Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

Transkript

1 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz 1 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

2 Inhaltsverzeichnis 3 Kurzfassung 3 Herausforderung für das Unternehmen 5 Überblick über die Lösung 5 Komponenten der Lösung 5 McAfee Network Security Platform 6 McAfee MOVE AntiVirus 6 McAfee Threat Intelligence Exchange 6 Data Exchange Layer (DXL) 7 McAfee Advanced Threat Defense 7 McAfee epolicy Orchestrator 7 Funktionsweise der McAfee-Sicherheitslösung für private Clouds 8 Bedrohungen von außerhalb des Netzwerks 8 Bedrohungen von innerhalb des Netzwerks 9 Reale Szenarien zur Veranschaulichung der Bereitstellung 9 Szenario 1 10 Szenario 2 12 Fazit 13 Informationen zu McAfee 2 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

3 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz Kurzfassung Unternehmen haben ihre Rechenzentren auf private Clouds erweitert und beginnen zudem, über eine Virtualisierung des Netzwerks nachzudenken. Die IT muss auf die Anforderungen des Unternehmens reagieren, um geringere Kosten, mehr Flexibilität sowie Skalierbarkeit zu erreichen und so den finanziellen Erfolg sowie das Wachstum des Unternehmens sicherzustellen. Aufgrund der sich weiterentwickelnden Rechenzentrumstechnologien bedeutet jedoch bereits der Schutz dieser Umgebungen eine Herausforderung. Kompromittierungen innerhalb des Rechenzentrums sind jedoch schwer zu erkennen und können daher sehr lange unentdeckt bleiben. Zur erheblich besseren Erkennung hochentwickelter Angriffe im Rechenzentrum sind fortschrittliche Analysefunktionen erforderlich. Unternehmen müssen trotz erhöhter Komplexität mit Technologien arbeiten, die zu isoliert sind, als dass sie Kontextinformationen für den Schutz vor Bedrohungen bieten könnten. Sicherheitsadministratoren fehlt häufig das technische Fachwissen zur korrekten Verwaltung der Bedrohungslandschaft, oder es stehen nicht ausreichend Mitarbeiter für den Umgang mit kritischen Aktivitäten zur Verfügung. Kunden müssen Bedrohungen früher erkennen und schneller aufhalten. Zur Gewährleistung dieser Sicherheit bietet McAfee eine Lösung zum Schutz der privaten Cloud, die verschiedene erstklassige, unternehmensgerechte Sicherheitsprodukte umfasst: McAfee Network Security Platform McAfee Management for Optimized Virtual Environments (McAfee MOVE AntiVirus) McAfee Advanced Threat Defense McAfee epolicy Orchestrator (McAfee epo ) McAfee Threat Intelligence Exchange Data Exchange Layer (DXL) Die Funktionen der einzelnen Produkte in dieser Lösung werden in diesem Whitepaper näher beschrieben. Herausforderung für das Unternehmen Unternehmen verschieben Rechenzentren in hybride Umgebungen mit physischen, virtuellen und Cloudbasierten Infrastrukturen verschiedener Anbieter. Je nach Standort können Rechenzentren lokale und externe Daten und Anwendungen enthalten. Durch die Weiterentwicklung der Netzwerkarchitektur ist der Überblick von Sicherheitsadministratoren über Daten und Anwendungen in der Infrastruktur weniger vollständig, sodass sie die Funktionsweise von Anwendungen und Gefahren für Ressourcen nicht vollständig verstehen. 3 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

