Host Based Security System

Das Herzstück von HBSS ist die McAfee ePolicy Orchestrator (ePO) Management Engine. Die McAfee-Tools sind verantwortlich für:

  • Bereitstellung eines konsistenten Frontends für die Point-Produkte
  • Konsolidierung von Point-Produktdaten zur Analyse
  • Präsentation von Point-Produktberichten
  • Verwaltung der Point-Produkt-Updates und -kommunikation
  • Sicherstellen der Einhaltung von Anwendungspatches

McAfee point productsEdit

McAfee betrachtet ein Point-Produkt die einzelnen Softwareanwendungen, die vom ePO-Server gesteuert werden. Die HBSS Point-Produkte bestehen aus den folgenden Komponenten:

  • Host Intrusion Prevention System (HIPS)
  • Policy Auditor (PA)
  • Assets Baseline Module (ABM)
  • Rogue System Detection (RSD)
  • Device Control Module (DCM)
  • Asset Publishing Service (APS)

Host Intrusion Prevention systemEdit

Das (HIPS) besteht aus einer hostbasierten Firewall und einer Blockierung auf Anwendungsebene, die in einem einzigen Produkt zusammengefasst sind. Die HIPS-Komponente ist eine der wichtigsten Komponenten des HBSS, da sie die Möglichkeit bietet, bekannte Angriffssignaturen zu blockieren und nicht autorisierte Dienste und Anwendungen einzuschränken, die auf den Hostcomputern ausgeführt werden.

Policy auditorEdit

Policy Auditor (PA) wurde in HBSS Baseline 2.0 eingeführt. Policy Auditor ist verantwortlich für die Einhaltung von Mandaten wie: Payment Card Industry Data Security Standard (PCI DSS), Sarbanes–Oxley Act von 2002 (SOX), Gramm–Leach–Bliley Act von 1999 (GLBA), Health Insurance Portability and Accountability Act von 1996 (HIPAA), Federal Information Security Management Act von 2002 (FISMA) sowie die Best Practice Frameworks ISO 27001: 2005 und Kontrollziele für Informations- und verwandte Technologien (COBIT). McAfee Policy Auditor ordnet IT-Kontrollen vordefinierten Richtlinieninhalten zu und hilft Ihnen dabei, konsistente und genaue Berichte zu wichtigen Branchenmandaten und internen Richtlinien in Ihrer gesamten Infrastruktur oder auf bestimmten Zielsystemen zu erstellen. Policy Auditor ist eine agentenbasierte IT-Audit-Lösung, die das Security Content Automation Protocol (SCAP) nutzt, um die für interne und externe IT-Audits erforderlichen Prozesse zu automatisieren.

Assets baseline moduleEdit

Das Assets Baseline Modul, veröffentlicht in Baseline 1.0 als GOTS-Produkt (Government Off-the-Shelf) wird verwendet, um Systembasiskonfigurationen und -änderungen zu adressieren, um auf Änderungen der Information Operations Condition (INFOCON) (INFOCON) zu reagieren, die in Zeiten erhöhter Sicherheitsbedrohungen für das System erforderlich sind. Während der anfänglichen Bereitstellungsphasen von HBSS war das Assets-Modul schwach und es fehlten viele der für das Produkt vorgesehenen Funktionen. Die Anwendung hat sich jedoch vollständig zu einer robusten und funktionsreichen Version entwickelt, die in der Lage ist, die Designziele der ursprünglichen Software zu erreichen. ABM war ursprünglich als Assets 1.0 bekannt. Es wurde in HBSS Baseline 2.0 auf Assets 2.0 aktualisiert. Später hieß es Assets 3000 in HBSS Baseline 3.0.

Rogue System detectionEdit

Die Komponente Rogue System Detector (RSD) von HBSS dient zur Echtzeit-Erkennung neuer Hosts, die mit dem Netzwerk verbunden sind. RSD überwacht Netzwerksegmente und meldet alle im Netzwerk gesehenen Hosts an den ePO-Server. Der ePO-Server stellt dann fest, ob das System mit dem ePO-Server verbunden ist, ein McAfee-Agent installiert ist, als Ausnahme identifiziert wurde oder als Rogue gilt. Der ePO-Server kann dann die entsprechenden Maßnahmen in Bezug auf den Rogue-Host ergreifen, wie in der RSD-Richtlinie angegeben. HBSS Baseline 1.0 eingeführt RSD 1.0. RSD wurde in HBSS Baseline 2.0 auf 2.0 aktualisiert.

Device Control module/data loss preventionEdit

Die DCM-Komponente von HBSS wurde in HBSS Baseline 2.0 speziell für die Verwendung von USB-Geräten in DOD-Netzwerken eingeführt. JTF-GNO CTO 09-xxx, removable flash media device implementation within and between Department of Defense (DOD) networks was released in March, 2009 und erlaubte die Verwendung von USB-Wechselmedien, vorausgesetzt, es erfüllt alle im CTO angegebenen Bedingungen. Eine dieser Bedingungen erfordert die Verwendung von HBSS mit installiertem und konfiguriertem DCM-Modul zur Verwaltung der an das System angeschlossenen USB-Geräte. Das DCM wurde in HBSS Baseline 3.0 MR3 in Data Loss Prevention (DLP) umbenannt.

Assets Publishing serviceEdit

Der Assets Publishing Service (APS) von HBSS wurde in HBSS Baseline 4.0 eingeführt, um Enklaven zu ermöglichen, Asset-Informationen in einem standardkonformen Format an eine DoD-Entität eines Drittanbieters zu melden. Es fügt HBSS-Assets Kontextinformationen hinzu und ermöglicht verbesserte Berichtsfunktionen für Systeme, die auf HBSS-Daten basieren.

admin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.