O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
McAfee
Cybersecurity
Forum 2020
Technical Lead, OptiData LLC
Як правильно користуватися
McAfee
Владислав Радецький
Як правильно користуватися
McAfee
06 / 02 / 20
Владислав Радецький
vr@optidata.com.ua
#whoami
Працюю у компанії OptiData
Аналізую віруси. Пишу статті.
Проводжу навчання з різних аспектів ІБ
Допомагаю з проект...
1. Безпека як перегони Ле-Ман (24)
2. [MVISION Endpoint] – посилення Windows Defender
3. [MVISION EDR] – прискорення реакц...
“Ford vs Ferrari” (Le Mans `66)
#1 Безпека як перегони Ле-Ман (24)
• Кожна нова оприлюднена вразливість – новий заїзд
• Ті, хто встигають адаптувати захист - виграють
• Часто компанії прогр...
#1 Безпека як перегони – хто грає проти нас ?
#1 Безпека як перегони – хто грає проти нас ?
#Технічні можливості – 50% успіху
• 14/01/20 - Windows 7 EOL > міграція на Windows 10
• “Навіщо мені ваш антивірус якщо є Microsoft Defender” ?
#2 MVISION E...
#2 MVISION Endpoint - demo
#2 MVISION Endpoint vs procdump lsass
• EDR не є заміною SIEM, Sandbox та антивірусу
• Задача EDR – “дотягнутися” до систем, перевірити IOC та корегувати
• MVIS...
#3 MVISION EDR – інструмент прискорення реакції
#3 MVISION EDR – demo
#3 MVISION EDR
Система з вразливою ОС Windows 10
#3 MVISION EDR
Створюємо реакцію EDR – тестова подія CVE
#3 MVISION EDR
Результат спрацювання – поява події
#3 MVISION EDR
Виконуємо швидкий пошук систем із потрібними подіями
В даному випадку – лише дві Windows 10 (тестові),
На п...
#3 MVISION EDR
Створюємо реакцію EDR – інсталяція виправлення
#3 MVISION EDR
Система з виправленням – не вразлива
#3 MVISION EDR Через пошук контролюємо розгортання виправлення
(KB4528760)
#3 MVISION EDR – ефективність залежить від оператора
• McAfee ENS – основний базовий захист Win / NIX / Mac
• Правильні правила Access Protection блокують ~90% розсилок
• Моду...
#4 McAfee ENS 10.7 – demo
#4 ENS 10.7 vs Ransomare
Це мої фото перед запуском Ransomware
#4 ENS 10.7 vs Ransomare
А це – після запуску Ransomware
#4 ENS 10.7 vs Ransomare
ENS автоматично виконав
rollback змін, здійснених
Ransomware
і повернув мої фото
#5 Захист McAfee = 7000+ RPM
#5 Захист McAfee = 7000+ RPM
MVISION Endpoint
#5 Захист McAfee = 7000+ RPM
MVISION Endpoint McAfee ENS
#5 Захист McAfee = 7000+ RPM
MVISION Endpoint McAfee EDRMcAfee ENS
• McAfee = модульний захист
• Антивірус не повинен бути тільки “заради compliance”
• EDR дозволяє не тільки полювати на ma...
#5 Захист McAfee = 7000+ RPM
04/18 - 07/18
Всього > 50 різних зразків
MS Office 17 розсилок
з них:
із застосуванням PowerShell – 7 розсилок
із застосув...
Всього > 70 різних зразків
Office 35
eqnedt32 13 [2017-11882]
xml.rels 10 [2017-0119]
macro 12 [W97M/Downloader]
JAR 5 [Ad...
#Q&A
Дякую вам за увагу!
#IOC та звіти шукайте тут:
radetskiy.wordpress.com
pastebin.com/u/VRad
Próximos SlideShares
Carregando em…5
×
Próximos SlideShares
What to Upload to SlideShare
Avançar
Transfira para ler offline e ver em ecrã inteiro.

0

Compartilhar

Baixar para ler offline

Як правильно користуватися McAfee

Baixar para ler offline

Слайди моєї доповіді з #McAfeeCybersecForum2020
Відео доповіді тут: https://www.youtube.com/watch?v=4lcdeALmPNk
Суть доповіді: Чому McAfee - це круто.
Демо застосування MVISION Endpoint, MVISION EDR та ENS 10.7
Демо на слайдах покадрово у вигляді знімків екрану.
#OptiData #VR #McAfee #MVISION #ENS

