Archive | McAfee RSS for this section

Jaff – черговий зразок ransomware

від авторів Dridex, Locky, та Bart

 

Візьміть до уваги!

Вчора (22/05/17) відбулася чергова хвиля розсилки нового зразка ransomware – Jaff.
Вперше потрапив мені до рук 16/05/17. Маркери за 16те – в кінці допису.

Схема:
– – – – – – – – – – – – –

email > PDF > DOCM > MACRO > URL > EXE

Маркери (IOC):
– – – – – – – – – – – – –

#1 email
Received: from localhost (unknown [113.174.48.107])
From: KAITLIN KITCHEN <NoReply@pixelstudio.us>
– орендувався на період розсилки, зараз недоступний

приклад іншого листа:

#2 dropper PDF із вбудованим DOCM

File Name 51531390.PDF
MD5 Hash Identifier F2EC18D7F65D3186E2659CA978B10092
SHA-1 Hash Identifier 25B42C3BA79F062BD38CA88D6B7DCE9D685B77FD
SHA-256 Hash Identifier E1AAB160D59B83A9B62DC2609C2D55B7F07387F4B84041C18EFE068E05F9B9DD
File Size 71889 bytes
File Type application/pdf

дропає

File Name WBLYJOFBR.docm
MD5 Hash Identifier 27CC30FEDE5CF8F390DAE94994BC6CB3
SHA-1 Hash Identifier C471B5A28F6A1EB4EFB31325465A0DA835F008C8
SHA-256 Hash Identifier E8B41678E081C8CC3ADA1F17979B27EFDDAA398E5D397A324AC0EEDF9D36ED94
File Size 126784 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

активація макросів призводить до з’єднання із

EVERSTRUCT.COM.AU [27.123.25.1]
EVERSTRUCT.COM.AU/JHG6FGH

#

друга версія

#
File Name 52040596.PDF
MD5 Hash Identifier FA17464BF1059702190F56E4B898E144
SHA-1 Hash Identifier 821E0DCC7C3F3BF123480ED20941C04120B65410
SHA-256 Hash Identifier 2ECE54ED150732B33EDCAF758F55D73ECC945C926E9E7A331A650409C932056A
File Size 72014 bytes
File Type application/pdf

дропає

File Name GZYKRWCRX.docm
MD5 Hash Identifier 3FEC158A028DA38BA1952A591EC78C52
SHA-1 Hash Identifier 4993CF0B5B30D5C8D2457DFB1EA90CD210370BF0
SHA-256 Hash Identifier 9011B9BC346F5B3615EF8E2B92381B0130738F0093FC4489DBF20C11794CD834
File Size 126720 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

активація макросів призводить до з’єднання із

THEGARDINERS.CA [69.90.160.230]
THEGARDINERS.CA/JHG6FGH

#3 payload – один і той же для обох PDF`ок

File Name buzinat8.exe
MD5 Hash Identifier 132D56F533F3A074B441CEBFF98E7742
SHA-1 Hash Identifier CE62251F9C7B0DE95CE324EFEC94FB703776F4BA
SHA-256 Hash Identifier 3105BF7916AB2E8BDF32F9A4F798C358B4D18DA11BCC16F8F063C4B9C200F8B4
File Size 184320 bytes

Після шифрування ініціює з’єднання із

trollitrancessions.net [217.29.63.199] (!) Russian Federation

#

Рекомендації:
– – – – – – – – – – – – –

1) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.
2) Заборона створення та запуску нових .exe файлів
3) Застосування пісочниці
4) Співбесіди на тему фішингу, соц інженерії
5) Відключити макроси в MS Office; відключити скрипти і активацію зовн. контенту у PDF

Будьте уважні та обережні.

PS


Маркери (IOC) за 15/05/17:
– – – – – – – – – – – – –

Жертві приходить не персоніфікований фішинг із PDF файлом у приєднанні

File Name 001_3116.pdf
MD5 Hash Identifier 1E5488E7E382F4EF0DB3ED0DF8D5DBDF
SHA-1 Hash Identifier F6D625BA4A79C2944CDEBCEB52A834C97C6F958E
SHA-256 Hash Identifier 0DBFF8F2C4E689328F5F4E6D0416A21CD09FA903ADD3E1DC1751CAA982CB44B1
File Size 53645 bytes
File Type application/pdf

pdf  в собі містить DOCM із макросом, який при активації записується у %temp%\*\

File Name QCS3ZYS.docm
MD5 Hash Identifier 6D6761D6F3E3E812D9E814942D3DDB78
SHA-1 Hash Identifier DB8CB21367A3B332452469DD1E8508288EA80BA0
SHA-256 Hash Identifier 3565F05B3541E5839C9744388C24C34D42B592A74F2F9F2129DBB8FCBE82165F
File Size 55497 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

Макрос у DOCM ініціює з’єднання на h11p://dcfarbicka.sk/hhgfjd [5.10.105.54] і завантажує основне payload

File Name drefudre20.exe
MD5 Hash Identifier F5EBB00E1FB9BBCFE5AE742082E2002F
SHA-1 Hash Identifier 83EDEE74728AA231CB77D62A442FA560C64ECDEE
SHA-256 Hash Identifier 41BCE3E382CEE06AA65FBEE15FD38F7187FB090D5DA78D868F57C84197689287
File Size 176128 bytes

Який у свою чергу перед шифруванням з’єднується із 2С h11p:// h552terriddows.com [47.91.107.213]

На момент аналізу обидві частини як dropper так і payload уже детектувалися VSE по GTI.

Будьте уважні та обережні.

VR

MATD WannaCry Detection Pkg

Доступний пакет оновлення для ATD та vATD для виявлення зразків WannaCry

Важлива новина для користувачів “пісочниці” McAfee.

The Advanced Threat Defense (ATD) WannaCry Content Update is now available.

This release includes new features, fixes, and enhancements including:

  • Added capability to detect WannaCry variants
  • Added Family Classification: WannaCry as a new malware family
  • Enhanced previous Ransomware coverage with additional rules

They are all available on the McAfee Product Downloads site (http://www.mcafee.com/us/downloads/downloads.aspx) with a valid Grant ID.

Auto-downloaded content is available through the ATD Web User Interface at: Manage, Image & Software, Content Update, Detection Pkg.

Процес оновлення vATD і порівняння результатів:

Один із ранніх зразків до оновлення vATD

Той же зразок після оновлення vATD

Дотримуйтеся рекомендацій опублікованих раніше.

Будьте обережні.

VR

wannacry – part one

Через нестачу часу буду публікувати частинами.

12/05/17 почалася хвиля масового зараження новим видом ransomware – WannaCry (wanna decrypt0r, wanna crtyptor).
Основна небезпека і причина такого стрімкого і масового зараження – для розповсюдження цей зразок використовує вразливість SMB протоколу (Eternalblue).
Після того як хоча би один користувач інфікується – по локальній мережі з його системи ransomware поширюється на інші ПК і сервери.
Якщо попередні зразки ransomware шифрували тільки під’єднані мережеві диски, то WannaCry використовує SMB для доступу до усіх ПК в локальній мережі.

McAfee опублікувало додаткові інструкції щодо правил Access Protection для ENS та VSE:

[KB89335] https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Інформація оперативно оновлюється.

Зверніть увагу що внизу статті викладений файл із додатковими сигнатурами (extra.DAT).

– – – – – – – – – – – – //

Довкола цієї атаки зараз багато спекуляцій тому я обмежуся лише відомими мені на даний момент фактами:

  1. Основна точка входу – фішинг із посиланням на JS. Можливо згодом стануть відомі інші способи доставки, але по інформації на зараз – заходять типово через пошту.
  2. Оновлення з бюлетеню MS17-010 які закривають вразливість SMB захищають від розповсюдження, але не від початкового зараження.

Це означає, що вони мають бути встановлені або потрібно блокувати SMB порти (135б 445 уес) але через них іде зараження не зовні а уже з середини.

  1. Мої попередні рекомендації залишаються в силі, а саме:
  • Правило, яке блокує запуск *.exe, *.js*, *.vbs із %AppData%
  • Блокування приєднань із файлами *.vbs , *.js, *.jse, *.exe
  • Впровадження “пісочниці” McAfee ATD
  • Співбесіди з персоналом на тему фішингу, соц. інженерії

– – – – – – – – – – – – //

Не дивлячись на те, що активність Wannacry була призупинена 13/05/17 через реєстрацію доменів, були виявлені інші зразки цього ransomware.
Частина із них не повнофункціональна, а частина шифрує системи без перевірки вразливості SMB та домену.
Нижче наведені семпли у хронологічному порядку їх виявлення.

