McAfee Embedded Security/Integrity Control

Andrei Novikau, Pre-Sale Engineer

McAfee: Факты

— количество пользователей продуктами McAfee125 миллионов

компаний, входящих в список Fortune 100, используют ПО McAfee94 %

мобильных устройств поставлены в комплектес ПО McAfee

Более 180 миллионов

— объем самого крупного развертывания McAfee5 миллионов

— патентов получено McAfee; еще выше число заявок на патенты450+

— партнеров партнеров программы McAfee Security Innovation Alliance100+

— число сотрудников McAfee по всему миру6095

— стран, так или иначе связанны с McAfee120

раз аналитическое агентство Gartner включало McAfee в свои «Магические квадранты»7

Беспрецедентный рост количества вредоносных программ

За первое полугодие 2010 г. подразделение McAfee Labs зарегистрировало 10 млн новых вредоносных программ, таким образом это полугодие отмечено самой высокой активностью в производстве вредоносных программ.

По сравнению с I кварталом года число вредоносных программ, зарегистрированных во II квартале, увеличилось на 18 %, что почти вдвое превышает рост числа вредоносных программ за I квартал.

50 000 000

30 000 000

20 000 000

10 000 000

01 кв.2008

1 кв.2009

Источник: Лаборатории McAfee Labs

1 кв.2010

3 кв.2 кв. 4 кв. 3 кв.2 кв. 4 кв. 2 кв.

40 000 000

Количество образцов вредоносныхпрограмм в нашей базе данных

Appliances

SCADA

Industrial Controllers

Car Navigation/HMI

ATM

Medical Systems

Control/Automation

VOIP Phones

Thin Clients

Kiosks

Web Server Self Checkout

Set-Top Box

Retail POS

Gaming & Gambling

Multifunction Printers

Smart Displays

Почему мы здесь сегодня?Потому что встроенные системы везде

4

April 10, 20235

Примеры угрозВредоносный код становится все сложнее

Узкая направленность

EXE, замаскированный под JPG, 3 раза зашифрованный с разными ключами, распаковывает десятки файлов

Протокол работал как SSL, использовал порт 443, избежал детектирования

Начало атаки

Пользователь с уязвимостью IE посещает зараженный сайт

Прогресс

Сайт использует уязвимость IE; вредоносный код (замаскированный под JPG) загружен на ПК пользователя

Установка завершена

Вредоносный код установлен на ПК пользователя; back door открыт (используя SSL), доступ к конфиденциальной информации предоставлен

1 2 3

5

April 10, 20236

Примеры угрозВредоносный код становится все сложнее

Узкая направленность

EXE, замаскированный под JPG, 3 раза зашифрованный с разными ключами, распаковывает десятки файлов

Протокол работал как SSL, использовал порт 443, избежал детектирования

Начало атаки

Пользователь с уязвимостью IE посещает зараженный сайт

Прогресс

Сайт использует уязвимость IE; вредоносный код (замаскированный под JPG) загружен на ПК пользователя

Установка завершена

Вредоносный код установлен на ПК пользователя; back door открыт (используя SSL), доступ к конфиденциальной информации предоставлен

1 2 3

Мы наблюдаем существенное увеличение разрушительных угроз с узкой направленностью

McAfee Embedded SecurityКлючевые особенности

Security Control

Compliance

• Anti-Virus = $• HIPS = $• Whitelisting = $

Известные подходы к безопасности

• Change Control = $• Config. Mgmt = $• Patch Mgmt = $

Известный подход к Контролю & Управлению конфигурациями

• File Integrity Monitoring = $

• Auditing & Reporting = $• Version Control = $

Известный подход к обеспечению Соответствия

7

McAfee Embedded SecuritySingle Solution for Challenge Resolution

Security Control

Compliance

• Динамический белый список

• Не нужно обновлять сигнатуры

• Выполняется только разрешенное ПО

Защита от известных и неизвестных атак

• Что разрешено изменять

• Кому разрешено• Когда разрешено• Как разрешено• Применение патчей

по графику

Контроль за изменениями и применение политик

• PCI• HIPAA• NERC• Fed. Regulations

Готовность к Соответствию

8

Application Control• Контроль за установкой и выполнением ПО• Запрет выполнения вредоносного кода• Снижение частоты обновлений

Change Control• Применение политики изменения• Запрет на неавторизованные изменения• Мониторинг целостности файлов

Получите к

McAfee Embedded SecurityКлючевые функции

Embedded Security = Application Control + Change Control

9

McAfee Embedded SecurityПростая и быстрая установка

• Не требует конфигурирования после установки • Почти не влияет на производительность• Использует 8-12MB RAM, ~25 MB HDD• Централизованная установка• Поддержка платформ:

• Microsoft Windows XP Embedded, Professional• Microsoft Windows Embedded for

Point of Service (WEPOS), POSReady 2009• Windows Embedded 7• Microsoft Windows NT4 Server, Workstation• Microsoft Windows 2000 - All• Microsoft Windows 2003 - All• Microsoft Windows Vista• Microsoft Windows 2008 R1, R2 (32-bit/64-bit)• Microsoft Windows CE 5.0, 6.0• Linux ES 3,4,5, CentOS 4,5 (32-bit/64-bit)• Solaris 8, 9, 10 (SPARC)• HPUX 11.11, .23, .31,• AIX 5.3, 6.1

McAfee Embedded SecurityКак это работает: Инвентаризация

Подготовительный этап

Рабочий режим

Инвентаризация

Выполняется автоматически

0Включение

Определение снимка системы

1Солидификация

На основе снимка системы

2Рабочий режим

Продолжающаяся автоматическая солидификация

3

Процесс солидификации не требует вмешательства со стороны пользователя,

снимок системы может быть распространен на другие системы.11

McAfee Embedded SecurityКак это работает: Контроль выполнения

Application

Runtime

Runtime Inventory

Solidified OS

12

Авторизованные изменения

Authorized

Admin.

Secure Signed

Updates

McAfee Embedded SecurityКак это работает: Поддержка состояния

AuthorizedUpdater

s

Обычный режим работы

Update Windows

Возврат к обычномурежиму

McAfee ePolicy Orchestrator (ePO)Как это работает: Оптимизация управления

• Простая, автоматическая установка ПО

• Управление конфигурациями и политиками из единой консоли

• Отчетность и реагирование на события

• Единая, открытая платформа для всех продуктов McAfee

• Масштабируемость до 100k+ конечных точек

NCR является ведущим поставщиком банковских, торговых и информационно-технологических решений, поставляет 60,000+

ATMs/год с решениями McAfee

“Благодаря технологии McAfee наши клиенты совершенно не беспокоятся о безопасности банкоматов, влияющей на их основной бизнес”

• Описание проблемы• Отсутствие защиты от атак нулевого дня• Неавторизованное изменение установленного ПО на ATMs

• Что нужно NCR• Предоставить защиту от атак нулевого дня• Прозрачная, простая установка• Установил и забыл, без последующих обновлений• Приемлемая цена

• Почему Embedded Security• Никаких несанкционированных изменений• Полное соответствие PCI• Стандартизировано как NCR APTRA

• Как они сделали это• Безопасное управление обновлениями на основе сертификатов• Встроенный процесс аудита за ОС

OEM Case StudyNCR Financial Solutions