McAfee внедряет упреждающую защиту конечных точек

McAfee внедряет упреждающую защиту конечных точек

Компания McAfee анонсировала улучшения в своих продуктов для защиты конечных точек в рамках концепции Security Connected. Улучшения призваны обеспечить инновационную систему безопасности на основе анализа контекста для защиты от угроз повышенной сложности.

Если продукты защиты первого поколения были нацелены на поиск известных угроз и устранение их последствий, то разработанные McAfee решения следующего поколения для защиты конечных точек защищают предприятия как от известных, так и от новых угроз. В условиях, когда каждый день создаются тысячи новых угроз, главной задачей предприятий становится защита устройств, данных и приложений от неизвестных угроз.

Как отмечает директор ИТ по сетям, телекоммуникациям и безопасности компании Reliant Medical Group Райан Финли (Ryan Finlay), «внедрение решений защиты и управление ими в сложных средах ИТ, включающих виртуальные и физические вычисления, личные устройства сотрудников, серверы, ноутбуки и центры обработки данных — задача, требующая полной отдачи. Добавьте к этому проблемы, возникающие из-за неизвестных изощренных угроз, которые несут вредоносные программы. В этих условиях передовая концепция McAfee предлагает нам простой путь к комплексной защите конечных точек».

Инновационные решения McAfee включают: ориентированные на пользователя динамические белые списки, средства предотвращение вторжений «нулевого дня» в главные загрузочные записи (Master Boot Records — MBR), «защищенные контейнеры» для мобильных устройств и средства удаленного управления с использованием шифрования, которые направлены на борьбу с угрозами повышенной сложности. Тестирование этих технологий сторонними организациями на способность обнаружения типового набора вредоносных программ подтвердило высокую эффективность этой концепции. По результатам независимого тестирования, выполненного компанией West Coast Labs, продукты McAfee следующего поколения для защиты конечных точек успешно блокировали 100 % вредоносных программ. Важность этой передовой защиты еще раз подчеркнул вице-президент компании Gartner Нил Макдональд (Neil MacDonald), отметив, что «адаптивная защита на основе осведомленности о контексте станет единственным способом безопасной поддержки динамичных инфраструктур бизнеса и ИТ в ближайшее десятилетие».[1]

Новые продукты для защиты конечных точек McAfee включают в себя следующие:

McAfee Deep Defender. Последняя версия совместно разработанного компаниями Intel и McAfee продукта для защиты конечных точек, усиленного средствами аппаратного обеспечения, кардинально увеличивает объем защиты от руткитов «нулевого дня», включая MBR-руткиты, являющиеся источником многих скрытых атак, направленных на хищение финансовых и персональных данных.

McAfee Endpoint Encryption for PC и McAfee Endpoint Encryption for Mac. Значительные усовершенствования и применение технологии AES-NI компании Intel снизили воздействие на производительность твердотельных SSD-накопителей почти до нуля. Кроме того, интеграция с технологией AMT компании Intel и решением McAfee ePO Deep Command позволяет осуществлять безопасное удаленное управление отключенными или блокированными устройствами, включая устройства, работающие под Windows 8.

McAfee Application Control. Новые усовершенствования позволяют использовать технологию белых списков не только в традиционных средах рабочих станций. Сегодня управляющие ИТ могут контролировать процесс разрешения приложения, не находящегося в «белом» списке, с помощью инновационной трехступенчатой технологии разрешения.

McAfee Enterprise Mobility Manager. Теперь решение поддерживает Apple iOS 6 и включает последнюю версию решения McAfee Secure Container для платформы Android 2.0. Новая версия обеспечивает дополнительную защиту и управление устройствами Android и Apple iOS 6.

По словам старшего вице-президента и генерального управляющего по вопросам безопасности конечных точек компании McAfee Кэндес Уорли (Candace Worley), «новому поколению мобильных устройств и пользователей требуется защита нового поколения. Передовые решения McAfee для защиты конечных точек оберегают предприятия от известных и новых угроз на всех платформах. Предоставляя инновационную технологию безопасности с высочайшим уровнем защиты, McAfee удовлетворяет потребности клиентов в оптимальной работе приложений без ухудшения функций».

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

В «ИнфоТеКС» поделились своим комментарием. Приводим ниже.

Компания «ИнфоТеКС» сообщила о выявлении нового вектора целевой атаки, связанного с использованием транспортного протокола MFTP в ПК ViPNet Client 4.

Новый сценарий атаки обнаружен в эксплуатируемых сетях ViPNet на узлах с установленным ViPNet Administrator. Его реализация возможна при условии, что злоумышленники ранее скомпрометировали управляющий узел ViPNet Administrator в доверенной сети.

После этого с захваченного узла через межсетевое взаимодействие может быть отправлен специально сформированный конверт, имитирующий легитимное обновление программного обеспечения. Такой пакет способен содержать произвольную вредоносную нагрузку и использовать уязвимость, связанную с обработкой относительных путей.

Рассылка поддельного обновления через скомпрометированный управляющий узел может привести к нарушению целостности среды, повышению привилегий в системе и выполнению произвольного кода на атакуемом устройстве.

Для устранения уязвимости необходимо обновить программное обеспечение до следующих версий:

Если сеть связана с другими защищёнными сетями, администрирование которых находится вне зоны вашей ответственности и для которых невозможно гарантировать выполнение указанных требований, необходимо проверить собственные узлы на наличие признаков компрометации.

Для этого следует:

  • проверить систему на наличие файлов, указанных в подготовленных YARA-правилах;
  • выполнить проверку в соответствии с инструкцией по применению YARA-правил с использованием утилиты YARA;
  • проанализировать сетевую активность узлов ViPNet, включая обращения к координаторам и другим элементам инфраструктуры организации.

При обнаружении признаков заражения или подозрительной сетевой активности необходимо незамедлительно обратиться в службу технической поддержки «ИнфоТеКС».

RSS: Новости на портале Anti-Malware.ru