Servicio Geológico Colombiano Endpoint Protection Tech Check
Autor: Date: agosto 6, 2018
TECH CHECK Resumen Ejecutivo
3
Información General y Antecedentes
5
Configuración de Hardware y software de McAfee ePO
5
Migración a ENS 10.5
9
Revisión de Operaciones de McAfee ePO
12
Infraestructura de Repositorios
12
Actualización del DAT
13
Puntos Finales “Muertos” y Rogue Systems
14
System Tree
14
Recomendaciones Generales
16
Políticas de Protección
18
Postura de seguridad y gestión de alertas
19
Análisis de los informes de detección
19
Recomendaciones
21
Pasos a Seguir
22
ENS TechCheck Checklist
22
Contactos
23
Recursos McAfee
24
Endpoint Protection Tech Check
Page 2
Resumen Ejecutivo McAfee agradece la oportunidad de realizar una revisión del ambiente de seguridad y postura de seguridad en las estaciones de trabajo de Servicio Geológico Colombiano, durante la actividad denominada “Endpoint Protection Tech Check”. Como representante del área de preventa de McAfee realizamos una sesión de trabajo en conjunto con el equipo de SoftSecurity S.A.S, visitando en sitio sus instalaciones e interactuando con los recursos encargados en la semana del 23 de Agosto de 2017. Este ejercicio nos ha permitido confirmar que la consola “McAfee ePolicy Orchestrator (ePO)”, herramienta de administración que Servicio Geológico Colombiano usa para monitorear y controlar la protección de puntos terminales, está operando de manera efectiva. Existen algunos puntos de mejora que serán resaltados en la sección de observaciones con sus respectivas recomendaciones. La plataforma ePO se encuentra activamente deteniendo amenazas y malware como se pudo evidenciar a través de los reportes revisados con el equipo se seguridad encargado. Hay comportamientos anormales en los eventos de seguridad que han sido detectados al interior de la organización, punto sobre el cual se realizan unas recomendaciones más adelante. Actualmente se dispone de un proceso manual para enviar este tipo de muestras a los laboratorios de McAfee, lo que permite devolver a productividad las máquinas afectadas. Esta demora, que causa un impacto en la productividad del usuario puede ser reducida de forma significativa mediante la actualización del agente de protección actual a su más reciente versión (ENS 10.5) disponible sin ningún cargo adicional a su contrato actual e implementando una solución de gestión de reputación local, como lo es Threat Intelligence Exchange. Este “gap” se puede reducir aún más activando las funcionalidades avanzadas más recientes, explicadas adelante en este documento. Los administradores de la consola ePO de Servicio Geológico Colombiano, con el apoyo del partner SoftSecurity, tienen un buen conocimiento de trabajo de esta plataforma de gestión que se puede evidenciar en la personalización de este ambiente, han incluido tableros y consultas personalizadas y se tiene un conocimiento bueno del funcionamiento en general de la consola. Se puede mejorar haciendo uso de funcionalidades embebidas de la consola que aún no se están explotando, como la funcionalidad de “tags” para aplicar políticas. Se considera una buena práctica realizar un diseño estructurado del árbol de sistemas, como se ha hecho en Servicio Geológico Colombiano, con el fin de poder organizar y aplicar con un mejor criterio todas las políticas de producto, upgrades y despliegues de soluciones a las diferentes estaciones de usuario final. McAfee ha identificado algunos puntos de especial relevancia:
-
Se tiene un comportamiento de amenazas muy agresivo, con periodos de hasta 2 millones de eventos de seguridad
-
La mayoría de las máquinas ya están listas para realizar el Upgrade hacia endpoint security
-
Se pueden explotar más las capacidades de la suite contratada
-
Se incorporaron los paquetes y extensiones de Endpoint Security 10.5.1 y se realizó un ejemplo de despliegue del agente con éxito.
Endpoint Protection Tech Check
Page 3
Algunas recomendaciones clave:
-
McAfee recomienda el uso de Tags para automatizar tareas como la elaboración del árbol de sistemas, aplicación de políticas o asignación de tareas de cliente
-
Se recomienda la depuración de las respuestas automáticas para agilizar la respuesta frente a incidentes de infección avanzada.
