Servicio Geológico Colombiano

Endpoint Protection Tech Check

Autor:
Date: agosto 6, 2018
TECH CHECK
Resumen Ejecutivo 3
Información General y Antecedentes 5
Configuración de Hardware y software de McAfee ePO 5
Migración a ENS 10.5 9
Revisión de Operaciones de McAfee ePO 12
Infraestructura de Repositorios 12
Actualización del DAT 13
Puntos Finales “Muertos” y Rogue Systems 14
System Tree 14
Recomendaciones Generales 16
Políticas de Protección 18
Postura de seguridad y gestión de alertas 19
Análisis de los informes de detección 19
Recomendaciones 21
Pasos a Seguir 22
ENS TechCheck Checklist 22
Contactos 23
Recursos McAfee 24

Endpoint Protection Tech Check Page 2

Resumen Ejecutivo
McAfee agradece la oportunidad de realizar una revisión del ambiente de seguridad y postura de
seguridad en las estaciones de trabajo de Servicio Geológico Colombiano, durante la actividad
denominada “Endpoint Protection Tech Check”. Como representante del área de preventa de McAfee
realizamos una sesión de trabajo en conjunto con el equipo de SoftSecurity S.A.S, visitando en sitio sus
instalaciones e interactuando con los recursos encargados en la semana del 23 de Agosto de 2017.

Este ejercicio nos ha permitido confirmar que la consola “McAfee ePolicy Orchestrator (ePO)”,
herramienta de administración que Servicio Geológico Colombiano usa para monitorear y controlar la
protección de puntos terminales, está operando de manera efectiva. Existen algunos puntos de mejora
que serán resaltados en la sección de observaciones con sus respectivas recomendaciones.

La plataforma ePO se encuentra activamente deteniendo amenazas y malware como se pudo evidenciar
a través de los reportes revisados con el equipo se seguridad encargado. Hay comportamientos
anormales en los eventos de seguridad que han sido detectados al interior de la organización, punto
sobre el cual se realizan unas recomendaciones más adelante.

Actualmente se dispone de un proceso manual para enviar este tipo de muestras a los laboratorios de
McAfee, lo que permite devolver a productividad las máquinas afectadas. Esta demora, que causa un
impacto en la productividad del usuario puede ser reducida de forma significativa mediante la
actualización del agente de protección actual a su más reciente versión (ENS 10.5) disponible sin ningún
cargo adicional a su contrato actual e implementando una solución de gestión de reputación local, como
lo es Threat Intelligence Exchange. Este “gap” se puede reducir aún más activando las funcionalidades
avanzadas más recientes, explicadas adelante en este documento.

Los administradores de la consola ePO de Servicio Geológico Colombiano, con el apoyo del partner
SoftSecurity, tienen un buen conocimiento de trabajo de esta plataforma de gestión que se puede
evidenciar en la personalización de este ambiente, han incluido tableros y consultas personalizadas y se
tiene un conocimiento bueno del funcionamiento en general de la consola. Se puede mejorar haciendo
uso de funcionalidades embebidas de la consola que aún no se están explotando, como la funcionalidad
de “tags” para aplicar políticas. Se considera una buena práctica realizar un diseño estructurado del
árbol de sistemas, como se ha hecho en Servicio Geológico Colombiano, con el fin de poder organizar y
aplicar con un mejor criterio todas las políticas de producto, upgrades y despliegues de soluciones a las
diferentes estaciones de usuario final.

McAfee ha identificado algunos puntos de especial relevancia:

- Se tiene un comportamiento de amenazas muy agresivo, con periodos de hasta 2 millones de

eventos de seguridad

- La mayoría de las máquinas ya están listas para realizar el Upgrade hacia endpoint security

- Se pueden explotar más las capacidades de la suite contratada

- Se incorporaron los paquetes y extensiones de Endpoint Security 10.5.1 y se realizó un ejemplo

de despliegue del agente con éxito.

