Новые продукты McAfee/Intel
-
Upload
andrei-novikau -
Category
Documents
-
view
990 -
download
0
description
Transcript of Новые продукты McAfee/Intel
McAfee Confidential—Internal Use Only
McAfee® Enterprise Mobility Management (McAfee EMM™)
McAfee Confidential—Internal Use Only
Эволюция пользователей
McAfee Confidential—Internal Use Only
Эволюция пользователей
McAfee Confidential—Internal Use Only
Тенденции
• Консьюмеризация IT
– Устройства, принадлежащие сотрудникам, в корпоративной сети
• Разнообразие устройств
– iOS, Android, Windows, и т.д.
• Взрывной рост количества приложений
– Дополнительные риски
• Угрозы для мобильных устройств
– Основная часть для Android
McAfee Confidential—Internal Use Only
Утерянные устройства
4%
5%
11%
17%
19%
31%
57%
0% 10% 20% 30% 40% 50% 60%
Other
Anti-virus/anti-malware
Client firewall
Password or keypad lock
Encryption
Anti-theft device
No protection
McAfee Confidential—Internal Use Only
Новые вызовы
IT
HR
Finance
Sales
IT
60,000 новых вирусов в день
Более половины пользователей не делают lock на своих устройствах
80% IT-пользователей обеспокоено вероятностью утечки данных
Мобильные устройства – новая цель для злоумышленников
May 21, 2012
McAfee Confidential—Internal Use Only McAfee Confidential—Internal Use Only
Требования к безопасности
McAfee Confidential—Internal Use Only
Безопасность для мобильных устройств
Devices
Apps
Data
Защита устройств • Device Management (MDM)
• Anti-Malware
• Web Protection
Защита приложений • Enterprise App Store
• McAfee SECURE™ for App Stores
• McAfee App Alert™
Защита данных • Data Protection (Locate, Lock, Wipe, Delete)
• Jailbroken and Rooted Device Exclusion
• Encryption
McAfee Confidential—Internal Use Only
Защита сегодня и завтра
Сегодня Завтра
• Enterprise App Store • App Management
(blacklisting)
• Embedded URL site reputation • Developer reputation • App reputation • Vulnerabilities/malware • Behavior/history (monitoring)
• Policy-based blacklist • Reputation-based blacklist • McAfee Secure for App Store
REAL TIME QUERIES
McAfee Confidential—Internal Use Only McAfee Confidential—Internal Use Only
Обзор решения
McAfee Confidential—Internal Use Only McAfee Confidential—Internal Use Only
Добавьте мобильные устройства
You already built one security
infrastructure. Why build another?
McAfee Confidential—Internal Use Only
McAfee Enterprise Mobility Management
Win 7 & WinMo
• Безопасность
– Управление нативными свойствами
– Обеспечение соответствия – Расширяет
инфраструктуру безопасности через ePO
– Интеграция в сеть • Простота
– Удобное управление и отчетность через ePO
– Централизованная консоль
– Персонализация устройств • Масштабируемость
– От десяткой до тысяч устройств
– Отказоустойчивость
Database
Files
Directory
Applications
Certificate Services
Messaging
Enterprise Environment
Symbian
Android
webOS
BlackBerry
iPhone
iPad
McAfee EMM
VPN
McAfee Confidential—Internal Use Only
Самостоятельная установка для iOS
GO TO THE APP STORE
1
ENTER YOUR EMAIL CREDENTIALS
2
AGREE TO CORPORATE POLICY
3
IT SERVICES ARE AUTO-PROVISIONED
4
Просто, Безопасно, Автоматически Optional Two-Factor Authentication
McAfee Confidential—Internal Use Only
Самостоятельная установка для Android
Просто, Безопасно, Автоматически
GO TO THE MARKETPLACE
1
ENTER YOUR EMAIL CREDENTIALS
2
AGREE TO CORPORATE POLICY
3
IT SERVICES ARE AUTO-PROVISIONED
4
McAfee Confidential—Internal Use Only
McAfee VirusScan Mobile
Оптимизировано для Android
Сканирование в реальном времени
Проверка аттачей
Карантин и лечение
Обновления 24x7
McAfee Confidential—Internal Use Only
Enterprise Application Store
• Безопасный доступ к рекомендованным приложениям на основе групп, пользователей или типов устройств.
