ݺߣ

ݺߣShare a Scribd company logo

NSP та MWG - захист мережевого трафіку

Vladyslav Radetsky
Vladyslav Radetsky

Слайди доповіді Олега Лободіна з McAfeeCybersecForum Детально про можливості McAfee IPS та McAfee Web Gateway Практтичні поради, приклади. Схема застосування.

Technology
1 of 46
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
NSP та MWG - захист мережевого трафіку
Захист мережевого та веб-трафіка. Контроль мережевої активності та запобігання небажаним (шкідливим) підключенням Олег Лободін OL@optidata.com.ua
Про мене Працюю у компанії OptiData Відповідаю за технічну підтримку проектів Допомога у проектах та pre-sale
Виклики з виявлення порушень 20% Помилкові спрацювання 35% Виявлення 3% Інші 9% Пошкодження Відновлення 22% Захист 11% Своєчасне реагування 9% Години 11% Дні 64% Тижні 4% Роки 12% Місяці Компроміс щодо виявлення Виклики з керування безпекою 80% стверджують, що пошук порушень триває тижні, місяці…fail :)
Гартнер?! Так, той самий квадрант Completeness of Vision AbilitytoExecute послідовних разів займає місце Лідери Квадранта: 1 2017 IPS Magic Quadrant “ Лідер у сферах таких як контекст у розвідці загроз та евристичні методи які зменшують залежність від сігнатур.” “ Зручність керування, зручність розгортання та продуктивність під навантаженням, консоль IDPS отримує добрі оцінки у оглядах та незалежних тестах.” CHALLENGERS VISIONARIES TrendMicro (TippingPoint) IBM Venusteh NSFOCUS Wins Cisco Intel Security* (McAfee) NICHE PLAYERS LEADERS AhnLab Huawe Hillstone Networks AlertLogic 1
. McAfee Confidential 6 Data Center IPS Comparative Analysis 2016 NSS Labs NSP з один з лідерів у останніх тестах IPS від NSS Labs. Забезпечує виняткову безпеку при мінімальних зусиллях рекомендованим (не налаштованим) блокуванням на рівні ~ 99.4%. Зазначено майже тричі більшу пропускну здатність ніж заявлено виробником, 31,358 Mbps (IPv4), 30,200 Mbps (IPv6) проти заявленої сукупної продуктивності у10 Gbps. ЕФЕКТИВНІСТЬ БЕЗПЕКИ TCO захищеного MBPS NSS Labs Data Center IPS, Вам за який рік? McAfee NS9100
NGFW - IPS – NGIPS – що відбувається? NG-NG-come out
Різноманіття безсигнатурної перевірки Attack Behavior Attack Traffic Attack Reputation Global threat intelligence Threat intelligence exchange Threat Horizon Deep file analysis Sandboxing GAM (browser) emulation Endpoint intelligence Network threat behavior analysis Advanced botnet detection
9McAFEE CONFIDENTIAL Emulation and Deep File Analysis GAM (browser) JavaScript Adobe PDF Adobe Flash Визначаємо Поведінку Атаки Безсигнатурний аналіз
Транспорт Атаки Endpoint intelligence Advanced botnet detection Malicious processes Malware callbacks Traffic patterns Command and Control Endpoint Network Security Platform (IPS) Транспорт Атаки Network threat behavior analysis
Endpoint Intelligence в дії Network Security Platform Network Perspective User Network Application Alice Oracle SalesForce Twitter Bob Skype SSH Oracle Carol HTTP, SSL IMAP Oracle Host Process Hyperion Firefox TweetDeck Skype PuTTy Oracle CRM Safari Thunderbird OUTLOOK.EXE Anomaly No No No No No No No No Yes Endpoint Intelligence Process Device User Single Packet Signal Endpoint Intelligence Agent Connection Anomaly Повна видимість рівня додатків
Швидке виявлення порушень Звичайна перспектива Збільшує шум та помилки користувача Інтелектуальний підхід Оптимізовані розслідування та відображення Послідовність Сповіщень Ефективні Події EVENT 1 ALERT 2 ALERT 3 ALERT 5 ALERT 6 ALERT 1 ALERT 2 ALERT 3 ALERT 4 ALERT 5 ALERT 6
Блокування зв’язків С2 : приклад Деталізація інфікованих систем Зрозуміти вплив інфікування Визначення найактивніших спроб зв’язку Вжити заходів карантин кінцевих точок
McAfee Confidential Overview – What’s New in v9.2 for NSP and vNSP March 13, 2018
15McAFEE CONFIDENTIAL v9.2 – Key New Features Public GA March 13, 2018 Inbound SSL Decryption (patent pending) Native Snort Compatibility STIX Enhancements vNSP for Microsoft Azure vNSP High Performance Sensor (AWS) Outbound SSL Decryption v9.2 Complete Feature List & Release Notes at PD27453 Device Manager in NSM vNSP Listed in AWS & Azure Marketplaces
16McAFEE CONFIDENTIAL High Performance Inbound SSL Decryption ▪ Inbound SSL decryption to inspect encrypted traffic ▪ Protect web applications from malware ▪ Agent based approach uses a “shared key” – McAfee patent pending! ▪ Agent on server shares the key with NSP sensor ▪ Supports Diffie-Hellman (DH) / Elliptic-Curve Diffie–Hellman (ECDH) ciphers ▪ No impact on sensor performance! ▪ Faster, supports modern ciphers, less overheard, better experience! For NS-Series Only