-
Al migrar a la versión 10.5 de Endpoint security, se van a poder consolidar en una única plataforma soluciones que hoy en día se tienen desplegadas de forma individual, como VirusScan Enterprise, o Host IPS para Desktops.
-
Se recomienda considerar la implementación de soluciones especializadas en detección de amenazas avanzadas, por lo menos a nivel de reputación local.
-
La implementación de Herramientas como TIE y Active Response ayudarían a tener mayor visibilidad y control sobre el gran número de eventos de seguridad reportados en la consola.
McAfee considera que Servicio Geológico Colombiano puede encontrar gran valor en activar la última protección de punto final (Endpoint Security – ENS) ofrecida dentro de su contrato de mantenimiento por varias razones:
-
Este cliente, totalmente rediseñado, contiene numerosas tecnologías embebidas, disminuyendo la presencia de software múltiple dentro de su infraestructura. Una nueva y más amigable interfaz de usuario, técnicas para evitar consumir CPU y requerir menos utilización de memoria, adicionalmente es totalmente transparente para los usuarios finales
-
La última versión (10.5), presenta la opción de incorporar la nueva suite de funcionalidades de seguridad Avanzada; Dynamic Application Containment y Real Protect , que proveen capacidades adicionales de protección, permitiendo que procesos de reputación desconocida puedan ser ejecutados mientras que su comportamiento está estrictamente vigilado y controlado, mientras tanto se evalúan las características y metadatos de los archivos mediante algoritmos de “Machine Learning” para determinar una catalogación efectiva. Estas, entre otras nuevas características le permitirán defenderse más efectivamente en contra de ransomware, greyware, y malware tipo “día zero”.
Más importante aún, ENS es la base de la estrategia de seguridad de en punto final asistida por nube, donde se logra incrementar protección, detección y corrección ante las amenazas más avanzadas actuales y futuras.
Endpoint Protection Tech Check
Page 4
Información General y Antecedentes Este ejercicio, realizado de forma presencial por el equipo de preventa de McAfee está diseñado para revisar el ambiente de ePO sobre estos puntos: -
-
Entender y observar el despliegue actual de las tecnologías de McAfee y sus funcionalidades Explorar las áreas de éxito y preocupación Realizar recomendaciones según las buenas prácticas para incrementar la efectividad en seguridad de la implementación actual. Tener un conocimiento en profundidad de la infraestructura de seguridad, otras tecnologías involucradas del negocio, iniciativas de seguridad planificadas a futuro y posibles vacíos que requieran ser atendidos. Proveer información sobre las funcionalidades de seguridad más relevantes y mejoras planeadas disponibles bajo la estrategia Ciclo de vida Avanzado de Defensa de Intel Security que sea de valor para la organización.
Configuración de Hardware y software de McAfee ePO Servicio Geológico Colombiano utiliza ePolicy Orchestrator (ePO) soportando un entorno de aproximadamente 1.000 nodos propios, y un total de aproximadamente 1.050 nodos incluyendo los nodos gestionados a sus clientes. El servidor de ePO de producción y la base de datos se encuentran administrados de manera autónoma, con el apoyo del partner SoftSecurity S.A.S para casos de soporte, este tipo de compartición de responsabilidades es un modelo ampliamente utilizado en las instalaciones de clientes similares. El producto de protección de punto final McAfee VirusScan se encuentra desplegado en más del 81% de las estaciones de trabajo y ya se está considerando realizar pruebas con Endpoint Security 10. Repositorios distribuidos:
El servidor ePO no utiliza al momento repositorios distribuidos ni Super Agentes. Estos son equipos que se encargarían de distribuir contenido de seguridad (paquetes de software y actualizaciones de firmas) asociados a los productos de punto final desplegados a través de toda la red. El agente de McAfee a través de una política asociada busca el repositorio asignado. Se encontró que en general la comunicación entre los agentes y la consola de ePO es estable, pero la actualización de las definiciones de virus podría estar más homogénea, por lo tanto, la implementación de estos repositorios distribuidos se puede considerar como una mejor práctica en la operación de la arquitectura de protección de Endpoint. Es de anotar que bajo el esquema actual se tendrían que actualizar múltiples firmas para diferentes tipos de productos (HIPS, VirusScan y SiteAdvisor). En la nueva versión, Endpoint Security 10 existe el concepto de actualización centralizada, lo que contribuye en un ahorro (tiempo y ancho de banda) en los proceso de actualización de alrededor de un 40%