4 Beim Software-definierten Rechenzentrum (Software- Defined Data Center, SDDC) mit virtualisiertem Netzwerk bleibt ein Großteil des Datenverkehrs innerhalb des Rechenzentrums. Daher müssen nicht nur der einund ausgehende, sondern auch der netzwerkinterne Datenverkehr überprüft werden. Sicherheitssysteme waren bisher auf den ein- und ausgehenden Datenverkehr ausgerichtet, der netzwerkinterne Datenverkehr wurde zum Teil nicht überprüft. Die IT sieht sich den folgenden drei großen Herausforderungen gegenüber: Unzureichender Überblick über den gesamten Datenverkehr, um gezielte Angriffe verhindern zu können: Gezielte Angriffe erfolgen in einer privaten Cloud-Umgebung anders als in einem herkömmlichen Rechenzentrum. Da Sicherheitsarchitekten nur vor Bedrohungen schützen können, die sie sehen, müssen sie die Unterschiede zwischen den Umgebungen verstehen, wissen, wo sie suchen müssen und den Überblick vervollständigen. Nur so ist es möglich, gezielte Angriffe in dieser neuen Umgebung aufzuhalten. Gewährleistung der Sicherheit im Tempo der Cloud: Das Sicherheitsteam möchte nicht für die Verlangsamung der von ihm bereitgestellten Anwendungen, Rechenleistung oder Services verantwortlich gemacht werden. Wenn das IT-Team auf dynamischeres und flexibleres Cloud Computing umstellt, muss die Sicherheit an das Cloud-Tempo angepasst werden. Mangelnde Fähigkeit, Sicherheitsrichtlinien zuverlässig zu verwalten und starke Service Level Agreements (SLAs) zur Erfüllung der geschäftlichen Anforderungen sicherzustellen: Häufig steht nicht genügend Sicherheitspersonal zur Verfügung, um die Sicherheit über verschiedene private Clouds hinweg effektiv und effizient verwalten zu können. Das gilt selbst dann, wenn eine virtuelle Maschine (VM) von einem Teil der privaten Cloud in einen anderen verschoben wird. Zudem ist eine Sicherheitslösung erforderlich, die problemlos in virtualisierten Netzwerken bereitgestellt werden kann, die sowohl herkömmliche lokale Netzwerke als auch Software-definierte Rechenzentren (SDDC) umfassen. Die Unternehmens-IT sucht nach Lösungen, die ihr in Bezug auf diese Herausforderungen helfen können. Hierfür werden keine Einzellösungen, sondern integrierte und automatisierte Sicherheitslösungen benötigt. Insbesondere würde die IT gerne die folgenden Ergebnisse sehen: Sicherheitsbezogener Überblick über alle Workloads der privaten Cloud: Dieses Ergebnis wird durch die Integration von Sicherheit in die Bereitstellung gefördert. Durch die Einbindung des Sicherheitssystems für private Clouds in die übrigen IT-Sicherheitssysteme wird die Verteidigung gegen gezielte Angriffe beschleunigt. Aufgrund der flexiblen Funktionsweise der privaten Cloud ist es essentiell, auch bei dynamischen Architekturen den Überblick und die Kontrolle zu bewahren. 4 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

5 Schutz der privaten Cloud-Umgebung durch Sicherheit, die sich an wandelbare Umgebungen anpasst: Auch dieses Ergebnis wird durch die Integration von Sicherheit in die Bereitstellung gefördert. Sicherheit darf nicht erst nachträglich hinzugefügt werden. Vereinfachte Sicherheitsverwaltung, die personelle Ressourcen einbindet und sie in die Lage versetzt, SLAs effizient zu erfüllen und gleichzeitig das Unternehmen zu schützen: Um dieses Ergebnis zu erreichen, benötigen Sie starke Verwaltungs-Tools sowie die Möglichkeit, Sicherheits richtlinien zu überwachen und sich einen Überblick zu verschaffen. Zudem muss die IT über Verwaltungs-Tools verfügen, um entsprechende Berichte liefern zu können. die Bereitstellung von Sicherheit im SDDC den Intel Open Security Controller. Komponenten der Lösung Mehrere eigenständige Sicherheitsprodukte werden, wie unten veranschaulicht, zu einer integrierten und automatisierten Sicherheitslösung vereint. In diesem Abschnitt wird jedes Produkt sowie seine Funktion beim Schutz von Rechenzentren für private Clouds beschrieben. Advanced Threat Defense Threat Intelligence Exchange (verwaltet von McAfee epo) Überblick über die Lösung Die McAfee -Lösung für private Clouds liefert die Antwort für den Schutz physischer und virtueller Umgebungen in Rechenzentren. Sie bietet einen Überblick über Daten und Anwendungen, die in diesen Umgebungen ausgeführt werden. Über McAfee Network Security Platform und McAfee MOVE AntiVirus können Sie sowohl virtuelle Netzwerke als auch virtuelle Maschinen schützen. Internet IPS-Sensor Rechenzentrum Abbildung 1. Architektur der McAfee-Lösung MOVE AntiVirus Data Exchange Layer- Kommunikation Netzwerkverkehr Die Sicherheitslösung für private Clouds umfasst ein zentralisiertes Verwaltungssystem, über das Sie Sicherheitsrichtlinien definieren, den Sicherheitsstatus überwachen sowie auf Bedrohungen reagieren können. Dabei werden die Sicherheitsrichtlinien beim Skalieren der Rechenressourcen automatisch angewendet und verworfen, wenn die Voraussetzungen nicht mehr erfüllt werden. Diese Lösung bietet zudem eine Verwaltungskonsole für Endgerätesicherheitslösungen die Software McAfee epolicy Orchestrator (McAfee epo ) und für 5 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz McAfee Network Security Platform Der Eindringungsschutz-Sensor (IPS) der McAfee Network Security Platform ist die Komponente, die Bedrohungen im Netzwerkverkehr erkennt. Dabei kann es sich um einen physischen oder virtuellen IPS-Sensor oder ein virtuelles Sicherheitssystem mit mehreren Instanzen eines virtuellen IPS-Sensors handeln. Dies hängt von dem erwarteten Durchsatz, der Architektur Ihres Rechenzentrums und der beabsichtigten Funktion ab.