Endpoint Protection Tech Check Page 3

Algunas recomendaciones clave:

- McAfee recomienda el uso de Tags para automatizar tareas como la elaboración del árbol de
sistemas, aplicación de políticas o asignación de tareas de cliente
- Se recomienda la depuración de las respuestas automáticas para agilizar la respuesta frente a
incidentes de infección avanzada.
- Al migrar a la versión 10.5 de Endpoint security, se van a poder consolidar en una única
plataforma soluciones que hoy en día se tienen desplegadas de forma individual, como
VirusScan Enterprise, o Host IPS para Desktops.
- Se recomienda considerar la implementación de soluciones especializadas en detección de
amenazas avanzadas, por lo menos a nivel de reputación local.

- La implementación de Herramientas como TIE y Active Response ayudarían a tener mayor

visibilidad y control sobre el gran número de eventos de seguridad reportados en la consola.

McAfee considera que Servicio Geológico Colombiano puede encontrar gran valor en activar la última
protección de punto final (Endpoint Security – ENS) ofrecida dentro de su contrato de mantenimiento
por varias razones:

- Este cliente, totalmente rediseñado, contiene numerosas tecnologías embebidas, disminuyendo

la presencia de software múltiple dentro de su infraestructura. Una nueva y más amigable
interfaz de usuario, técnicas para evitar consumir CPU y requerir menos utilización de memoria,
adicionalmente es totalmente transparente para los usuarios finales

- La última versión (10.5), presenta la opción de incorporar la nueva suite de funcionalidades de

seguridad Avanzada; Dynamic Application Containment y Real Protect , que proveen
capacidades adicionales de protección, permitiendo que procesos de reputación desconocida
puedan ser ejecutados mientras que su comportamiento está estrictamente vigilado y
controlado, mientras tanto se evalúan las características y metadatos de los archivos mediante
algoritmos de “Machine Learning” para determinar una catalogación efectiva. Estas, entre otras
nuevas características le permitirán defenderse más efectivamente en contra de ransomware,
greyware, y malware tipo “día zero”.

Más importante aún, ENS es la base de la estrategia de seguridad de en punto final asistida por nube,
donde se logra incrementar protección, detección y corrección ante las amenazas más avanzadas
actuales y futuras.

Endpoint Protection Tech Check Page 4

Información General y Antecedentes
Este ejercicio, realizado de forma presencial por el equipo de preventa de McAfee está diseñado para
revisar el ambiente de ePO sobre estos puntos:

- Entender y observar el despliegue actual de las tecnologías de McAfee y sus funcionalidades

- Explorar las áreas de éxito y preocupación
- Realizar recomendaciones según las buenas prácticas para incrementar la efectividad en
seguridad de la implementación actual.
- Tener un conocimiento en profundidad de la infraestructura de seguridad, otras tecnologías
involucradas del negocio, iniciativas de seguridad planificadas a futuro y posibles vacíos que
requieran ser atendidos.
- Proveer información sobre las funcionalidades de seguridad más relevantes y mejoras planeadas
disponibles bajo la estrategia Ciclo de vida Avanzado de Defensa de Intel Security que sea de
valor para la organización.

Configuración de Hardware y software de McAfee ePO

Servicio Geológico Colombiano utiliza ePolicy Orchestrator (ePO) soportando un entorno de
aproximadamente 1.000 nodos propios, y un total de aproximadamente 1.050 nodos incluyendo los
nodos gestionados a sus clientes. El servidor de ePO de producción y la base de datos se encuentran
administrados de manera autónoma, con el apoyo del partner SoftSecurity S.A.S para casos de soporte,
este tipo de compartición de responsabilidades es un modelo ampliamente utilizado en las instalaciones
de clientes similares. El producto de protección de punto final McAfee VirusScan se encuentra
desplegado en más del 81% de las estaciones de trabajo y ya se está considerando realizar pruebas con
Endpoint Security 10.

Repositorios distribuidos:

El servidor ePO no utiliza al momento repositorios distribuidos ni Super Agentes. Estos son equipos que
se encargarían de distribuir contenido de seguridad (paquetes de software y actualizaciones de firmas)
asociados a los productos de punto final desplegados a través de toda la red. El agente de McAfee a
través de una política asociada busca el repositorio asignado. Se encontró que en general la
comunicación entre los agentes y la consola de ePO es estable, pero la actualización de las definiciones
de virus podría estar más homogénea, por lo tanto, la implementación de estos repositorios distribuidos
se puede considerar como una mejor práctica en la operación de la arquitectura de protección de
Endpoint.