Endpoint Protection Tech Check
Page 5
ConfiguracióndeHardwareyRed
El servidor ePO de producción se ejecuta en un servidor virtual sobre el cual la recomendación es que se manejen al menos cuatro (4) núcleos con una velocidad de 2.66 Ghz , 8 GB de RAM y 150Gb de espacio en disco disponible en la misma máquina, durante la visita se validó que efectivamente los recursos asociados al servidor en general están dentro de lo recomendado: Con el consumo de recursos actual, las consultas y el manejo de la consola son BUENOS y el servidor se encuentra en disposición de ejecutar tareas con alto consumo sin comprometer la usabilidad, ya que la base de datos se encuentra dedicada para el servidor de ePO dentro del ambiente de producción. Recientemente McAfee ha lanzado una utilidad de gestión del rendimiento llamada ePO Performance Optimizer. Esta está disponible a través de una extensión, que permite al administrador una mayor visibilidad de la capacidad y las características granulares de la infraestructura con respecto al consumo de recursos y adelantarse a problemas de capacidad que se puedan presentar, esta aplicación requiere de un usuario de base de datos diferente al actual con permisos especiales, para saber más información por favor consulte la guía del producto.
Endpoint Protection Tech Check
Page 6
VersionesdeSoftwareyCumplimiento
Servicio Geológico Colombiano tiene configurado un servidor ePO en Versión 5.1.3, buscando siempre opciones para migrar hacia los releases más actuales con el ánimo de aprovechar al máximo la plataforma de gestión. Se tienen actualmente licenciados 700 nodos de la suite Endpoint Protection Advanced (EPA) según nuestros registros. En la revisión realizada se observan adicionalmente los nodos de los actuales clientes de Xxxxx por lo que en los reportes aparecen aproximadamente 2000 máquinas en total. El alcance de la revisión de este tech check se aplicó para la totalidad de las máquinas gestionadas por la consola de ePO, para efectos de revisión de políticas, eventos de seguridad y salud del servidor. Para la revisión de la preparación para migrar a Endpoint Security se tomaron en consideración únicamente las máquinas de Servicio Geológico Colombiano, sin embargo, se dejó la herramienta lista para que, si se desea, se pueda realizar este mismo análisis en la totalidad de las máquinas gestionadas, incluidas las de los clientes.
Endpoint Protection Tech Check
Page 7
McAfee ha reunido una consulta del entorno delas versiones actuales de los productos, que se muestra a continuación, detallando el nivel de versión de todos los componentes instalados.
Esta información fue tomada en la fecha de la actividad y tiene probabilidad de cambio durante el transcurso de este análisis. Todas estas funcionalidades se encuentran administradas y desplegadas sobre un único agente y consola conocida como ePolicy Orchestrator. Existen suites modulares adicionales para el manejo de inteligencia contra amenazas avanzadas (Threat Intelligence Exchange) y EDR (Endpoint Detection And Response) que permitirían ampliar la capacidad actual de la solución y llevarlos cada vez más cerca de la implementación óptima de la visión “Endpoint Dinámico”
McAfee estará a su completa disposición de proveer información necesaria a Servicio Geológico Colombiano detallando cada uno de estos componentes y lo invita a visitar el siguiente enlace para obtener más información: https://www.youtube.com/watch?v=iFZ2n7QKADk https://securingtomorrow.mcafee.com/executive-perspectives/dynamic-endpoint-things-simply-bettertogether/ La mayoría de los puntos finales se encuentran ejecutando las siguientes versiones: -
McAfee Agent 5.0.5 VirusScan Enterprise Version 8.8
Migración a ENS 10.5 McAfee cuenta con una herramienta diseñada para facilitar a nuestros clientes la tarea de migración de versiones anteriores de producto, a nuestra nueva versión de protección de endpoint “Endpoint Security” . A través del Endpoint Upgrade Assistant estamos en la capacidad de identificar fácilmente qué tan preparado se encuentra un ambiente para realizar la migración, y cuál sería el esfuerzo requerido para lograr el objetivo propuesto.