IOC

File Name smpl0.exe – шифрує без перевірки доменів, скан 445 не проводить
MD5 Hash Identifier 84C82835A5D21BBCF75A61706D8AB549
SHA-1 Hash Identifier 5FF465AFAABCBF0150D1A3AB2C2E74F3A4426467
SHA-256 Hash Identifier ED01EBFBC9EB5BBEA545AF4D01BF5F1071661840480439C6E5BABE8E080E41AA
File Size 3514368 bytes

File Name smpl1.exe – не почав шифрування, перевірка домену IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
MD5 Hash Identifier DB349B97C37D22F5EA1D1841E3C89EB4
SHA-1 Hash Identifier E889544AFF85FFAF8B0D0DA705105DEE7C97FE26
SHA-256 Hash Identifier 24D004A104D4D54034DBCFFC2A4B19A11F39008A575AA614EA04703480B1022C
File Size 3723264 bytes

File Name smpl2.exe – не почав шифрування, перевірка домену IFFERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
MD5 Hash Identifier D5DCD28612F4D6FFCA0CFEAEFD606BCF
SHA-1 Hash Identifier CF60FA60D2F461DDDFDFCEBF16368E6B539CD9BA
SHA-256 Hash Identifier 32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF
File Size 3723264 bytes

File Name smpl3.exe – модуль шифрування не запустився, проте проявився функціонал перевірки вразливості SMB (з’єднання на 445 в межах локальної мережі)
MD5 Hash Identifier D724D8CC6420F06E8A48752F0DA11C66
SHA-1 Hash Identifier 3B669778698972C402F7C149FC844D0DDB3A00E8
SHA-256 Hash Identifier 07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD
File Size 3723264 bytes

File Name tasksche.exe – був дропнутий smpl3, шифрування не почав
MD5 Hash Identifier 7F7CCAA16FB15EB1C7399D422F8363E8
SHA-1 Hash Identifier BD44D0AB543BF814D93B719C24E90D8DD7111234
SHA-256 Hash Identifier 2584E1521065E45EC3C17767C065429038FC6291C091097EA8B22C8A502C41DD
File Size 3514368 bytes

– – – – – – – – – – – – – –

Зверніть увагу, що в KB89335 оновили Extra.DAT, він містить сигнатури станом на 14те травня

Дуже рекомендую додати його в еРО та запустити задачу оновлення ENS та VSE

https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Зважаючи на масштаби атаки та результати аналізу отриманих семплів роблю такі проміжні висновки:

  • буде спроба повторних атак через цю вразливість та інші (які були опубліковані в результаті витоку)
  • по мережі досі гуляють семпли, які шифрують навіть пропатчену систему
  • на тих системах, які WannaCry атакував по SMB зловмисники отримували доступ на рівні SYSTEM

Проміжні висновки:

  • Патчі (оновлення) з бюлетеню MS17-010 повинні бути встановлені але наявність патчу не означає, що конкретно цей хост не буде пошифровано у разі активації приманки
  • Зважаючи на відносно малий % монетизації (станом на зараз на bitcoin гаманцях усього $54К, це сума викупу за ~ 181 хост) шифрування могло бути відволікаючим маневром
  • Отримані семпли попри локалізацію виглядають тестовою версією

Будьте обережні.

Посилюйте захист за наданими раніше рекомендаціями.

Проводьте співбесіди з користувачами.

PS

Перелік використаних джерел:

https://securingtomorrow.mcafee.com/executive-perspectives/analysis-wannacry-ransomware-outbreak/

https://securingtomorrow.mcafee.com/mcafee-labs/analysis-wannacry-ransomware/

https://kc.mcafee.com/corporate/index?page=content&id=KB89335

https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e

VR

McAfee та Windows 10 Anniversary Update

defer-upgrades

Увага! Інформація для користувачів корпоративних рішень McAfee (Intel Security).

З сьогоднішнього дня (2 серпня 2016) Microsoft починає розповсюджувати велике оновлення – так званий Windows 10 Anniversary Update.
Інженерами компанії McAfee (Intel Security) було виявлено факт несумісності певних модулів McAfee із Anniversary Update.