– Собственные разработки
– Приложения сторонних производителей (Apple App Store / Android Marketplace)
– Веб-ссылки
• Аудит и инвентаризация приложений
McAfee Confidential—Internal Use Only McAfee Confidential—Internal Use Only
Вопросы/Ответы
McAfee Confidential—Internal Use Only
McAfee Deep Defender
McAfee Confidential—Internal Use Only
Intel and McAfee
Network Security Cloud Security
Security Management Endpoint Security
Technology Ecosystem
vPro Active Management Technology Advanced Encryption Standard Virtualization One Time Password Secure BIOS
Безопасность
McAfee Confidential—Internal Use Only
Изменения индустрии
McAfee DeepSAFE
Технические детали
Темы
McAfee Deep Defender
McAfee Confidential—Internal Use Only
Проблемы индустрии
• Сегодняшние решения обеспечивают защиту внутри ОС
• Злоумышленники обходят такую защиту с помощью специальных стелс-техник
• Сегодняшние решения являются неэффективными для борьбы с такими видами атак
McAfee Confidential—Internal Use Only
Рост количества Стелс-вирусов
• Распространение техники Стелс
• Разработаны для обхода традиционных средств защиты
• Злоумышленники используют Стелс-вирусы для скрытия хищения данных
– 110,000 новых образцов каждый квартал
– 1,200 новых образцов в день
• Все больше вирусов используют руткиты
– Stuxnet был нацелен на государственные предприятия Ирана и Индии
– Koobface спокойно превращал систему в бот
– SpyEye - инструментарий для создания Стелс-вирусов
– TDSS – семейство руткитов, которых невозможно определить с помощью традиционных средств защиты, работающих внутри/над ОС
0
500000
1000000
1500000
2000000
2500000
1Q09 2Q09 3Q09 4Q09 1Q10 2Q10 3Q10 4Q10 1Q11 2Q11 3Q11
Образцы руткитов
McAfee Confidential—Internal Use Only
I/O Memory Disk Network Display
AV HIPS
Заражение ОС незаметно для антивируса
Традиционные атаки и решения по защите работают на уровне приложений
Опасная прошивка устройств обходит все уровни защиты
Атаковать и отключить антивирус
Заражение виртуальной
машины, и соседних
Заражение устройств ниже ОС, либо до,
либо после отгрузки
Intel & McAfee Confidential
Необходимость нового подхода
BIOS
CPU
Virtual Machine
Operating System
Applications/RDBMS
McAfee Confidential—Internal Use Only
Период незащищённости
Защищаемся когда уже слишком поздно
t0
Стелс-вирус установлен
t1
Вирус скрыт
t2
Кража данных
t3
Ущерб нанесён
t4
Решение пост-фактум
Кража конфиденциальных данных Злоумышленники завладевают ПК
ПК стал счастью ботнет
McAfee Confidential—Internal Use Only
Слелс-техники увеличивают риск
ePO
Стелс-техника для распространения вируса по всей компании (Zeus)
Data Leakage Compliance Issues
Increased Operational
Costs
Reduced Employee
Productivity
Spread of malware
Unauthorized Access
Stealth Threats
Koobface использовал стелс-технику для превращения ПК в бот
Скрытые кейлоггеры незаметно похищают конфиденциальные данные
Стелс-вирусы ставят ваш бизнес под серьёзную угрозу
Полная переустановка ПО для удаления скрытых угроз
Низкая производительность из-за заражения ПК снижает производительность труда
McAfee Confidential—Internal Use Only
McAfee DeepSAFE – продукт нового поколения
Технология McAfee и Intel
Первый в отрасли продукт такого класса
Новый виток развития – Безопасность ниже ОС
Основная технология для миграции в будущие продукты
Operating System
McAfee DeepSAFE Technology
CPU
Intel® Core™ i3, i5, i7 | VT-x
McAfee Deep Defender
McAfee Confidential—Internal Use Only
McAfee Deep Defender
Защита от ранее скрытых угроз
Защита ядра системы в реальном времени
Управляется с помощью ePO
Использует технологию McAfee DeepSAFE
Operating System
McAfee DeepSAFE Technology
CPU
Intel® Core™ i3, i5, i7 | VT-x
McAfee Deep Defender
McAfee Confidential—Internal Use Only
Deep Defender
• Мониторинг памяти в реальном времени
• Идентифицирует руткиты на уровне ядра
• Предотвращает загрузку драйвера
• Технология DeepSAFE загружается до ОС
• Технология DeepSAFE сообщает Deep Defender об опасном поведении
