Mcafee Mvision Insight - jak zabezpieczyć się przed najnowszymi zagrożeniami

Jak zabezpieczyć się przed najnowszymi zagrożeniami?

Bardzo często klienci zadają nam pytanie: Czy Wasz system ochrony, zabezpiecza mnie przed jakimś aktualnie popularnym zagrożeniem? Oczywiste jest, że każdy administrator systemu bezpieczeństwa chciałby znać odpowiedz na to pytanie, tym bardziej że sam musi na nie odpowiadać np. swojemu szefowi, gdy tylko media zalewa strumień artykułów o „Nowym ataku na polskie firmy”.

A co, jeśli system faktycznie udzielałby nam takiej odpowiedzi? Informował o symptomach danego zagrożenia, częstości jego występowania w naszym kraju oraz branżach do których kierowane są kampanie?

McAfee Mvision Insight

Rozwiązaniem odpowiadającym na powyższe pytania jest McAfee Mvision Insight działający w oparciu o dane z systemu ochrony stacji roboczych McAfee Endpoint Security. Na podstawie tych danych dostarczane są informacje jak nasza organizacja jest przygotowana na zagrożenia obserwowane aktualnie w sieci Internet.

Generalnie typowy atak można podzielić na wiele faz. Wszystko to co znamy przed samym atakiem to ZAGROŻENIE i oczywiście przypisane mu ryzyko, czyli odpowiedź na pytanie jak duża jest szansa, że zostanę zaatakowany? I jak duża jest szansa, że zostanę zaatakowany skutecznie?

Gdy jakieś zagrożenie wystąpi w naszej organizacji to oczywiste, że skupiamy się na jego wykryciu, zablokowaniu i neutralizacji. To klasyczne działanie rozwiązań klasy antymalware. Mcafee insight daje nam możliwość łączenia informacji sprzed fazy ataku z informacjami o jego ewentualnej neutralizacji po wystąpieniu w naszej organizacji. Wszystkie informacje są skompaktowane, spersonalizowane i dostępne w jednym miejscu na przejrzystym dashboardzie

Baza, z której korzysta McAfee Mvision Insight to ponad MILIARD źródeł danych o atakach zarówno na stacje, sieci jak i infrastrukturę chmurową. W pewnym sensie sami jako użytkownicy Mcafee przykładamy do tego ręke, bo dane statystyczne są zbierane również „z naszych” zapytań o reputacje zdarzeń w globalnej bazie Global Threat Intelligence, którą rozwiązania McAfee (teraz Trellix) wykorzystują od lat.

Informacje są katalogowane i prezentowane w sposób spersonalizowany np. widzimy tylko kampanie kierowane dla Polski do branży finansowej, telekomunikacyjnej czy innej. System już na widoku głównym informuje nas o liczbie potencjalnych kampanii oraz ryzyku dla naszego środowiska np. ile stacji ma nieaktualną ochronę antymalware lub wyłączony/niezainstalowany moduł Mcafee ATP chroniący przed nieznanym Malware.

W widoku listy kampanii widzimy spersonalizowany widok odpowiadający ustawionym filtrom (POLAND/ TELECOM). To wygodny sposób prezentacji pozwalający nam skupić się tym co naprawdę powinno nas interesować.

System na podstawie zapytań wysyłanych z naszych stacji (zapytania o reputacje plików w bazie Globalnej reputacji-McAfee GTI) powiadamia nas, że padliśmy ofiarą poszczególnych kampanii stawiając duży znacznik w kolumnie YOU (TY). Mcafee Global Threat Inteligence (GTI) to od wielu lat znana metoda szybkiego ustalania reputacji plików. Teraz oprócz informacji o reputacji np. dla naszego silnika AV dostaniemy również info że plik o który odpytywaliśmy jest artefaktem (IOC) poszczególnej znanej kampanii/ataku.

Widok szczegółowy kampanii dostarcza gigantyczny zestaw informacji o zagrożeniu. Aktywność na mapie świata i wystąpienia w poszczególnych sektorach gospodarki, opis zagrożenia.

Poniżej prezentowane są informacje o IOC (information of compromise): Sumy kontrolne plików występujących w czasie ataku (MD5, Sha256 ) , adresy IP oraz domeny internetowe wykorzystywane w komunikacji wraz z możliwością ich wyeksportowania do pliku Json.

Dodatkowo udostępniony jest szczegółowy opis poszczególnych faz ataku wraz z jego umiejscowieniem w matrycy MITRE Attack (https://attack.mitre.org/).