Es de anotar que bajo el esquema actual se tendrían que actualizar múltiples firmas para diferentes
tipos de productos (HIPS, VirusScan y SiteAdvisor). En la nueva versión, Endpoint Security 10 existe el
concepto de actualización centralizada, lo que contribuye en un ahorro (tiempo y ancho de banda) en
los proceso de actualización de alrededor de un 40%

Endpoint Protection Tech Check Page 5

Configuración de Hardware y Red

El servidor ePO de producción se ejecuta en un servidor virtual sobre el cual la recomendación es que se
manejen al menos cuatro (4) núcleos con una velocidad de 2.66 Ghz , 8 GB de RAM y 150Gb de espacio
en disco disponible en la misma máquina, durante la visita se validó que efectivamente los recursos
asociados al servidor en general están dentro de lo recomendado:

Con el consumo de recursos actual, las consultas y el manejo de la consola son BUENOS y el servidor se
encuentra en disposición de ejecutar tareas con alto consumo sin comprometer la usabilidad, ya que la
base de datos se encuentra dedicada para el servidor de ePO dentro del ambiente de producción.

Recientemente McAfee ha lanzado una utilidad de gestión del rendimiento llamada ePO Performance
Optimizer. Esta está disponible a través de una extensión, que permite al administrador una mayor
visibilidad de la capacidad y las características granulares de la infraestructura con respecto al consumo
de recursos y adelantarse a problemas de capacidad que se puedan presentar, esta aplicación requiere
de un usuario de base de datos diferente al actual con permisos especiales, para saber más información
por favor consulte la guía del producto.

Endpoint Protection Tech Check Page 6

Versiones de Software y Cumplimiento

Servicio Geológico Colombiano tiene configurado un servidor ePO en Versión 5.1.3, buscando siempre
opciones para migrar hacia los releases más actuales con el ánimo de aprovechar al máximo la
plataforma de gestión.

Se tienen actualmente licenciados 700 nodos de la suite Endpoint Protection Advanced (EPA) según
nuestros registros. En la revisión realizada se observan adicionalmente los nodos de los actuales clientes
de Xxxxx por lo que en los reportes aparecen aproximadamente 2000 máquinas en total.

El alcance de la revisión de este tech check se aplicó para la totalidad de las máquinas gestionadas por la
consola de ePO, para efectos de revisión de políticas, eventos de seguridad y salud del servidor. Para la
revisión de la preparación para migrar a Endpoint Security se tomaron en consideración únicamente las
máquinas de Servicio Geológico Colombiano, sin embargo, se dejó la herramienta lista para que, si se
desea, se pueda realizar este mismo análisis en la totalidad de las máquinas gestionadas, incluidas las de
los clientes.

Endpoint Protection Tech Check Page 7

McAfee ha reunido una consulta del entorno delas versiones actuales de los productos, que se muestra
a continuación, detallando el nivel de versión de todos los componentes instalados.

Esta información fue tomada en la fecha de la actividad y tiene probabilidad de cambio durante el
transcurso de este análisis.

Todas estas funcionalidades se encuentran administradas y desplegadas sobre un único agente y

consola conocida como ePolicy Orchestrator.

Existen suites modulares adicionales para el manejo de inteligencia contra amenazas avanzadas (Threat
Intelligence Exchange) y EDR (Endpoint Detection And Response) que permitirían ampliar la capacidad
actual de la solución y llevarlos cada vez más cerca de la implementación óptima de la visión “Endpoint
Dinámico”
McAfee estará a su completa disposición de proveer información necesaria a Servicio Geológico
Colombiano detallando cada uno de estos componentes y lo invita a visitar el siguiente enlace para
obtener más información:

https://www.youtube.com/watch?v=iFZ2n7QKADk

https://securingtomorrow.mcafee.com/executive-perspectives/dynamic-endpoint-things-simply-better-
together/

La mayoría de los puntos finales se encuentran ejecutando las siguientes versiones:

- McAfee Agent 5.0.5

- VirusScan Enterprise Version 8.8

Migración a ENS 10.5

McAfee cuenta con una herramienta diseñada para facilitar a nuestros clientes la tarea de migración de
versiones anteriores de producto, a nuestra nueva versión de protección de endpoint “Endpoint
Security”. A través del Endpoint Upgrade Assistant estamos en la capacidad de identificar fácilmente qué
tan preparado se encuentra un ambiente para realizar la migración, y cuál sería el esfuerzo requerido
para lograr el objetivo propuesto.

