Best Practices & Main Features

McAfee® Application Control

Securing yesterday’s Operating Systems and Critical

Systems from tomorrow’s threats

11 de Marzo, 2020

Marcos Yerkovich

Technical Support Engineer

Agenda

▪︎ Qué es la lista blanca de McAfee Application Control? (MACC)

▪︎ Estrategias de Application Control

▪︎ El detrás de escena de McAfee Application Control

▪︎ Installer vs Updater

▪︎ Recomendaciones de configuración

▪︎ Nuevas características en 8.3

▪︎ Cambios futuros de Application Control

▪︎ Q&A

¿Qué es la lista blanca (whitelisting o solidificación)?

▪︎ Un producto para los endpoints,

▪︎ Configurado con políticas aprobadas por la organización para

endurecer un sistema operativo.

▪︎ Un enfoque proactivo en Seguridad de la Información,

▪︎ Dado que sólo se permite la ejecución de aplicaciones seguras o

aprobadas.

▪︎ Complemento para otros productos de seguridad tradicionales.

▪︎ Contenido: archivos ejecutables, librerías, drivers, aplicaciones

Java, controles ActiveX, scripts y código especializado.

Características

▪︎ Protección completa contra aplicaciones no deseadas.

▪︎ Flexibilidad para los usuarios finales y administradores de servidores (auto-aprobación).

▪︎ Minimiza el parchado mientras protege la memoria.

▪︎ Protege Sistemas Operativos legados, sin soporte de patches (WinNT+, Linux).

▪︎ Bajos requerimientos de hardware, conveniente para dispositivos de funcionalidad fija

o sistemas críticos.

▪︎ Integración con TIE y GTI.

Más información:

- Ambientes Soportados

- Características principales

Desafíos para los clientes

▪︎ Mantenerse al día contra amenazas desconocidas.

▪︎ Reducir las tareas adicionales asociadas al whitelisting: McAfee®

Threat Intelligence Exchange (TIE) e integración con McAfee®

Advanced Threat Defense (ATD).

▪︎ Contener las amenazas más rápidamente.

▪︎ Permitir mayor flexibilidad a los usuarios.

Malware conocido

Virus

Gusanos

Troyanos

Stuxnet

Operation Aurora

Panorama del malware

Poly-morphic Malware

Zero-Day Threats

Advanced Persistent Threats (APTs)

0

Malware

desconocido

Virus

Gusanos

Troyanos

Poly-morphic Malware

Zero-Day Threats

Advanced Persistent Threats (APTs)

0

MAC

Cómo encaja McAfee® Application Control?

Malware conocido Malware desconocido

Es creado durante la instalación, escaneando el

equipo por aplicaciones, librerías, drivers, y scripts.

Cómo funciona el whitelisting?

▪ Se intenta lanzar la aplicación.

▪ McAfee® Application Control verifica el binario contra el whitelist.

▪ Si no se lo encuentra, el programa no se ejecuta.

Binarios desconocidos

no son autorizados

STOP

SYS

DLL

EXE BAT

SYS

DLL

EXE BAT

SYS

Whitelist

Vuelta a bloqueo

del whitelist

Whitelist

bloqueado

Whitelist actualizado

automáticamente

Procesos de

confianza

Carpetas de

confianza

Certificados

de confianza

Usuarios de

confianza

RAM

Modelo de confianza dinámico para un whitelisting “inteligente”

McAfee®

Advanced Threat Defense:

Análisis de comportamiento

MAC

McAfee®

Global Threat

Intelligence:

Reputación de

archivos en la nubeGTI

KnownBad

KnownGood

McAfee®

ePOTM

McAfee®

Endpoint Security:

Agrega archivos al whitelist

si el AV lo apruebaAV

McAfee®

ENS Firewall: Aísla aplicaciones

desconocidas (graylist) de las

comunicaciones

McAfee®

Threat Intelligence

Exchange: Reputación

de archivos local

Application Control en el ecosistema McAfee®

✓ No duplicar reglas dentro de las directivas.

✓ Seguir un proceso formal de cambio para

modificar el whitelist.

✓ Probar rigurosamente en un ambiente QA.