17McAFEE CONFIDENTIAL Outbound SSL Decryption ▪ By 2020, encrypted traffic will carry more than 70 percent of web malware…. ▪ Outbound SSL decryption to inspect encrypted traffic: ▪ Requires subscription license, applied via NSM ▪ MITM Proxy for outbound traffic ▪ Dedicated compute resources for SSL ▪ All cipher suites available in OpenSSL1.1 ▪ Supports NSP models 9х00, 7х00 & 5х00 ▪ Category based whitelisting using GTI For NS-Series Only
18McAFEE CONFIDENTIAL Native Snort Compatibility ▪ Snort rules widely used by majority of our customers ▪ Enhances our support for Snort open source IPS ▪ McAfee NSP and vNSP now have native Snort support ▪ Fully integrates with McAfee Network Security Manager (NSM) ▪ New NSM workflow for Snort rules
19McAFEE CONFIDENTIAL STIX – Whitelist / Blacklist Enhancements ▪ Structured Threat Information eXpression (STIX) ▪ Popular with our customers, open source ▪ Enhanced STIX support (phase 1): ▪ Ensure existing lists meet latest presentation standards ▪ Change the IPS inspection whitelist from view-only to editable ▪ Update existing lists to support add/edit of a single record at a time ▪ Improved cyber threat identification and analysis! For NS-Series and vNSP solutions
20McAFEE CONFIDENTIAL Device Manager in McAfee Network Security Manager (NSM) ▪ Enables users to perform key device management tasks via a single pane of glass ▪ Provides an overview of the entire sensor installation ▪ In current release this is a read-only feature with a goal towards making it actionable in upcoming releases ▪ Simplifies management and delivers an improved customer experience! For NS-Series and vNSP solutions
21McAFEE CONFIDENTIAL McAfee Virtual IPS for Public Clouds Support for Microsoft Azure ▪ vNSP now supports Azure environments! ▪ vNSP listed on Microsoft Azure Marketplace ▪ Licensing - Bring Your Own License (BYOL) High Performance Sensor for AWS ▪ Virtual sensor throughput now up to 1Gbps for AWS vNSP on AWS Marketplace ▪ vNSP listed on AWS Marketplace - ▪ Licensing - Bring Your Own License (BYOL) For vNSP solutions
22McAFEE CONFIDENTIAL McAfee Network Security Platform Appliances 5 Gbps 3 Gbps 1.5 Gbps 600 Mbps 200 Mbps 100 Mbps 20 Gbps 1 Gbps 10 Gbps 40 Gbps NS9100 NS9200 NS9300 NS7100 NS7150 NS7200 NS7250 10 GigE Connectivity 40 GigE Connectivity NS7300 NS7350 NS5200 NS5100 ▪ Seamless integration with VMware’s NSX and the Open Security Controller and KVM ▪ Single management console ▪ Scale to hundreds of sensors Virtual IPS Sensors NS3200 NS3100
Дякую за увагу! Але …
Клас рішень Web Gateway / Web Protection Основні завдання 1. Не допустити проникнення шкідливого коду в локальну мережу 2. Забезпечити виконання корпоративної політики використання доступу в мережу Інтернет 3. Ефективне використання каналу доступу в Інтернет
McAfee Web Protection Багаторівнева Безпека Визначення хмарних додатків включаючи shadow IT, керування їх доступом або функціоналом Контроль даних за допомогою вбудованих словників та шифрування для хмарних середовищ Підвищення ефективності та покращення операцій з безпекою шляхом інтеграції до пісочниці, кінцевих точок, обміну інформацією про загрози, SIEM та ін. eP Anti- Malware Security Integration Data Protection Application Visibility and Control Content Inspection SSL Scanning Блокування відомого та 0-day шкідливого програмного забезпечення, перш ніж воно досягне мети Видимість у зашифрованому трафіку та запобігання прихованим загрозам Фільтрація небажаних URLs, категорій та типів контенту Rule Outbound Traffic Inbound Traffic Engine
26Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE ▪ Проксі (HTTPHTTPSFTP, SOCKS, ICQ, XMPP и др.) ▪ Зворотній Проксі ▪ URL фільтрація ▪ Репутація (URLДоменIPФайл) ▪ Антивірус (Сигнатури, Евристика, Поведінка, «Пісочниця») ▪ Квотування (часоб’єм) ▪ Фільтрація застосунків (1000+) ▪ Вбудовані правила обробки запитів ▪ Фільтрація по типу контента ▪ Інспекція SSL ▪ Аутентифікація (NTLM, Kerberos, LDAP, RADIUS и др. ) ▪ Розширена звітність McAfee Web Gateway Основний Функціонал 26
Режими роботи. Відмовостійкість Підтримка 4х режимів: ▪ Explicit proxy ▪ Proxy w/ WCCP ▪ Transparent router ▪ Transparent bridge ▪ Відмовостійкість та балансування навантаження у всіх режимах: ▪ Explicit proxy – VRRP ▪ Proxy w/ WCCP – WCCP Redundancy ▪ Transparent router – VRRP ▪ Transparent bridge –STP