Esta herramienta se instaló en la consola durante la realización de este Tech Check y está disponible
para que Servicio Geológico Colombiano haga uso de ella libremente en la medida que requiera realizar
nuevos análisis de migración. El análisis mostrado a continuación se ejecutó únicamente sobre las
máquinas pertenecientes a Servicio Geológico Colombiano.

Endpoint Protection Tech Check Page 9

Los resultados del análisis nos muestran que el ambiente de Endpoint de Xxxxx está listo para empezar a
migrar sus máquinas hacia la nueva versión de Endpoint Security. Vemos que la gran mayoría de las
máquinas no requieren de ningún tipo de actualización y no presentan problemas de compatibilidad con
ENS 10.5.1. La pequeña porción de máquinas que aparecen en rojo, hace referencia a equipos donde no
se puede realizar la implementación de la solución, ya que el Sistema operativo no es compatible, o no
se cumple con los requerimientos mínimos de máquina. Los 2 nodos de la sección amarilla son máquinas
en donde se debe realizar primero el upgrade de un producto instalado en ellas para poder realizar el
upgrade.

Endpoint Protection Tech Check Page 10

En la pestaña de planeación vemos cuales son los pasos requeridos en cada uno de los grupos de la
gráfica para realizar la migración; nos indica cuántos son Servidores, cuántos Workstations y si es
requerida alguna re-instalación de producto o reinicio de máquina.

En resumen, se puede concluir que el proceso de migración a Endpoint Security 10.5.1 no será un
proceso que requiera un esfuerzo muy grande por parte de Servicio Geológico Colombiano y se
recomienda comenzar el despliegue de este en cuanto antes gracias a los beneficios que se obtienen
con la implementación de esta nueva versión.

Endpoint Protection Tech Check Page 11

Revisión de Operaciones de McAfee ePO
La siguiente lista documenta las observaciones y comentarios, para el entorno de protección de
endpoints de Servicio Geológico Colombiano.

A continuación, se presenta el tablero personalizado que fue obtenido durante el Tech Check para
resaltar el entorno operativo de la ePO:

Infraestructura de Repositorios
Un componente importante de cualquier ambiente ePO es la infraestructura de repositorios, la cual
soporta la distribución de contenido de seguridad. Esta infraestructura está compuesta por repositorios
bajo el rol de Super Agent (punto final ordinario con tareas administrativas adicionales). Como se
observa en el Dashboard, hay una porción de nodos cercana al 20% que no logran actualizar las últimas
definiciones de virus (archivo DAT). Esto se debe en la mayoría de los casos a que un solo servidor de
ePO no es suficiente para tener un cubrimiento total de la red; sobre todo cuando se tienen equipos en
diferentes ubicaciones geográficas. Con base en esto, queda a disposición de Servicio Geológico
Colombiano considerar la implementación de por lo menos un repositorio distribuido que ayude a
disminuir la carga sobre el servidor de ePO, sobre todo si se tiene pensado realizar un crecimiento en la
población de Endpoints y se manejan diferentes ubicaciones de protección para los diferentes clientes
que se gestionan desde la consola. Una buena práctica sería incluir un repositorio distribuido en cada
una de las sedes de los clientes que se gestionan de manera remota para asegurar que se tiene un
cubrimiento completo a nivel de actualizaciones y eventos.

Endpoint Protection Tech Check Page 12

Actualización del DAT
El componente más interesante del complemento de software anti-malware son los DAT o
actualizaciones porque es una buena medición que indica la salud de todo al ambiente. Los DAT se
distribuyen diariamente, incluso varias veces al día, McAfee está descubriendo miles de nuevas
amenazas maliciosas en cada uno. Por cada día que un sistema está fuera de cumplimiento el riesgo de
infección aumenta. Es por esto que se debe hacer un esfuerzo para aumentar el porcentaje de
endpoints con los DAT actualizados y monitorear que se esté llevando a cabo.

