Ochrana koncových staníc pomocou Cisco Security Agent 6.0. Ľubomír Varga.

Similar documents
VYLEPŠOVANIE KONCEPTU TRIEDY

Spôsoby zistenia ID KEP

Spájanie tabuliek. Jaroslav Porubän, Miroslav Biňas, Milan Nosáľ (c)

Anycast. Ľubor Jurena CEO Michal Kolárik System Administrator

Registrácia účtu Hik-Connect

Aplikačný dizajn manuál

Microsoft Azure platforma pre Cloud Computing. Juraj Šitina, Microsoft Slovakia

McAfee Host Intrusion Prevention Administration Course

CIH

Symantec Endpoint Protection Family Feature Comparison

Riešenia a technológie pre jednotnú správu používateľov

Tvorba informačných systémov. 4. prednáška: Návrh IS

MageFence User manual

LL LED svietidlá na osvetlenie športovísk. MMXIII-X LEADER LIGHT s.r.o. Všetky práva vyhradené. Uvedené dáta podliehajú zmenám.

Databázy (1) Prednáška 11. Alexander Šimko

Interface Reference. McAfee Application Control Windows Interface Reference Guide. Add Installer page. (McAfee epolicy Orchestrator)

Symbols I N D E list, variable, 143, variable, 143

Lessons from the Human Immune System Gavin Hill, Director Threat Intelligence

Send initial disclosures and get e-signatures via NPRESS

NIKY a NIKY S. JEDNOFÁZOVÉ UPS od 600 do 3000 VA SVETOVÝ ŠPECIALISTA PRE ELEKTRICKÉ INŠTALÁCIE A DIGITÁLNE SYSTÉMY BUDOV

Basic knowledge of the Microsoft Windows operating system and its core functionality.

Implementing Network Admission Control

Základná(umelecká(škola(Jána(Albrechta Topoľčianska(15

Exam : Title : Security Solutions for Systems Engineers(SSSE) Version : Demo

Citrix XenApp. RSA Secured Implementation Guide for RSA DLP Endpoint VDI. Partner Information. Last Modified: March 28 th, 2014

RSA SecurID Ready Implementation Guide. Last Modified: March 27, Cisco Systems, Inc.

Configuring attack detection and prevention 1

McAfee Red and Greyscale

Poradové a agregačné window funkcie. ROLLUP a CUBE

Data Reference Searcher. Documentation

McAfee Application Control and McAfee Change Control Linux Product Guide Linux

McAfee VirusScan and McAfee epolicy Orchestrator Administration Course

Course 834 EC-Council Certified Secure Programmer Java (ECSP)

ForeScout Extended Module for Carbon Black

More about Windows OS Security

Recipient Configuration. Štefan Pataky MCP, MCTS, MCITP

Databázové systémy. SQL Window functions

Copyright 2016 by Martin Krug. All rights reserved.

Hardcore PI System Hardening

exam. Number: Passing Score: 800 Time Limit: 120 min File Version: CHECKPOINT

Administering Microsoft SQL Server 2014 Databases

Security: Worms. Presenter: AJ Fink Nov. 4, 2004

Administering Microsoft SQL Server 2012/2014 Databases

Students should have an understanding and a working knowledge in the following topics, or attend these courses as a pre-requisite:

Bezpečnosť webovských aplikácií (2. časť)

McAfee epolicy Orchestrator

APPLICATION WHITELISTING: APPROACHES AND CHALLENGES

McAfee Endpoint Security Threat Prevention Product Guide - Windows

Exchange Security Small Business Edition. User Manual

Un SOC avanzato per una efficace risposta al cybercrime

Pass4sure q. Cisco Securing Cisco Networks with Sourcefire IPS

Change Management MANDATORY CRITERIA

Security in Ad Hoc Networks Attacks

Administering Microsoft SQL Server Databases

A Comprehensive CyberSecurity Policy

McAfee Application Control Windows Product Guide. (McAfee epolicy Orchestrator)

VMware VMware View. RSA Secured Implementation Guide for RSA DLP Endpoint VDI. Partner Information. Last Modified: March 27 th, 2014

KASPERSKY LAB. Kaspersky Administration Kit version 6.0. Administrator s manual

Web Tap Payment Authentication and Encryption With Zero Customer Effort

Students should have an understanding and a working knowledge in the following topics, or attend these courses as a pre-requisite:

Managing and Auditing Organizational Migration to the Cloud TELASA SECURITY

CIS Controls Measures and Metrics for Version 7

Configuring Event Action Rules

MDaemon Vs. SmarterMail Enterprise Edition

McAfee Public Cloud Server Security Suite

Administering Microsoft SQL Server Databases

IoT Security: Hardening Services Over Connected Devices. Brian

MDaemon Vs. MailEnable Enterprise Premium

Question No: 1 After running a packet analyzer on the network, a security analyst has noticed the following output:

CIS Controls Measures and Metrics for Version 7

Managing Exceptions in a SOA world

Symptom Condition / Workaround Issue Full domain name is not resolved by the RDP- ActiveX Client.

Configuring Event Action Rules

Teach Me How: B2B Deliverability in a B2C World

Hackveda Training - Ethical Hacking, Networking & Security

McAfee Network Security Platform Administration Course

MDaemon Vs. SmarterMail Enterprise Edition

Policy Settings for Windows Server 2003 (including SP1) and Windows XP (including SP2)

Forescout. eyeextend for Carbon Black. Configuration Guide. Version 1.1

MDaemon Vs. MailEnable Enterprise Premium

VMware AirWatch Integration with Palo Alto Networks WildFire Integrate your application reputation service with AirWatch

Using Hypertext Transfer Protocol over Secure Sockets Layer (HTTPS)

MDaemon Vs. SmarterMail Enterprise Edition

Application Whitelisting and Active Analysis Nick Levay, Chief Security Officer, Bit9

McAfee Embedded Control for Retail

The Protocols that run the Internet

DLP GUIDE

Hypertext Transfer Protocol over Secure Sockets Layer (HTTPS)

Zero Trust on the Endpoint. Extending the Zero Trust Model from Network to Endpoint with Advanced Endpoint Protection

Endpoint Protection : Last line of defense?

Putting the 20 Critical Controls into Action: Real World Use Cases. Lawrence Wilson, UMass, CSO Wolfgang Kandek, Qualys, CTO

Advanced Custom Policy

McAfee Labs Threat Advisory Photominer

Course Outline Topic 1: Current State Assessment, Security Operations Centers, and Security Architecture

Agenda. Why we need a new approach to endpoint security. Introducing Sophos Intercept X. Demonstration / Feature Walk Through. Deployment Options

McAfee Database Security

STIX/TAXII feed processing

Rethinking IoT Authentication & Authorization Models

Comodo APT Assessment Tool

KASPERSKY LAB. Kaspersky Administration Kit version 6.0. Reference Book

Transcription:

Ochrana koncových staníc pomocou Cisco Security Agent 6.0 Ľubomír Varga lubomir.varga@lynx.sk

Agenda CSA 6.0 refresh Vybrané vlastnosti CSA 6.0 Application Trust levels Notify User Rule Actions User Justifications Digital Signature Identification Automatic Signature Generation Data Loss Prevention (DLP) Printer Access Control Rule Otázky a odpovede

CSA 6.0 - refresh HIDS/HIPS zabezpečuje ochranu pracovných staníc a serverov založený na kontrole správania koncového systému (behavior-based) ochrana pred day-zero útokmi centrálna správa Management Center for CSA (CSA MC) centrálne definovanie politík pre CSA centrálne úložisko log záznamov od CSA reporting a alerting

Vybrané nové vlastnosti CSA 6.0 Application Trust levels Notify User Rule Actions User Justifications Digital Signature Identification Automatic Signature Generation Data Loss Prevention (DLP) Printer Access Control Rule

Application Trust levels

Application Trust levels - popis globálne zoznamy aplikácii podľa úrovne dôveryhodnosti WhiteList, GreyList, BlackList preddefinované pravidlá reflektujú tieto explicitne definované úrovne dôveryhodnosti aplikácií aplikácie v zozname WhiteList = minimálne reštrikcie aplikácie v zozname GreyList = zvýšené reštrikcie aplikácie v zozname BlackList = maximálne reštrikcie nutné zabezpečiť zvýšenú ochranu aplikácií v zozname WhiteList

