Як проводити практичну перевірку роботи захисту ENS, та як MVISION Insights може стати у нагоді у світлі атак на FireEye та SolarWinds.
На слайдах відображено наступні тести:
- OAS AMCore detection
- OAS GTI detection
- Access Protection
- Exploit Prevention
- Real Protect (ATP-RP)
- Dynamic Application Containment (ATP-DAC)
- Credential Theft Protection (ATP-RP-CTP)
Усі тести виконані на базі вбудованих правил та сигнатур _без_ використання реального шкідливого коду.
#McAfee #MVISION #Insights #SunBurst #SolarWinds #supplychain
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
1. Перевірка модулів ENS
MVISION Insights – робота з IOC
05 / 01 / 21 (доповнено)
Владислав Радецький
vr@optidata.com.ua
2. Працюю у компанії OptiData
Аналізую віруси. Пишу статті.
Обираю новини для нашої сторінки у Facebook.
Проводжу навчання з різних аспектів ІБ
Допомагаю з проектуванням, впровадженням
та супроводом різних засобів захисту.
vr@optidata.com.ua
radetskiy.wordpress.com
pastebin.com/u/VRad
VR
#whoami
3. 1. MVISION Insights (коротко)
2. Модулі ENS та перевірка їх працездатності
3. Робота з IOC поточних кампаній (FireEye, SolarWinds)
План:
4. Увага! VSE EOL – 31 / 12 / 2021 KB93335
* У вас залишився рік на міграцію
5. • Аналіз спрацювань ENS (телеметрія)
• Тріаж атак за критичністю malware кампаній
• Розширена аналітика + перевірка захисту (наше попереднє відео)
MVISION Insights – аналітика по артефактам/IOC
* 662 for August, today is over ~780
6. ✓ ENS Platform - GUI
✓ ENS Threat Prevention - OAS, ODS, Access Protection, Exploit Prev.
✓ ENS Firewall - FW
✓ ENS Web Control - Client Web Filtering (IE, Chr, FF, Edge)
✓ ENS ATP - Adaptive (GTI, TIE, ATD, DAC, RP … )
McAfee ENS - модулі
7. ✓ ENS Platform - GUI
✓ ENS Threat Prevention - OAS, ODS, Access Protection, Exploit Prev.
✓ ENS Firewall - FW
✓ ENS Web Control - Client Web Filtering (IE, Chr, FF, Edge)
✓ ENS ATP - Adaptive (GTI, TIE, ATD, DAC, RP … )
McAfee ENS - модулі
8. • Забезпечує наступний захист:
✓ Dynamic Application Containment [DAC]
✓ Real Protect (cloud / offline)
✓ Передача файлів на McAfee ATD (sandbox)
✓ Відкат змін внесених Ransomware (наше відео про Enhanced Remediation)
✓ Захист облікових даних (LSASS.EXE)
* ATP не заміняє політики захисту доступу (AP) та EP !
Функції блоку McAfee ENS ATP
9. 1. ENS повинен хоча би 1 раз оновитися (AMCore 0.5 – не варіант)
2. Потрібно оновлювати не лише AMCore але й Exploit Prevention
3. Захист блоку ATP залежить від репутації (TIE / GTI)
! https://kc.mcafee.com/corporate/index?page=content&id=KB93324
Важливо!
38. SolarWinds supply chain intrusion
• Втручання у FireEye
• Supply Chain через SolarWinds
• Жертви: казначейство, держдеп., нац. безпека США та ін.
• Затримка реакції – кілька місяців
• Великий об'єм IOC