Servicio Geológico Colombiano tiene una distribución de DATs que muestra la presencia de dificultad de
algunas máquinas para comunicarse con el servidor de actualización de DAT:

Una buena práctica a considerar es la de reducir en la medida de lo posible el tiempo del intervalo de
comunicación entre los agentes y la consola, de tal manera que las tareas de actualización de definición
de virus se estén aplicando de manera más constante sobre las máquinas, y, en conjunto con la
implementación de los repositorios, se tenga una mejora en este indicador de actualización de DATs.

Adicionalmente se recomienda hacer una revisión de los Query ejecutados para realizar las tareas de
actualización con el fin de que estas alcancen un mejor espectro:

Endpoint Protection Tech Check Page 13

 “La tarea se debe configurar mediante la opción “Client Task” y el uso del árbol de sistema.”

ENS utiliza un archivo V3 DAT completamente nuevo para el motor de exploración avanzada de ENS. Los
últimos análisis evidencian que las máquinas ENS con los archivos v3 DAT tienen una mayor facilidad de
actualización que las máquinas que tienen el motor de VSE.

Puntos Finales “Muertos” y Rogue Systems

Al revisar los queries de los agentes, se observa que hay 34 equipos con Virus Scan que no se han
reportado en la ePO desde el mes de julio; Así como algunos que están apareciendo con 15 dias sin
comunicación con la consola. Es importante investigar el estado de estos Virus Scan y remediarlos de
manera continua.

Las causas podrían incluir:

- El Virus Scan ya no está en uso.

- El agente de software de McAfee ya no está funcionando

Al mismo tiempo es importante buscar “Rogue endpoints” al interior de la red. Son aquellos endpoints
que llegan a la red, pero no tienen un complemento de software de protección, y representan un alto
riesgo para la organización. Al tener la visibilidad de estos se incrementa la postura de seguridad de la
organización. Con esto se puede también tener visibilidad de otros problemas operacionales tales como
puntos de acceso inalámbricos no autorizados o el hecho de que los servidores de prueba se estén
añadiendo indiscriminadamente a la red de producción.

McAfee ePO incluye un componente denominado Rogue System Detection (RSD) que proporciona
visibilidad de los sistemas falsos/intrusos a través de las subredes de las organizaciones para vigilar a los
endpoints no verificados en ePO. El módulo está habilitado en la red de Servicio Geológico Colombiano,
pero no se cuenta aún con un despliegue importante de estos sensores. Se recomienda que se actualice
RSD a las últimas versiones, y se identifique donde hace más sentido tener desplegados estos sensores
en la red, uno o dos por sub red funcionan de manera adecuada. El equipo de Servicios Profesionales de
McAfee, puede ayudar con el despliegue de RSD y el proceso general de reducción de agentes muertos y
sistemas falsos/intrusos.

System Tree
El System Tree de ePO es un mecanismo que provee a los administradores la visibilidad de los puntos
finales bajo administración. Existen numerosas maneras de popular este elemento (asignación por IP,
Directorio Activo, consultas) y mantenerlo en el tiempo. El árbol puede ser organizado de varias
maneras por el administrador para realizar asignaciones de políticas, administración de tareas y
reportes.

La arquitectura actual de toda la organización del árbol está construida de manera manual. La
recomendación principal acá es complementar la labor del árbol de sistemas con la implementación de
etiquetado en las máquinas del entorno empresarial, y realizar la aplicación de políticas y tareas

Endpoint Protection Tech Check Page 14

basadas en este concepto, con el fin de optimizar la operación de la consola de ePO y las máquinas
administradas:

Se evidencia que se está utilizando la funcionalidad de etiquetado de McAfee ePO dentro del entorno de
Servicio Geológico Colombiano principalmente para clasificar los equipos Virus Scan dentro del árbol.
Con el fin de simplificar la configuración de tareas de despliegue de agentes. Actualmente las etiquetas
nos ayudan a diferenciar desktops, servers y laptops. La etiqueta de la herramienta de Upgrade assistant
por ejemplo, ayudaría a identificar con mayor facilidad las máquinas que requieran algún tipo de labor
antes de realizar la migración y configurar políticas y tareas de manera específica sin la necesidad de
mover estas máquinas de grupo en el Árbol de Sistemas.

Endpoint Protection Tech Check Page 15

Recomendaciones Generales
Firewall de Escritorio

Se recomienda consolidar la administración hacia una única consola mediante el despliegue de la última
versión de ENS 10.5 que adicionalmente ofrece las siguientes ventajas:

 Aislamiento de Conexión – Previendo que los puntos finales se conecten a redes cableadas e
inalambricas al mismo tiempo lo que introduce un vector de amenaza que puede ser utilizado
por actores maliciosos.
 Políticas por ubicación. Esto permite asignar políticas más “abiertas mientras un equipo se
encuentre dentro de las instalaciones y unas más agresivas cuando se encuentre por fuera de la
organización donde es más vulnerable.

Host Intrusion Prevention System for Desktop (HIPS)

McAfee Host Intrusion Prevention for Desktop protege las empresas frente a las amenazas complejas de
seguridad que pueden introducirse de manera no intencionada o por medio de los equipos de escritorio
y los portátiles.

Capas de protección impiden las intrusiones, protegen los activos y defienden de exploits conocidos y
nuevos, incluidos los ataques zero-day. La protección avanzada frente a los exploits dirigidos contra
vulnerabilidades nuevas permite a TI dedicar más tiempo a la planificación, las pruebas y la aplicación de
parches. Las actualizaciones de seguridad automáticas están dirigidas a vulnerabilidades concretas y
bloquean las amenazas emergentes.

McAfee quiere fomentar la utilización de esta solución mediante la integración de las funcionalidades de
HIPS con el agente de Endpoint Security, de tal forma que al implementar la última versión (10.5) se
podrá contar con la funcionalidad completa de protección de endpoint dentro de una sola plataforma

Endpoint Protection Tech Check Page 16

integrada, lo que significa menos soluciones discretas en los endpoints y menos tareas de actualización
de definición de amenazas.

Site Advisor/ Web Control

La funcionalidad de Site Advisor (Web Control, una vez se realice la migración a ENS 10.5) aporta un
valor fundamental a la estrategia de protección del endpoint, ya que más allá de que se utilicen sus
reglas para filtrar o no contenido, este módulo nos brinda un complemento importante a nivel de
visibilidad de cómo es el comportamiento de una amenaza en todo lo referente al vector web (De donde
vino, que páginas intenta acceder, cuáles son los comportamientos de los usuarios con respecto a
navegación), por lo que es muy recomendable mantener activa esta funcionalidad al interior del
endpoint, así sea únicamente en modo de escucha.

McAfee Labs Utilities

Servicio Geológico Colombiano no está al tanto de las diferentes herramientas de McAfee Labs como lo
es GetClean. Esta es una iniciativa de McAfee para minimizar los falsos positivos en las detecciones de
antivirus. El programa asocia los ejecutables de las imágenes de máquinas en limpio utilizadas en la
organización, para evitar que estos sean detectados como maliciosos, de igual manera, con la
implementación de ENS 10.5 se reducen de manera considerable los falsos positivos, gracias al nuevo
motor AMCore y sus funcionalidades avanzadas.

Para más información y otras herramientas de mucha utilidad pueden consultar:

https://kc.mcafee.com/corporate/index?page=content&id=KB73044

http://www.mcafee.com/au/downloads/free-tools/index.aspx

Endpoint Protection Tech Check Page 17

Políticas de Protección
Al revisar el catálogo de políticas de Servicio Geológico Colombiano se pudo evidenciar:

Se recomienda tener un esquema consistente de nomenclatura y control de versiones para las políticas.
Esto facilita la identificación y reconocimiento de las políticas antiguas, así como el determinar la función
de la política. Una práctica utilizada por algunos clientes es el finalizar el nombre de la política con un
número, de tal manera que cuando la van a modificar, la duplican e incrementan ese número,
generando la nueva política y manteniendo un método de versiones cambio a cambio.

