Защитна стена, Слава на Украйна

McAfee

На 12 юни беше пусната актуализираната версия на McAfee Endpoint Security 10.6

– водещото модулно решение за защита на Windows системи.

За тези, които не са запознати с антивирусната програма на McAfee като цяло, препоръчвам бърз преглед

Нека да разгледаме качествените промени в сравнение с линията 10.5.x, защото не е тайна, че за клиентите,

които са мигрирали от VSE или други AV, основният работен инструмент вече е 10.5.3 / 10.5.4

Но преди да пристъпя към разглеждане на новините за Windows версията на антивирусната програма, позволете ми да отбележа 2 точки, които лично мен много ме радват:

  • McAfee Endpoint Security за Linux 10.5 вече поддържа правила за защита на достъпа!
  • McAfee Endpoint Security за Mac 10.5 вече поддържа Adaptive Threat Protection!

За оператора на конзолата на ePO това значително увеличава контрола върху системи, различни от Windows.

А сега за Endpoint Security 10.6 (Windows)

#1 актуализация от предишни версии

За да опрости процедурата за клиентите да преминат към текущата версия, McAfee създаде

Endpoint Upgrade Assistant, който анализира версиите на текущите модули и решава дали това е възможно

надстройте незабавно или премахнете остарелия продукт. В резултат на това има по-малко грешки в процеса на внедряване.

Като бонус, Endpoint Upgrade Assistant може автоматично да надстрои модула Active Response (ако се използва) заедно с ENS.

Струва си да се отбележи, че на една от моите тестови системи, standalone 10.5.3 беше напълно правилно актуализиран до 10.6 със запазени мои политики:

защитна

#2 поддържа 1803 Windows 10 и Windows Server 2016

Тук всичко е просто - клиенти, които се нуждаят от защита на актуализирани версии на сървъри иработните станции могат незабавно да внедрят 10.6 (или да надстроят 10.5.4 до 10.6)

Промени #3 в блока за предотвратяване на заплахи

украйна
стена
стена

#4 промени в блока за уеб контрол

  • най-накрая поправи поддръжката на текущите браузъри (FF, Chrome)
  • заявките към GTI за проверка на изтеглените файлове вече са SHA-256 вместо MD5

защитна

#5 промени в блока на защитната стена

  • възможност за вземане на решение, ако GTI не е наличен

защитна

Промени #6 в блок Адаптивна защита от заплахи

  • отделен параметър за проверка на мрежови устройства
  • възможност за стартиране на Real Protect офлайн без TIE или GTI
  • Режимът за наблюдение вече е деактивиран веднага
  • заявките към GTI за проверка на файла вече са SHA-256 вместо MD5
  • DAC може да блокира надеждни процеси, когато се опитва да обработва ненадеждни DLL файлове

защитна

#7 промени в работата с документация

Нов портал за намиране на документация за решенията на McAfee:

защитна

Доста удобно и бързо като алтернатива на PDF файловете.

С това приключваме краткото ревю.

стена

По-подробна информация:

Бъдете внимателни и предпазливи.

Запознайте се с възможностите на вашите инструменти за защита и не оставяйте политики по подразбиране!

Следете за актуализации.

McAfee подобрява защитата на крайната точка

Прераждане на сигурността на крайната точка

В момента в активно бета тестване е новото решение McAfee Endpoint Security Version 10. За да оптимизират производителността, засилят защитата и опростят контрола, разработчиците направиха редица промени, които значително трансформираха набора от продукти за защита на крайни точки. Нека да разгледаме разликите.

  • Предотвратяване на заплахи (антивирус, защита от експлойти)
  • Защитна стена (контрол на мрежовата връзка на базата на HIPS)
  • Уеб контрол (уеб филтриране, захранвано от SiteAdvisor)

В близко бъдеще функционалността на McAfee Endpoint Security ще бъде подобрена чрез добавяне на съществуващи решения като Application Control, Device Control (DLP Endpoint) и други.Важно е да се отбележи, че разработчиците не просто събраха различни модули и преработиха интерфейса. Рамката на „основата“ на решенията - самият McAfee Agent - е претърпяла обработка, което направи възможно интегрирането на отделни компоненти един с друг. Тази „слоеста“ защитна система позволява на компонентите да обменят информация за заплахи, поради което проактивният подход става реалност при отблъскване на сложни атаки. В допълнение към промяната на архитектурата, разработчиците са увеличили защитния потенциал на всеки блок, който ще обсъдим по-късно.

Тъй като засегнахме интерфейса на решението, заслужава да се отбележи, че новият GUI е предназначен да опрости конфигурацията на различни компоненти, поради факта, ченастройките на всички модули вече са достъпни в един прозорец. Не на последно място, разработчиците са направили промени в механизма за показване на събития. Първо, всички събития от различни модули се събират заедно, в един списък.