Esta herramienta se instaló en la consola durante la realización de este Tech Check y está disponible para que Servicio Geológico Colombiano haga uso de ella libremente en la medida que requiera realizar nuevos análisis de migración. El análisis mostrado a continuación se ejecutó únicamente sobre las máquinas pertenecientes a Servicio Geológico Colombiano.
Endpoint Protection Tech Check
Page 9
Los resultados del análisis nos muestran que el ambiente de E ndpoint de Xxxxx está listo para empezar a migrar sus máquinas hacia la nueva versión de Endpoint Security. Vemos que la gran mayoría de las máquinas no requieren de ningún tipo de actualización y no presentan problemas de compatibilidad con ENS 10.5.1. La pequeña porción de máquinas que aparecen en rojo, hace referencia a equipos donde no se puede realizar la implementación de la solución, ya que el Sistema operativo no es compatible, o no se cumple con los requerimientos mínimos de máquina. Los 2 nodos de la sección amarilla son máquinas en donde se debe realizar primero el upgrade de un producto instalado en ellas para poder realizar el upgrade.
Endpoint Protection Tech Check
Page 10
En la pestaña de planeación vemos cuales son los pasos requeridos en cada uno de los grupos de la gráfica para realizar la migración; nos indica cuántos son Servidores, cuántos Workstations y si es requerida alguna re-instalación de producto o reinicio de máquina. En resumen, se puede concluir que el proceso de migración a Endpoint Security 10.5.1 no será un proceso que requiera un esfuerzo muy grande por parte de Servicio Geológico Colombiano y se recomienda comenzar el despliegue de este en cuanto antes gracias a los beneficios que se obtienen con la implementación de esta nueva versión.
Endpoint Protection Tech Check
Page 11
Revisión de Operaciones de McAfee ePO La siguiente lista documenta las observaciones y comentarios, para el entorno de protección de endpoints de Servicio Geológico Colombiano. A continuación, se presenta el tablero personalizado que fue obtenido durante el Tech Check para resaltar el entorno operativo de la ePO:
Infraestructura de Repositorios Un componente importante de cualquier ambiente ePO es la infraestructura de repositorios, la cual soporta la distribución de contenido de seguridad. Esta infraestructura está compuesta por repositorios bajo el rol de Super Agent (punto final ordinario con tareas administrativas adicionales). Como se observa en el Dashboard, hay una porción de nodos cercana al 20% que no logran actualizar las últimas definiciones de virus (archivo DAT). Esto se debe en la mayoría de los casos a que un solo servidor de ePO no es suficiente para tener un cubrimiento total de la red; sobre todo cuando se tienen equipos en diferentes ubicaciones geográficas. Con base en esto, queda a disposición de Servicio Geológico Colombiano considerar la implementación de por lo menos un repositorio distribuido que ayude a disminuir la carga sobre el servidor de ePO, sobre todo si se tiene pensado realizar un crecimiento en la población de Endpoints y se manejan diferentes ubicaciones de protección para los diferentes clientes que se gestionan desde la consola. Una buena práctica sería incluir un repositorio distribuido en cada una de las sedes de los clientes que se gestionan de manera remota para asegurar que se tiene un cubrimiento completo a nivel de actualizaciones y eventos.