Як більшість організацій підходять до веб-загроз Filter Known Bad Sandbox (zero-day) Web Gateways Sandbox Dynamic Analysis URL Category AntivirusURL Rep. ~.05ms Input Quantity Depth of Inspection ~.08ms ~8ms ~90s (~80% detected) (~20% detected) Speed and detection rates are test calculations. Actual figures will vary in each organization. Фільтрація URL та антивірус зупиняють відомі загрози, дозволяючи решті дістатися кінцевих точок та пісочниці
Підхід McAfee з видалення Zero-Days Додатково ~ 20% блокування zero-day Filter Known Bad Sandbox/Reverse Engineering (zero-day) Real-Time Behavioral Emulation (zero-day) McAfee Web Protection McAfee Advanced Threat Defense Dynamic and Static Analysis Gateway Anti-Malware Antivirus Input Quantity Depth of Inspection ~.05ms ~.08ms ~8ms ~5ms ~90s (~80% detected) (~19.5% detected) (~0.5% detected) Speed and detection rates are test calculations. Actual figures will vary in each organization. URL Category URL Rep.
Функціонал, приклад: квоти за обсягом ▪ McAfee Web Gateway також підтримує квоти за обсягом трафіку, знижуючи завантаження каналу доступу в Інтернет і втрати продуктивності
Функціонал McAfee Web Gateway Фільтрація
Інтеграція з McAfee Advanced Threat Defense З боку користувача
Звітність
Data Loss Prevention Застосування вбудованих правил DLP Підтримуються попередньо налаштовані словники McAfee (HIPAA, PCI, UK-NHS, European IBAN) Виявлено номери кредитних карток
Підключення кінцевих точок безпосередньо до Хмари Функція MCP у McAfee Endpoint Security 10.5 Клієнт Проксі ▪ Агент визначає розташування у або поза – мережею та забезпечує відповідний захист ▪ Не залежить від браузера, маршрутизація на рівні порту ▪ Прозора аутентифікація Off-network ENS On-network ENS
36Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE Data Privacy Encrypt data going to the cloud storage Encryption protects cloud-based files
Огляд модельного ряду (revision D) Продуктивність Філія Головний Офіс WG4500 WG5000 WG5500
McAfee: Integrated Platform McAfee Web Protection McAfee Network Security Platform McAfee Endpoint Security McAfee Advanced Threat Defense McAfee Enterprise Security Manager (SIEM) McAfee ePO McAfee Threat Intelligence Exchange/Data Exchange Layer McAfee Active Response McAfee Enterprise Security Manager (SIEM) McAfee ePO McAfee Threat Intelligence Exchange/Data Exchange Layer Protect DetectCorrect McAfee Advanced Threat Defense McAfee Threat Intelligence Exchange McAfee Data Protection McAfee Security Innovation Alliance Partners McAfee Active Response McAfee ePO™
Запитання ?
Дякую за увагу! OL@optidata.com.ua Phone: +38 (050) 627 87 05
RAW DATA
43McAFEE CONFIDENTIAL Global Data Center Infrastructure 22 data centers providing local internet content in 59 locations across 42 countries
44Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE 44 Полный разбор HTML. Удаление блока навигации VKontakte Функционал McAfee Web Gateway
45Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE Protection For Web Connectivity Everywhere Any device, any location – all visible and secured Main Office Appliance (vm/hw) Remote Office Appliance (vm/hw) Remote Office Direct-to-cloud Mobile User Direct-to-cloud MPLS/VPN backhaul Direct-to-cloudDirect-to-cloud Equal protection everywhere • Single set of policies between on-premises and cloud • One management console • One reporting interface • Multiple routing options • Dynamic routing to on- premises or cloud based on user location + +
46McAFEE CONFIDENTIAL Uploaded File Malware Status Determined Contents Sent to MWG via ICAP protocol Content sent for scanning Bad File Uploaded File Warning Page Good File Web Server Business Rules ICAP Client Internet ICAP Client Deployment ▪ Web server (ICAP Client) forwards file to Web Gateway (ICAP Server) for analysis ▪ Scan results returned to ICAP client ▪ Infected content is discarded ▪ Clean content is processed McAfee Web Gateway as as ICAP Server Continue processing good files Internet Web form on site User uploads file to web site
47McAFEE CONFIDENTIAL Reverse Proxy Deployment Protect web servers against malware uploads ▪ McAfee Web Gateway receives files being uploaded to web server ▪ Scans inbound content ▪ Content containing malware is blocked ▪ Clean content is forwarded to web server for processing User uploads file to web site McAfee Web Gateway as a Reverse Proxy Good File Continue processing good files Bad File Web Server Uploaded File Load Balancer HTTPS POST 403 Denied 200 OK Quarantine Optional Internet Web form on site
Ad