Не зважаючи на те, що Microsoft додала перевірку на несумісні модулі, ця перевірка не спрацьовує у випадку оновлення ОС із уже розгорнутими рішеннями McAfee.

Це означає, що якщо у вас Windows 8.x або Windows 10 і ви є користувачем корпоративних рішень McAfee
– вам необхідно утриматися від установки Anniversary Update до появи відповідних патчів для модулів McAfee якими ви користуєтеся. (реліз оновлень очікується найближчим часом)

WARNING: DO NOT upgrade to the Windows 10 Anniversary Update unless you verify compatibility.

Likewise, DO NOT install a McAfee endpoint product to a computer already running the Windows 10 Anniversary Update without verifying compatibility.

If you have already installed the Windows 10 Anniversary Update and one of these products, you must uninstall the McAfee point products, downgrade Windows, and reinstall the McAfee products.

Детальніше про перелік несумісних модулів та як притримати Anniversary Update дивіться:

VR

 

Вышел McAfee DLP 10.0

dlp10

– Слишком много? – переспросил Румата.
– Мне не знакомо это  слово  – “слишком”.

6-го июля состоялся релиз 10-й версии модуля DLP Endpoint. На первый взгляд может показаться, что новая версия практически не отличается от 9.4, однако как известно “дьявол кроется в мелочах“. Само-собой таких глобальных изменений как в прошлом году (переход 9.3 -> 9.4) не ожидалось, однако разработчики нашли способ удивить, а местами порадовать заказчиков. Давайте обо всем по порядку:

1. Классификация

manual classification

Функционал меток (tag) был расширен за счет предоставления возможности классификации содержимого документа самим сотрудникам компании т.н. Manual Classification. Т.е. кроме автоматических правил назначения меток по определенным условиям (см. слайды 32-33 моей презентации), теперь можно дать право отдельной группе сотрудников классифицировать содержимое документов в ручном режиме. Раньше такая задача решалась с помощью привлечения модуля классификации TITUS, а теперь это можно реализовать встроенными средствами. Для приложений MS Office данная функция реализована через подключаемый модуль (пример на снимке экрана выше), для других поддерживаемых файлов классификация в ручном режиме осуществляется через контекстное меню.

ePO_classification

Между автоматической классификацией и классификацией вручную есть разница. Если файл получает свою метку по автоматическому правилу (Appplication/Location/Web), то DLP агент проверят сопоставление метки каждый раз, когда регистрирует обращение к файлу. Когда сотрудник осуществляет классификацию документа/письма DLP агент встраивает маркер в сам файл, а к электронному письму добавляется x-header. Встраиваемые маркеры, которые добавляются к файлам при ручной классификации позволяют подключать сторонние решения для отслеживания документов помеченных с помощью McAfee DLP Endpoint.

От себя добавлю, что функция реально полезная и удобная, т.к. теперь заказчикам не нужно идти на компромисс и “светить” пользователям метки через диалог назначения. Метки по прежнему остаются удобным методом автоматической классификации информации в тех случаях, когда есть возможность описать источник генерации файла. А для тех документов, которые создают сами пользователи можно применять Manual Classification. Более того, можно активировать режим принудительной классификации, т.е. при сохранение документа пользователь должен будет обязательно указать к какой категории он относиться:

force_classificationforce_classification2

2. Функционал

Первое на что обратят внимание опытные заказчики/пользователи McAfee DLP – установка либо обновление до 10-й версии теперь не требуют перезагрузки операционной системы. Да, это действительно работает и правила защиты активируются сразу. Однако стоит помнить, что изменение конфигурации уже развернутых клиентов по части активации/деактивации определенных модулей-перехватчиков может потребовать перезагрузки.

Изменения коснулись операций поиска конфиденциальной информации (т.н. Endpoint Discovery) – теперь пользователю можно дать право запускать сканирование и выполнять действия согласно политикам:

DLP_discovery_user

Из прочих изменений стоит выделить поддержку 64-х битных версий Firefox, поддержку Device Guard для Windows 10, интеграцию с AD RMS Client 2.1 и расширенную настройку Web Protection по инспекции запросов браузера:

Web Protection

Так же был существенно расширен функционал DLP Endpoint для Mac OS. Как могут помнить опытные пользователи, долгое время версия для фанатов творчества уважаемого мной Стива Джобса, ограничивалась только возможностью мониторинга/блокировки внешних накопителей. Наконец-то разработчики обратили свое внимание на владельцев MacBook и добавили следующие правила:

  • Removable Storage Protection;
  • Network Share Protection;
  • Application File Access Protection.