Endpoint Protection Tech Check
Page 12
Actualización del DAT El componente más interesante del complemento de software anti-malware son los DAT o actualizaciones porque es una buena medición que indica la salud de todo al ambiente. Los DAT se distribuyen diariamente, incluso varias veces al día, McAfee está descubriendo miles de nuevas amenazas maliciosas en cada uno. Por cada día que un sistema está fuera de cumplimiento el riesgo de infección aumenta. Es por esto que se debe hacer un esfuerzo para aumentar el porcentaje de endpoints con los DAT actualizados y monitorear que se esté llevando a cabo. Servicio Geológico Colombiano tiene una distribución de DATs que muestra la presencia de dificultad de algunas máquinas para comunicarse con el servidor de actualización de DAT:
Una buena práctica a considerar es la de reducir en la medida de lo posible el tiempo del intervalo de comunicación entre los agentes y la consola, de tal manera que las tareas de actualización de definición de virus se estén aplicando de manera más constante sobre las máquinas, y, en conjunto con la implementación de los repositorios, se tenga una mejora en este indicador de actualización de DATs. Adicionalmente se recomienda hacer una revisión de los Query ejecutados para realizar las tareas de actualización con el fin de que estas alcancen un mejor espectro:
Endpoint Protection Tech Check
Page 13
“La tarea se debe configurar mediante la opción “Client Task” y el uso del árbol de sistema.”
ENS utiliza un archivo V3 DAT completamente nuevo para el motor de exploración avanzada de ENS. Los últimos análisis evidencian que las máquinas ENS con los archivos v3 DAT tienen una mayor facilidad de actualización que las máquinas que tienen el motor de VSE.
Puntos Finales “Muertos” y Rogue Systems Al revisar los queries de los agentes, se observa que hay 34 equipos con Virus Scan que no se han reportado en la ePO desde el mes de julio; Así como algunos que están apareciendo con 15 dias sin comunicación con la consola. Es importante investigar el estado de estos Virus Scan y remediarlos de manera continua. Las causas podrían incluir: -
El Virus Scan ya no está en uso. El agente de software de McAfee ya no está funcionando
Al mismo tiempo es importante buscar “Rogue endpoints” al interior de la red. Son aquellos endpoints que llegan a la red, pero no tienen un complemento de software de protección, y representan un alto riesgo para la organización. Al tener la visibilidad de estos se incrementa la postura de seguridad de la organización. Con esto se puede también tener visibilidad de otros problemas operacionales tales como puntos de acceso inalámbricos no autorizados o el hecho de que los servidores de prueba se estén añadiendo indiscriminadamente a la red de producción. McAfee ePO incluye un componente denominado Rogue System Detection (RSD) que proporciona visibilidad de los sistemas falsos/intrusos a través de las subredes de las organizaciones para vigilar a los endpoints no verificados en ePO. El módulo está habilitado en la red de Servicio Geológico Colombiano, pero no se cuenta aún con un despliegue importante de estos sensores. Se recomienda que se actualice RSD a las últimas versiones, y se identifique donde hace más sentido tener desplegados estos sensores en la red, uno o dos por sub red funcionan de manera adecuada. El equipo de Servicios Profesionales de McAfee, puede ayudar con el despliegue de RSD y el proceso general de reducción de agentes muertos y sistemas falsos/intrusos.
System Tree El System Tree de ePO es un mecanismo que provee a los administradores la visibilidad de los puntos finales bajo administración. Existen numerosas maneras de popular este elemento (asignación por IP, Directorio Activo, consultas) y mantenerlo en el tiempo. El árbol puede ser organizado de varias maneras por el administrador para realizar asignaciones de políticas, administración de tareas y reportes. La arquitectura actual de toda la organización del árbol está construida de manera manual. La recomendación principal acá es complementar la labor del árbol de sistemas con la implementación de etiquetado en las máquinas del entorno empresarial, y realizar la aplicación de políticas y tareas
Endpoint Protection Tech Check
Page 14
basadas en este concepto, con el fin de optimizar la operación de la consola de ePO y las máquinas administradas: Se evidencia que se está utilizando la funcionalidad de etiquetado de McAfee ePO dentro del entorno de Servicio Geológico Colombiano principalmente para clasificar los equipos Virus Scan dentro del árbol. Con el fin de simplificar la configuración de tareas de despliegue de agentes. Actualmente las etiquetas nos ayudan a diferenciar desktops, servers y laptops. La etiqueta de la herramienta de Upgrade assistant por ejemplo, ayudaría a identificar con mayor facilidad las máquinas que requieran algún tipo de labor antes de realizar la migración y configurar políticas y tareas de manera específica sin la necesidad de mover estas máquinas de grupo en el Árbol de Sistemas.
