflow • Сигнатуры HIPS содержат описания уязвимостей популярного ПО (Adobe Flash, Oracle Java, Windows etc) • Защита тех систем, которые редко/никогда не обновляются • Использует Windows Filtering Platform • Поддерживает XP – 8.x, 10; 2003 - 2012 Основные функции: - Контроль трафика при загрузке ОС - Черный список доменов - Защита от спуфинга - Проверка репутации IP по облаку GTI - Конструктор правил - Три режима работы: - Постоянный - Адаптивный - Обучаемый
- 25. Пример использования – защита Web сервера HIPS Web Server Shield Decryption & Decoding TCP/IP Stack HTTP Protection Web Server Engine System Call & API System Call Interception Engine Operating System Audit Logs
- 26. Пример использования – защита базы данных HIPS Database Shield Database Network Libraries Incoming queries from database clients SQL Interception Engine Database Engine System Call & API System Call Interception Engine Operating System Audit Logs
- 27. Контроль запуска приложений/служб Application Control Комплексная защита конечных точек • Блокирование скрытых угроз (атаки без вирусного кода, использование уязвимостей в механизмах ОС и ПО) • Использование «белых списков» для разрешения работы только санкционированных приложений • Хорошая возможность обеспечить защиту неподдерживаемых устаревших систем, таких как Microsoft Windows NT, 2000 и с недавнего времени Windows ХР – Разрешен запуск только определенного перечня ПО – Защита от zeroday атак без обновления сигнатурных баз – Работает на основе «белых списков» приложений – Поддержка хешей и сертификатов – Может быть развернут как в standalone режиме, так и управляем с еРО McAfee Application Control позволяет обеспечивать защиту систем, на которых в силу различных причин не возможна своевременная установка обновлений ОС и ПО.
- 28. Контроль устройств, внешних носителей. Device Control – Контроль устройств: Мониторинг, блокирование, r/o USB носителей. – С поддержкой fingerprints но без меток. – Поддержка USB-накопителей, 3G и Wi-Fi адаптеров, mp3 проигрывателей, устройств Bluetooth и инфракрасных устройств, портов COM и LPT McAfee Device Control позволяет контролировать и по необходимости блокировать PnP устройства, а также съемные носители информации: USB-накопители, MP3-плейеры, телефоны.Комплексная защита конечных точек • Защита утечки данных (базовая) • Не требователен к ресурсам • Управляется из еРО • Легкий и быстрый upgrade до полноценного DLP Endpoint* * модуль один и тот же, в зависимости от активированной лицензии работает либо в режиме контроля устройств либо в режиме полного DLP
- 29. Контроль устройств, внешних носителей. Device Control • «Белые»/«Черные» списки устройств • Блокирование неявных каналов утечки • «Понимает» разные классы устройств • Контроль на уровне шины USB, PCI • SN, VID + PID, Device ID etc
- 30. Контроль устройств, внешних носителей. Device Control Блокирование Шифрование Мониторинг Обоснование запроса Теневая копия (подтверждение) Уведомление пользователя * Действия одной и той же политики могут отличатся (Online/Offline) ** Подробнее о DLP Endpoint в моем блоге: статья
- 31. Апгрейд до полноценного DLP агента на конечных точках Device Control –> DLP Endpoint Контроль устройств. Мониторинг, блокирование, r/o USB носителей. Интегрируется с выборочным шифрованием файлов и каталогов. Классификация: 1) цифровые отпечатки; 2) текстовые шаблоны, словари Не поддерживает метки (теги). Входит в пакет Content Security Suite (MWG + MEG + NDLP Prevent + DC = DLP для «начинающих») Device Control + контроль действий пользователей (Email, Web, Print..). Классификация: 1) цифровые отпечатки; 2) текстовые шаблоны, словари; 3) метки Операции Discover файловой системы и OST/PST архивов на рабочих станциях. Интегрируется с выборочным шифрованием файлов и каталогов. Поддерживает как рабочие станции так и серверные ОС, в т.ч. сервера терминалов* * Оба решения поддерживают Windows и Mac OS Сравнение возможностей – см. статью в моем блоге Device Control DLP Endpoint
- 32. Средства криптографической защиты информации McAfee ePO MS BitLocker Apple FileVault McAfee Drive Encryption + File and Media
- 33. Шифрование на уровне секторов жесткого диска Drive Encryption • Система FDE с поддержкой HDD, Opal, SED и SSD дисков • Широкий перечень поддерживаемых редакций Windows (XP – 8.1) • Поддержка технологий: AES-NI, SSO, TPM, AMT, UEFI, GPT, Secure/Hybrid Boot… • Возможность добавить в pre-boot как доменных, так и недоменных пользователей • Поддержка различных токенов (KB79787) и кард-ридеров (KB79788) • Возможность сброса забытого пароля 6 разными способами • Симметричное шифрование секторов жесткого диска алгоритмом AES‐256-CBC • Для генерации случайных чисел DRBG использует HMAC SHA256 • Для аутентификации используется асимметричное шифрование RSA 2048 bit