6 Ähnlich wie bei einem physischen Sensor verwenden Sie für die Konfiguration und Verwaltung virtueller Sensoren einen Manager. Dieser Manager wird entweder auf einem physischen Server oder auf einer virtuellen Maschine installiert. Zudem können Sie mit dem gleichen Manager sowohl virtuelle als auch physische Sensoren, einschließlich heterogener Sensorumgebungen, verwalten. Sobald der IPS-Sensor eine verdächtige Datei erkennt, die andere Malware-Scan-Module nicht als böswillig einstufen konnten, sendet er die Datei zur statischen und dynamischen Analyse an McAfee Advanced Threat Defense. McAfee Advanced Threat Defense gibt eine Bewertung für die Datei zurück. Auf Grundlage dieser Bewertung initiiert der IPS-Sensor die konfigurierten Reaktionen, etwa die Blockierung der Datei. McAfee MOVE AntiVirus McAfee Management for Optimized Virtual Environments AntiVirus (McAfee MOVE AntiVirus) ist für den Schutz virtueller Umgebungen optimiert, sodass Sie nicht mehr auf jeder VM eine Virenschutzanwendung installieren müssen. Gleichzeitig werden der Schutz und die Leistung sichergestellt, die für die Anforderungen Ihres Unternehmens benötigt werden. Mit Mehrfachplattform- und agentenlosen Bereitstellungsoptionen werden sämtliche Scan-Vorgänge an eine dedizierte Sicherheits-VM einen Offload-Scan-Server übertragen, auf der die Software McAfee VirusScan Enterprise ausgeführt wird. Es werden keine Gast- VMs mehr benötigt, um Virenschutz-Software lokal auszuführen. Dadurch wird die Leistung von Viren-Scans verbessert und die VM-Dichte pro Hypervisor erhöht. Wenn McAfee MOVE AntiVirus während eines On Demand- oder On-Access-Scans eine Bedrohung erkennt, wird über den DXL der Reputationswert von McAfee Threat Intelligence Exchange abgefragt. Wenn McAfee Threat Intelligence Exchange keine Bewertung für die Datei besitzt, wird die Datei zur Sandbox-Analyse an McAfee Advanced Threat Defense gesendet. McAfee Threat Intelligence Exchange McAfee Threat Intelligence Exchange ist ein Repository für Datei-Reputationsdetails, auf das von Sicherheitslösungen im ganzen Netzwerk zugegriffen wird. Durch die Bereitstellung der Datei-Reputation können Sicherheitsadministratoren Korrekturmaßnahmen ergreifen und verbundene Sicherheitsprodukte richtlinienbasierte automatisierte Aktionen auslösen. Da McAfee Threat Intelligence Exchange in der Software McAfee epo installiert ist, können Sie über das Dashboard von McAfee epo auf dem Server Richtlinien bereitstellen. Der DXL ist die Haupt kommunikations infrastruktur, über die McAfee Threat Intelligence Exchange mit dem IPS- Sensor, McAfee MOVE AntiVirus und McAfee Advanced Threat Defense kommuniziert. Im Allgemeinen erfolgt die Kommunikation zu und von den McAfee Threat Intelligence Exchange-Servern stets über den DXL. Data Exchange Layer (DXL) Die bidirektionale Echtzeit-Kommunikationsinfrastruktur DXL stellt das Framework zur Verfügung, über das Kontextinformationen (Situationserkennung, Befehle, Ereignisse und mehr) zwischen verschiedenen McAfee-Produkten ausgetauscht werden können. Sicherheitslösungen für Netzwerke, Endgeräte, 6 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

