integrity control
DESCRIPTION
TRANSCRIPT
McAfee Embedded Security/Integrity Control
Andrei Novikau, Pre-Sale Engineer
McAfee: Факты
— количество пользователей продуктами McAfee125 миллионов
компаний, входящих в список Fortune 100, используют ПО McAfee94 %
мобильных устройств поставлены в комплектес ПО McAfee
Более 180 миллионов
— объем самого крупного развертывания McAfee5 миллионов
— патентов получено McAfee; еще выше число заявок на патенты450+
— партнеров партнеров программы McAfee Security Innovation Alliance100+
— число сотрудников McAfee по всему миру6095
— стран, так или иначе связанны с McAfee120
раз аналитическое агентство Gartner включало McAfee в свои «Магические квадранты»7
Беспрецедентный рост количества вредоносных программ
За первое полугодие 2010 г. подразделение McAfee Labs зарегистрировало 10 млн новых вредоносных программ, таким образом это полугодие отмечено самой высокой активностью в производстве вредоносных программ.
По сравнению с I кварталом года число вредоносных программ, зарегистрированных во II квартале, увеличилось на 18 %, что почти вдвое превышает рост числа вредоносных программ за I квартал.
50 000 000
30 000 000
20 000 000
10 000 000
01 кв.2008
1 кв.2009
Источник: Лаборатории McAfee Labs
1 кв.2010
3 кв.2 кв. 4 кв. 3 кв.2 кв. 4 кв. 2 кв.
40 000 000
Количество образцов вредоносныхпрограмм в нашей базе данных
Appliances
SCADA
Industrial Controllers
Car Navigation/HMI
ATM
Medical Systems
Control/Automation
VOIP Phones
Thin Clients
Kiosks
Web Server Self Checkout
Set-Top Box
Retail POS
Gaming & Gambling
Multifunction Printers
Smart Displays
Почему мы здесь сегодня?Потому что встроенные системы везде
4
April 10, 20235
Примеры угрозВредоносный код становится все сложнее
Узкая направленность
EXE, замаскированный под JPG, 3 раза зашифрованный с разными ключами, распаковывает десятки файлов
Протокол работал как SSL, использовал порт 443, избежал детектирования
Начало атаки
Пользователь с уязвимостью IE посещает зараженный сайт
Прогресс
Сайт использует уязвимость IE; вредоносный код (замаскированный под JPG) загружен на ПК пользователя
Установка завершена
Вредоносный код установлен на ПК пользователя; back door открыт (используя SSL), доступ к конфиденциальной информации предоставлен
1 2 3
5
April 10, 20236
Примеры угрозВредоносный код становится все сложнее
Узкая направленность
EXE, замаскированный под JPG, 3 раза зашифрованный с разными ключами, распаковывает десятки файлов
Протокол работал как SSL, использовал порт 443, избежал детектирования
Начало атаки
Пользователь с уязвимостью IE посещает зараженный сайт
Прогресс
Сайт использует уязвимость IE; вредоносный код (замаскированный под JPG) загружен на ПК пользователя
Установка завершена
Вредоносный код установлен на ПК пользователя; back door открыт (используя SSL), доступ к конфиденциальной информации предоставлен
1 2 3
Мы наблюдаем существенное увеличение разрушительных угроз с узкой направленностью
McAfee Embedded SecurityКлючевые особенности
Security Control
Compliance
• Anti-Virus = $• HIPS = $• Whitelisting = $
Известные подходы к безопасности
• Change Control = $• Config. Mgmt = $• Patch Mgmt = $
Известный подход к Контролю & Управлению конфигурациями
• File Integrity Monitoring = $
• Auditing & Reporting = $• Version Control = $
Известный подход к обеспечению Соответствия
7
McAfee Embedded SecuritySingle Solution for Challenge Resolution
Security Control
Compliance
• Динамический белый список
• Не нужно обновлять сигнатуры
• Выполняется только разрешенное ПО
Защита от известных и неизвестных атак
• Что разрешено изменять
• Кому разрешено• Когда разрешено• Как разрешено• Применение патчей
по графику
Контроль за изменениями и применение политик
• PCI• HIPAA• NERC• Fed. Regulations
Готовность к Соответствию
8
Application Control• Контроль за установкой и выполнением ПО• Запрет выполнения вредоносного кода• Снижение частоты обновлений
Change Control• Применение политики изменения• Запрет на неавторизованные изменения• Мониторинг целостности файлов
Получите к
McAfee Embedded SecurityКлючевые функции
Embedded Security = Application Control + Change Control
9
McAfee Embedded SecurityПростая и быстрая установка
• Не требует конфигурирования после установки • Почти не влияет на производительность• Использует 8-12MB RAM, ~25 MB HDD• Централизованная установка• Поддержка платформ:
• Microsoft Windows XP Embedded, Professional• Microsoft Windows Embedded for
Point of Service (WEPOS), POSReady 2009• Windows Embedded 7• Microsoft Windows NT4 Server, Workstation• Microsoft Windows 2000 - All• Microsoft Windows 2003 - All• Microsoft Windows Vista• Microsoft Windows 2008 R1, R2 (32-bit/64-bit)• Microsoft Windows CE 5.0, 6.0• Linux ES 3,4,5, CentOS 4,5 (32-bit/64-bit)• Solaris 8, 9, 10 (SPARC)• HPUX 11.11, .23, .31,• AIX 5.3, 6.1
McAfee Embedded SecurityКак это работает: Инвентаризация
Подготовительный этап
Рабочий режим
Инвентаризация
Выполняется автоматически
0Включение
Определение снимка системы
1Солидификация
На основе снимка системы
2Рабочий режим
Продолжающаяся автоматическая солидификация
3
Процесс солидификации не требует вмешательства со стороны пользователя,
снимок системы может быть распространен на другие системы.11
McAfee Embedded SecurityКак это работает: Контроль выполнения
Application
Runtime
Runtime Inventory
Solidified OS
12
Авторизованные изменения
Authorized
Admin.
Secure Signed
Updates
McAfee Embedded SecurityКак это работает: Поддержка состояния
AuthorizedUpdater
s
Обычный режим работы
Update Windows
Возврат к обычномурежиму
McAfee ePolicy Orchestrator (ePO)Как это работает: Оптимизация управления
• Простая, автоматическая установка ПО
• Управление конфигурациями и политиками из единой консоли
• Отчетность и реагирование на события
• Единая, открытая платформа для всех продуктов McAfee
• Масштабируемость до 100k+ конечных точек
NCR является ведущим поставщиком банковских, торговых и информационно-технологических решений, поставляет 60,000+
ATMs/год с решениями McAfee
“Благодаря технологии McAfee наши клиенты совершенно не беспокоятся о безопасности банкоматов, влияющей на их основной бизнес”
• Описание проблемы• Отсутствие защиты от атак нулевого дня• Неавторизованное изменение установленного ПО на ATMs
• Что нужно NCR• Предоставить защиту от атак нулевого дня• Прозрачная, простая установка• Установил и забыл, без последующих обновлений• Приемлемая цена
• Почему Embedded Security• Никаких несанкционированных изменений• Полное соответствие PCI• Стандартизировано как NCR APTRA
• Как они сделали это• Безопасное управление обновлениями на основе сертификатов• Встроенный процесс аудита за ОС
OEM Case StudyNCR Financial Solutions