IDC 一共验证了五个使用迈克菲集成威胁防御解决方案的用户示例场景:
通过动态端点技术防御零日恶意软件
勒索软件驱动下载保护
通过应用控制功能防范针对服务器的恶意软件
猎捕威胁
通过 IPS 防御恶意软件
IDC 观点
迈克菲集成威胁防御解决方案将集成的传感器、分析和情报融合入一个自动化的编制流程来阻挡已知和未知恶意软件。它为安全人员提供了检测、防范以及发现最新、不断变化的高级威胁所需的所有工具和自动化功能。借助迈克菲威胁情报交换系统 (TIE) 和数据交换层 (DXL),整体安全基础架构能够以一种自动且相互协作的方式工作,以持续一致地对威胁进行评估,并当有充足证据证明是恶意威胁时采取行动。
场景一:检测并阻止零日恶意软件的传播
IDC 论断:IDC 认为由端点客户端提供的针对勒索软件的防护措施比较易于部署和管理。本场景中有大量的自动化分析。
主要亮点:
迈克菲动态端点技术可以防御接收到的或在系统中安装的恶意软件
迈克菲解决方案能够自动分析可疑文件并生成攻陷指标 (IoC)
迈克菲分析工具 (ATD) 拥有特征码和行为分析功能
迈克菲解决方案能够为安全运营人员提供可行的指标
迈克菲解决方案能够通过一个单一控制台 (SIEM) 提供常规事件分类功能
场景二:检测通过下载带来的威胁并阻止其扩散
IDC 论断:在防御通过下载带来的威胁这一用例中,许多解决方案都需要人工介入。而迈克菲集成的威胁防御解决方案则通过大量的自动化评估和响应措施来应对这一可能存在危险的情况。
主要亮点:
迈克菲 Web 安全网关能够防御通过鱼叉式网络钓鱼攻击带来的高级恶意软件
迈克菲解决方案能够自动分析可疑文件并生成攻陷指标 (IoC)
迈克菲分析工具 (ATD) 拥有特征码和行为分析功能
迈克菲解决方案能够为安全运营人员提供可行的指标
迈克菲解决方案能够通过一个单一控制台提供常规事件分类功能
场景三:通过应用程序控制功能防范针对服务器的恶意软件
IDC 论断:应用程序控制功能允许设置自动的策略,保护组织最敏感的资产——应用程序服务器。
主要亮点:
迈克菲动态端点技术能够保护列入白名单的服务器,远离恶意软件
迈克菲解决方案能够自动分析可疑文件并生成攻陷指标 (IoC)
迈克菲分析工具 (ATD) 拥有特征码和行为分析功能
迈克菲解决方案能够为安全运营人员提供可行的指标
迈克菲解决方案能够提供端点检测和响应功能
通过一个控制台提供事件分类功能
场景四:猎捕威胁
IDC 论断:恶意软件猎捕功能正在成为事件响应的关键组件。组织需要了解事件的广度和范围。迈克菲集成威胁防御解决方案则通过广泛的搜索功能来协助分析人员追踪安全事件的程度。
主要亮点:
迈克菲解决方案能够自动解析攻陷指标 (IoC)
迈克菲解决方案具备端点检测和响应功能
迈克菲解决方案能够通过一个控制台提供常规事件分类功能
迈克菲解决方案可在网络和端点防御中自动共享情报
迈克菲解决方案能够自动搜索攻陷指标 (IoC)
迈克菲解决方案能够够基于攻陷指标来防御攻击
场景五:借助 IPS 防范恶意软件
IDC 论断:IDC 认为由端点客户端提供的针对勒索软件的防护措施比较易于部署和管理。本场景中有大量的自动化分析。
主要亮点:
IPS 能够防御通过鱼叉式网络钓鱼攻击带来的高级恶意软件
迈克菲解决方案能够自动分析可疑文件并生成攻陷指标 (IoC)
迈克菲分析工具 (ATD) 拥有特征码和行为分析功能
迈克菲解决方案能够为安全运营人员提供可行的指标
迈克菲解决方案具备端点检测和响应功能
迈克菲解决方案能够通过一个控制台提供常规事件分类功能
迈克菲解决方案提供分析工具和 EDR 工具之间的工作流集成功能
迈克菲解决方案提供 Web 网关和分析工具之间的工作流集成功能
迈克菲解决方案提供分析工具和 SIEM 之间的工作流集成功能