украйна

Второ, сега потребителят/администраторът може лесно дафилтрира събития по ниво на важност или по отделен модул (за сравнение: в настоящите EPS пакети събитията от всеки модул са достъпни само от неговата отделна конзола).

защитна

Преди да пристъпя към описанието на отделните модули за защита, бих искал да спомена промените в модела за управление / внедряване. Наличните в момента решения (EPS, VSE, HIPS и др.) позволяват три сценарияразгръщане:

  • Без централизирано управление (т.нар. standalone);
  • Управление чрез локално разположена ePO конзола;
  • Управление чрез Security Center, "облачна" конзола (SaaS EPS).

McAfee Endpoint Security 10 разширява този списък, като добавя възможност за управление чрез конзолата ePO, която е внедрена в облака. Предимството на тази иновация е, че "облачното" ePO е много по-удобно и функционално от контролния панел, използван за SaaS EPS.По този начин новото решение поддържа до четири сценария за внедряване/управление.

украйна

Сега нека разгледаме всеки блок за защита поотделно.

Първо в списъка еThreat Prevention, което е подобрена версия на McAfee VisrusScan Enterprise. Този блок е отговорен за противодействието на вирусни заплахи, но за разлика от предшественика си, той може да се похвали с две значителни предимства:

  • Подобрена защита срещу експлойти (подробностите на технологиите все още не се разкриват, от наличната документация става ясно, че това ще бъде своеобразен микс от технологии, които се поддържат на ниво ОС: DEP, ASLR с добавяне на разработки на McAfee + Intel);
  • Оптимизиране на сканирането при поискване (така нареченото сканиране при поискване с нулево въздействие)

слава

Последната точка е най-добре илюстрирана с пример: представете си, че потребителят активно обработва данни в своята система, след известно време се активира предварително планираната задача за антивирусно сканиране на директории или на целия твърд диск. Обикновено в такава ситуация потребителят наблюдава забележим спад в производителността, т.к. антивирусната система започва активно да осъществява достъп до файловата система, като използва част отресурси (CPU, RAM). Всъщност потребителят има избор - или да се примири със спад в производителността, или да отмени / деактивира сканирането (между другото, повечето потребители поемат по втория път). Наистина сигурността не трябва да пречи на задачата, но оставянето на системата несканирана също не е правилно. Къде е изхода? Разработчиците на McAfee оборудваха блока за предотвратяване на заплахис възможност за адаптивно сканиране, чиято същност е, че антивирусната машина анализира натоварването на системата и ако задачата е планирана и няма свободни ресурси, антивирусната програма не започва да възстановява процеси от програми, стартирани от потребителя. Това обаче не означава, че сканирането ще бъде пропуснато - антивирусната машина, включена в McAfee Endpoint Security 10, ще стартира сканиране между тях, когато потребителят не стартира системата или дори напусне компютъра си за известно време. Веднага щом натоварването на системата се увеличи, сканирането се прекратява. Ключовата разлика от съществуващите технологии е, че McAfee Endpoint Security анализира натоварването на системните ресурси постоянно, а не само веднъж. Поради това антивирусът използва всяка вратичка, за да изпълнява своите рутинни функции, докато потребителят не получава усещането, че системата се „забавя“. Ето едно елегантно решение на вековната борба между комфорт и защита, предлагано от разработчиците на McAfee.

защитна
Следващият в списъка е блокътЗащитна стена, който е преработен модул HIPS (система за предотвратяване на проникване в хост). Този защитен модул е ​​отговорен за наблюдение на мрежовия трафик, както за операционната система като цяло, така и за работещите приложения в частност. В допълнение към мрежовата част, този модул включва система за предотвратяване на проникване, която в последствиеще бъде тясно интегриран с Application Control ("бели" списъци) и Threat Prevention (VSE) ("черни" списъци). По този начин контролът на работещите приложения ще се осъществява по-гъвкаво поради информацията, която модулите ще обменят помежду си.

стена

стена

В допълнение към горното, разработчиците обещават да оптимизират механизма за актуализиране, за да намалят натоварването на комуникационните канали, възможността запредоставяне на данни за криминалистичен анализ на отразени киберзаплахи, както и опростено внедряване от локална или "облачна" ePO конзола. Няколко думи за информацията за съдебномедицински анализ (т.нар. криминалистика на заплахи), тъй като тази функционалност несъмнено ще предизвика повишен интерес сред техническите специалисти.Данните за криминалистиката на заплахи ще включват:

  • вектор на атака (прикачен файл към имейл, скрипт на уебсайт, заразено USB устройство и т.н.);
  • щам версия/разновидност (троянски кон, капкомер, руткит и др.);
  • препоръки за укрепване (промяна на правилата за предотвратяване на заплахи, добавяне на правило към защитната стена и т.н.)