7 Datenbank, Anwendungen und andere Aspekte nutzen den DXL, um als ein synchronisiertes, kontextbasiertes und adaptives Echtzeit-Sicherheitssystem zu agieren. McAfee Threat Intelligence Exchange nutzt den DXL zur Abfrage von Informationen über die Datei-Reputation, die von McAfee Advanced Threat Defense oder McAfee MOVE AntiVirus benötigt werden. McAfee Advanced Threat Defense McAfee Advanced Threat Defense ist ein mehrschichtiges Sicherheitsprodukt, das unter anderem Musterabgleich, globale Reputation, Programmemulation und statische sowie dynamische Analyse bietet. All diese Schichten sind nahtlos integriert, um eine zentrale sowie einfache Konfiguration und Verwaltung zu ermöglichen. Mithilfe von Sandbox-Technologie werden Bewertungen für die zur Analyse gesendeten Malware-Dateien ermittelt. McAfee Advanced Threat Defense liefert zusammen mit dem IPS-Sensor Malware-Bewertungen für Dateien. Wenn der IPS-Sensor Malware erkennt, sendet er die Datei zur Sandbox- und statischen Analyse an McAfee Advanced Threat Defense. McAfee Advanced Threat Defense analysiert dann die Datei und gibt eine Malware- Bewertung an den Sensor zurück. Daraufhin ergreift der IPS-Sensor je nach Bewertung die entsprechende konfigurierte Korrekturmaßnahme. Der McAfee Threat Intelligence Exchange-Server kommuniziert über den DXL mit McAfee Advanced Threat Defense und gibt die Datei- Reputation für Malware-Dateien weiter. McAfee epolicy Orchestrator Die Software McAfee epo ist eine skalierbare Plattform, über die Sie die Richtlinien für Systemsicherheitsprodukte wie Virenschutz, Desktop-Firewall und Spyware-Schutz zentral verwalten sowie durchsetzen können. McAfee epo lässt sich in verschiedene Produkte integrieren, um Richtlinien für Endgeräte bereitzustellen. Zudem wird der McAfee Threat Intelligence Exchange- Server von McAfee epo verwaltet. Erforderliche Richtlinienaktualisierungen für die Endgeräte werden über McAfee epo bereitgestellt. Funktionsweise der McAfee-Sicherheitslösung für private Clouds In der aktuellen Bedrohungslandschaft hat der Schutz der virtualisierten Umgebung vorrangige Bedeutung. Angesichts der ständig steigenden Anzahl neuer Bedrohungen muss der gesamte Netzwerkverkehr überwacht werden. Sämtliche Umgebungen sind Bedrohungen von außer- und innerhalb des Netzwerks ausgesetzt. Die McAfee-Sicherheitslösung für private Clouds bietet Unterstützung bei der Erkennung von Malware-Dateien im Netzwerk. Der IPS-Sensor ist die erste Verteidigungslinie für die Prüfung von im Netzwerk eingehendem Datenverkehr: Er prüft Datenpakete, bevor sie die Endgeräte erreichen. Wenn der IPS-Sensor aufgrund eines nicht unterstützten Dateiformats Malware nicht erkennen kann, wird die entsprechende Datei ohne Prüfung an das Endgerät gesendet. In diesem Fall ist die Malware-Erkennung durch einen On-Demand- oder On-Access-Scan mit McAfee MOVE AntiVirus möglich. Durch diesen 7 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