- 34. Методы сброса пароля/восстановления доступа к зашифрованной системе Drive Encryption Self-recovery - автономно Admin recovery (challenge-response) - email, phone EETech boot USB/CD - локально DeepCommand on intel AMT systems - через Internet (IPsec) Endpoint Assistant (Android & iOS devices) - автономно / 7.1 Self Service Portal (DPSSP) - через Internet / 7.2 Итого: 6 различных сценариев восстановления доступа
- 35. Короткая характеристика решения Management of Native Encryption • Контроль Apple FileVault и MS BitLocker средствами еРО • Два режима работы (report only & control) • При использовании MNE нет необходимости в MBAM сервере • Self Service Portal (DPSSP) • Поддержка DEGO для Mac • Периодическое пересоздание ключей восстановления • Поддержка устройств Windows To Go, Microsoft Surface Tablets
- 36. Короткая характеристика решения File and Removable Media Protection • Симметричное шифрование локальных/сетевых файлов/каталогов (AES 256) • Шифрование внешних USB накопителей, CD/DVD, вложений электронной почты • Гибкое делегирование ключей (User based / System based)
- 37. Работа с CD/DVD и USB накопителями File and Removable Media Protection • Без шифрования/вручную/принудительно либо Read Only • (USB) возможность привязки накопителя к конкретной системе • (USB) возможность доступа на внешней системе (Windows & Mac) • Доступ к зашифрованному без необходимости доп. ПО
- 38. Web-фильтрация на уровне браузеров. Site Advisor Комплексная защита конечных точек • Проверка репутации URL по GTI • Возможность принудительного блокирования посещения и/или загрузок по репутации URL • Возможность синхронизации списков категорий URL с McAfee Web Gateway • Защита на уровне URL-адресов, а не доменов • Поддерживает браузеры: IE, Firefox и Chrome
- 39. Deep Command – Использует технологии Intel® vPro™ Active Management Technology (AMT); – Обнаруживает ПК на базе процессоров Intel vPro в инфраструктуре организаций; – Позволяет активировать Intel AMT с консоли ePO; – Выполнение операций по обслуживанию/установке обновлений в нерабочее время по планировщику; – IPsec VPN для подключения к удаленной системе в независимости от состояния ОС; – Обеспечивает безопасное расширение возможностей дистанционной установки исправлений благодаря функции KVM с использованием IP-протокола (IP-KVM) • Оболочка для Intel AMT • Пробуждение ПК и установка исправлений • Доступ к ПК на уровне аппаратного обеспечения • Удаленное управление шифрованием • Поддержка CPU Intel Core i5 vPro и Core i7 vPro Удаленное включение и доступ к любому компьютеру за пределами локальной сети, не зависимо от состояния ОС. Отложенное выполнение сервисных операций.
- 40. Deep Defender Комплексная защита конечных точек – Более глубокий уровень защиты – Мониторинг памяти в режиме реального времени – Активируется до загрузки ОС – Защита MBR и BIOS – Управляется с помощью ePO – Использование механизмов rootkits для борьбы против них самих • Работает за пределами ОС • Предотвращает установку руткитов • Совместная разработка McAfee и Intel • Может работать вместе с другими защитными модулями (VSE, HIPS etc) • Поддерживает CPU: Intel Core i3, i5, i7 Представляет собой гипервизор первого рода. Работает на системах с Intel VT. Обеспечивает анализ кода на стадии выполнения. Не подвержен атакам, т.к. запускается не из под ОС. Защита от rootkit / bootkit / 0-day etc
- 41. EMM (защита мобильных устройств) • Консоль управления (MDM) • Защита и контроль BYOD • iOS, Android, WinPhone Enterprise Mobility Management (EMM) • Защищенный почтовый клиент • Шифрование почты, календарей и контактов (AES 256) • Запрет передачи вложений Secure Container for Android • Антивирусная защита • Оптимизирован для моб. устройств • Управляется из консоли ЕММ VirusScan Mobile for Android Кроме консоли, к которой подключаются устройства:
- 42. Функционал решения EMM (защита мобильных устройств) Управление BYOD • Применение ограничений в соотв. с возможностями API устройств • Удаленное блокирование и очистка аппарата (выборочно) • Интеграция с консолью еРО • Инициализация удаленных устройств по каналам Wi-Fi, 3G, VPN Соответствие (Compliance) • Идентификация и запрет доступа jailbrakeroot устройств • Блокирование доступа для non-compliance устройств • Контроль шифрования iOS и Android, Secure Container • Отчеты о состоянии соответствия • Применение политик с привязкой к AD Защита данных • Блеклистинг приложений • Настройка профилей Wi-Fi/VPN • VirusScan Mobile для Android • Secure Container для Android (шифрование почты) • Принудительное применение политик • Принудительное усиление аутентификации (PIN, pass)