DeepSAFE Loaded Beyond the OS
OS Initialization
OS Loader
Boot Drivers
Bo
ot D
river
Bo
ot D
river
Deep
SAF
E L
oad
er / Agen
t
Other Drivers
AV
Driver
Driver
Driver
Driver
McAfee DeepSAFE
Ro
otk
it
Ro
otk
it
Services and Applications
Application
Application
Application
Deep Defender
Agent malware
Intel i3
/i5/i7
CP
U
(BIO
S VT
-x En
ab
led)
McAfee Confidential—Internal Use Only
Deep Defender
t0
Попытка установки
стелс-вируса
t1
Установка заблокирована
Защита в реальном времени Никаких утечек данных
ПК не скомпрометирован
McAfee Confidential—Internal Use Only
Установка Deep Defender
May 21, 2012
• Установка через ePO 4.5 или 4.6
– Точно так же и другие решения McAfee
• Новые ПК или использующиеся в ePO
• ПК с процессорами Intel Core i3, i5 or i7
• Разработано для рабочих станций
• Поддержка Windows 7; 32 & 64 bit
McAfee Confidential—Internal Use Only
Deep Defender поддерживает GTI
.
Threat
Reputation
Network IPS
Firewall Web
Gateway Host AV Mail
Gateway Host IPS Deep Defender
McAfee Confidential—Internal Use Only
Почему это важно для клиентов?
• Обнаружение скрытых угроз
– Обнаружение ранее неизвестных и невидимых угроз
• Быстрая защита
– Блокировка попыток установки стелс-вирусов
• Предотвращение утечек
– Предотвращение распространения вирусов для кражи данных
• Снижение затрат
– Сокращение времени простоя
Deep Defender
McAfee Confidential—Internal Use Only McAfee Confidential—Internal Use Only
Вопросы/Ответы
McAfee Confidential—Internal Use Only
McAfee ePO Deep Command
McAfee Confidential—Internal Use Only
Изменения индустрии
Обзор решения
Обнаружение
Выгода
Темы
May 21, 2012 35
Примеры
McAfee Confidential—Internal Use Only
Изменения индустрии
ПК должны быть всегда доступны
для пользователей
Быстрое распространение
угроз требует быстрого
распространения политик
безопасности
“Зелёная & Чистая” планета.
Управление питанием
Стоимость визита ИТ и связанные операционные расходы – 250$
McAfee Confidential—Internal Use Only
Уменьшение стоимости управления
ePO
Сбой требует восстановления на месте
Encrypted Drives
Help Desk Calls
System Connectivity
Issues
Policy Deployment
Delays
“Truck Rolls”
Green Initiatives $ Невозможно выполнить
сканирование и обновление в нерабочее время
Невозможно включить ПК и установить патч без
вмешательства человека Невозможно загрузить ПК удалённо с *.ISO
Конфигурация ПК блокирует соединения
Невозможно вовремя обновить политики безопасности
McAfee Confidential—Internal Use Only
Intel vPro
Preboot
OS
McAfee Agent
McAfee Security
Apps
McAfee ePO Deep Command
38
• Использует технологию Intel vPro (AMT)
• Позволяет удалённо помогать, контролировать политики, и восстанавливать ПК
• Управление через ePO
• Выгода – Уменьшение расходов на обслуживание
– Защита для выключенных ПК
– Возможность доступа при минимальном потреблении энергии
ePO Agent Handler
McAfee Confidential—Internal Use Only
Панель McAfee ePO Deep Command
39
McAfee Confidential—Internal Use Only
Определение ПК с vPro AMT
40
McAfee Confidential—Internal Use Only
ePO Deep Command - Примеры
41
ePO Deep Command подключается к системе на уровне AMT и позволяет внести правки в конфигурацию или политики
Политики или неправильная конфигурация мешает подключению
Сбои в системе часто требуют вмешательства на месте
ePO Deep Command позволяет загрузить систему образа диска, тем самым позволяя восстановить систему полностью
Необходимо снизить потребление энергии, но сохранить уровень безопасности
ePO Deep Command позволяет устанавливать обновления, патчи, и новые продукты или политики за счет технологии AMT alarm и удалённого включения
ePO Deep Command может применить все необходимые политики безопасности для ПК с AMT, независимо от их состояния по питанию
Невозможно установить новые обновления для защиты, если ПК выключен
McAfee ePO Deep Command Задачи бизнеса
McAfee Confidential—Internal Use Only
Восстановление системы
42
Connection to AMT
Remote Boot from .iso
Цели
(a) Восстановление системы через ePO (b) Выполнение диагностики с