8 mehrschichtigen Schutzansatz wird die Malware entweder beim oder nach dem Eintritt ins Netzwerk erfasst und blockiert. Auf diese Weise ist die virtualisierte Umgebung stets umfassend geschützt unabhängig davon, wie die Bedrohung ins Netzwerk gelangt. Die allgemeine Funktionsweise dieser Lösung wird abhängig von der Quelle der Bedrohung erklärt. Bedrohungen von außerhalb des Netzwerks Wenn eine bekannte Malware versucht, in das Netzwerk zu gelangen, wird die Datei sofort vom IPS Sensor blockiert, da er durch Angriffssignaturen und integrierte Heuristik bereits Informationen über die Malware besitzt. Stößt der IPS-Sensor auf eine unbekannte Datei, bei der es sich um einen Zero-Day-Angriff handeln könnte, sendet er die Datei zur statischen und dynamischen Analyse an McAfee Advanced Threat Defense. McAfee Advanced Threat Defense gibt eine Malware- Reputation für die Datei zurück, auf deren Grundlage diese entweder blockiert oder für das Endgerät zugelassen wird. Wenn McAfee Advanced Threat Defense die Reputation nicht innerhalb einer bestimmten Zeit ermitteln kann, hält der IPS-Sensor die Datei sechs Sekunden lang zurück und gibt sie dann an das Endgerät weiter. Wenn die Datei das Endgerät erreicht und ein On Demand- oder On-Access-Scan ausgelöst wird, fragt McAfee MOVE AntiVirus die Reputation von McAfee Threat Intelligence Exchange ab. Falls die Datei aufgrund der Reputation als böswillig eingestuft ist, wird sie von McAfee MOVE AntiVirus gelöscht. Versucht eine solche Datei erneut, in das Netzwerk zu gelangen, blockiert der IPS-Sensor die Datei sofort nach der Kommunikation mit McAfee Threat Intelligence Exchange. Bedrohungen von innerhalb des Netzwerks Wenn sich eine verdächtige Datei bereits im Netzwerk befindet, kann McAfee MOVE AntiVirus diese Datei durch einen On-Demand- oder On-Access-Scan erkennen. Wenn McAfee MOVE AntiVirus eine verdächtige Datei erkennt, fragt die Lösung über den DXL den Reputationswert von McAfee Threat Intelligence Exchange ab. Sofern bei McAfee Threat Intelligence Exchange ein Reputationswert für die verdächtige Datei vorliegt, wird dieser an McAfee MOVE AntiVirus weitergegeben. Falls McAfee Threat Intelligence Exchange die Reputation noch nicht kennt, wird die Datei über den DXL zur Überprüfung an McAfee Advanced Threat Defense gesendet. Wenn der Reputationswert von McAfee Advanced Threat Defense vorliegt, gibt McAfee Threat Intelligence Exchange diesen an McAfee MOVE AntiVirus weiter. Je nach Bewertung wird die Datei von McAfee MOVE AntiVirus blockiert oder zugelassen. 8 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