Endpoint Protection Tech Check
Page 15
Recomendaciones Generales Firewall de Escritorio Se recomienda consolidar la administración hacia una única consola mediante el despliegue de la última versión de ENS 10.5 que adicionalmente ofrece las siguientes ventajas:
Aislamiento de Conexión – Previendo que los puntos finales se conecten a redes cableadas e inalambricas al mismo tiempo lo que introduce un vector de amenaza que puede ser utilizado por actores maliciosos. Políticas por ubicación. Esto permite asignar políticas más “abiertas mientras un equipo se encuentre dentro de las instalaciones y unas más agresivas cuando se encuentre por fuera de la organización donde es más vulnerable.
Host Intrusion Prevention System for Desktop (HIPS) McAfee Host Intrusion Prevention for Desktop protege las empresas frente a las amenazas complejas de seguridad que pueden introducirse de manera no intencionada o por medio de los equipos de escritorio y los portátiles. Capas de protección impiden las intrusiones, protegen los activos y defienden de exploits conocidos y nuevos, incluidos los ataques zero-day. La protección avanzada frente a los exploits dirigidos contra vulnerabilidades nuevas permite a TI dedicar más tiempo a la planificación, las pruebas y la aplicación de parches. Las actualizaciones de seguridad automáticas están dirigidas a vulnerabilidades concretas y bloquean las amenazas emergentes. McAfee quiere fomentar la utilización de esta solución mediante la integración de las funcionalidades de HIPS con el agente de Endpoint Security, de tal forma que al implementar la última versión (10.5) se podrá contar con la funcionalidad completa de protección de endpoint dentro de una sola plataforma
Endpoint Protection Tech Check
Page 16
integrada, lo que significa menos soluciones discretas en los endpoints y menos tareas de actualización
de definición de amenazas. Site Advisor/ Web Control La funcionalidad de Site Advisor (Web Control, una vez se realice la migración a ENS 10.5) aporta un valor fundamental a la estrategia de protección del endpoint, ya que más allá de que se utilicen sus reglas para filtrar o no contenido, este módulo nos brinda un complemento importante a nivel de visibilidad de cómo es el comportamiento de una amenaza en todo lo referente al vector web (De donde vino, que páginas intenta acceder, cuáles son los comportamientos de los usuarios con respecto a navegación), por lo que es muy recomendable mantener activa esta funcionalidad al interior del endpoint, así sea únicamente en modo de escucha. McAfee Labs Utilities Servicio Geológico Colombiano no está al tanto de las diferentes herramientas de McAfee Labs como lo es GetClean. Esta es una iniciativa de McAfee para minimizar los falsos positivos en las detecciones de antivirus. El programa asocia los ejecutables de las imágenes de máquinas en limpio utilizadas en la organización, para evitar que estos sean detectados como maliciosos, de igual manera, con la implementación de ENS 10.5 se reducen de manera considerable los falsos positivos, gracias al nuevo motor AMCore y sus funcionalidades avanzadas .