загрузочного диска
1. Пользователь сообщает
Администратору о проблеме
2. Администратор ePO подключается к системе на уровне AMT
3. Administrator инструктирует систему для загрузки с удалённого образа
4. Как только система загрузилась, Администратор может выполнить все необходимые шаги
ePolicy Orchestrator
McAfee Confidential—Internal Use Only
Применение политик безопасности
Цели
(a) Необходимо, чтобы все системы, даже выключенные, имели обновлённую политику безопасности
1. Отдел ИТ определил новую атаку в
сети
2. Администратор ePO подключается к выключенной станции с помощью AMT
3. При загрузке, ePO Deep Command выполняет серию необходимых задач по обновлению
4. Когда задача выполнится, станции
снова выключатся
Connection to AMT
Task: “Update DAT” now
ePolicy Orchestrator
McAfee Confidential—Internal Use Only
Intel AMT
Preboot
OS
McAfee Agent
McAfee
VirusScan
Apps
Intel AMT will power up computer and McAfee Agent will start and check for open tasks
ePO Deep Command Загрузка и выполнение команд
! Wake Up Computer AMT Alarm or Power-on
ePO will send tasks to the McAfee Agent, e.g. upgrade VSE, update DAT, run ODS, send events,
shutdown
McAfee Confidential—Internal Use Only
ePO Deep Command Экономия электричества
45
Выключение для ПК с Intel vPro
Пример: 25,000 систем
Выключение систем в нерабочее время
Экономия в год — $500,000
Потребление энергии
Рабочая станция – 125
ватт
Ноутбук – 35 ватт
Стоимость киловатта
$0.097
Сохранить затраты на
энергию, но не проиграть в
безопасности
S OFF
ON
McAfee Confidential—Internal Use Only
McAfee ePO Deep Command Преимущества
46
Зелёная планета
Сохранение необходимого
уровня безопасности и
экономия энергии
Надёжность
ПК всегда готовы для работы конечных
пользователей
Оптимизация
Необходимый уровень защиты
независимо от состояния ПК
Сохранение времени
Постоянный доступ к ПК
Снижение затрат
Ликвидация необходимости
присутствовать на месте при появлении
проблем
ePO Deep Command
McAfee Confidential—Internal Use Only
Итог: ePO Deep Command
47
1
ePO Deep Command повышает защищённость ПК,
даже если они выключены из сети
Бережёт Планету ePO Deep
Command уменьшит расходы на ИТ
McAfee Confidential—Internal Use Only McAfee Confidential—Internal Use Only
Вопросы/Ответы
McAfee Confidential—Internal Use Only
McAfee SIEM
May 21,
2012
49
McAfee Confidential—Internal Use Only
Текущее состояние SIEM
Устаревшая архитектура Вынужденный выбор между
скоростью и информативностью
События сами по себе не помогут справится с
современными угрозами
Сложные управление и установка приводят к увеличению расходов
00001001001111
11010101110101
10001010010100
00101011101101 VS
Реальность:
Поддержка данных по безопасности
Платформа для глубокого исследования
Управление поддержкой и соответствием
Обещания:
McAfee Confidential—Internal Use Only
Выполнение обещаний
Превосходный интеллект
Быстрая реакция
Значительная выгода
Big Security Data DB
Непрерывное соответствие
McAfee Confidential—Internal Use Only
Управление логами
Исследование логов пост-фактум
Исследование
Управление логами и поиск
• Наблюдение за частотой записей
• Поиск логов
McAfee Confidential—Internal Use Only
Традиционный контекст
Настоящий SIEM
Device and Application Log
Files
Authentication and IAM
Events from Security Devices and Endpoints
User Identity
Location
VA Scan Data Network Flows Time OS Events
Определение известных опасных потоков
Управление логами
Визуализация и исследование • Наблюдение за
частотой записей
• Поиск логов
• Корреляция
событий
McAfee Confidential—Internal Use Only
Управлением логами
Традиционный контекст
Основа на содержании
Основа на содержании
VA Scan Data Network Flows Time OS Events
Приложения База данных
• Частота потоков, но непонятно кто, когда и что сделал
• Полная картина использования приложений и баз данных
• Производительность приложений
• Нарушение политик Баз Данных
• Наблюдение за
частотой записей
• Поиск логов
• Корреляция
событий
• Какие данные?