9 Über die Software McAfee epo können Sie individuelle Richtlinien für Ihre Umgebungen konfigurieren und über den McAfee MOVE AntiVirus-Server aktualisieren. Internet Advanced Threat Defense Virtuelles IPS Rechenzentrum Threat Intelligence Exchange (verwaltet von McAfee epo) Management for Optimized Virtual Environments AntiVirus (McAfee MOVE AntiVirus) Abbildung 2. McAfee-Lösungsarchitektur für den Schutz der privaten Cloud Reale Szenarien zur Veranschaulichung der Bereitstellung Data Exchange Layer- Kommunikation Netzwerkverkehr Die im vorherigen Abschnitt beschriebene Funktionsweise wird nachfolgend anhand von zwei realen Szenarien erläutert. Szenario 1 Ein Endgerätebenutzer greift auf ein Web-Portal zu und versucht, eine Datei herunterzuladen. Die Datei geht beim IPS-Sensor ein und wird anhand von im Sensor konfigurierten Richtlinien geprüft. Der Sensor stellt fest, dass es sich um eine unbekannte und verdächtige Datei handelt, und sendet sie nach Abschluss der Prüfung durch die verschiedenen integrierten Malware-Scan- Module an McAfee Advanced Threat Defense weiter. Der IPS-Sensor sendet die Datei zur Prüfung an McAfee Advanced Threat Defense und hält sie dabei sechs Sekunden lang zurück. Genauer gesagt wird das letzte Paket der Datei vom Sensor zurückgehalten. Wenn McAfee Advanced Threat Defense nach sechs Sekunden kein Ergebnis zurückgibt, wird die Datei für das Netzwerk zugelassen. McAfee Advanced Threat Defense gibt das Ergebnis der Prüfung an McAfee Threat Intelligence Exchange und den IPS-Sensor weiter. Da die Datei jedoch in das Netzwerk gelangt ist, kann der IPS-Sensor sie nicht blockieren, sondern lediglich eine Warnung ausgeben, woraufhin ein Sicherheitsadministrator eine Korrekturmaßnahme ergreifen muss. Kommt es am Wochenende oder außerhalb der Bürozeiten zu einem solchen Vorfall, besteht das erhebliche Risiko, dass sich die böswillige Datei im Netzwerk verbreitet und andere Endgeräte infiziert. Wenn McAfee MOVE AntiVirus jedoch bei einer Prüfung eine verdächtige Datei auf dem Endgerät erkennt, wird McAfee Threat Intelligence Exchange abgefragt, das zuvor die Malware-Reputation für die Datei von McAfee Advanced Threat Defense erhalten hat. McAfee MOVE AntiVirus erhält Informationen zu der Datei und kann sie basierend auf der von McAfee Advanced Threat Defense weitergegebenen Datei-Reputation blockieren. An der Netzwerkperipherie erkennt der IPS-Sensor die böswillige Datei und kann sie durch Blockierung aus dem Netzwerk fernhalten, wenn sie erneut versucht, in das Netzwerk zu gelangen. 9 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

10 Internet 1 Advanced Threat Defense 5 2 Virtuelles IPS 5 Data Exchange Layer 4 Threat Intelligence Exchange 6 Data Exchange Layer 4 McAfee Advanced Threat Defense hat inzwischen die Malware-Reputation der Datei als bekannt böswillig an den IPS-Sensor und McAfee Threat Intelligence Exchange weitergegeben. McAfee Threat Intelligence Exchange gibt diese Reputation an McAfee MOVE AntiVirus weiter. McAfee MOVE AntiVirus löscht die Datei vom Endgerät. Abbildung 3. Szenario, in dem eine böswillige Datei für das Netzwerk zugelassen wird, da keine Reputation verfügbar ist Der Ablauf ist wie folgt: Rechenzentrum McAfee MOVE AntiVirus Malware-Datenverkehr Reputationswert Die Malware-Datei gelangt aus dem Internet in das Netzwerk, wenn ein Endgerätebenutzer sie anfordert. Der IPS-Sensor besitzt keinen Reputationswert für die Datei. Daher sendet er sie zur Sandbox-Analyse an McAfee Advanced Threat Defense. Wenn McAfee Advanced Threat Defense den Reputationswert nicht innerhalb der festgelegten Zeit zurückgibt, leitet der IPS-Sensor die Datei nach sechs Sekunden an das Endgerät weiter. Während eines On-Demand-Scans erkennt McAfee MOVE AntiVirus die verdächtige Datei auf einem Endgerät und fragt den Reputationswert über den DXL von McAfee Threat Intelligence Exchange ab. 4 6 Da der IPS-Sensor die böswillige Datei kennt, wird diese automatisch blockiert, wenn sie erneut in das Netzwerk übertragen wird. Szenario 2 Wenn eine Datei über eine Quelle innerhalb des Netzwerks in das Netzwerk gelangt, etwa über ein USB Gerät, ein DMZ-Netzwerk oder einen anderen Vektor, wird die Datei von einem Inline-IPS-Sensor gar nicht erfasst. Die Datei, die beispielsweise bei einem Linux-basierten System in das Netzwerk gelangt ist, verbreitet sich anschließend auf Microsoft Windowsbasierte Endgeräte. An diesem Punkt erkennt McAfee MOVE AntiVirus die verdächtige Datei bei einem Scan und fragt McAfee Advanced Threat Defense über McAfee Threat Intelligence Exchange ab. Wenn McAfee Threat Intelligence Exchange keine Malware-Reputationsdaten für die Datei besitzt, sendet McAfee MOVE AntiVirus die Datei zur Analyse an McAfee Advanced Threat Defense. 10 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

