Практики застосування рішень McAfee. Історії успіху.
MID_AppChangeContol_Andrey_Bezverkhiy_RU
1. Роль контроля изменений
и контроля целостности систем
в экосистеме
информационной безопасности
Б Е З В Е РХ И Й АН Д Р Е Й
Д И Р Е К Т О Р П О РАЗ В И Т И Ю Б И З Н Е С А
«СВІТ ІТ»
McAfee & Intel DAY | Киев | 15 Октября 2013
2. Немного фактов о средствах активной защиты
37 решений от
24 вендоров
vs
1711 эксплойтов для
816 приложений, а это
21% уязвимостей последнего десятилетия
Ни одно из 37 протестированных решений не смогло
обнаружить все эксплойты и только 3% из 606 уникальных
комбинаций смогли выявить все угрозы.
3. Ключевые открытия исследования
Средний показатель неуспешного обнаружения эксплойтов:
• IPS & NGFW: 5,8% для 1 решения, 0,8% для комбинаций
• EPP: 45,4% для одного решения защиты, 26% для комбинаций
Есть эксплойты, которые не были обнаружены большинством решений
Многоуровневая защита эффективна, однако прямо зависит от технологий
Источник: Stefan Frei | NSS Labs | Analyst Brief – Correlation Of Detection Failures
4. Рекомендации от NSS
Снизить эффект от неуспешного обнаружения – патч менеджмент
Оперативно выявлять факты взлома – технологии обнаружения инцидентов и SIEM
Правильно прогнозировать риски – поправка на «correlation of detection failures»
Выбирать эффективные комбинации решений – много не значит хорошо
Источник: Stefan Frei | NSS Labs | Analyst Brief – Correlation Of Detection Failures
5. Стратегия безопасности = защита изнутри
Корреляция (SOC)
Контроль целостности
Мониторинг
Патч менеджмент
Средства активной защиты
Контроль приложений
6. Процесс мониторинга целостности
File Integrity Monitoring (FIM) - один из ключевых
элементов современной стратегии информационной
безопасности направленный на выявление
несанкционированных изменений в критичных
файлах путём мониторинга их на определённом
отрезке времени.
Является одним из требований ITIL (Change
Management Process) и стандарта PCI DSS (пункт 11.5).
Часть таких ИТ процессов как патч менеджмент.
McAfee & Intel DAY | Киев | 15 Октября 2013
7. Где контролировать?
Сервисы общего пользования (почта, веб, DNS, NFS…)
Всё что «доступно из интернет»
Сервера сертификатов и ключей
Компоненты сред разработки
Конфигурации МСЭ и сетевого оборудования
Сервера СУБД
Средства обеспечения ИБ
… ваш пример!
Источник: Brian Wotring | SecurityFocus.com| Host Integrity Monitoring: Best Practices for Deployment
8. Способы контроля изменений и целостности
1) В «ручном режиме» – по при переводе системы в эксплуатацию
или при выявлении инцидента
2) Сканирование – проверки по расписанию и по требованию
3) Непрерывный мониторинг – оповещение о всех изменениях
Источник: Brian Wotring | SecurityFocus.com| Host Integrity Monitoring: Best Practices for Deployment
9. График процесса контроля целостности
Точность
Внесение изменений
Время
Состояние
Мониторинг
Сканирование
Ручной процесс
10. Обзор McAfee Change control: мониторинг и контроль целостности
Change Control. Защита критически важных системных и конфигурационных
файлов, а также файлов содержимого с помощью механизмов моментального
обнаружения изменений, комплексного оповещения и контроля.
Источник: http://www.mcafee.com/ru/products
11. McAfee Change Control: функции
Integrity
Monitoring
Уведомляет о
критичных и
неавторизированных
изменениях
Change
Prevention
Предотвращает
выбранные изменения
Логирует все попытки
изменений выходящие за
политику
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
12. Модуль File Integrity Monitoring
• Отвечает в real-time на вопросы Кто? Когда? Что? Почему?
• Имя учетной записи
• Время
• Название программы
• Содержимое файлов/реестра
• Оповещает о критичных инцидентах
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
13. Фильтры File Integrity Monitoring
Многоуровневые
белые/черные списки
Набор предустановленных правил
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
15. McAfee Change Control: детализация изменений
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
16. Управление изменениями
• Защита изменений базовой конфигурации
• Защита от записи для файлов и реестра
• Изменения доступны только авторизированным пользователям и ПО
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
17. McAfee Change Control: для всех без исключений
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
18. McAfee Change Control: аналитика
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
19. McAfee Change Control: разграничения по файлам
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
20. McAfee Change Control: разграничения по пользователям и приложениям
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
21. McAfee Change Control: реестр и расширения
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
22. McAfee Change Control: возможности
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
23. Платформы поддерживаемые Change Control
Тип ОС
Windows (32 & 64-bit)
Версия
Embedded – XPE, 7E
Server – NT*, 2000*, 2003, 2003 R2, 2008, 2008 R2
Desktop – XP, Vista, 7
RHEL 3/4/5/6
CentOS 4/5
UNIX
OEL 5
SuSE Pro 9.3
SLES 9/10/11
SLED 11
OpenSUSE 10/11
Solaris 8,9,10
HPUX 11.11, 11.23, 11.31
AIX 5.3/6.1
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
24. McAfee Change Control: лицензирование
За устройство:
Сервер
Минимальный набор 11 лицензий
Десктоп
McAfee ePo – бесплатно
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
25. Экосистема McAfee по контролю и мониторингу целостности
Change Reconciliation. Комплексная инвентаризация изменений, согласно с
уведомлениями об изменениях и разрешениями. Маркирует эпизодические,
сделанные без разрешения изменения и сообщает об экстренных изменениях,
выполненных без надлежащей документации.
Application Control. Блокировка неразрешенных приложений и кода на
серверах, корпоративных настольных системах и устройствах с
фиксированными функциями. Используется динамическая модель доверия и
тесная интеграция с Change Control и Change Reconciliation.
Integrity Monitoring for Databases. Оценка состояния защиты СУБД (Oracle, Microsoft
SQL Server, IBM DB2 и MySQL) в масштабах всей организации, включая уровень
версий/исправлений, настройки аудита, параметры конфигурации и привилегии.
Источник: http://www.mcafee.com/ru/products
26. Вопросы и ответы > посетите стэнд СВІТ ІТ
Спасибо за внимание!
Свяжитесь с нами по адресу:
sales@svit-it.com.ua