03 Jan. 19 Cybersécurité
L’éditeur McAfee et sa solution Endpoint Protection / McAfee MVISION
L'éditeur McAfee
McAfee fournit un ensemble de solutions permettant de sécuriser les systèmes et les réseaux des entreprises de toutes tailles contre les derniers programmes malveillants et les nouvelles menaces en ligne. Ce portefeuille McAfee inclut un grand nombre de produits couvrant les sujets suivants :
- Protection des données et chiffrement avec notamment une solution de DLP (Data Loss Prevention)
- Protection des terminaux avec la solution Endpoint
- Sécurité des réseaux
- Sécurité des serveurs
- Analyse de sécurité (Sandbox, apprentissage automatique)
- Gestion de la sécurité avec une plateforme centralisée
- SIEM
- Suite Mvision
- Solution de Proxy
- McAfee ePolicy Orchestrator : Gestion centralisée des produits McAfee
Dans cet article, nous ferons un focus sur la solution Endpoint Protection.
Pourquoi un antivirus ?
Depuis quelques années, les cyberattaques augmentent contre les entreprises et les vecteurs d’attaques se multiplient :
- Mail de phishing
- Virus
- Ransomware
- Zero-day
- Drive-by downloads
Une entreprise a beau disposer de plusieurs briques de sécurité périmétriques, un attaquant aura toujours la possibilité de les contourner en exploitant la faille humaine. Pour cela l’antivirus intervient en dernier rempart de protection. Il va permettre de traiter une menace à plusieurs niveaux :
- Avant l'exécution
- Pendant l'exécution
- Après l'exécution
Présentation de la solution Endpoint Protection
McAfee Endpoint Security est la plate-forme de sécurité McAfee Endpoint avec plusieurs couches de défense intégrée dont les trois briques initiales VirusScan ( Antivirus, …) , Host IPS et filtrage d’URL avec SiteAdvisor.
Si vous utilisez déjà McAfee VirusScan Enterprise, McAfee Host IPS Firewall ou le filtrage de contenu web McAfee SiteAdvisor, ces briques sont désormais incluses dans la licence Endpoint Protection et permet de disposer d’un agent unique à déployer sur chacun des postes.
Historiquement développé sur un mécanisme à base de signatures, la solution Endpoint introduit des fonctionnalités de type apprentissage automatique et des fonctionnalités avancées de protection permettant de lutter contre les menaces avancées, notamment les attaques par ransomware ces 2 dernières années.
Pour répondre aux différentes sources de menaces, la solution Endpoint intègre plusieurs briques de sécurité pour sécuriser un poste de travail :
- Pare-feu
- Filtrage d'URL
- Protection contre les programmes malveillants
- Confinement d’applications dynamique
- Host-based Intrusion Prevention System (HIPS)
- Chiffrement du disque
- Gestion des périphériques amovibles
Chiffrement du disque : Pourquoi chiffrer un poste de travail ?
Les collaborateurs des entreprises sont de plus en plus nomades, que ce soit pour des déplacements professionnels ou bien dans le cadre de télétravail.
Le risque principal pour l’entreprise est la fuite ou perte de données en cas de vol de l’ordinateur. Pour pallier ce risque majeur, il est possible de gérer simplement la configuration du chiffrement de manière centralisée grâce à la console ePO. Le chiffrement du disque peut reposer soit sur les mécanismes natifs des systèmes d’exploitation (BitLocker ou Filevault) soit sur le mécanisme propriétaire de McAfee.
L’ensemble de ces briques est managé depuis la console d’administration ePolicy Orchestrator (ePO). Cette console peut être déployée en mode On-premises ou dans le Cloud. Elle peut également s’interfacer avec d’autres solutions du marché telle que la solution de scanner de vulnérabilités Nexpose de Rapid7 afin d’avoir une interface unique présentant les menaces sur le système d’information.
Comment faire face aux menaces inconnues ?
DAC (Dynamic Application Containment) : DAC, qui fait maintenant partie de McAfee Endpoint, protège les ordinateurs d’extrémité « patient zéro » des infections par des programmes malveillants jusque-là inconnus en bloquant immédiatement les actions de processus que les logiciels malveillants utilisent souvent. Contrairement aux techniques qui maintiennent le terminal (et l’utilisateur) pendant plusieurs minutes tout en analysant un fichier inconnu, DAC laisse le fichier suspect se charger en mémoire sans lui permettre de modifier le poste (telle que la modification du registre ou la suppression de fichiers) ou infecter d’autres systèmes en cas de suspicion. Le poste et l’utilisateur peuvent rester pleinement productifs tout en offrant la possibilité d’une analyse plus approfondie.
Real Protect: Real Protect, inclus dans la nouvelle génération de McAfee Endpoint Security (ENS), détourne les dernières techniques d’obscurcissement pour démasquer les menaces cachées. Ainsi, les logiciels malveillants « zero-day » n’ont pas d’endroit où se cacher. Il applique des techniques d’apprentissage automatique de pointe pour effectuer à la fois une analyse statique pré-exécution et une analyse comportementale post-exécution, le tout sans signature. Cette brique arrête plus de logiciels malveillants que toute solution statique ou à base de signature, bloquant la plupart des logiciels malveillants sur le poste avant même qu’ils ne puissent être exécutés.
Avant le Endpoint
- Filtrage URL
- Proxy
Pré-exécution
- DAT/Signature
- Analyse statique de pré-exécution (Real Protect)
Pendant l'exécution
- Blocage des comportements malveillants avec le pare-feu, HIPS et confinement dynamique d'applications
- Interception et arrêt de l'exécution (Real Protect)
Post-exécution
- Analyse dynamique avec Real Protect
Certilience intégrateur de solution McAfee, l'accompagnement Certilience :
Certilience est intégrateur partenaire McAfee et installe la solution Endpoint McAfee (anciennement Virusscan) depuis 2008.
Pour ces clients, Certilience ne se réduit pas à être revendeur des produits McAfee mais assure toutes les étapes d’un projet :
- Etude du déploiement
- Déploiement de la solution McAfee / EPO
- Désinstallation de votre antivirus
- Installation de votre nouvelle suite McAfee
- Configuration de vos briques
- Formation (le programme standard délivré par Certilience est disponible ici)
- Infogérance
- Support
- Ouverture d'incident auprès de l'éditeur