11 McAfee Advanced Threat Defense gibt dann über McAfee Threat Intelligence Exchange einen Reputationswert an McAfee MOVE AntiVirus weiter. Daraufhin löscht McAfee MOVE AntiVirus die Datei. Wenn die Datei das nächste Mal ins Netzwerk übertragen wird und der IPS Sensor eine entsprechende Anfrage an McAfee Threat Intelligence Exchange sendet, gibt die Lösung die Datei-Reputation bekannt böswillig zurück, sodass der IPS-Sensor die Datei blockieren kann. Internet Advanced Threat Defense Virtuelles IPS 7 5 Data Exchange Layer Rechenzentrum Threat Intelligence Exchange 5 Data Exchange Layer 3 McAfee MOVE AntiVirus Malware-Datenverkehr Reputationswert Abbildung 4. Szenario, in dem eine böswillige Datei über ein externes Gerät in das Netzwerk gelangt Der Ablauf ist wie folgt: 1. Die böswillige Datei gelangt über ein externes Gerät (z. B. ein USB-Gerät) in das Netzwerk. 2. Die Datei verbreitet sich innerhalb des Netzwerks. 3. McAfee MOVE AntiVirus erkennt die Datei während eines On-Demand-Scans und fragt die Malware- Reputation über den DXL von McAfee Threat Intelligence Exchange ab. 4. Da McAfee Threat Intelligence Exchange keinen Reputationswert für die Datei besitzt, fragt McAfee Threat Intelligence Exchange diesen über den DXL bei McAfee Advanced Threat Defense ab. 5. McAfee Advanced Threat Defense gibt die Reputation bekannt böswillig über den McAfee Threat Intelligence Exchange-Server an McAfee MOVE AntiVirus weiter. 6. McAfee MOVE AntiVirus löscht die Datei vom Endgerät. 7. Wenn die Datei erneut ins Netzwerk übertragen wird, fragt der IPS-Sensor den Reputationswert von McAfee Threat Intelligence Exchange ab. Die Datei wird blockiert. 11 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

12 Fazit Durch den Austausch zwischen allen Produkten der Sicherheitslösung für private Clouds werden wertvolle Ressourcen in einer Rechenzentrumsumgebung vor Bedrohungen geschützt unabhängig davon, ob die Bedrohung von einem Endgerät oder aus dem Netzwerk stammt. Zu den Produkten gehören: McAfee Network Security Platform McAfee MOVE AntiVirus McAfee Advanced Threat Defense McAfee epo McAfee Threat Intelligence Exchange Data Exchange Layer (DXL) 12 Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz

13 Informationen zu McAfee McAfee ist eines der weltweit führenden unabhängigen Cyber-Sicherheitsunternehmen. Inspiriert durch die Stärke, die aus Zusammenarbeit resultiert, entwickelt McAfee Lösungen für Unternehmen und Privatanwender, mit denen die Welt etwas sicherer wird. Mit unseren Lösungen, die mit den Produkten anderer Unternehmen zusammenarbeiten, können Unternehmen Cyber- Umgebungen koordinieren, die wirklich integriert sind und in denen der Schutz vor sowie die Erkennung und Behebung von Bedrohungen nicht nur gleichzeitig, sondern auch gemeinsam erfolgen. McAfee bietet Schutz für alle Geräte von Privatanwendern und sichert dadurch das digitale Leben zu Hause und unterwegs. Durch die Zusammenarbeit mit anderen Sicherheitsakteuren fördert McAfee zudem den gemeinsamen Kampf gegen Cyber-Kriminelle. Davon profitieren alle. Ohmstr Unterschleißheim Deutschland McAfee und das McAfee-Logo, epolicy Orchestrator, McAfee epo, SiteAdvisor und VirusScan sind Marken oder eingetragene Marken von McAfee, LLC oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Copyright 2017 McAfee, LLC. 877_0816 AUGUST Schutz der privaten Cloud dank integriertem und automatisiertem Sicherheitsansatz