✓ Desarrollar e implementar un estándar de

nomenclatura

Más información sobre Mejores Prácticas

Recomendaciones de configuración

Nombre de la Organización:

Mi lugar en el mundo

Nombre de directiva:

Baseline_MiLugar

Nombre de directiva:

Contaduria_MiLugar

Grupo de reglas:

Baseline_Windows

Grupo de reglas:

Conta_Adobe

Etiqueta del actualizador:

WinUpdate1

Etiqueta del actualizador:

Conta_Adobe

Organización de directivas en McAfee® ePO™

Mi organización

Servidores Contaduría Directiva asignada:

Baseline_MiLugar

Contaduria_MiLugar

PdV Minorista Directiva asignada:

Baseline_MiLugar

PdV_MiLugar

HR Directiva asignada:

Baseline_MiLugar

HR_MiLugar

Directivas múltiples en McAfee® ePO™

Este producto permite que

múltiples directivas del

mismo tipo puedan ser

aplicadas a un endpoint.

No gestionadoGestionado

▪ Sin McAfee Agent

▪ Sin GUI

▪ Sólo Command-Line

▪ Baja huella

▪ Administración centralizada

▪ Comunicación por McAfee Agent

▪ Notificación y Alertas de Eventos

Despliegue Gestionado vs. No gestinado

Más información sobre endpoints no gestionados

Installer vs. Updater

Un actualizador se declara especificando su nombre de archivo o ruta completa. Además

debe estar solidificado antes de poder ejecutarse y realizar cambios en el equipo.

Un instalador se designa por checksum en lugar de por nombre de archivo. De hecho, los

instaladores están autorizados y son actualizadores al mismo tiempo. Esto permite a los

usuarios obtener este archivo de cualquier fuente (Internet, dispositivo USB, CD, FTP, etc.) y

correrlo, siempre y cuando el checksum coincida, incluso si no está solidificado.

▪ Disabled

▪ Enabled (full vs. limitado)

▪ Update

▪ Observation

▪ Inventory (nuevo en v8.3)

Diferentes modos de Application Control

Cambios de estado

Identificar los endpointsComenzar despliegue de un grupo Poner los endpoints en modo Observación

Procesar diariamente los requerimientos y

crear reglas

Continuar con los endpoints en modo Observación

Seguir con los endpoints en modo Observación

por 5 días más y procesar los requerimientos diarios

Han estado los equipos

en modo Observación

por 2 semanas?

Se reciben =< 2

requerimientos por endpoint

por día?

Se han procesado

todos los

requerimientos?

Pasar los endpoints a modo EnabledDespliegue complete para el grupo

No

No

No

No

Sí

Correr reportes de Policy Discovery

diariamente por los siguientes 3 días

Sí

Sí

Sí

Ejecutar actividades rutinarias

Se mantienen

los requerimientos =< 2 por

endpoint por día?

Acciones del administrador

Cómo luce un despliegue de McAfee® Application Control

Ciclo de vida de la activación

Operaciones sostenidas▪ Securidad y control completos

▪ Desarrollar un proceso de actualización para el mantenimiento de los equipos

Modo ObservaciónRevisar nuevas apps instaladas/lanzadas, con la opción de solidificarlas.

Ayuda al administrador identificando nuevas directivas de actualizadores de confianza.

Instalación▪ El whitelist es creado automáticamente

▪ Revisar el inventario y reputación de la aplicación

Activar el modo de Email/Auto-Aprobación (desktop/servers)▪ Usuarios finales podrán aprobar apps no solidificadas.

▪ Admins podrán seguir el contenido aprobado por los usuarios y aceptar ó rechazar.

Execution Allowed or Blocked

Trusted User, Dir, Certificate, Name, Volume

Local Whitelist

Self-Approval

Observe/Update/Updater

Allow Policy

McAfee® Global Threat Intelligence

Deny Policy

McAfee® Threat Intelligence Exchange

Execution Control Rules

Flujo de decisión y ejecución

Más información en KB85695

Bloquear ejecución

si cualquier directiva falla

McAfee® Advanced Threat Defense

VTP

Untrusted Volume Removable Media

Completa visibilidad en el Inventario

Recomendaciones al instalar/actualizar MACC

▪ Antes de instalar/actualizar el cliente de MACC, asegúrese de que McAfee Agent es compatible.

No requiere pasar a modo Update si el cambio de versión es menor. Si el salto es mayor, se actualizará SysCore (kernel

drivers) y esto sí requiere el modo Update.

▪ Antes de instalar/actualizar la extensión de MACC, verifique la compatibilidad con la versión de

ePO.

▪ Solidcore 8.2 es compatible con MA 5.0.3+, ePO 5.3.0+

▪ No tenemos problemas de dependencia o compatibilidad con otros productos de McAfee.

▪ DLP 10.x funcionará con Solidcore, pero se recomienda actualizar a 11.x

▪ Pueden actualizar el cliente Solidcore a través de SCCM sin poner en modo Update, siempre

que se cumplan nuestras reglas predeterminadas para SCCM (incluidas en la directiva McAfee Default).

▪ Consulte la guía de instalación para instrucciones de actualización del cliente y la extensión.

▪ 8.2.1 Update 5 corrige problemas de Windows Update (publicado en Sept-2019)

▪ 8.3.0

▪ Modo Inventario

▪ Reportes de Common Platform Enumeration

▪ Usuarios de confianza de Grupos Locales

Novedades

• Monitorea cambios en el sistema de archivos, y los

reporta a ePO, en el Inventario de SolidCore.

• Se debe reiniciar para cambiar de Monitorear a

Bloquear, para cargar el driver correspondiente.

• Es liviano.

• No bloquea.

• Seguimiento de archivos en sistemas críticos.

Modo Inventario

Common Platform Enumeration (CPE) es un método estandarizado para

describir e identificar clases de aplicaciones, sistemas operativos y dispositivos

de hardware presentes entre los activos informáticos de una organización. El

comportamiento aceptable se configura durante los "períodos de observación"

donde se configura una línea base. Más información aquí.

• Coincidencia de nombres: no checksum o certificado.

- Compatibilidad con diccionarios personalizados para aplicaciones en

entornos personalizados.

- Permite agregar su aplicación al diccionario gestionado, o crear

diccionarios personalizados.

Reporte CPE

C:\Users\miLocalUser>net localgroup

Aliases for \\WIN-IDATRO6R2KB

-------------------------------------------------

----------------

*Administrators

*Distributed COM Users

*Event Log Readers

*Guests

*IIS_IUSRS

*miGrupoLocal

*Performance Log Users

*Performance Monitor Users

*Remote Management Users

*SQLServer2005SQLBrowserUser$WIN-IDATRO6R2KB

*SQLServerMSSQLServerADHelperUser$WIN-IDATRO6R2KB

*SQLServerMSSQLUser$WIN-IDATRO6R2KB$EPOSERVER

*SQLServerSQLAgentUser$WIN-IDATRO6R2KB$EPOSERVER

*Users

*WinRMRemoteWMIUsers__

The command completed successfully.

Ejemplo de grupos localesActualmente tenemos las siguientes opciones (antes de 8.3)

Sólo usuarios:sadmin updaters add -t user1Label -u *\user1ID

Dominios y Usuarios:

sadmin updaters add -t user2Label -u Domain\User2ID

Sólo dominios:sadmin updaters add -t ADDomainGroup -u ADDomainGroup\*

Agregado en 8.3: LocalGroups

Grupos locales:Sadmin updaters add –t LocalGroup –u LocalDomain\*

Usuarios de confianza de Grupos Locales

Post 8.3

• Cambios en UX.

• Cambios en los informes de versiones.

¿Qué viene en el futuro de McAfee Application Control?

▪ Organización de las directivas McAfee Default.▪ Informes de Configuración en ePO.▪ Regla de identificación duplicada.▪ Identificación de conflictos de reglas.▪ Búsqueda de grupos de reglas.

Cambios en UX

Antes

Organización de las directivas McAfee Default

Después

Organización de las directivas McAfee Default

Informes de configuración en ePO

Se ha agregado la pestaña de Configuración de SolidCore

Identificación de reglas duplicadas

Identificación de reglas en conflicto

Nombre de archivo

Búsquedas en Grupos de reglas

Ruta

Búsquedas en Grupos de reglas

Hash

8 2 1 X

Mayor Menor Menor Build

8 2 6 X

Mayor Menor Patch Build

Antes Nuevo

Cambios en el versionado

Simplificación de la

Experiencia de Useuario• Flujos de trabajo &

Retroalimentación

• Directivas

• CLI vs ePO

• Mejores prácticas

Estabilidad

& calidad

Integración con

MVISION ePO

Inventario en

MacOS

Reducción de

Dependencia en Kernel

Desarrollo actual y futuro

1. A través del Portal de Soporte de McAfee.Ventajas: sin espera en línea, menor tiempo de respuesta, seguimiento del caso on-line.

Si encuentra problemas para ingresar al portal, contactar a Atención al cliente.

2. Llamando a nuestro centro de atención telefónica.

McAfee SNS: Notificaciones al cliente, tips sobre KB’s y problemas reportadoshttps://kc.mcafee.com/corporate/index?page=content&id=KB67828

Cómo presentar una Idea de Producto: (antes llamado Solicitud de Mejora de Producto, PER)

https://kc.mcafee.com/corporate/index?page=content&id=KB60021El cliente puede hacer seguimiento de los requerimientos y tener contacto directo con los PM’s.

Cómo abrir casos

Q & A