Recommended

Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Vladyslav Radetsky
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війн
Vladyslav Radetsky
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБ
Vladyslav Radetsky
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?
Vladyslav Radetsky
"Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів"
Vladyslav Radetsky
Кіберзахист в умовах війни
Кіберзахист в умовах війни
Vladyslav Radetsky
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.
Vladyslav Radetsky
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук
HackIT Ukraine
Penetration Testing Practice 2015
Penetration Testing Practice 2015
Vladyslav Radetsky
Практичні рецепти захисту
Практичні рецепти захисту
Vladyslav Radetsky
Check list: readiness for phishing attacks
Check list: readiness for phishing attacks
NETWAVE
Як не стати жертвою ?
Як не стати жертвою ?
Vladyslav Radetsky
9 клас урок 15
9 клас урок 15
Юлія Артюх
Presentation
Presentation
Oleg Nazarevych
Комплексна кібербезпека для Банків
Комплексна кібербезпека для Банків
MMI Group
Комплексна кібербезпека
Комплексна кібербезпека
MMI Group
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Anastasiia Konoplova
мережева безпека (навчальна презентація)
мережева безпека (навчальна презентація)
kobodiy
Cloud Providers: Amazon, Rackspace, Azure by Andriy Tsok
Cloud Providers: Amazon, Rackspace, Azure by Andriy Tsok
IT Booze
Training Internet Governance_web.pptx
Training Internet Governance_web.pptx
Yuriy Kargapolov
Web Penetration Testing Report
Web Penetration Testing Report
KR. Laboratories
завдання 1
завдання 1
babuch12
SI BIS Security
SI BIS Security
Yaryomenko
Mikolay4ik
Mikolay4ik
Oleg Nazarevych
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файли
Vladyslav Radetsky
2й фактор для телефону
2й фактор для телефону
Vladyslav Radetsky
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерів
Vladyslav Radetsky
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]
Vladyslav Radetsky
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Vladyslav Radetsky
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Vladyslav Radetsky

More Related Content

What's hot (6)

Penetration Testing Practice 2015
Penetration Testing Practice 2015
Vladyslav Radetsky
Практичні рецепти захисту
Практичні рецепти захисту
Vladyslav Radetsky
Check list: readiness for phishing attacks
Check list: readiness for phishing attacks
NETWAVE
Як не стати жертвою ?
Як не стати жертвою ?
Vladyslav Radetsky
9 клас урок 15
9 клас урок 15
Юлія Артюх
Presentation
Presentation
Oleg Nazarevych
Penetration Testing Practice 2015
Penetration Testing Practice 2015
Vladyslav Radetsky
Практичні рецепти захисту
Практичні рецепти захисту
Vladyslav Radetsky
Check list: readiness for phishing attacks
Check list: readiness for phishing attacks
NETWAVE
Як не стати жертвою ?
Як не стати жертвою ?
Vladyslav Radetsky
9 клас урок 15
9 клас урок 15
Юлія Артюх
Presentation
Presentation
Oleg Nazarevych

Similar to NSP та MWG - захист мережевого трафіку (10)