- 43. Схема внедрения EMM (защита мобильных устройств)
- 44. Secure Container for Android EMM (защита мобильных устройств) • Полноценная синхронизация ящика, контактов и календаря • Все данные включая кэш шифруется [AES 256] • Запрет передачи вложения сторонним приложениям • При переборе пароля автоматически затирается • При увольнении достаточно затереть только содержимое контейнера • Встроенный просмотр основных форматов: Word, Excel, PDF • Управляется из ЕММ, может быть развернут принудительно
- 45. VirusScan Mobile EMM (защита мобильных устройств) • Антивирус для платформы Android, управляется из консоли еРО • Принудительная установка, обновление и сканирование • Дополнительный механизм проверки репутации приложений • Не злоупотребляет ресурсами и не садит батарею
- 46. Как правильно использовать комплекты EPS Практические советы • Не оставляйте Default Policy ! • Следите за обновлениями - VSE DAT, актуальные базы доступны по ссылке - HIPS Content, описание сигнатур по ссылке • Не забывайте проверить GTI - KB53733 , помните, что есть GTI Proxy - KB71000 • Не забывайте, что в Access Protection по умолчанию включена только самозащита • Пакеты EPS позволяют комбинировать модули защиты: - только VSE для систем, которые могут обновляться 1/24 и имеют связь с GTI - HIPS & AppControl для off-line систем и слабых конфигураций - VSE & HIPS & DevControl для оптимальной защиты
- 47. Не входят в комплекты по защите конечных точек Шлюзы очистки Web и Email • Предоставляют полный спектр антивирусной и антиспам защиты • McAfee Web Gateway может интегрироваться с SiteAdvisor • Web и Email Gateway могут быть начальным этапом внедрения Network DLP • Обеспечивают проверку содержимого писем и HTTP(S) запросов
- 48. Защита почты MEG _ McAfee Email Gateway HW / VM • Два антивирусных движка (McAfee, Commtouch); • Проверка репутации отправителя, файла, URL; • Анти-спам анализ сообщений; • SPF, Sender ID, DKIM, reverse DNS lookup etc; • Кластеризация; • S/MIME, PGP, TLS шифрование; • Карантин + обучение SPAM фильтра; • Управление из еРО или отдельно.
- 49. Шифрование писем – на основе политик либо по содержимому MEG _ McAfee Email Gateway HW / VM Между организациями (server to server) • TLS by default • Поддержка S/MIME & PGP • Настраивается политиками по домену Secure Portal “Pull-based” • Письма хранятся на MEG • Адресату приходит URL для доступа к письму • Решение для защищенной коммуникации с отдельными адресатами Secure Attachment “Push-based” • Письмо приходит в виде запароленного вложения • Письмо храниться п ящике получателя • Нет необходимости хранить письма на MEG Recipient Email Gateway Email Protection with Policy Engine Message Recipient Browser Recipient Email Gateway Email Protection with Policy Engine Message Recipient Recipient Email Gateway Email Protection with Policy Engine Message Recipient
- 50. Очистка Web трафика MEG _ McAfee Web Gateway HW / VM • Категоризация URL; • Песочница для скриптов; • Анализ загружаемого контента; • Антивирусная защита; • Организация SSO; • NTLM, Kerberos, Basic; • Кластеризация; • Управление из еРО или отдельно.
- 51. Очистка Web трафика MEG _ McAfee Web Gateway HW / VM Все загрузки проверяться многоступенчатой системой очистки и только после этого предоставляться пользователям Filter Known Good Known Bad Sandbox / Reverse-engineeringReal-time Emulation Depth Of Inspection McAfee Web Protection McAfee ATD Advanced Threat Defense Gateway Anti-Malware URL/Category AVGTI
- 52. Контроль Web приложений + пример блокировки по категориям MEG _ McAfee Web Gateway HW / VM Customize block page with your logo, colors, instructions… Проверка меток на видео в реальном времени, политики по: Категории, Автор, Канал и т.д.
- 53. Источники полезной информации www.mcafee.com/expertcenter - каталог инструкций https://kc.mcafee.com - база знаний https://radetskiy.wordpress.com - мой блог https://www.youtube.com/user/McAfeeTechnical - канал на YouTube ftp://ftp.bakotech.com/Evaluation/Docs/ - документация на нашем FTP ftp login: mcafee ftp pass: mcafee
- 54. . McAfee Confidential 54 Intel Security – решения ИБ Управление ИБ Аналитика Защита Web Защита сети DLP Шифрование Защита серверов Контроль приложений Микросхемы Intel® on-premises | private cloud | public cloud | hybrid Лидер в производстве микросхем Компания основана в 1968 Цель: Обеспечить потребность людей в быстрых и надежных вычислительных устройствах. Лидер на рынке ИБ решений Компания основана в 1987 Приобретена Intel в 2010 Цель: Обеспечить защиту ИТ активов заказчиков Объединение разработок McAfee с продукцией Intel.