從2014年9月推出McAfee Endpoint Security(ENS)10.0之後,Intel Security就把所有端點防護功能全部整合在其中,例如防毒、個人防火牆、主機型HIPS、網頁瀏覽防護,並區分成基本平臺(Platform)、威脅預防(Threat Prevention)、防火牆(Firewall)與網頁控管(Web Control)等模組,管理者可從中選擇需要的防護功能,部署到指定的用戶端電腦上。
以Threat Prevention模組為例,包含了該公司最新發展的進階惡意程式掃描功能,可防禦持續演進的目標式攻擊,足以取代使用多年的McAfee VirusScan Enterprise(VSE)企業防毒軟體。至於Firewall模組,能阻擋入埠與出埠的惡意網路流量,能替代掉先前的端點網路防護產品McAfee Host Intrusion Prevention(HIPS)。而Web Control模組主要的作用是預防使用者瀏覽惡意或非經企業批准的網站,可取代McAfee Site Advisor Enterprise。
經過幾年的演進,Intel Security在今年推出了ENS 10.1。在這一版當中,ENS引進更多原本VSE、HIPS就有的功能,力求達到企業級端點防護的完整性。在Web Control整合在瀏覽器的工具列上,10.1也提供新的操作介面。針對用戶端作業系統平臺的要求,微軟去年推出的Windows 10,ENS 10.1正式宣布支援,同時也不再支援Windows XP。
以防毒、防火牆與HIPS而言,ENS 10.1在即時掃描的部分,提供了啟發式偵測功能的設定;而指定掃描、更新、進階工作,現在都可以排程執行;同時,使用者對於存取防護規則,也可自定、新增、例外。針對漏洞攻擊預防的功能,ENS也提供自動阻擋、相關事件舉報與例外設定,並且加入主動式資料分析功能。
網路入侵防護上,ENS新版加入檢測FTP流量的功能,也允許使用者自定阻擋政策,以及設定管制政策與群組管理的時間排程。
10.1版的另一個特色,是整合了Endpoint Security Threat Intelligence(或稱為Threat Intelligence for Endpoint Security,TI ENS),能使安裝相關軟體的個人電腦、網路與資安設備(例如防火牆、網路閘道),以及ePO管理平臺之間,得以快速溝通。而個人電腦的部分,需特別安裝TI ENS或是Threat Intelligence Exchange(TIE)模組。
實際上,TI ENS本身是一個外掛模組,企業若要使用,可透過ePO派送,即可整合在ENS 10.1當中啟用。在先前的VSE裡面,Intel Security也提供了TIE module for VSE,同樣是透過ePO派送。
這樣的機制之所以發揮作用,因為運用了McAfee發展的Data Exchange Layer(DXL)框架──只要當中的系統率先偵測到安全威脅,DXL就會持續追蹤它的去處,並且立即阻止。
不過,TI ENS的使用,需搭配另一套自動偵測與回應威脅的產品──McAfee Threat Intelligence Exchange(TIE),在這臺伺服器上,會儲存檔案與憑證的信譽等級,並且將這些資訊傳送到企業環境裡面的其他TIE系統當中。相對地,由於TIE是透過DXL協定溝通,所以,ENS用戶端電腦還需要加裝DXL Client來支援。
資料來源:http://www.ithome.com.tw/