mcafee® application control · describir e identificar clases de aplicaciones, sistemas operativos...
TRANSCRIPT
Best Practices & Main Features
McAfee® Application Control
Securing yesterday’s Operating Systems and Critical
Systems from tomorrow’s threats
11 de Marzo, 2020
Marcos Yerkovich
Technical Support Engineer
Agenda
▪︎ Qué es la lista blanca de McAfee Application Control? (MACC)
▪︎ Estrategias de Application Control
▪︎ El detrás de escena de McAfee Application Control
▪︎ Installer vs Updater
▪︎ Recomendaciones de configuración
▪︎ Nuevas características en 8.3
▪︎ Cambios futuros de Application Control
▪︎ Q&A
¿Qué es la lista blanca (whitelisting o solidificación)?
▪︎ Un producto para los endpoints,
▪︎ Configurado con políticas aprobadas por la organización para
endurecer un sistema operativo.
▪︎ Un enfoque proactivo en Seguridad de la Información,
▪︎ Dado que sólo se permite la ejecución de aplicaciones seguras o
aprobadas.
▪︎ Complemento para otros productos de seguridad tradicionales.
▪︎ Contenido: archivos ejecutables, librerías, drivers, aplicaciones
Java, controles ActiveX, scripts y código especializado.
Características
▪︎ Protección completa contra aplicaciones no deseadas.
▪︎ Flexibilidad para los usuarios finales y administradores de servidores (auto-aprobación).
▪︎ Minimiza el parchado mientras protege la memoria.
▪︎ Protege Sistemas Operativos legados, sin soporte de patches (WinNT+, Linux).
▪︎ Bajos requerimientos de hardware, conveniente para dispositivos de funcionalidad fija
o sistemas críticos.
▪︎ Integración con TIE y GTI.
Más información:
- Ambientes Soportados
- Características principales
Desafíos para los clientes
▪︎ Mantenerse al día contra amenazas desconocidas.
▪︎ Reducir las tareas adicionales asociadas al whitelisting: McAfee®
Threat Intelligence Exchange (TIE) e integración con McAfee®
Advanced Threat Defense (ATD).
▪︎ Contener las amenazas más rápidamente.
▪︎ Permitir mayor flexibilidad a los usuarios.
Malware conocido
Virus
Gusanos
Troyanos
Stuxnet
Operation Aurora
Panorama del malware
Poly-morphic Malware
Zero-Day Threats
Advanced Persistent Threats (APTs)
0
Malware
desconocido
Virus
Gusanos
Troyanos
Poly-morphic Malware
Zero-Day Threats
Advanced Persistent Threats (APTs)
0
MAC
Cómo encaja McAfee® Application Control?
Malware conocido Malware desconocido
Es creado durante la instalación, escaneando el
equipo por aplicaciones, librerías, drivers, y scripts.
Cómo funciona el whitelisting?
▪ Se intenta lanzar la aplicación.
▪ McAfee® Application Control verifica el binario contra el whitelist.
▪ Si no se lo encuentra, el programa no se ejecuta.
Binarios desconocidos
no son autorizados
STOP
SYS
DLL
EXE BAT
SYS
DLL
EXE BAT
SYS
Whitelist
Vuelta a bloqueo
del whitelist
Whitelist
bloqueado
Whitelist actualizado
automáticamente
Procesos de
confianza
Carpetas de
confianza
Certificados
de confianza
Usuarios de
confianza
RAM
Modelo de confianza dinámico para un whitelisting “inteligente”
McAfee®
Advanced Threat Defense:
Análisis de comportamiento
MAC
McAfee®
Global Threat
Intelligence:
Reputación de
archivos en la nubeGTI
KnownBad
KnownGood
McAfee®
ePOTM
McAfee®
Endpoint Security:
Agrega archivos al whitelist
si el AV lo apruebaAV
McAfee®
ENS Firewall: Aísla aplicaciones
desconocidas (graylist) de las
comunicaciones
McAfee®
Threat Intelligence
Exchange: Reputación
de archivos local
Application Control en el ecosistema McAfee®
✓ No duplicar reglas dentro de las directivas.
✓ Seguir un proceso formal de cambio para
modificar el whitelist.
✓ Probar rigurosamente en un ambiente QA.