Комплексна кібербезпека для Банків
Комплексна кібербезпека для Банків
MMI Group
Комплексна кібербезпека
Комплексна кібербезпека
MMI Group
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Anastasiia Konoplova
мережева безпека (навчальна презентація)
мережева безпека (навчальна презентація)
kobodiy
Cloud Providers: Amazon, Rackspace, Azure by Andriy Tsok
Cloud Providers: Amazon, Rackspace, Azure by Andriy Tsok
IT Booze
Training Internet Governance_web.pptx
Training Internet Governance_web.pptx
Yuriy Kargapolov
Web Penetration Testing Report
Web Penetration Testing Report
KR. Laboratories
завдання 1
завдання 1
babuch12
SI BIS Security
SI BIS Security
Yaryomenko
Mikolay4ik
Mikolay4ik
Oleg Nazarevych
Комплексна кібербезпека для Банків
Комплексна кібербезпека для Банків
MMI Group
Комплексна кібербезпека
Комплексна кібербезпека
MMI Group
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Anastasiia Konoplova
мережева безпека (навчальна презентація)
мережева безпека (навчальна презентація)
kobodiy
Cloud Providers: Amazon, Rackspace, Azure by Andriy Tsok
Cloud Providers: Amazon, Rackspace, Azure by Andriy Tsok
IT Booze
Training Internet Governance_web.pptx
Training Internet Governance_web.pptx
Yuriy Kargapolov
Web Penetration Testing Report
Web Penetration Testing Report
KR. Laboratories
завдання 1
завдання 1
babuch12
SI BIS Security
SI BIS Security
Yaryomenko
Mikolay4ik
Mikolay4ik
Oleg Nazarevych
Ad

More from Vladyslav Radetsky (20)

Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файли
Vladyslav Radetsky
2й фактор для телефону
2й фактор для телефону
Vladyslav Radetsky
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерів
Vladyslav Radetsky
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]
Vladyslav Radetsky
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Vladyslav Radetsky
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Vladyslav Radetsky
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020
Vladyslav Radetsky
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2
Vladyslav Radetsky
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLP
Vladyslav Radetsky
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware.
Vladyslav Radetsky
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017
Vladyslav Radetsky
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплах
Vladyslav Radetsky
Сучасні цільові атаки
Сучасні цільові атаки
Vladyslav Radetsky
McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1
Vladyslav Radetsky
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Vladyslav Radetsky
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечек
Vladyslav Radetsky
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
Vladyslav Radetsky
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015
Vladyslav Radetsky
ShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attack
Vladyslav Radetsky
7 кроків у напрямку безпеки
7 кроків у напрямку безпеки
Vladyslav Radetsky
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файли
Vladyslav Radetsky
2й фактор для телефону
2й фактор для телефону
Vladyslav Radetsky
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерів
Vladyslav Radetsky
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]
Vladyslav Radetsky
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Vladyslav Radetsky
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Vladyslav Radetsky
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020
Vladyslav Radetsky
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2
Vladyslav Radetsky
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLP
Vladyslav Radetsky
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware.
Vladyslav Radetsky
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017
Vladyslav Radetsky
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплах
Vladyslav Radetsky
Сучасні цільові атаки
Сучасні цільові атаки
Vladyslav Radetsky
McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1
Vladyslav Radetsky
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Vladyslav Radetsky
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечек
Vladyslav Radetsky
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
Vladyslav Radetsky
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015
Vladyslav Radetsky
ShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attack
Vladyslav Radetsky
7 кроків у напрямку безпеки
7 кроків у напрямку безпеки
Vladyslav Radetsky
Ad

