Archive | October 2013

McAfee это не только антивирус

1022x768.inddИзображение кликабельно (~ 5.5 Mb)

На прошедшей конференции McAfee & Intel DAY мы с коллегами кроме тем своих докладов старались донести публике посыл о том, что McAfee уже давно занимается не только антивирусной защитой, но и другими сферами информационной безопасности. Изображение сверху дает представление о том, какие решения есть у McAfee и где их можно применять. Сухая статистика говорит о том, что на данный момент портфель McAfee состоит из 11-ти направлений, а общее количество отдельных продуктов (не наборов!) ~ 70.

Давайте посмотрим, что McAfee может предложить корпоративному сегменту:

Data Protection – шифрование данных и DLP системы;

Database Security – защита баз данных, о которой многие забывают;

Email & Web Security – безопасность каналов корреспонденции и Web серфинга;

Endpoint Protection – в эту группу входит все, что имеет отношение к защите серверов и рабочих станций;

Identity & Access Management – контроль доступа и двухфакторная аутентификация;

Mobile Security – решение проблем с безопасностью BYOD;

Network Security – средства защиты сетевых коммуникаций;

Risk & Compliance – поиск уязвимостей, анализ рисков и соответствия стандартам;

Security-as-a-Service – “облачные” сервисы McAfee;

Security Management – единая консоль ePolicy Orchestrator из которой все 70 наименований управляются;

SIEM – сбор, корреляция у правление событиями ИБ.

Это только перечисление категорий, каждая из которых содержит по 4-5 отдельных решений.

У внимательного читателя может появиться закономерный вопрос:

“Хорошо, это все замечательно, но по отдельности это есть у  других вендоров. Чем Вы лучше? Почему мне стоит обратить внимание на McAfee?”

Театр начинается с вешалки, а McAfee – с консоли ePO. Каждое из 70 решений управляется централизованно из единой консоли, большинство решений интегрируются между собой. Это похоже на конструктор “LEGO” только для специалистов ИБ. Независимо от того какой набор компонентов нужен для решения текущих задач ИБ, на выходе мы получаем не разрозненный “зоопарк” из коробок или виртуалок, а целостную систему.

Такая архитектура позволяет убить сразу нескольких зайцев:

  • сократить время реакции на инциденты;
  • устранить проблемы связанные с масштабированием;
  • упростить сопровождение;
  • устранить проблемы с совместимостью компонентов;
  • облегчить обучение персонала департамента ИБ…

Этот подход называется McAfee Security Connected, о нем можно прочесть по ссылке.

Помните, McAfee это не только антивирус, но и 70 разных решений информационной безопасности.

Продолжение следует.

Advertisements

MOVE Antivirus [Agentless] 3.0

move_agentless

Защита виртуализированных сред/Private Cloud. Оптимизированный агентный/безагентный антивирус.

Несколько незамеченным прошел релиз новой версии безагентного антивируса McAfee MOVE, который применяется для защиты гостевых ВМ на гипервизорах VMware ESX. Среди ключевых нововведений стоит отметить:

  • Возможность настраивать политики сканирования для отдельных ВМ, групп или пулов ресурсов;
  • Кэш хешей проверенных файлов на гостевой машине больше не очищается при перезагрузке ВМ;
  • Возможность исключения как путей так и отдельных файлов;

Кроме прочего, разработчики перевели MOVE на новый антивирусный “движок” 5600, который обладает улучшенной производительностью.

Новая версия существенно меняет расстановку сил. Фактически, разработчики уравняли оба варианта по возможностям.

Достаточно взглянуть на сравнительные таблицы:

MOVE 2.6 (так было)

move_old

MOVE 3.0 (нова версия)

move_newMOVE AV отличается от обычного антивируса тем, что сканирование файлов выполняется отдельным сервером. Такой подход с одной стороны позволяет “разгрузить” гостевые машины (нет необходимости установки антивируса внутрь каждой ВМ), а с другой стороны такой механизм позволяет избежать перегрузок, которые возникают при одновременном сканировании одного и того же файла или одновременном обновлении антивирусных баз. Результаты сканирования кэшируются как на сервере так и на гостевой машине, таким образом при последующем обращении к уже проверенному файлу информация о его репутации будет получена без повторной проверки (при условии что контрольная сума не менялась). При этом не имеет значения кто первым обратился к файлу – кэш сервера общий для защищаемых гостевых систем.

Существует два сценария развертывания MOVE – агентный и безагентный (для гипервизоров VMware). Отличия между сценариями отображены на сравнительной таблице выше. В двух словах – агентный позволяет защищать гостевые ВМ на любом гипервизоре, а безагентный предназначен для ESX (поскольку работает через vShield). При агентном (мультиплатформенном) варианте развертывания агент не выполняет сканирования а только передает файлы на сервер сканирования либо проверяет контрольные суммы. В безагентном сценарии передачу файлов и проверку контрольных сум выполняет vShield Endpoint Thin Agent. Таким образом, при безагентном варианте достаточно чтобы в ВМ были установлены гостевые утилиты VMware.

Список гостевых ОС, которые защищаются по средством vShield (база знаний VMware).

Более подробно о релизе MOVE можно прочесть по ссылке.

Механизм работы MOVE детально рассмотрен в презентации по ссылке, слайды 11-27.

Для тех, кто будет изучать презентацию, предупреждаю, там сравнительная табличка по старой версии, будьте внимательны.

По следам конференции McAfee&Intel DAY

BKT_MID_1024_768

Презентации докладчиков трека McAfee на slideshare

Конференция прошла успешно. Контент докладов пришелся публике по вкусу. Докладчики были вознаграждены предельным вниманием и массой каверзных вопросов.

Спасибо всем, кто посетил McAfee & Intel DAY.

p.s.

Фотоотчет мероприятия вскоре будет доступен на странице БАКОТЕК в Facebook