Tag Archive | McAfee

MVISION EDR – частина перша

При контакті з malware ключову роль грає швидкість реакції – чим довше вірус має можливість виконувати своє призначення – тим більше збитків.

Саме тому, як і обіцяв у попередньому відео, сьогодні я покажу вам що таке MVISION EDR і чому він дійсно  вартий уваги.

52 хв контенту: мінімум слайдів, максимум живого екшену. Кому тільки екшн, без слайдів – з 6:05 до 43:00 саме цікаве.

В меню: огляд консолі, створення власних реакцій, індикація аномалій, розслідування, пошуки та застосування контрзаходів.

В кінці – бонусний контент, кілька практичних порад з безпеки. Не перемикайтеся. Приємного перегляду.

Відео:

Слайди:

Кому не зручно із slideshare ось вам PDF (~ 1,4 Mb)

Будьте уважні та обережні.

VR

MVISION Mobile – частина друга

Більшість організацій зазнали невдачі при спробі запровадити MDM.
MVISION Mobile пропонує простіший спосіб захисту пристроїв та своєчасного виявлення потенційних загроз.

Отже, як і обіцяв у попередньому відео, тепер покажу на що здатен MVISION Mobile Advanced без інтеграції з MDM.

23 хв контенту: мінімум слайдів, максимум екшену.  В меню: три сценарії типових загроз, кастомізація політик, захист від фішингу, реакція на незахищену точку доступу та інше. А в кінці відео – анонс наступного матеріалу, який вже на підході. Не перемикайтеся.

Приємного перегляду.

Відео:

Слайди:

Кому не зручно із slideshare ось вам PDF (~ 0,7 Mb)

Будьте уважні та обережні.

VR

MVISION Mobile – частина перша

Тема BYoD\MDM якось не “злетіла” на українському ринку.
Чи то зусиль не докладали, чи то VIPи (ТОПи) все зіпсували.

Ось вам короткий огляд погляду McAfee на проблему з безпекою особистих гаджетів.
MVISION Mobile, це не MDM і це не просто “ще один мобільний антивірус”.
наліз додатків, захист від небезпечних точок доступу та перевірка безпечності параметрів пристрою – ось основні функції цього продукту. Дивіться відео щоб знати більше.

Відео:

Слайди:

Кому не зручно із slideshare ось вам PDF (~1,5 Mb)

Будьте уважні та обережні.

VR

10 заповідей оператора McAfee

“The deadliest weapon in the world is a marine and his rifle..
Your rifle is only a tool.”
(c) Gunnery Sergeant Hartman, Full Metal Jacket

 

Контент буде корисний як новачкам так і досвідченим користувачам корпоративних рішень McAfee.

Як показує мій скромний досвід тех. підтримки, ~ 70% проблем можна вирішити одним або кількома із цих 10 кроків.

30% – це вже різні апаратні або програмні конфлікти чи помилки у коді, яких не вирішити без виправлень чи хотфіксів.

10 заповідей оператора McAfee

McAfee – не панацея і не срібна куля. Це лише інструмент у моїх руках і його ефективність залежить від того, як саме я користуюся ним.

Перш ніж звинувачувати в усіх бідах розробників, інтеграторів чи партнерів, я докладу усіх зусиль і перевірю наступні кроки:

  1. Аби бути в курсі виходу нових версій, виправлень чи рекомендацій я підпишуся на розсилку SNS і буду періодично читати ті листи (!)
  2. Щоб уникнути проблем з розгортанням рішень на різні платформи я буду перевіряти відповідну статтю з таблиці KB51109
  3. Маючи справу з Windows 10 я буду оновлювати модулі McAfee _ перед _ розгортанням оновлення Windows згідно KB85784
  4. Чекаючи на нову версію рішення я буду відстежувати розклад релізів за таблицею у KB91587
  5. Якщо, не зважаючи на попередні пункти, я виявлю проблему, перше що я зроблю – пошук в Google за фразою “McAfee _продукт_версія_ Known Issues” і уважно вивчу відповідну KB (як приклад KB з проблемами по MAR)
  6. Якщо попередній крок не дав результатів, я перевірю свіжі дописи у відповідному розділі форуму McAfee Support Community
  7. В процесі вирішення проблеми я тричі переконаюсь, що дотримався системних вимог (описані у відповідному Installation Guide) і надав модулям усі необхідні мережеві доступи (для прикладу стаття по портам для DXL, TIE та ATD)
  8. В процесі вирішення проблеми я перевірю журнали (логи) відповідного рішення. (розташування логів я шукатиму у відповідному Installation Guide)
  9. В процесі вирішення проблеми я намагатимусь зрозуміти логіку роботи рішення або комплексу рішень згідно матеріалів McAfee Expert Center
  10. Тільки пройшовши попередні кроки, перезавантаживши проблемну систему, перевстановивши модуль, я зберу логи MER і створю Service Request

Сподіваюсь, наведені тут джерела стануть вам у нагоді.

Цей пост не повинен розглядатися як єдиний (універсальний) засіб проти усіх можливих проблем.

Це лише спроба узагальнити 10 ключових джерел, які свідомий оператор повинен перевірити переш ніж опустити руки і просити допомоги.

Будьте уважні та обережні.

 

 

 

 

 

 

 

 

VR

Fxmsp_AdvIntel_McAfee

Усім доброго вечора.

Нещодавно в мережі було опубліковано інформацію про компрометацію трьох виробників антивірусного програмного забезпечення.
Вчора ввечері замовники McAfee отримали розсилку (SNS) стосовно цього інциденту:

У багатьох виникли питання – чи варто хвилюватися?
Ми зі свого боку дослідили ситуацію.

Основні тези (коротко):

#1 Офіційна позиція McAfee на зараз – за фактами опублікованого AdvIntel проводиться розслідування.
Поки що реальних доказів чужої присутності не виявлено. У разі виявлення фактів компрометації компанія не збирається це замовчувати.

#2 Станом на сьогодні ми звернулись до McAfee за подробицями. Очікуємо від них більше конкретики.

#3 Компанія AdvIntel, яка на даний момент залишається єдиним (і поки не підтвердженим) джерелом інформації, до цієї публікації не з’являлася в інформаційному полі.
Їх офіційний сайт та сторінки у соц. мережах були створені на початку травня перед публікацією розслідування. Поки достовірної інформації обмаль, та ще зарано говорити про маніпуляції, але не варто відкидати і таку можливість.

#4 Фактично усі докази компрометації базуються на крихтах інформації, опублікованих AdvIntel.


Дві інші компанії (Trend Micro та Symantec), про які йдеться у публікації AdvIntel, обмежились суперечливими і не чіткими заявами.
Symantec спростовує можливість проникнення, а Trend Micro припускає часткове проникнення на некритичні системи.

Ми розуміємо серйозність даної ситуації.

Саме тому ми закликаємо вас зберігати спокій і чекати на остаточне підтвердження або спростування факту компрометації систем McAfee.

Залишайтесь з нами. Як тільки ми отримаємо нову інформацію – ми вас повідомимо.

Посилання на саме розслідування та додаткові деталі:
https://www.advanced-intel.com/blog/top-tier-russian-hacking-collective-claims-breaches-of-three-major-anti-virus-companies
https://www.bleepingcomputer.com/news/security/hackers-selling-access-and-source-code-from-antivirus-companies/
https://www.bleepingcomputer.com/news/security/new-details-emerge-of-fxmsps-hacking-of-antivirus-companies/
https://www.bleepingcomputer.com/news/security/fxmsp-chat-logs-reveal-the-hacked-antivirus-vendors-avs-respond/

Будьте уважні та обережні.