NSP та MWG - захист мережевого трафіку

  • 2. Захист мережевого та веб-трафіка. Контроль мережевої активності та запобігання небажаним (шкідливим) підключенням Олег Лободін OL@optidata.com.ua
  • 3. Про мене Працюю у компанії OptiData Відповідаю за технічну підтримку проектів Допомога у проектах та pre-sale
  • 4. Виклики з виявлення порушень 20% Помилкові спрацювання 35% Виявлення 3% Інші 9% Пошкодження Відновлення 22% Захист 11% Своєчасне реагування 9% Години 11% Дні 64% Тижні 4% Роки 12% Місяці Компроміс щодо виявлення Виклики з керування безпекою 80% стверджують, що пошук порушень триває тижні, місяці…fail :)
  • 5. Гартнер?! Так, той самий квадрант Completeness of Vision AbilitytoExecute послідовних разів займає місце Лідери Квадранта: 1 2017 IPS Magic Quadrant “ Лідер у сферах таких як контекст у розвідці загроз та евристичні методи які зменшують залежність від сігнатур.” “ Зручність керування, зручність розгортання та продуктивність під навантаженням, консоль IDPS отримує добрі оцінки у оглядах та незалежних тестах.” CHALLENGERS VISIONARIES TrendMicro (TippingPoint) IBM Venusteh NSFOCUS Wins Cisco Intel Security* (McAfee) NICHE PLAYERS LEADERS AhnLab Huawe Hillstone Networks AlertLogic 1
  • 6. . McAfee Confidential 6 Data Center IPS Comparative Analysis 2016 NSS Labs NSP з один з лідерів у останніх тестах IPS від NSS Labs. Забезпечує виняткову безпеку при мінімальних зусиллях рекомендованим (не налаштованим) блокуванням на рівні ~ 99.4%. Зазначено майже тричі більшу пропускну здатність ніж заявлено виробником, 31,358 Mbps (IPv4), 30,200 Mbps (IPv6) проти заявленої сукупної продуктивності у10 Gbps. ЕФЕКТИВНІСТЬ БЕЗПЕКИ TCO захищеного MBPS NSS Labs Data Center IPS, Вам за який рік? McAfee NS9100
  • 7. NGFW - IPS – NGIPS – що відбувається? NG-NG-come out
  • 8. Різноманіття безсигнатурної перевірки Attack Behavior Attack Traffic Attack Reputation Global threat intelligence Threat intelligence exchange Threat Horizon Deep file analysis Sandboxing GAM (browser) emulation Endpoint intelligence Network threat behavior analysis Advanced botnet detection
  • 9. 9McAFEE CONFIDENTIAL Emulation and Deep File Analysis GAM (browser) JavaScript Adobe PDF Adobe Flash Визначаємо Поведінку Атаки Безсигнатурний аналіз
  • 10. Транспорт Атаки Endpoint intelligence Advanced botnet detection Malicious processes Malware callbacks Traffic patterns Command and Control Endpoint Network Security Platform (IPS) Транспорт Атаки Network threat behavior analysis
  • 11. Endpoint Intelligence в дії Network Security Platform Network Perspective User Network Application Alice Oracle SalesForce Twitter Bob Skype SSH Oracle Carol HTTP, SSL IMAP Oracle Host Process Hyperion Firefox TweetDeck Skype PuTTy Oracle CRM Safari Thunderbird OUTLOOK.EXE Anomaly No No No No No No No No Yes Endpoint Intelligence Process Device User Single Packet Signal Endpoint Intelligence Agent Connection Anomaly Повна видимість рівня додатків
  • 12. Швидке виявлення порушень Звичайна перспектива Збільшує шум та помилки користувача Інтелектуальний підхід Оптимізовані розслідування та відображення Послідовність Сповіщень Ефективні Події EVENT 1 ALERT 2 ALERT 3 ALERT 5 ALERT 6 ALERT 1 ALERT 2 ALERT 3 ALERT 4 ALERT 5 ALERT 6
  • 13. Блокування зв’язків С2 : приклад Деталізація інфікованих систем Зрозуміти вплив інфікування Визначення найактивніших спроб зв’язку Вжити заходів карантин кінцевих точок
  • 14. McAfee Confidential Overview – What’s New in v9.2 for NSP and vNSP March 13, 2018
  • 15. 15McAFEE CONFIDENTIAL v9.2 – Key New Features Public GA March 13, 2018 Inbound SSL Decryption (patent pending) Native Snort Compatibility STIX Enhancements vNSP for Microsoft Azure vNSP High Performance Sensor (AWS) Outbound SSL Decryption v9.2 Complete Feature List & Release Notes at PD27453 Device Manager in NSM vNSP Listed in AWS & Azure Marketplaces
  • 16. 16McAFEE CONFIDENTIAL High Performance Inbound SSL Decryption ▪ Inbound SSL decryption to inspect encrypted traffic ▪ Protect web applications from malware ▪ Agent based approach uses a “shared key” – McAfee patent pending! ▪ Agent on server shares the key with NSP sensor ▪ Supports Diffie-Hellman (DH) / Elliptic-Curve Diffie–Hellman (ECDH) ciphers ▪ No impact on sensor performance! ▪ Faster, supports modern ciphers, less overheard, better experience! For NS-Series Only