✓ Desarrollar e implementar un estándar de
nomenclatura
Más información sobre Mejores Prácticas
Recomendaciones de configuración
Nombre de la Organización:
Mi lugar en el mundo
Nombre de directiva:
Baseline_MiLugar
Nombre de directiva:
Contaduria_MiLugar
Grupo de reglas:
Baseline_Windows
Grupo de reglas:
Conta_Adobe
Etiqueta del actualizador:
WinUpdate1
Etiqueta del actualizador:
Conta_Adobe
Organización de directivas en McAfee® ePO™
Mi organización
Servidores Contaduría Directiva asignada:
Baseline_MiLugar
Contaduria_MiLugar
PdV Minorista Directiva asignada:
Baseline_MiLugar
PdV_MiLugar
HR Directiva asignada:
Baseline_MiLugar
HR_MiLugar
Directivas múltiples en McAfee® ePO™
Este producto permite que
múltiples directivas del
mismo tipo puedan ser
aplicadas a un endpoint.
No gestionadoGestionado
▪ Sin McAfee Agent
▪ Sin GUI
▪ Sólo Command-Line
▪ Baja huella
▪ Administración centralizada
▪ Comunicación por McAfee Agent
▪ Notificación y Alertas de Eventos
Despliegue Gestionado vs. No gestinado
Más información sobre endpoints no gestionados
Installer vs. Updater
Un actualizador se declara especificando su nombre de archivo o ruta completa. Además
debe estar solidificado antes de poder ejecutarse y realizar cambios en el equipo.
Un instalador se designa por checksum en lugar de por nombre de archivo. De hecho, los
instaladores están autorizados y son actualizadores al mismo tiempo. Esto permite a los
usuarios obtener este archivo de cualquier fuente (Internet, dispositivo USB, CD, FTP, etc.) y
correrlo, siempre y cuando el checksum coincida, incluso si no está solidificado.
▪ Disabled
▪ Enabled (full vs. limitado)
▪ Update
▪ Observation
▪ Inventory (nuevo en v8.3)
Diferentes modos de Application Control
Identificar los endpointsComenzar despliegue de un grupo Poner los endpoints en modo Observación
Procesar diariamente los requerimientos y
crear reglas
Continuar con los endpoints en modo Observación
Seguir con los endpoints en modo Observación
por 5 días más y procesar los requerimientos diarios
Han estado los equipos
en modo Observación
por 2 semanas?
Se reciben =< 2
requerimientos por endpoint
por día?
Se han procesado
todos los
requerimientos?
Pasar los endpoints a modo EnabledDespliegue complete para el grupo
No
No
No
No
Sí
Correr reportes de Policy Discovery
diariamente por los siguientes 3 días
Sí
Sí
Sí
Ejecutar actividades rutinarias
Se mantienen
los requerimientos =< 2 por
endpoint por día?
Acciones del administrador
Cómo luce un despliegue de McAfee® Application Control
Ciclo de vida de la activación
Operaciones sostenidas▪ Securidad y control completos
▪ Desarrollar un proceso de actualización para el mantenimiento de los equipos
Modo ObservaciónRevisar nuevas apps instaladas/lanzadas, con la opción de solidificarlas.
Ayuda al administrador identificando nuevas directivas de actualizadores de confianza.
Instalación▪ El whitelist es creado automáticamente
▪ Revisar el inventario y reputación de la aplicación
Activar el modo de Email/Auto-Aprobación (desktop/servers)▪ Usuarios finales podrán aprobar apps no solidificadas.
▪ Admins podrán seguir el contenido aprobado por los usuarios y aceptar ó rechazar.
Execution Allowed or Blocked
Trusted User, Dir, Certificate, Name, Volume
Local Whitelist
Self-Approval
Observe/Update/Updater
Allow Policy
McAfee® Global Threat Intelligence
Deny Policy
McAfee® Threat Intelligence Exchange
Execution Control Rules
Flujo de decisión y ejecución
Más información en KB85695
Bloquear ejecución
si cualquier directiva falla
McAfee® Advanced Threat Defense
VTP
Untrusted Volume Removable Media
Recomendaciones al instalar/actualizar MACC
▪ Antes de instalar/actualizar el cliente de MACC, asegúrese de que McAfee Agent es compatible.
No requiere pasar a modo Update si el cambio de versión es menor. Si el salto es mayor, se actualizará SysCore (kernel
drivers) y esto sí requiere el modo Update.
▪ Antes de instalar/actualizar la extensión de MACC, verifique la compatibilidad con la versión de
ePO.
▪ Solidcore 8.2 es compatible con MA 5.0.3+, ePO 5.3.0+
▪ No tenemos problemas de dependencia o compatibilidad con otros productos de McAfee.