  • Seja a primeira pessoa a gostar disto

Як правильно користуватися McAfee

  1. 1. McAfee Cybersecurity Forum 2020 Technical Lead, OptiData LLC Як правильно користуватися McAfee Владислав Радецький
  2. 2. Як правильно користуватися McAfee 06 / 02 / 20 Владислав Радецький vr@optidata.com.ua
  3. 3. #whoami Працюю у компанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом різних засобів захисту. vr@optidata.com.ua radetskiy.wordpress.com pastebin.com/u/VRad VR
  4. 4. 1. Безпека як перегони Ле-Ман (24) 2. [MVISION Endpoint] – посилення Windows Defender 3. [MVISION EDR] – прискорення реакції 4. [ENS 10.7] – протидія Ransomware 5. Висновки #agenda
  5. 5. “Ford vs Ferrari” (Le Mans `66) #1 Безпека як перегони Ле-Ман (24)
  6. 6. • Кожна нова оприлюднена вразливість – новий заїзд • Ті, хто встигають адаптувати захист - виграють • Часто компанії програють маючи необхідні інструменти • Щоб бути першим ви маєте довіряти своєму захисту #1 Безпека як перегони Ле-Ман (24)
  7. 7. #1 Безпека як перегони – хто грає проти нас ?
  8. 8. #1 Безпека як перегони – хто грає проти нас ?
  9. 9. #Технічні можливості – 50% успіху
  10. 10. • 14/01/20 - Windows 7 EOL > міграція на Windows 10 • “Навіщо мені ваш антивірус якщо є Microsoft Defender” ? #2 MVISION Endpoint
  11. 11. #2 MVISION Endpoint - demo
  12. 12. #2 MVISION Endpoint vs procdump lsass
  13. 13. • EDR не є заміною SIEM, Sandbox та антивірусу • Задача EDR – “дотягнутися” до систем, перевірити IOC та корегувати • MVISION EDR – окремий модуль (на відміну від MAR) • Може працювати з антивірусними рішеннями інших виробників • Керування – on-premise ePO або MVISON ePO #3 MVISION EDR
  14. 14. #3 MVISION EDR – інструмент прискорення реакції
  15. 15. #3 MVISION EDR – demo
  16. 16. #3 MVISION EDR Система з вразливою ОС Windows 10
  17. 17. #3 MVISION EDR Створюємо реакцію EDR – тестова подія CVE
  18. 18. #3 MVISION EDR Результат спрацювання – поява події
  19. 19. #3 MVISION EDR Виконуємо швидкий пошук систем із потрібними подіями В даному випадку – лише дві Windows 10 (тестові), На практиці може бути 200 – 2000 – 20000
  20. 20. #3 MVISION EDR Створюємо реакцію EDR – інсталяція виправлення
  21. 21. #3 MVISION EDR Система з виправленням – не вразлива
  22. 22. #3 MVISION EDR Через пошук контролюємо розгортання виправлення (KB4528760)
  23. 23. #3 MVISION EDR – ефективність залежить від оператора
  24. 24. • McAfee ENS – основний базовий захист Win / NIX / Mac • Правильні правила Access Protection блокують ~90% розсилок • Модуль ATP забезпечує DAC та Real Protect • Модуль ATP також дає інтеграцію із TIE, ATD (Sandbox), OpenDXL • Але… є ще один козир у новій версії – Enhanced Remediation #4 McAfee ENS 10.7
  25. 25. #4 McAfee ENS 10.7 – demo
  26. 26. #4 ENS 10.7 vs Ransomare Це мої фото перед запуском Ransomware
  27. 27. #4 ENS 10.7 vs Ransomare А це – після запуску Ransomware
  28. 28. #4 ENS 10.7 vs Ransomare ENS автоматично виконав rollback змін, здійснених Ransomware і повернув мої фото
  29. 29. #5 Захист McAfee = 7000+ RPM
  30. 30. #5 Захист McAfee = 7000+ RPM MVISION Endpoint
  31. 31. #5 Захист McAfee = 7000+ RPM MVISION Endpoint McAfee ENS
  32. 32. #5 Захист McAfee = 7000+ RPM MVISION Endpoint McAfee EDRMcAfee ENS
  33. 33. • McAfee = модульний захист • Антивірус не повинен бути тільки “заради compliance” • EDR дозволяє не тільки полювати на malware • Ви повинні знати і розбиратися в можливостях вашого захисту • Технології McAfee – це круто #5 Висновки
  34. 34. #5 Захист McAfee = 7000+ RPM
  35. 35. 04/18 - 07/18 Всього > 50 різних зразків MS Office 17 розсилок з них: із застосуванням PowerShell – 7 розсилок із застосуванням 11882 – 8 розсилок Java Backdoor – 3 розсилки #Бонус – статистика по зразкам за 3 місяці 2018го
  36. 36. Всього > 70 різних зразків Office 35 eqnedt32 13 [2017-11882] xml.rels 10 [2017-0119] macro 12 [W97M/Downloader] JAR 5 [Adwind] ZIP, RAR, LZH, ISO 17 [container] WSH 13 [js, vbs etc] BAT, LNK, URL 10 [shortcut] EXE, SCR, MSI 16 [executable] PowerShell / WSH 7 [file-less] #Бонус – статистика по зразкам за 2019й
  37. 37. #Q&A
  38. 38. Дякую вам за увагу! #IOC та звіти шукайте тут: radetskiy.wordpress.com pastebin.com/u/VRad

Слайди моєї доповіді з #McAfeeCybersecForum2020 Відео доповіді тут: https://www.youtube.com/watch?v=4lcdeALmPNk Суть доповіді: Чому McAfee - це круто. Демо застосування MVISION Endpoint, MVISION EDR та ENS 10.7 Демо на слайдах покадрово у вигляді знімків екрану. #OptiData #VR #McAfee #MVISION #ENS

Vistos

Vistos totais

632

No Slideshare

0

De incorporações

0

Número de incorporações

572

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

0

×