  • 17. 17McAFEE CONFIDENTIAL Outbound SSL Decryption ▪ By 2020, encrypted traffic will carry more than 70 percent of web malware…. ▪ Outbound SSL decryption to inspect encrypted traffic: ▪ Requires subscription license, applied via NSM ▪ MITM Proxy for outbound traffic ▪ Dedicated compute resources for SSL ▪ All cipher suites available in OpenSSL1.1 ▪ Supports NSP models 9х00, 7х00 & 5х00 ▪ Category based whitelisting using GTI For NS-Series Only
  • 18. 18McAFEE CONFIDENTIAL Native Snort Compatibility ▪ Snort rules widely used by majority of our customers ▪ Enhances our support for Snort open source IPS ▪ McAfee NSP and vNSP now have native Snort support ▪ Fully integrates with McAfee Network Security Manager (NSM) ▪ New NSM workflow for Snort rules
  • 19. 19McAFEE CONFIDENTIAL STIX – Whitelist / Blacklist Enhancements ▪ Structured Threat Information eXpression (STIX) ▪ Popular with our customers, open source ▪ Enhanced STIX support (phase 1): ▪ Ensure existing lists meet latest presentation standards ▪ Change the IPS inspection whitelist from view-only to editable ▪ Update existing lists to support add/edit of a single record at a time ▪ Improved cyber threat identification and analysis! For NS-Series and vNSP solutions
  • 20. 20McAFEE CONFIDENTIAL Device Manager in McAfee Network Security Manager (NSM) ▪ Enables users to perform key device management tasks via a single pane of glass ▪ Provides an overview of the entire sensor installation ▪ In current release this is a read-only feature with a goal towards making it actionable in upcoming releases ▪ Simplifies management and delivers an improved customer experience! For NS-Series and vNSP solutions
  • 21. 21McAFEE CONFIDENTIAL McAfee Virtual IPS for Public Clouds Support for Microsoft Azure ▪ vNSP now supports Azure environments! ▪ vNSP listed on Microsoft Azure Marketplace ▪ Licensing - Bring Your Own License (BYOL) High Performance Sensor for AWS ▪ Virtual sensor throughput now up to 1Gbps for AWS vNSP on AWS Marketplace ▪ vNSP listed on AWS Marketplace - ▪ Licensing - Bring Your Own License (BYOL) For vNSP solutions
  • 22. 22McAFEE CONFIDENTIAL McAfee Network Security Platform Appliances 5 Gbps 3 Gbps 1.5 Gbps 600 Mbps 200 Mbps 100 Mbps 20 Gbps 1 Gbps 10 Gbps 40 Gbps NS9100 NS9200 NS9300 NS7100 NS7150 NS7200 NS7250 10 GigE Connectivity 40 GigE Connectivity NS7300 NS7350 NS5200 NS5100 ▪ Seamless integration with VMware’s NSX and the Open Security Controller and KVM ▪ Single management console ▪ Scale to hundreds of sensors Virtual IPS Sensors NS3200 NS3100
  • 24. Клас рішень Web Gateway / Web Protection Основні завдання 1. Не допустити проникнення шкідливого коду в локальну мережу 2. Забезпечити виконання корпоративної політики використання доступу в мережу Інтернет 3. Ефективне використання каналу доступу в Інтернет
  • 25. McAfee Web Protection Багаторівнева Безпека Визначення хмарних додатків включаючи shadow IT, керування їх доступом або функціоналом Контроль даних за допомогою вбудованих словників та шифрування для хмарних середовищ Підвищення ефективності та покращення операцій з безпекою шляхом інтеграції до пісочниці, кінцевих точок, обміну інформацією про загрози, SIEM та ін. eP Anti- Malware Security Integration Data Protection Application Visibility and Control Content Inspection SSL Scanning Блокування відомого та 0-day шкідливого програмного забезпечення, перш ніж воно досягне мети Видимість у зашифрованому трафіку та запобігання прихованим загрозам Фільтрація небажаних URLs, категорій та типів контенту Rule Outbound Traffic Inbound Traffic Engine
  • 26. 26Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE ▪ Проксі (HTTPHTTPSFTP, SOCKS, ICQ, XMPP и др.) ▪ Зворотній Проксі ▪ URL фільтрація ▪ Репутація (URLДоменIPФайл) ▪ Антивірус (Сигнатури, Евристика, Поведінка, «Пісочниця») ▪ Квотування (часоб’єм) ▪ Фільтрація застосунків (1000+) ▪ Вбудовані правила обробки запитів ▪ Фільтрація по типу контента ▪ Інспекція SSL ▪ Аутентифікація (NTLM, Kerberos, LDAP, RADIUS и др. ) ▪ Розширена звітність McAfee Web Gateway Основний Функціонал 26
  • 27. Режими роботи. Відмовостійкість Підтримка 4х режимів: ▪ Explicit proxy ▪ Proxy w/ WCCP ▪ Transparent router ▪ Transparent bridge ▪ Відмовостійкість та балансування навантаження у всіх режимах: ▪ Explicit proxy – VRRP ▪ Proxy w/ WCCP – WCCP Redundancy ▪ Transparent router – VRRP ▪ Transparent bridge –STP
  • 28. Як більшість організацій підходять до веб-загроз Filter Known Bad Sandbox (zero-day) Web Gateways Sandbox Dynamic Analysis URL Category AntivirusURL Rep. ~.05ms Input Quantity Depth of Inspection ~.08ms ~8ms ~90s (~80% detected) (~20% detected) Speed and detection rates are test calculations. Actual figures will vary in each organization. Фільтрація URL та антивірус зупиняють відомі загрози, дозволяючи решті дістатися кінцевих точок та пісочниці
  • 29. Підхід McAfee з видалення Zero-Days Додатково ~ 20% блокування zero-day Filter Known Bad Sandbox/Reverse Engineering (zero-day) Real-Time Behavioral Emulation (zero-day) McAfee Web Protection McAfee Advanced Threat Defense Dynamic and Static Analysis Gateway Anti-Malware Antivirus Input Quantity Depth of Inspection ~.05ms ~.08ms ~8ms ~5ms ~90s (~80% detected) (~19.5% detected) (~0.5% detected) Speed and detection rates are test calculations. Actual figures will vary in each organization. URL Category URL Rep.
  • 30. Функціонал, приклад: квоти за обсягом ▪ McAfee Web Gateway також підтримує квоти за обсягом трафіку, знижуючи завантаження каналу доступу в Інтернет і втрати продуктивності
  • 31. Функціонал McAfee Web Gateway Фільтрація
  • 32. Інтеграція з McAfee Advanced Threat Defense З боку користувача
  • 34. Data Loss Prevention Застосування вбудованих правил DLP Підтримуються попередньо налаштовані словники McAfee (HIPAA, PCI, UK-NHS, European IBAN) Виявлено номери кредитних карток
  • 35. Підключення кінцевих точок безпосередньо до Хмари Функція MCP у McAfee Endpoint Security 10.5 Клієнт Проксі ▪ Агент визначає розташування у або поза – мережею та забезпечує відповідний захист ▪ Не залежить від браузера, маршрутизація на рівні порту ▪ Прозора аутентифікація Off-network ENS On-network ENS
  • 36. 36Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE Data Privacy Encrypt data going to the cloud storage Encryption protects cloud-based files
  • 37. Огляд модельного ряду (revision D) Продуктивність Філія Головний Офіс WG4500 WG5000 WG5500
  • 38. McAfee: Integrated Platform McAfee Web Protection McAfee Network Security Platform McAfee Endpoint Security McAfee Advanced Threat Defense McAfee Enterprise Security Manager (SIEM) McAfee ePO McAfee Threat Intelligence Exchange/Data Exchange Layer McAfee Active Response McAfee Enterprise Security Manager (SIEM) McAfee ePO McAfee Threat Intelligence Exchange/Data Exchange Layer Protect DetectCorrect McAfee Advanced Threat Defense McAfee Threat Intelligence Exchange McAfee Data Protection McAfee Security Innovation Alliance Partners McAfee Active Response McAfee ePO™
  • 42. 43McAFEE CONFIDENTIAL Global Data Center Infrastructure 22 data centers providing local internet content in 59 locations across 42 countries
  • 43. 44Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE 44 Полный разбор HTML. Удаление блока навигации VKontakte Функционал McAfee Web Gateway
  • 44. 45Date, specific business group MCAFEE CONFIDENTIALITY LANGUAGE Protection For Web Connectivity Everywhere Any device, any location – all visible and secured Main Office Appliance (vm/hw) Remote Office Appliance (vm/hw) Remote Office Direct-to-cloud Mobile User Direct-to-cloud MPLS/VPN backhaul Direct-to-cloudDirect-to-cloud Equal protection everywhere • Single set of policies between on-premises and cloud • One management console • One reporting interface • Multiple routing options • Dynamic routing to on- premises or cloud based on user location + +
  • 45. 46McAFEE CONFIDENTIAL Uploaded File Malware Status Determined Contents Sent to MWG via ICAP protocol Content sent for scanning Bad File Uploaded File Warning Page Good File Web Server Business Rules ICAP Client Internet ICAP Client Deployment ▪ Web server (ICAP Client) forwards file to Web Gateway (ICAP Server) for analysis ▪ Scan results returned to ICAP client ▪ Infected content is discarded ▪ Clean content is processed McAfee Web Gateway as as ICAP Server Continue processing good files Internet Web form on site User uploads file to web site
  • 46. 47McAFEE CONFIDENTIAL Reverse Proxy Deployment Protect web servers against malware uploads ▪ McAfee Web Gateway receives files being uploaded to web server ▪ Scans inbound content ▪ Content containing malware is blocked ▪ Clean content is forwarded to web server for processing User uploads file to web site McAfee Web Gateway as a Reverse Proxy Good File Continue processing good files Bad File Web Server Uploaded File Load Balancer HTTPS POST 403 Denied 200 OK Quarantine Optional Internet Web form on site
About
© 2025 ݺߣ