▪ DLP 10.x funcionará con Solidcore, pero se recomienda actualizar a 11.x
▪ Pueden actualizar el cliente Solidcore a través de SCCM sin poner en modo Update, siempre
que se cumplan nuestras reglas predeterminadas para SCCM (incluidas en la directiva McAfee Default).
▪ Consulte la guía de instalación para instrucciones de actualización del cliente y la extensión.
▪ 8.2.1 Update 5 corrige problemas de Windows Update (publicado en Sept-2019)
▪ 8.3.0
▪ Modo Inventario
▪ Reportes de Common Platform Enumeration
▪ Usuarios de confianza de Grupos Locales
Novedades
• Monitorea cambios en el sistema de archivos, y los
reporta a ePO, en el Inventario de SolidCore.
• Se debe reiniciar para cambiar de Monitorear a
Bloquear, para cargar el driver correspondiente.
• Es liviano.
• No bloquea.
• Seguimiento de archivos en sistemas críticos.
Modo Inventario
Common Platform Enumeration (CPE) es un método estandarizado para
describir e identificar clases de aplicaciones, sistemas operativos y dispositivos
de hardware presentes entre los activos informáticos de una organización. El
comportamiento aceptable se configura durante los "períodos de observación"
donde se configura una línea base. Más información aquí.
• Coincidencia de nombres: no checksum o certificado.
- Compatibilidad con diccionarios personalizados para aplicaciones en
entornos personalizados.
- Permite agregar su aplicación al diccionario gestionado, o crear
diccionarios personalizados.
C:\Users\miLocalUser>net localgroup
Aliases for \\WIN-IDATRO6R2KB
-------------------------------------------------
----------------
*Administrators
*Distributed COM Users
*Event Log Readers
*Guests
*IIS_IUSRS
*miGrupoLocal
*Performance Log Users
*Performance Monitor Users
*Remote Management Users
*SQLServer2005SQLBrowserUser$WIN-IDATRO6R2KB
*SQLServerMSSQLServerADHelperUser$WIN-IDATRO6R2KB
*SQLServerMSSQLUser$WIN-IDATRO6R2KB$EPOSERVER
*SQLServerSQLAgentUser$WIN-IDATRO6R2KB$EPOSERVER
*Users
*WinRMRemoteWMIUsers__
The command completed successfully.
Ejemplo de grupos localesActualmente tenemos las siguientes opciones (antes de 8.3)
Sólo usuarios:sadmin updaters add -t user1Label -u *\user1ID
Dominios y Usuarios:
sadmin updaters add -t user2Label -u Domain\User2ID
Sólo dominios:sadmin updaters add -t ADDomainGroup -u ADDomainGroup\*
Agregado en 8.3: LocalGroups
Grupos locales:Sadmin updaters add –t LocalGroup –u LocalDomain\*
Usuarios de confianza de Grupos Locales
Post 8.3
• Cambios en UX.
• Cambios en los informes de versiones.
¿Qué viene en el futuro de McAfee Application Control?
▪ Organización de las directivas McAfee Default.▪ Informes de Configuración en ePO.▪ Regla de identificación duplicada.▪ Identificación de conflictos de reglas.▪ Búsqueda de grupos de reglas.
Cambios en UX
8 2 1 X
Mayor Menor Menor Build
8 2 6 X
Mayor Menor Patch Build
Antes Nuevo
Cambios en el versionado
Simplificación de la
Experiencia de Useuario• Flujos de trabajo &
Retroalimentación
• Directivas
• CLI vs ePO
• Mejores prácticas
Estabilidad
& calidad
Integración con
MVISION ePO
Inventario en
MacOS
Reducción de
Dependencia en Kernel
Desarrollo actual y futuro
1. A través del Portal de Soporte de McAfee.Ventajas: sin espera en línea, menor tiempo de respuesta, seguimiento del caso on-line.
Si encuentra problemas para ingresar al portal, contactar a Atención al cliente.
2. Llamando a nuestro centro de atención telefónica.
McAfee SNS: Notificaciones al cliente, tips sobre KB’s y problemas reportadoshttps://kc.mcafee.com/corporate/index?page=content&id=KB67828
Cómo presentar una Idea de Producto: (antes llamado Solicitud de Mejora de Producto, PER)
https://kc.mcafee.com/corporate/index?page=content&id=KB60021El cliente puede hacer seguimiento de los requerimientos y tener contacto directo con los PM’s.
Cómo abrir casos