Фактически, операторы DLP Endpoint получили возможность отслеживать/блокировать документы, которые пользователь копирует с Mac OS на USB носители; возможность отслеживать/запрашивать обоснование при операциях на сетевых ресурсах и последнее по списку, но не по значению – возможность блокировать доступ запущенных приложений Apple к документам, которые помечены как конфиденциальные. А если учесть, что версия DLP Endpoint для Mac понимает классификацию, которая была определена в ручном режиме на Windows системах получается очень не плохо. Это не большой шаг, но по сравнению с 9.4 заказчики получают больше возможностей контролировать как их сотрудники распоряжаются информацией на Mac OS устройствах.

Также для правил защиты на Mac OS появилась возможность использовать исключения для устройств/пользователей, а также выбирать разный тип реакции на инцидент в зависимости от сетевого подключения (Online/Offline/VPN).

3. Интерфейс

Был внесен ряд изменений как в работу с политиками так и по части обработки инцидентов. Из основных стоит отметить такие:

  • настройки клиента для Windows и Mac OS были разнесены;
  • правила, которые поддерживаются и для Win и Mac получили выборочную активацию;
  • набор разрешений теперь позволяет контролировать к настройкам какой группы правил будет иметь тот или иной пользователь еРО;
  • возможность экспорта списка инцидентов вместе с теневыми копиями..

permission_setspoliciesrule_usb1# # #

Предварительные впечатления от новой версии весьма положительные. Улучшения механизмов классификации, расширение функционала на Mac OS и упрощение рутинных операций явно не оставят заказчиков безразличными. В следующей публикации я постараюсь рассмотреть особенности использования DLP Endpoint совместно с FRP и DLP Discover.

Более детально нововведения описаны в заметках к релизу (PD26582).

Будьте осторожны при использовании высоких технологий. Обращайтесь к нам чтобы защитить свои цифровые активы.

Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP

Цербер який шифрує файли

cerber_pageНовий варіант Cerber Ransomware потрапив мені до рук. Минулого разу я помилково прийняв його за Dridex. Перші зразки Cerber були помічені ще на початку березня. Аналітики відносять його до так званого Ransomware as a Service (RaaS), тобто охочі заробити розповсюджують заразу, а самі автори отримують комісію з кожної транзакції. Механіка роботи наступна – при активації певний перелік файлів шифрується за допомогою алгоритму AES, жертві пропонують сплатити ~ 1,2 BTC ($500) за відновлення доступу до інформації. Через 7 днів сума викупу зростає вдвічі. Сплата проходить через ресурс що розміщений в мережі Tor.

Від інших представників ransomware Цербера відрізняє застосування вбудованого диктора (після шифрування файлів жертві голосом озвучують факт шифрування):

Set SAPI = CreateObject(“SAPI.SpVoice”)
SAPI.Speak “Attention! Attention! Attention!”
For i = 1 to 5
SAPI.Speak “Your documents, photos, databases and other important files have been encrypted!”
Next

Та вибіркову цілеспрямованість. Шифрування не відбувається, якщо скомпрометована система знаходиться у одній з наступних країн:

“blacklist”: {
“countries”: [
“am”, “az”, “by”, “ge”, “kg”, “kz”, “md”, “ru”, “tm”, “tj”, “ua”, “uz”

Саме через цю перевірку я так і не побачив фінальної дії семплу, хоч запускав його по кілька разів на різних системах. Крім того, як можна помітити із першого знімку екрану, автори полюбляють вислів “Quod me non necat me fortiorem facit” що у перекладі з латинської означає “Все у житті, що мене не вбиває, робить мене сильнішим” (Ніцше).

Отже нова версія Cerber має кілька відмінностей:

  • цього разу без PowerShell;
  • його прислали особисто мені;
  • обгортка – файл шаблону (.dotm);
  • інакший зміст UDP пакету.