Para más información y otras herramientas de mucha utilidad pueden consultar: https://kc.mcafee.com/corporate/index?page=content&id=KB73044 http://www.mcafee.com/au/downloads/free-tools/index.aspx
Endpoint Protection Tech Check
Page 17
Políticas de Protección Al revisar el catálogo de políticas de Servicio Geológico Colombiano se pudo evidenciar: Se recomienda tener un esquema consistente de nomenclatura y control de versiones para las políticas. Esto facilita la identificación y reconocimiento de las políticas antiguas, así como el determinar la función de la política. Una práctica utilizada por algunos clientes es el finalizar el nombre de la política con un número, de tal manera que cuando la van a modificar, la duplican e incrementan ese número, generando la nueva política y manteniendo un método de versiones cambio a cambio. En la gestión de las políticas, se evidencian Reglas de Protección de Acceso personalizadas, con el fin de tener un conjunto de técnicas simples de comportamiento para frustrar algunos tipos de malware. Se ve que se tienen en cuenta las recomendaciones dadas por McAfee en el documento llamado Combating Ransomware - Rev J, que describe la manera en la que las reglas de protección de acceso pueden obstaculizar las variantes de cryptolocker. Las reglas en uso deben ser revisadas considerando la actividad reciente de ransomware. Una manera más óptima de realizar esta protección de Acceso es mediante la implementación de la funcionalidad de “Dynamic Application Containment” , ya que así podremos aplicar estas políticas restrictivas únicamente a los elementos cuya reputación sea desconocida y no generar incompatibilidades con las aplicaciones que utilizan los usuarios en su día a día. Esta funcionalidad hace parte del módulo de amenazas avanzadas de endpoint security, disponible en las suites de complemento ETD o EDR y en las suites de endpoint CTP o CEB. Adicionalmente se realizó durante la sesión la inclusión de la herramienta de migración automática de políticas, lo que facilitará la transición hacia Endpoint Security 10, ya que elimina la necesidad de reconfigurar manualmente las políticas de protección.
Endpoint Protection Tech Check
Page 18
Postura de seguridad y gestión de alertas A continuación, se muestra un cuadro de panel que incorpora una serie de consultas personalizadas utilizadas durante la comprobación técnica para facilitar la conversación sobre la actividad de protección contra malware y la eficacia de la seguridad.
Análisis de los informes de detección Una revisión de las consultas de detección muestra actividad de detección irregular de malware, en donde se tiene una cantidad desproporcionada de eventos de seguridad que no permiten la correcta visualización del histórico de amenazas en el ambiente:
Endpoint Protection Tech Check
Page 19
Al realizar una inspección más profunda sobre el principal pico de detecciones de malware, podemos identificar que la gran mayoría de eventos están relacionados con la auto protección de los agentes de McAfee, y vemos una solución de Dexon como el causante de estas alertas. Es importante realizar una depuración de las políticas de protección o uso de este tipo de herramientas, ya que es muy difícil tener visibilidad del comportamiento de las amenazas en el ambiente de Endpoints, y se puede estar expuesto a amenazas avanzadas o dirigidas sin tener conocimiento. Es importante también resaltar los diferentes métodos de detección que se han activado en el ambiente de Xxxxx. El ejemplo anterior fueron detecciones realizadas únicamente con el análisis basado en firmas, sin embargo, hay también presencia de detecciones realizadas con análisis heurístico desde la nube. Este tipo de amenazas suelen ser amenazas más complejas que se le escapan al análisis de firmas y que se pasan a la nube para ser analizadas como último recurso. Es importante destacar que la mayoría de las detecciones son el resultado de la verificación frente a firmas. Esto se debe principalmente que Xxxxx no cuenta con la última generación de protección de punto final implementada, la cual posee herramientas de detección avanzadas según comportamiento, algoritmos estadísticos basados en “Machine Learning” o inteligencia contra amenazas. Para descartar la posibilidad de que la organización sea el objeto de ataques persistentes, sería muy bueno considerar la inclusión de una herramienta de detección y remediación como McAfee Active response
Endpoint Protection Tech Check
Page 20
Recomendaciones A continuación, se documentan las recomendaciones realizadas por McAfee para mejorar el ambiente de ePO en: 1. Servicio Geológico Colombiano debe realizar la migración a la nueva plataforma de seguridad de punto final “Endpoint Security 10” para mantener la protección más avanzada y obtener ventaja sobre las nuevas capacidades de detección en la versión 10.5 como lo son la Contención Dinámica de Aplicaciones ( Dynamic Application Containment – DAC), el módulo de análisis de Machine Learning (Real Protect) o generar mucha más visibilidad y protección ante las últimas amenazas avanzadas con el uso del Intercambio de Inteligencia contra Amenazas (Threat Intelligence Exchange – TIE). McAfee recomienda un piloto de estas funcionalidades con una muestra de 30 equipos. 2. Es importante realizar una depuración de los eventos de seguridad y afinar las políticas de seguridad de tal manera que se pueda tener una visibilidad real del comportamiento de las amenazas.
