Datasheet McAfee Deep Defender Segurança além do sistema operacional para expor e eliminar ameaças ocultas Pontos principais • O monitoramento de comportamento no nível do kernel expõe e remove ameaças desconhecidas, inclusive rootkits, para prevenção contra malware de dia zero. • A inédita integração com a Intel reside entre a memória e o sistema operacional, permitindo o monitoramento da CPU e da memória em tempo real. • Gerenciado com o software McAfee ePO para distribuição eficiente, gerenciamento centralizado de políticas, maior visibilidade sobre ameaças e geração de relatórios unificada. • Remove ameaças de baixo nível que não são detectadas pela proteção tradicional com base no sistema operacional, reduzindo os custos de recriação de imagens e correções e aprimorando a segurança geral. • O malware indetectável não para de se multiplicar: o McAfee Labs™ identifica quase 110.000 rootkits novos e únicos a cada trimestre. “Uma das coisas mais importantes que temos que entender a respeito de malware indetectável como o encontrado no Stuxnet e no Zeus é que ele realmente domina o computador. O malware usa rootkits que operam nos níveis de usuário, kernel e firmware para se ocultar, replicar, proteger contra sobrescritas e desativar antivírus e outras defesas.” — David Marcus, McAfee Labs, e Thom Sawicki, Intel, A nova realidade do crimeware indetectável, www.mcafee.com/br/resources/ white-papers/wp-reality-of-stealthcrimeware.pdf O malware indetectável virou a ferramenta favorita do crime cibernético. Há cada vez mais malware novo e desconhecido usando técnicas de ocultação como os rootkits. Os criminosos precisam desse código de baixo nível para burlar proteções com base no sistema operacional. O McAfee® Deep Defender™ vai ajudá-lo a contra-atacar, com uma nova geração de segurança assistida por hardware com tecnologia McAfee® DeepSAFE™. Esse monitoramento de comportamento das operações do kernel em tempo real revela e remove ataques avançados e invisíveis. O McAfee Deep Defender é integrado ao software McAfee ePolicy Orchestrator® (McAfee ePO™) e ao McAfee Global Threat Intelligence™ (McAfee GTI™). Com ele, é fácil estender a segurança do sistema além do sistema operacional para a prevenção de ameaças ocultas de dia zero. Os terminais corporativos são presas fáceis para malware indetectável capaz de se esquivar do antivírus e de outras defesas com base no sistema operacional. Os criminosos projetam esse malware de baixo nível para explorar os pontos fracos inerentes à segurança do sistema operacional, ocultando sua presença para que o sistema aparente normalidade ao ser inicializado. O malware invisível tem liberdade para espalhar a infecção, desativar contramedidas e roubar credenciais de rede ou informações confidenciais. A restauração de terminais comprometidos exige uma recriação de imagem completa, tirando a TI e os usuários finais de tarefas produtivas por horas a cada evento. Além do sistema operacional A McAfee e a Intel uniram forças para frustrar esses ataques com proteção ativada por hardware que opera entre a CPU e o sistema operacional, protegendo componentes que residem na memória física. O McAfee Deep Defender tem uma visão confiável dos drivers e de outros itens de software enquanto eles operam, e pode detectar e eliminar ameaças carregadas antes, durante e depois do sistema operacional. Monitoramento de CPU e memória em tempo real O McAfee Deep Defender utiliza a tecnologia McAfee DeepSAFE®, uma camada de software de memória que opera em modo VMX-root para oferecer proteção para eventos de CPU e memória do kernel em tempo real com um impacto mínimo sobre o desempenho. Essa visibilidade de baixo nível permite que o McAfee Deep Defender reconheça técnicas evasivas empregadas por malware indetectável e oferece aos administradores uma visão em tempo real dos processos da memória, permitindo ações configuráveis de bloqueio ou negação. Se um rootkit ou um malware indetectável estiver ativo, o McAfee DeepSAFE detecta a tentativa de modificação do kernel. Proteção real de dia zero O McAfee Deep Defender não exige conhecimento prévio do rootkit para detectá-lo. Em vez disso, ele identifica o comportamento malicioso e oferece proteção real de dia zero. O McAfee Deep Defender protege antes que o rootkit tenha a oportunidade de ocultar o malware. Sua proteção de kernel e memória: Previne e registra as tentativas de escrita na tabela de descritores de interrupção (IDT) do sistema e na tabela de expedição de serviços do sistema (SSDT). • Interrompe alterações na tabela de transição de sistema do processador. • Impede modificações em threads e na lista de manipulação direta de objetos do kernel (DKOM). • Elimina anexos maliciosos em drivers de modo kernel. • Proíbe a interceptação maliciosa em linha de seções de código do kernel e drivers de dispositivos importantes. • Interrompe modificações maliciosas na interceptação da tabela de endereços de importação (IAT) dos drivers. • Datasheet Especificações e requisitos do sistema • Compatível com processadores Intel® Core i3, i5 e i7 • Compatível com Microsoft Windows 7 (32 bits e 64 bits) • 2 GB de RAM (32 bits) ou 4 GB de RAM (64 bits) • Gerenciado pelo software McAfee ePO 4.5 ou superior •Tecnologia de virtualização da Intel (Virtualization Technology) •Traduzido e adaptado para distribuição em todo o mundo Compatibilidade testada com os seguintes produtos da McAfee: • McAfee VirusScan Enterprise 8.7 ou superior • McAfee Application Control 5.x • McAfee Endpoint Encryption for PC 5, 5.2.6, 5.2.9 e 6.1 • McAfee Host DLP 9.x • McAfee Host Intrusion Prevention 8.x • McAfee Network Access Control 3.2 McAfee Deep Defender Impede modificações maliciosas na tabela de endereços de exportação do kernel (EAT). • Interrompe chamadas maliciosas de E/S de drivers de dispositivos. • Detecta alterações maliciosas nas rotinas de expedição dos drivers. • O conhecido console do McAfee ePO simplifica o desenvolvimento de políticas para as ações de memória em tempo real do McAfee Deep Defender. Depois que o McAfee Deep Defender é instalado, os dashboards e relatórios do McAfee ePO proporcionam visibilidade sobre ameaças ocultas. Detecção e exclusão de ameaças conhecidas e desconhecidas, utilizando o McAfee GTI O McAfee Deep Defender relata, bloqueia, põe em quarentena e remove malware conhecido e desconhecido no kernel. Seu antimalware McAfee VirusScan® Enterprise existente aproveita os recursos de anulação de ocultação do McAfee Deep Defender para limpar por completo os componentes de modo de usuário afetados. Em caso de malware desconhecido ou suspeita de malware, o McAfee Deep Defender envia uma impressão digital do código à rede do McAfee GTI para a emissão de um relatório e a confirmação de sua identidade. A impressão digital do malware confirmado é incluída no banco de dados do McAfee GTI para estender proteção imediata a outros terminais com o McAfee GTI, incluindo outros terminais em seu site. Gerenciamento centralizado com o McAfee ePO Com o McAfee Deep Defender, você pode fortalecer suas proteções existentes sem gerar mais trabalho de gerenciamento ou administração. Os PCs e laptops que operam hoje com software para terminais da McAfee podem distribuir o McAfee Deep Defender por toda a empresa em sistemas compatíveis usando a infraestrutura de gerenciamento e os agentes existentes do McAfee ePO. McAfee Deep Defender Sistema operacional Plataforma McAfee DeepSAFE CPU E/S Memória Disco Rede Exibição Figura 1. O McAfee Deep Defender obtém um novo ponto de vantagem sobre as ameaças utilizando a tecnologia McAfee DeepSAFE, que reside entre a CPU e o sistema operacional. Revele o malware indetectável hoje mesmo As defesas que operam apenas dentro do sistema operacional não podem detectar ou expor as técnicas avançadas de evasão disponíveis aos sofisticados criminosos cibernéticos da atualidade. O McAfee Deep Defender complementa a segurança tradicional de terminais com proteção vital e incremental contra essas ameaças. A adoção é fácil, pois o McAfee Deep Defender tira proveito do ambiente de gerenciamento centralizado e conveniente do McAfee ePO e aumenta a proteção oferecida pelo mecanismo antimalware do McAfee VirusScan e pela rede do McAfee GTI. Saiba mais em www.mcafee.com/br/products/ deep-defender.aspx. McAfee do Brasil Comércio de Software Ltda. Av. das Nações Unidas, 8.501 - 16° andar CEP 05425-070 - São Paulo - SP - Brasil Telefone: +55 (11) 3711-8200 Fax: +55 (11) 3711-8286 www.mcafee.com/br As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes da McAfee. As informações aqui contidas estão sujeitas a alterações sem aviso prévio, sendo fornecidas “no estado”, sem garantia de qualquer espécie quanto à exatidão e aplicabilidade das informações a qualquer circunstância ou situação específica. McAfee, o logotipo McAfee, McAfee Deep Defender, McAfee DeepSAFE, McAfee ePolicy Orchestrator, McAfee ePO, McAfee Global Threat Intelligence, McAfee Labs, McAfee VirusScan Enterprise e McAfee GTI são marcas registradas ou marcas comerciais da McAfee, Inc. e/ou de suas subsidiárias nos Estados Unidos e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. © 2011 McAfee, Inc. Todos os direitos reservados. 35301ds_deep-defender_1011_fnl_ETMG