Давайте розглянемо активність семплу детальніше. Усе починається із фішингового листа:

0_mailІнвойс? Мені? Вау.. Ну давайте поглянемо що в середині:

0dotm_ole_1 0dotm_ole_2При відкритті документу – автозапуск макроса. Сама приманка має наступний вигляд:

0_macroЯкщо жертва активувала макрос, в каталог %AppData% записується .vbs із довільним цифровим іменем, який обробляється системним процесом wscript.exe котрий ініціює з’єднання з файловим сервером з якого уже завантажується основний модуль:

7 8Цікаво, що від активації до завантаження файлів іде затримка 3-4 хвилини. Основний модуль та додаткові файли записуються в %AppData% і керування передається спершу .tmp файлу із довільним цифровим іменем, а вже потім .tmp копіює себе у підкаталог %AppData%\{X-Y-Z-A-AAA}\*.exe :

10Сам Cerber (у даному випадку процес cipher.exe) ініціює розсилку UDP пакетів на діапазони ІР, що належать провайдерам РФ та Германії:udpНа цій стадії семпл ініціював самознищення і видаляв активний компонент (.exe файл). Сам процес шифрування детально розглянутий за посиланням.

# # # # #

Давайте зосередимося на головних моментах:

  1. Написано досить якісно, значить цикл життя таких семплів буде довгим;
  2. Cerber використовує json конфіг файл, що дозволяє швидко адаптувати його до нових умов;
  3. Обгортки можуть відрізнятися, проте сам модуль пишеться і стартує із %AppData%

Для того, щоб захиститися від нових різновидів Цербера та його друзів рекомендую жорсткіше фільтрувати пошту (вирізати макроси із документів) та блокувати створення і запуск .exe із %AppData% – це технічні моменти. Що стосується організаційних, то поради проводити періодичні співбесіди із працівниками та тести на проникнення залишаються в силі.

Іще одне – основна проблема із сучасним фішингом та семплами у тому, що на момент розсилки, вони майже не детектуются звичайними АВ-сканерами. Це підштовхує до застосування пісочниць, або до жорсткого контролю поведінки запущених користувачем процесів на рівні кінцевої точки. Чому так? Погляньте на результати перевірки документу-обгортки та самого payload на момент контакту:

vt_payload_contact vt_dropp_contact

Варіант захисту для користувачів VSE

VSE_AP_appdataВаріант захисту для користувачів Traps (Palo Alto Networks)

traps_rest2 traps_rest1

macro2 powershell

Маркери компрометації:

z43n21v1gs8e2p.dotm SHA1=0a03d6e9b6730a40d922b38b51a7f2344b09cc37

pentnt.exe SHA1=c8f3f0a33efe38e9296ef79552c4cadf6cf0bde6

сервер з якого завантажується payload по 80 TCP = 37.187.37.150

розсилка пакетів “hi005e974” по 6892 UDP = 85.93.0.x

Будьте уважними та обережними при роботі з ІТ.

Будущее — это тщательно обезвреженное настоящее

MV5BMTk3ODUxMjAwNV5BMl5BanBnXkFtZTcwNTg2ODY4Mg@@._V1_SX640_SY720_VR

Новая защита конечных точек – McAfee ENS10.1

Полтора года тому я принимал участие в бета-тесте ENS. С тех пор решение претерпело ряд качественных изменений и с начала 2016-го года ENS 10.1 был введен в состав комплектов защиты конечных точек.

Основные моменты, про которые следует знать:

  • модуль Threat Prevention объединил в себе AMCore (АВ) и функции HIPS`а;
  • политики были переделаны для упрощения администрирования;
  • интеграция с DXL позволяет получить доступ к TIE и ATD;
  • сканирование по запросу (по планировщику) сводит нагрузку на систему к минимуму;
  • в 10.1 вернули мой любимый конструктор правил Access Protection

eps_oldvsnew2

Отличие интерфейса ENS10 от VSE и HIPS

AP_rules_diff

Отличие на уровне политик

Копия презентации по недавнему вебинару. Краткий обзор ENS10.1

Кому не удобно со slideshare – забирайте PDF (~1,6 Mb)

PS

Бонусом – хороший документ по нововведениям на английском (~ 1Mb)

Будьте внимательны и осторожны при работе с ИТ.

VR