3. Las actuales reglas de protección de acceso (Access Control) pueden ser re-evaluadas una vez se implemente la funcionalidad de DAC, ya que con DAC se tiene igual nivel de protección, pero aplicada de una manera mucho más inteligente. 4. McAfee considera que la administación de la ePO podría ser más eficiente y menos propensa a errores con la inclusión de una solución de EDR que permita tener visibilidad de los compromisos reales de seguridad que se presentan en el ambiente de endpoint y poder tomar acciones de remediación de manera remota. 5. Se aconseja considerar la inclusión de repositorios teniendo en cuenta: a. Ancho de banda b. Selección adecuada de equipos, tipo repositorio dedicado o SuperAgent, según su capacidad, uso y disponibilidad c. Cantidad de equipos y productos asociados d. Tareas automáticas de Pull, Replication y Update 6. Se recomienda la inclusión de una solución especializada en la detección y remediación de ataques persistentes debido al comportamiento de detecciones de amenazas tan irregular que presenta xxxxx. De esta forma se puede descartar que un evento importante de brecha no signifique una presencia persistente de atacantes en el ambiente de Endpoints. 7. Realizar y mantener las integraciones entre productos McAfee y adyacentes para mejorar los niveles de detección y visibilidad.
Endpoint Protection Tech Check
Page 21
Pasos a Seguir
El anterior es un roadmap básico de crecimiento sugerido desde McAfee. En rojo se encuentran las soluciones con las cuales ya cuenta Xxxxx y hacia donde se puede crecer en los ámbitos de protección contra amenazas avanzadas o herramientas de Administración o remediación.
ENS TechCheck Checklist Las siguientes fueron las áreas revisadas por el personal de McAfee durante la actividad: -
-
Actual configuración de hardware y red Documentación de todas las versiones de software y niveles de parches de los componentes Intel Security e infraestructura adyacente. Revisión de los siguientes mecanismos de operación: - Infraestructura de repositorios - Árbol de Sistema y “Tagging” - Rogue System Detection - Tareas del servidor y automatización Revisión de políticas para cada uno de los mecanismos de seguridad de punto final, incluyendo: Discusión sobre los tableros y reportes utilizados por los administradores de la plataforma para evaluar la efectividad de las operaciones en ambiente. Discusión sobre los tableros y reportes utilizados por los administradores de la plataforma para evaluar la eficacia en seguridad del ambiente de los casos abiertos de Soporte e inconvenientes relevantes
Endpoint Protection Tech Check
Page 22
Contactos Xxxxx: Primary Technical & Business Contact :
Nombre David Báez
Cargo Director de Servicios
Teléfono
Email
Cargo Inside Sales Representative
Teléfono
Email
Cargo Inside Sales Engineer
Teléfono
Email
ContactosMcAfee: Account Manager :
Nombre Armando Salcedo Ingeniería:
Nombre Javier Said Olivo
Endpoint Protection Tech Check
Page 23
Recursos McAfee Intel Security/McAfee Expert Center https://community.mcafee.com/community/business/expertcenter/products
Intel Security/McAfee YouTube Channel https://www.youtube.com/user/McAfeeTechnical
Intel Security/McAfee Labs Security Advisories (MTIS Alerts) https://secure.mcafee.com/apps/mcafee-labs/signup.aspx
Intel
Security/McAfee
Support
Notification
Service
(SNS
https://sns.snssecure.mcafee.com/content/signup_login
Intel Security/McAfee Webcasts OnDemand https://community.mcafee.com/groups/ww-support-webinar-central?view=overview
How to use ePO in a DMZ or NAT environment https://kc.mcafee.com/corporate/index?page=content&id=KB59218
DB best practices https://kc.mcafee.com/corporate/index?page=content&id=KB60021
SQL Best Practices https://kc.mcafee.com/corporate/index?page=content&id=kb67184
Agent Handler in a DMZ https://kc.mcafee.com/corporate/index?page=content&id=KB59218 https://www.youtube.com/watch?v=rI7fbPZaQNM
Endpoint Protection Tech Check
Page 24
Alerts)