McAfee Advance Theats Defense
-
Upload
levis-nickaster -
Category
Technology
-
view
209 -
download
1
Transcript of McAfee Advance Theats Defense
Được sử dụng làm một hệ thống phát hiện vàphân tích các loại malware cũng như ngănchặn các cuộc tấn công có sử dụng malware vào hệ thống
Tích hợp sẵn các phương pháp nhận diện vàphân tích malware
Có thể liên kết với các sản phẩm khác củaMcAfee để nâng cao hiệu quả hoạt động
Static Analysis:◦ Blacklist/Whitelist
◦ McAfee Gateway Anti Malware Engine (GAM)
◦ McAfee Anti Malware Engine
◦ McAfee Global Threat Intelligence (GTI)
Dynamic Analysis:◦ Sandboxing
Là 1 database lưu trữ thông tin MD5 Signature, tên file, mức độ nguy hiểm,…) của các file malware (trong Blacklist) và các file clean (trongWhitelist) nhằm mục đích phục vụ việc nhận diệncác malware phổ biến.
Các file khi được submit lên hệ thống ATD sẽđược kiểm tra xem đã tồn tại thông tin trongblacklist hay whitelist hay chưa, dựa vào kết quảtrả về hệ thống sẽ quyết định các giai đoạn phântích tiếp theo.
Có thể thêm bớt các entry bên trongblacklist/whitelist này để tăng hiệu quả hoạt động
Một hệ thống cung cấp khả năng mô phỏngmôi trường web ảo để có thể nhận diệnmalware hay 0-day exploits được sử dụng đểtấn công vào hệ thống
Hệ thống phát hiện malware chính củaMcafee, sử dụng phương pháp quét và nhậndiện signature của các file malware
Hoạt động giống như một chương trìnhantivirus
Có liên kết với Blacklist/Whitelist
MATD có thể truy cập đến McAfee GTI để lấyvề thông tin mới nhất của các loại malware mới được phát hiện bởi các tổ chức, doanhnghiệp, cá nhân trên toàn thế giới và đã đượcsubmit lên hệ thống của McAfee.
Đối với các file lạ mà static analysis khôngphát hiện được, MATD sử dụng công nghệsandboxing để có thể trực tiếp phân tích file đó trong các VM, dựa vào hành vì trong quátrình hoạt động của file để xác định xem file đó có nguy hiểm hay không, sau đó đưa rareport về quá trình phân tích
VM sử dụng các OS phổ biến: winxp, win7, win8, win server, android,…
Standalone Deployment
MATD hoạt động như một hệ thống độc lập.
Người dùng submit thủ công file cần analysis lên hệ thống của MATD (Web upload, Transfer thông qua FTP Clients…) và nhận lại kết quảphân tích của MATD.
Thích hợp để triển khai trong quá trình thửnghiệm sản phẩm, hoặc triển khai trongkhông gian mạng độc lập, hoặc sử dụng để lấychi tiết thông tin trong quá trình phân tíchmalware
Integrate with NSP & ePO
MATD tích hợp với NSP, hoạt động song song với NSP, thực hiệnchức năng phân tích và nhận diện malware, sau đó đưa thông tin cảnh báo dựa trên kết quả phân tích về cho NSP, để NSP quyếtđịnh phương pháp xử lý.
- NSP phát hiện ra file đang được download và gửi một bản copy sang cho MATD để phân tích. Nếu MATD phát hiện ra malware trong thời gian ngắn và thông báo lại với Sensor, Sensor có thểchặn việc download file. NSP Manager hiển thị kết quả phân tíchcủa MATD
- Nếu MATD cần nhiều thời gian để phân tích, NSP Sensor sẽ chophép file được download về. Khi MATD phát hiện ra malware sauquá trình phân tích, sẽ có 1 thông báo gửi cho Sensor, dựa vàođó Sensor có thể cách li máy bị nhiễm malware cho đến khimalware được loại bỏ hoàn toàn khỏi máy đó. Có thể cấu hìnhcho NSP Manager để updatethoong tin cho Sensor, từ đó ngănchặn việc download file tương tự trong toàn bộ hệ thống
MATD có thể query đến hệ thống ePO để lấy vềthông tin của máy tại endpoint, từ đó lựatrọng VM phù hợp nhất (gần giống với os tạimáy enpoint nhất) để sử dụng trong quá trìnhdynamic analysis
Integrate with McAfee Web Gateway
Mục đích chính là để đảm bảo sự cân bằnggiữa thời gian download file của người dùngvà vấn đề bảo mật.
Chỉ có những file không nhận diện được bờiMWG mới được chuyển sang MATD để phântích toàn diện và đầy đủ hơn
Nhận diện file download (MWG,NSP,MEG…) Submit file lên MATD
Phân tích file để phát hiện malware. MATD phân tích file và gửi report về.
Chặn đứng việc download file tương tự trongtương lai dựa trên report từ MATD
Xác định, cách ly và xử lý máy bị lây nhiễm: Được thực hiện bởi NSP
Có thể liên kết để lấy dữ liệu từ McAfee GTI
Có thể tích hợp tốt với các sản phẩm khác củaMcAfee
Không tham gia trực tiếp vào Network Traffic
Có thể phân tích Android Malwares
Kiểm tra đồng thời bằng nhiều Engine khác nhau
Tích hợp với McAfee ePO để lựa chọn môi trườngdynamic analysis tốt nhất có thể
Có khả năng phát hiện và ngăn chặn 0day malwares, unknown exploits trên toàn hệ thốngkhi tích hợp với NSP Sensors