OptiData LLC

VR

McAfee DLP 11.3 vs Google Chrome

Усім привіт. Маю добру звістку для користувачів McAfee DLP.

Як ви певне пам’ятаєте, влітку 2018го з оновленням Google Chrome до версії 68 правила класу Web Protection перестали блокувати публікацію даних.

Багатьом замовникам довелося пристосовуватися і шукати workaround щоб не було витоків через Chrome.

Розробники McAfee дбають про рішення і тому обіцяють повернути контроль над Chrome у DLP 11.3:

… we are re-introducing functionality supporting the blocking of Chrome file uploads in the DLPe product. This feature will provide blocking capability for all Chrome versions; there will be no need for an updated offset.xml file for each new Chrome release.

McAfee SNS Notice

Нагадую, що поточна версія McAfee DLP зараз – 11.2

Оновлення 11.3 з підтримкою блокування Google Chrome очікується:

  • RTS (release to support) – в травні 2019
  • GA (global availability) – в червні 2019

Таким чином, орієнтовно вже в середині травня можна буде отримати 11.3 через запит у підтримку.

Що стосується правильного циклу оновлення/переходу на іншу версію DLP Endpoint, то тут McAfee зазначає наступне:

If you are currently running DLP v11.2, you may continue to do so; support will assist with troubleshooting any issues encountered. However, any hotfixes if needed, will be based on DLP v11.3. Likewise, future update releases will be based on DLP v11.3. Upgrading to DLP v11.3 follows the standard upgrade process. We will offer assistance to any customer that requests help with the upgrade process.

If you are currently considering upgrading to DLP v11.2, we kindly ask you to please wait a few more weeks for the release of DLP v 11.3 so that you can benefit from the new feature and future updates.

McAfee SNS Notice

Якщо ви вже перейшли на 11.2 – ви можете продовжувати користуватись нею і після виходу 11.3 (червень 2019), але усі подальші виправлення та оновлення будуть випускатися уже для версії 11.3. Тому раджу не затримуватися на 11.2, навіть якщо контроль Chrome не входить у перелік ваших пріоритетів.

Якщо ж ви тільки готуєтеся до переходу на 11.2, тоді виробник радить зачекати кілька тижнів до появи 11.3, оскільки в подальшому саме цей реліз буде основним.

Якщо хочете бути  в курсі оновлень та зміни функціоналу рішень McAfee – підписуйтеся на розсилки SNS тут.

Про доступність версії 11.3 та роботу з Chrome повідомлю додатково.

Будьте уважні та обережні.

VR

McAfee DLP vs Chrome 68

Увага. Важлива інформація для користувачів McAfee DLP Endpoint.

 

Google внесе зміни в роботу розширень Chrome починаючи з версії 68 (поточна – 67).

Таким чином починаючи з Chrome 68 правила Web Protection втрачають можливість блокувати публікацію даних.

Це пов’язано з тим, що Google змінює механізм роботи розширень (через які працює перехоплення DLP).

Фактично, з 68ї версії розширення будуть отримувати дані від браузера уже після здійснення upload.

Це значить, що у випадку публікації конфіденційної інформації через Google Chrome DLP Endpoint буде лише сповіщати, але не блокувати.

 

Що робити?

 

У вас є кілька сценаріїв як адаптуватися до цих змін:

  • обмежити Chrome парою правил Application File Access Protection та Clipboard Protection
  • на рівні proxy по User Agent обмежити доступ для Chrome, а трафік хмарних агентів перехоплювати через правила Cloud Protection
  • контролювати web на рівні Network DLP Prevent
  • скористатися функціоналом DLP на Web Gateway
  • посилити контроль через McAfee Skyhigh Security Cloud
  • заборонити використання Google Chrome

Детальніше про ситуацію з Chrome дивіться нижче:

Також допис на блозі McAfee: Google Chrome 68 Changes and Their Impact on Data Protection

Будьте уважні та обережні.

VR