迈克菲解决方案具备远程补救功能
迈克菲解决方案可以适应网络和端点安全,以防范未来针对同一目标的攻击
验证测试内容
用户指南
给用户的建议:每个 CISO 都有一些让自己夜不能寐的问题。不断变化的攻击态势、遭遇威胁攻击而成为新闻头条的可能性、难以找到并留住专业安全人员等,这些都是所有组织面临的主要挑战,无论规模如何。
然而,业务不能中断,而且也不能什么都不做。要解决这些挑战,企业需要一个能够提供深度安全防护的集成方法,可以持续一致地监控、分析和防御来自各个源头的已知和未知攻击。此外,这一解决方案还必须能够提供一个平台和搜索功能,使分析人员能够将他们大部分的基本工作进行自动化,发现潜在的安全风险;确定是否发生安全事故,评估其影响力以及进行补救。
能够解决上述挑战的解决方案并不仅是针对某一攻击的最好的解决方案,而是能够快速有效地应对各种类型的攻击。该解决方案必须是覆盖整个基础设施(物理、虚拟和云)的集成解决方案,让 CISO 能够高枕无忧。该解决方案还必须能够“看到”整个网络及端点的状况。它还必须能够提供所下载文件的历史信息及它们在网络中移动的轨迹。当今,没有任何一款单点解决方案能够提供可以解决以上安全挑战的所有功能。
沟通和信息传播也是解决 CISO 头等问题所必需的一部分。这一集成解决方案中的所有组件必须能够快速和自动地将信息传递给安全分析员和网络中的其它组件。这也是无需介入缓慢而繁琐的人工调查就能阻止威胁的唯一途径。
迈克菲集成威胁防御解决方案则能解决以上提到的所有挑战。它将集成的传感器、分析和情报融入一个自动化的编制流程中来阻挡已知和未知恶意软件。McAfee DXL 还能够让实验室在平均 8 分钟的编制威胁防御中进行集成和自动化:
25 个不同的威胁步骤
3 个威胁防护平台——端点、Web 和网络安全——覆盖文件、应用程序、Web 和网络威胁等方面
3 个安全分析引擎——MAR、ESM 和 ATD——提供实时、历史性的深度恶意软件分析
9 个不同的威胁情报检查
迈克菲解决方案提供针对整个基础设施的由策略指导的安全防护。它采取自动化的操作来评估潜在恶意的文件,确定它们是否会构成威胁,并进行相应的补救。迈克菲集成解决方案为安全人员提供大量的调查工具,使他们能够深入了解网络、攻陷指标 (IoC) 以及攻击者在试图窃取重要数据时可能留下的痕迹。迈克菲集成威胁防御解决方案旨在增强安全团队的能力。目前极少有厂商能够提供迈克菲所能提供的防护深度,并且当面临若干不同的安全威胁时,用户更能体会到迈克菲集成解决方案所能带来的好处。
验证流程
IDC 是在迈克菲位于荷兰的实验室中进行的解决方案验证。参与测试的迈克菲产品包括 IPS、SIEM、端点安全、服务器安全、安全 Web 网关、ATD 和 TIE。每个功能都是使用不同的配置和测试环境进行独立验证。
IDC 实验室验证方法
本实验室验证说明文档采用了多个验证流程,由 IDC 和厂商团队共同执行。IDC 使用厂商的设备、设施和配置来执行此验证。所有测试都是由一位或多个 IDC 分析员执行。
本说明文档旨在为 IT 人员和业务决策者们提供有关他们想要了解的产品和/或服务的验证结果,以及得出的结论和见解。然而,该文档的目的不是提供动手测试计划和验证工作;也不是为了替换大多数企业在决定购买产品和/或服务之前所执行的验证流程。
基于此,本文档并不是针对所测试产品的所有功能的详细文档,而是一个简要的说明文档,说明所测试产品的特点/功能、它们在传统环境中的性能,以及这些功能给那些寻求相应解决方案的企业和组织带来的价值。
最后,虽然本文档是个厂商赞助文档,但并不意味这是 IDC 对该产品、服务或赞助商的背书。IDC 的观点仅代表自己的意见,不受该文档的影响
