查看: 9250|回复: 2
收起左侧

[McAfee] 以McAfee端点防护论多层次防护的重要

[复制链接]
megakotaro
发表于 2021-2-26 20:06:53 | 显示全部楼层 |阅读模式
平常使用McAfee端点防护,某天内部网路发现有电脑想攻击伺服器,后来追查到是外聘的顾问有自己的笔电,没有安装McAfee,中毒后不自觉,连到内部网路导致的,因此断网重灌

从图中看到,这次的攻击想透过SMB漏洞进来(CVE-2017-0144),如果没有打补丁、没开内网防火墙、也没有IPS,就会造成全公司感染
圖片 048.png

圖片 050.png

Threat Landscape Dashboard | McAfee

这台电脑是否有被勒索?没有。其实从公司邮箱伺服器收到的可疑档案(有些有发在样本区),大多是间谍软件,而不是勒索病毒。这是因为骇客也知道,攻击企业最好下手的是员工,最该骇入的是资料库与AD伺服器,所以会像SolarWinds一样,躲在角落等待时机才发动攻击。等到电脑跳出勒索讯息,只是被入侵的最后结果,表示骇客已经摸清你的底细,才能根据企业规模制定赎金

人為勒索軟體攻擊:一場可預防的災難 - 微軟新聞中心 (microsoft.com)

McAfee发展Endpoint Security好一阵子了,早期的McAfee只有VirusScan(纯杀毒功能),防御能力薄弱,如果有威胁病毒码没有侦测到,公司被攻陷就会瘫痪,最新产品McAfee MVISION也问世了,以后直接上云,本地不用买硬件伺服器,维护起来也方便

McAfee MVISION | McAfee

McAfee的GTI调到最高等级误报会变非常高,连搜狗输入法都会被隔离。如果企业常常收到垃圾邮件,或员工没有资安意识,调到高就差不多了,威胁名称会以Artemis开头

圖片 052.png

McAfee KB - 我的某些病毒检测项名为“Artemis” (TS100414)

以上的经验分享,如果你也是身为防御方的网管必须随时增加自己的能力,常看官方技术文件,常接触新的安全信息 ,才能面对复杂的威胁


评分

参与人数 2分享 +3 人气 +2 收起 理由
屁颠屁颠 + 3 感谢提供分享
橡果公爵 + 2 版区有你更精彩: )

查看全部评分

PanzerVIIIMaus
发表于 2021-2-28 11:32:46 | 显示全部楼层
关于GTI级别
官方文档对于文件扫描的GTI等级的说明我记得还是蛮清楚的
默认设置是开启,但是最低的那一档(但就我独立端安装的经验来看,默认是中,不知道部署端会不会有区别)
按文档的说法,最低档几乎就是多了个病毒库
而最高档只推荐静态扫描时使用,中文文档没有明说,但有这种描述的倾向
megakotaro
 楼主| 发表于 2021-2-28 14:11:39 | 显示全部楼层
本帖最后由 megakotaro 于 2021-2-28 17:52 编辑
PanzerVIIIMaus 发表于 2021-2-28 11:32
关于GTI级别
官方文档对于文件扫描的GTI等级的说明我记得还是蛮清楚的
默认设置是开启,但是最低的那一档 ...

是的,GTI默認是開啟,預設中等
如果只裝端點防護獨立安裝包(standalone),手動調整即可
但在企業管理中,會在伺服器端建立ePO中央管理介面
並在同仁端安裝McAfee Agent,這樣規則就會按時間向中央管理伺服器抓取
因此只要網管設定好後,公司的電腦都會是同樣的設定
圖片 058.png

如果在危險環境,例如同仁資安意識薄弱,或是企業面對的客戶很多,又常常要接觸新客戶,開到高會剛剛好
最高等級我也是只設定在手動完整掃描,因為掃下去真的很可觀
廣告軟件,序號註冊機通殺。另根據後台顯示,東南亞或印度的客戶很容易被盜號,並寄送間諜軟件到公司郵箱,因此在郵件端可以設定黑白名單或稽核過濾,這樣也可以降低同仁端的風險
圖片 059.png

所以若要測試GTI的靈敏度或是其他功能,最好的方法就是移除agent,或是防火牆阻擋通訊端,避免連到ePO讓規則同步
網管愛怎麼測就怎麼測,自己先測完再把規則寫到ePO裡給同仁


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-16 17:42 , Processed in 0.117364 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表