• Кто это сделал?
Визуализация, Исследование и Ответ
McAfee Confidential—Internal Use Only
Современные требования
Управление логами
Традиционный контекст
Основа на содержании
Динамическое содержание
Визуализация, Исследование и Ответ
GLOBAL THREAT LANDSCAPE
ENTERPRISE RISK LANDSCAPE
ePolicy Orchestrator
Risk Advisor
Корреляционный модуль • Наблюдение за
частотой записей
• Поиск логов
• Корреляция
событий
• Какие данные?
• Кто это сделал?
• Плохие ребята?
• Каков риск системы?
• Каков риск пользователя?
• Информация об угрозах
• Немедленные алармы
• Анализ истории
• Уязвимости
• Контрмеры
• Лица
McAfee Confidential—Internal Use Only
GTI вместе с SIEM
Сортировка событий…
200M записей
18,000 алертов
Десятки станций
Несколько юзеров
Точные нарушения
Точный ответ
RESPOND
Я общался с плохими ребятами?
Какие соединения были блокированы?
Какие конкретно Сервера/ПК/Устройства были атакованы?
Какие учетные записи были скомпрометированы?
Что случилось с этими аккаунтами?
Как я должен ответить?
McAfee Confidential—Internal Use Only
Производительность и масштабируемость
• Недостижимая скорость
– Наиболее производительный
SIEM на рынке
– В сотни (а часто и в тысячи) раз быстрее
аналогичных решений конкурентов
– Запросы, корреляция и анализ за секунды (а не минуты или часы)
• Недостижимая масштабируемость
– Сбор всей релевантной информации
– Анализ информации за месяцы и годы,
включая высокоуровневую информацию о
контенте и контексте
– Работа с миллиардами записей в БД
McAfee Confidential—Internal Use Only
Интерфейс
McAfee Confidential—Internal Use Only
Интеллектуальная архитектура
McAfee Enterprise Security Manager McAfee Enterprise Log Manager
McAfee Application Data Monitor
McAfee Database Event Monitor
McAfee Advanced Correlation Engine
McAfee Receivers Big
Security Data DB
Анализ рисков
SIEM и управление логами
Анализ приложений
Производительный коллектор
Разведка и операционная деятельность
MRA SIA ePO GTI
McAfee Confidential—Internal Use Only McAfee Confidential—Internal Use Only
Вопросы/Ответы
McAfee Confidential—Internal Use Only
Сертификация продуктов
May 21,
2012
61
McAfee Confidential—Internal Use Only
Сертификация - Соответствие Техническим условиям
- McAfee Total Protection for Endpoint Host IPS Virus Scan Enterprise ePO - McAfee Data Loss Prevention Endpoint
Host DLP ePO
McAfee Confidential—Internal Use Only
Сертификация – Отсутствие НДВ (4 уровень)
- McAfee Total Protection for Endpoint Host IPS Virus Scan Enterprise ePO - McAfee Data Loss Prevention Endpoint
Host DLP ePO
McAfee Confidential—Internal Use Only
Сертификация – Следующий шаг
- McAfee Total Protection for Data Loss Prevention Appliance Software - McAfee Web Gateway - McAfee Network Security Platform (IPS) - McAfee Database Security
- McAfee Firewall Enterprise
McAfee Confidential—Internal Use Only