以McAfee端点防护论多层次防护的重要

megakotaro

平常使用McAfee端点防护，某天内部网路发现有电脑想攻击伺服器，后来追查到是外聘的顾问有自己的笔电，没有安装McAfee，中毒后不自觉，连到内部网路导致的，因此断网重灌

从图中看到，这次的攻击想透过SMB漏洞进来(CVE-2017-0144)，如果没有打补丁、没开内网防火墙、也没有IPS，就会造成全公司感染




Threat Landscape Dashboard | McAfee

这台电脑是否有被勒索？没有。其实从公司邮箱伺服器收到的可疑档案(有些有发在样本区)，大多是间谍软件，而不是勒索病毒。这是因为骇客也知道，攻击企业最好下手的是员工，最该骇入的是资料库与AD伺服器，所以会像SolarWinds一样，躲在角落等待时机才发动攻击。等到电脑跳出勒索讯息，只是被入侵的最后结果，表示骇客已经摸清你的底细，才能根据企业规模制定赎金

人為勒索軟體攻擊：一場可預防的災難 - 微軟新聞中心 (microsoft.com)

McAfee发展Endpoint Security好一阵子了，早期的McAfee只有VirusScan(纯杀毒功能)，防御能力薄弱，如果有威胁病毒码没有侦测到，公司被攻陷就会瘫痪，最新产品McAfee MVISION也问世了，以后直接上云，本地不用买硬件伺服器，维护起来也方便

McAfee MVISION | McAfee

McAfee的GTI调到最高等级误报会变非常高，连搜狗输入法都会被隔离。如果企业常常收到垃圾邮件，或员工没有资安意识，调到高就差不多了，威胁名称会以Artemis开头



McAfee KB - 我的某些病毒检测项名为“Artemis” (TS100414)

以上的经验分享，如果你也是身为防御方的网管必须随时增加自己的能力，常看官方技术文件，常接触新的安全信息 ，才能面对复杂的威胁

PanzerVIIIMaus

关于GTI级别
官方文档对于文件扫描的GTI等级的说明我记得还是蛮清楚的
默认设置是开启，但是最低的那一档（但就我独立端安装的经验来看，默认是中，不知道部署端会不会有区别）
按文档的说法，最低档几乎就是多了个病毒库
而最高档只推荐静态扫描时使用，中文文档没有明说，但有这种描述的倾向

megakotaro

PanzerVIIIMaus 发表于 2021-2-28 11:32
关于GTI级别
官方文档对于文件扫描的GTI等级的说明我记得还是蛮清楚的
默认设置是开启，但是最低的那一档 ...

是的，GTI默認是開啟，預設中等
如果只裝端點防護獨立安裝包(standalone)，手動調整即可
但在企業管理中，會在伺服器端建立ePO中央管理介面
並在同仁端安裝McAfee Agent，這樣規則就會按時間向中央管理伺服器抓取
因此只要網管設定好後，公司的電腦都會是同樣的設定


如果在危險環境，例如同仁資安意識薄弱，或是企業面對的客戶很多，又常常要接觸新客戶，開到高會剛剛好
最高等級我也是只設定在手動完整掃描，因為掃下去真的很可觀
廣告軟件，序號註冊機通殺。另根據後台顯示，東南亞或印度的客戶很容易被盜號，並寄送間諜軟件到公司郵箱，因此在郵件端可以設定黑白名單或稽核過濾，這樣也可以降低同仁端的風險


所以若要測試GTI的靈敏度或是其他功能，最好的方法就是移除agent，或是防火牆阻擋通訊端，避免連到ePO讓規則同步
網管愛怎麼測就怎麼測，自己先測完再把規則寫到ePO裡給同仁