Application Trust levels príklad WhiteList

Application Trust levels použitie v pravidle

Application Trust levels EventLog wizard

Application Trust levels vs. CSA 5.2 CSA 5.2 nemá implementované ATL možnosť riešenia vytvoriť vlastné triedy aplikácií (Application classes) pre rôzne úrovne dôveryhodnosti modifikovať nevyhnutné preddefinované pravidlá, aby zohľadňovali novovytvorené triedy aplikácií CSA 5.2 nemá integrovaný wizard pre priame zaradzovanie aplikácií priamo z hlásení v Eventlog do vlastných aplikačných tried

Notify User Rule Action

Notify User Rule Actions upozornenie používateľa na výskyt vybraných udalostí v systéme notifikácia môže byť aktivovaná na základe uplatnenia reštrikčného pravidla pre danú udalosť (Allow, Deny, Terminate) ak sa neaktivovalo žiadne reštrikčné pravidlo (Allowed by default) ľubovoľná kombinácia predchádzajúcich možností vyžiadanie vyjadrenia používateľa k danej udalosti (Justification) v CSA 5.2 nerealizovateľné (ani workarround)

Notify User Rule Actions

Notify User Rule Actions Notification Notification + Justification

User Justification

User Justification vyžiadanie vyjadrenia používateľa pri pravidlách s akciou QUERY pri pravidlách s akciou NOTIFY vyjadrenie je súčasťou záznamu o udalosti v EventLog na CSA MC poskytnutie vyjadrenia nie je pre používateľa povinné (zo systémového hľadiska) v CSA 5.2 nerealizovateľné (ani workarround)

User Justification

User Justification

Digital Signature Identification

Digital Signature Identification CSA automaticky identifikuje digitálny podpis aplikácie (súčasť mandatory policy) ak je digitálny podpis dôveryhodný aplikácia je označená ako trusted trusted aplikácie podliehajú menším reštrikciám ako untrusted aplikácie modifikovateľný zoznam dôveryhodných digitálnych podpisov Good Digital Signers file set

Digital Signature Identification

Digital Signature Identification

Digital Signature Identification

Automatic Signature Generation

Automatic Signature Generation poskytuje nové funkcie CSA pre Windows platformy: automaticky generované signatúry ochrana pred DoS útokmi Process stack recovery ochrana MSRPC a LPC imunizácia enterprise princíp fungovania pravidlo typu System API Control zachytí pokus o útok typu buffer overflow CSA na pracovnej stanici vygeneruje lokálnu signatúru a pošle ju na CSA MC korelačný engine na CSA MC podľa preddefinovaných nastavení vygeneruje globálnu signatúru všetci ostatní CSA si v rámci pollingu globálnu signatúru stiahnu na základe tejto signatúry sú CSA agenti schopní zablokovať tento pokus o buffer overflow

Automatic Signature Generation simulovaný scenár CSA 6.0 CSA MC CSA 6.0 CSA 6.0 CSA 6.0 signature based deny Msf Attacker

Automatic Signature Generation príprava attacker

Automatic Signature Generation exploit executing

Automatic Signature Generation CSA MC

Automatic Signature Generation CSA MC

Automatic Signature Generation CSA MC

Automatic Signature Generation hlásenia z CSA

Automatic Signature Generation CSA klient

Automatic Signature Generation DoS prevention

Data Loss Prevention (DLP)

Data Loss Prevention (DLP) skenovanie súborov na prítomnosť citlivých dát on demand plánovaný scan on access pri otváraní pri zápise citlivé data sú identifikované podľa reťazcov (patterns) klasifikácia súborov - priradenie TAG súborom podľa výsledku scan použitie TAG v pravidlách klasifikačných klasifikácia aplikácii pri prístupe k tagovaným súborom reštrikčných kontrola prístupu aplikácií k tagovaným súborom

Data Loss Prevention (DLP) klasifikácia súborov TXT TAG

Data Loss Prevention (DLP) reštrikčné pravidlo

Printer Access Control

Printer Access Control riadenie prístupu aplikácií k tlačiarňam doplnenie funkcionality pre DLP kontrola ďalšej cesty kadiaľ môžu dáta opustiť pracovnú stanicu v CSA 5.2 File Access Control Network Access Control Clipboard Access Control v CSA 6.0 pribudol typ pravidla Printer Access Control

Kontrola ciest dát smerom z pracovnej stanice File server Network CSA 5.2 Clipboard CSA 6.0? Printer

Otázky a odpovede

2024 © technodocbox.com Privacy Policy | Terms of Service | Feedback