En la gestión de las políticas, se evidencian Reglas de Protección de Acceso personalizadas, con el fin de
tener un conjunto de técnicas simples de comportamiento para frustrar algunos tipos de malware. Se ve
que se tienen en cuenta las recomendaciones dadas por McAfee en el documento llamado Combating
Ransomware - Rev J, que describe la manera en la que las reglas de protección de acceso pueden
obstaculizar las variantes de cryptolocker. Las reglas en uso deben ser revisadas considerando la
actividad reciente de ransomware. Una manera más óptima de realizar esta protección de Acceso es
mediante la implementación de la funcionalidad de “Dynamic Application Containment”, ya que así
podremos aplicar estas políticas restrictivas únicamente a los elementos cuya reputación sea
desconocida y no generar incompatibilidades con las aplicaciones que utilizan los usuarios en su día a
día. Esta funcionalidad hace parte del módulo de amenazas avanzadas de endpoint security, disponible
en las suites de complemento ETD o EDR y en las suites de endpoint CTP o CEB.

Adicionalmente se realizó durante la sesión la inclusión de la herramienta de migración automática de

políticas, lo que facilitará la transición hacia Endpoint Security 10, ya que elimina la necesidad de
reconfigurar manualmente las políticas de protección.

Endpoint Protection Tech Check Page 18

Postura de seguridad y gestión de alertas
A continuación, se muestra un cuadro de panel que incorpora una serie de consultas personalizadas
utilizadas durante la comprobación técnica para facilitar la conversación sobre la actividad de protección
contra malware y la eficacia de la seguridad.

Análisis de los informes de detección

Una revisión de las consultas de detección muestra actividad de detección irregular de malware, en
donde se tiene una cantidad desproporcionada de eventos de seguridad que no permiten la correcta
visualización del histórico de amenazas en el ambiente:

Endpoint Protection Tech Check Page 19

Al realizar una inspección más profunda sobre el principal pico de detecciones de malware, podemos
identificar que la gran mayoría de eventos están relacionados con la auto protección de los agentes de
McAfee, y vemos una solución de Dexon como el causante de estas alertas. Es importante realizar una
depuración de las políticas de protección o uso de este tipo de herramientas, ya que es muy difícil tener
visibilidad del comportamiento de las amenazas en el ambiente de Endpoints, y se puede estar expuesto
a amenazas avanzadas o dirigidas sin tener conocimiento.

Es importante también resaltar los diferentes métodos de detección que se han activado en el ambiente
de Xxxxx. El ejemplo anterior fueron detecciones realizadas únicamente con el análisis basado en firmas,
sin embargo, hay también presencia de detecciones realizadas con análisis heurístico desde la nube.
Este tipo de amenazas suelen ser amenazas más complejas que se le escapan al análisis de firmas y que
se pasan a la nube para ser analizadas como último recurso.

Es importante destacar que la mayoría de las detecciones son el resultado de la verificación frente a
firmas. Esto se debe principalmente que Xxxxx no cuenta con la última generación de protección de
punto final implementada, la cual posee herramientas de detección avanzadas según comportamiento,
algoritmos estadísticos basados en “Machine Learning” o inteligencia contra amenazas. Para descartar
la posibilidad de que la organización sea el objeto de ataques persistentes, sería muy bueno considerar
la inclusión de una herramienta de detección y remediación como McAfee Active response

Endpoint Protection Tech Check Page 20

Recomendaciones
A continuación, se documentan las recomendaciones realizadas por McAfee para mejorar el ambiente
de ePO en:

1. Servicio Geológico Colombiano debe realizar la migración a la nueva plataforma de seguridad

de punto final “Endpoint Security 10” para mantener la protección más avanzada y obtener
ventaja sobre las nuevas capacidades de detección en la versión 10.5 como lo son la Contención
Dinámica de Aplicaciones (Dynamic Application Containment – DAC), el módulo de análisis de
Machine Learning (Real Protect) o generar mucha más visibilidad y protección ante las últimas
amenazas avanzadas con el uso del Intercambio de Inteligencia contra Amenazas (Threat
Intelligence Exchange – TIE). McAfee recomienda un piloto de estas funcionalidades con una
muestra de 30 equipos.
2. Es importante realizar una depuración de los eventos de seguridad y afinar las políticas de
seguridad de tal manera que se pueda tener una visibilidad real del comportamiento de las
amenazas.
3. Las actuales reglas de protección de acceso (Access Control) pueden ser re-evaluadas una vez se
implemente la funcionalidad de DAC, ya que con DAC se tiene igual nivel de protección, pero
aplicada de una manera mucho más inteligente.
4. McAfee considera que la administación de la ePO podría ser más eficiente y menos propensa a
errores con la inclusión de una solución de EDR que permita tener visibilidad de los
compromisos reales de seguridad que se presentan en el ambiente de endpoint y poder tomar
acciones de remediación de manera remota.
5. Se aconseja considerar la inclusión de repositorios teniendo en cuenta:
a. Ancho de banda
b. Selección adecuada de equipos, tipo repositorio dedicado o SuperAgent, según su
capacidad, uso y disponibilidad
c. Cantidad de equipos y productos asociados
d. Tareas automáticas de Pull, Replication y Update
6. Se recomienda la inclusión de una solución especializada en la detección y remediación de
ataques persistentes debido al comportamiento de detecciones de amenazas tan irregular que
presenta xxxxx. De esta forma se puede descartar que un evento importante de brecha no
signifique una presencia persistente de atacantes en el ambiente de Endpoints.
7. Realizar y mantener las integraciones entre productos McAfee y adyacentes para mejorar los
niveles de detección y visibilidad.

Endpoint Protection Tech Check Page 21

Pasos a Seguir

El anterior es un roadmap básico de crecimiento sugerido desde McAfee. En rojo se encuentran las
soluciones con las cuales ya cuenta Xxxxx y hacia donde se puede crecer en los ámbitos de protección
contra amenazas avanzadas o herramientas de Administración o remediación.

ENS TechCheck Checklist

Las siguientes fueron las áreas revisadas por el personal de McAfee durante la actividad:

- Actual configuración de hardware y red

- Documentación de todas las versiones de software y niveles de parches de los componentes
Intel Security e infraestructura adyacente.
- Revisión de los siguientes mecanismos de operación:
- Infraestructura de repositorios
- Árbol de Sistema y “Tagging”
- Rogue System Detection
- Tareas del servidor y automatización
- Revisión de políticas para cada uno de los mecanismos de seguridad de punto final, incluyendo:
- Discusión sobre los tableros y reportes utilizados por los administradores de la plataforma para
evaluar la efectividad de las operaciones en ambiente.
- Discusión sobre los tableros y reportes utilizados por los administradores de la plataforma para
evaluar la eficacia en seguridad del ambiente
- de los casos abiertos de Soporte e inconvenientes relevantes

Endpoint Protection Tech Check Page 22

Contactos
Xxxxx:
Primary Technical & Business Contact:

Nombre Cargo Teléfono Email

David Báez Director de Servicios

Contactos McAfee:
Account Manager:

Nombre Cargo Teléfono Email

Armando Salcedo Inside Sales Representative

Ingeniería:

Nombre Cargo Teléfono Email

Javier Said Olivo Inside Sales Engineer

Endpoint Protection Tech Check Page 23

Recursos McAfee
Intel Security/McAfee Expert Center

https://community.mcafee.com/community/business/expertcenter/products

Intel Security/McAfee YouTube Channel

https://www.youtube.com/user/McAfeeTechnical

Intel Security/McAfee Labs Security Advisories (MTIS Alerts)

https://secure.mcafee.com/apps/mcafee-labs/signup.aspx

Intel Security/McAfee Support Notification Service (SNS Alerts)

https://sns.snssecure.mcafee.com/content/signup_login

Intel Security/McAfee Webcasts OnDemand

https://community.mcafee.com/groups/ww-support-webinar-central?view=overview

How to use ePO in a DMZ or NAT environment

https://kc.mcafee.com/corporate/index?page=content&id=KB59218

DB best practices

https://kc.mcafee.com/corporate/index?page=content&id=KB60021

SQL Best Practices

https://kc.mcafee.com/corporate/index?page=content&id=kb67184

Agent Handler in a DMZ

https://kc.mcafee.com/corporate/index?page=content&id=KB59218

https://www.youtube.com/watch?v=rI7fbPZaQNM

Endpoint Protection Tech Check Page 24