Host Intrusion Prevention pro desktopy je IPS a Desktop firewall systémem nové generace který kombinuje několik stupňů detekce narušení od rozpoznání známých útoků na základě aktualizovaných signatur přes pravidla chování pro detekci neznámých útoků včetně DoS útoků, anomálií provozu a Zero Day Attack ochran s možnostmi desktop firewallů. Všechna řešení poskytují přesnou detekci za využití několika detekčních metod a snadný přechod z detekce na prevenci. IPS složky jsou pravidelně aktualizovány o nové signatury známých útoků, což zajišťuje maximální přesnost detekce. Jestliže IPS identifikuje přicházející nebo odcházející útoky, může zablokovat průnik, umožnit výstrahu a provést záznam do logu událostí. Intrusion prevention dovoluje chránit klienty před zákeřnými útoky a ochranu jejich zneužití pro útoky na jiné klienty.

McAfee Host IPS

Detekuje a zabraňuje útoku proniknout na aplikace a databáze
Kombinuje detekce na základě signatur a pravidel chování
Vulnerability shielding snižuje urgentnost instalace bezpečnostních záplat
Blokování útoků přes USB disky a blokování odcizení dat
Integruje Desktop Firewall s možností blokování aplikací

Pravidla chování

Dokonalé pro detekci nových, neznámých útoků
Blokování zlomyslných aktivit
Cenově efektivní proti Day-Zero útokům
IIS Envelope – File Execution u IIS Web User
MS SQL Injection
Přidání Guest Account, atp.

Signatury

Detekují známé útoky velice přesně
Některé útoky mohou být zastaveny pouze za použití signatur (DOS způsobený vzdáleným buffer overflow útokem)
Vztažené ke specifickému útoku
Příklad:
- Code Red / Index Server idq.dll Buffer Overflow
- GetAdmin Privilege Escalation
- IIS Chunked Encoding Heap Overflow

Desktop Firewall chrání klienty před odesláním a příjmem nepřátelského útoku z neautorizovaného síťového provozu nebo aplikace, umožňuje blokovat porty apod. Rovněž zajišťuje prevenci před manipulací s autorizovanými aplikacemi přes veřejnou síť. Desktop Firewall obsahuje aplikační monitoring zajišťující prevenci před spuštěním neautorizovaných aplikací nebo jejich „zaháčkování“ k jiným aplikacím. McAfee ePolicy Orchestrator zajišťuje škálovatelnou centrální správu, rozmístění, reportování a především zajištění vynutitelnosti bezpečnostních politik.

Karanténní mód

Karanténní mód dovoluje vynutit na uživatelích dodržení bezpečnostní politiky organizacespoluprací s ePolicy Orchestratorem. Jestliže je klient shledán neaktuální nebo používá starou bezpečnostní politiku má omezený přístup do sítě. Jakmile jsou IPS signatury, pravidla na desktop firewallu a VirusScan spolu s DATovými soubory aktualizovány, může být klient uvolněn z jeho karantény. Karanténní mód chrání síť před zastaralým antivirem, Desktop Firewallem a bezpečnostní politikou a odstraňuje bezbrannost klienta před novými útoky.

McAfee Intrusion prevention pracuje na úrovni OS, protože všechny procesy vyžadují služby OS
Kernel-level technologie zachycuje Systémové a API volání před jejich spuštěním v jádru OS
- Kontroluje je proti databázi známých útoků (signatury)
- Na principu pravidel chování detekuje neznámé útoky
- Zamítá je, pokud jde o útok nebo zlomyslný kód, nebo povoluje, jde li o standardní proces
Ochrana (ne pouze detekce útoků) stanic
ochrany pro databáze a ochrana desktop aplikací
Firewally a IDS technologie nemohou chránit OS a aplikace serverů – útočník obchází tyto technologie při průniku na servery
Některé útoky jsou vedeny pouze na určité systémy
- Získání lokálních práv
- Šifrované útoky
Vulnerability Shielding – čas na implementaci záplat
Minimální požadavky na syst. zdroje (3-5% CPU)
Silné reportovací a monitorovací nástroje
Podpora platforem: Windows, Solaris, HP-UX, IIS, Apache, iPlanet, SQL 2000 (serverová verze IPS)

Centrální Management ePolicy Orchestrator

Díky integrací s McAfee ePolicy Orchestratorem je produkt společně s dalšími (VirusScan, Antispyware, Groupshield for Exchange a Lotus, SecurityShield pro ISA, SpamKiller, URL filtering, McAfee EWS Appliance, Policy Enforcer) centrálně spravován z jediné konsoly, která poskytuje i komplexní náhled a analýzu událostí.



DALŠÍ INFORMACE

uživatel:
heslo: