idc 实验室验证报告执行摘要：mcafee 集成威胁防御解决方案 · 第 5 页...

IDC 实验室验证报告执行摘要

由 McAfee 赞助 | 2017 年 3 月

McAFEE 集成威胁防御解决方案用于分析和防范高级威胁的必要功能

作者：Rob Ayoub，CISSP，IDC 安全产品团队

第 2 页


McAFEE 集成威胁防御解决方案

实验室验证报告执行摘要IDC 利用 McAfee 集成威胁防御解决方案，验证了五个关键用户案例场景：

4 通过动态终端防范零日恶意软件

4 防范“随看随下”下载勒索软件

4 经由应用程序控制防范服务器恶意软件

4 威胁追踪

4 借助 IPS 防范恶意软件

IDC 观点McAfee 集成威胁防御解决方案将集成的传感器、分析和情报组合为一个自动方案，抵御已知和未知的恶意软件。它为安全专业人员提供了 “检测、防御、保护和查找最新的不断变化的高级威胁所需的所有工具和自动化”。通过利用 McAfee 产品的 Threat Intelligence Exchange 和 Data Exchange Layer 功能，整个安全基础设施可以协作和自动化方式运转，一旦明确有威胁迹象，就会持续评估威胁并采取措施。

第 3 页



主要研究成果：检测并防止恶意零日恶意软件的扩散

IDC 推断：IDC 认为终端客户端提供的勒

索软件防范是易于部署和管理的。在整个场

景进行了大量自动化分析。

重点内容包括：

• McAfee Dynamic Endpoint Threat Defense

解决方案防范在系统上接收/安装的高级

恶意软件

• 解决方案自动分析可疑文件并生成攻陷

指标

• 具有特征码和行为分析功能的分析工具

(McAfee Advanced Threat Defense)

• 解决方案生成安全运营的切实可行的指标

• 解决方案通过单个控制台 (SIEM) 提供常见

的事件分类功能

第 4 页



主要研究成果：检测并防范“随看随下”下载的扩散

IDC 推断：在防范“随看随下”下载方面，

许多解决方案需要手动干预。McAfee 集成威胁

防御解决方案添加了大量对潜在危险情况的

自动评估和响应。


• McAfee Web Gateway 可防范通过鱼叉式

网络钓鱼传播的高级恶意软件

• 解决方案自动分析可疑文件并生成攻陷

指标

• 具有特征码和行为分析功能的分析工具

(McAfee Advanced Threat Defense)


• 解决方案提供常见的事件分类功能，可通

过单个控制台读取

第 5 页



IDC 推断：应用程序控制能够制定自动化策略，保护组织最敏感的资产 -

应用程序服务器。


• McAfee Dynamic Endpoint Threat Defense 解决方案可防止列入白名单的

服务器遭遇恶意软件

• 解决方案自动分析可疑文件并生成攻陷指标

• 具有特征码和行为分析功能的分析工具 (McAfee Advanced Threat Defense)


• 解决方案提供终端检测和响应功能

• 可从单个控制台进行读取的事件跟踪功能

主要研究成果：经由应用程序控制防范服务器恶意软件

第 6 页



主要研究成果：威胁追踪IDC 推断：恶意软件追踪成为事件响应中的关键组成部分。

各组织要负责了解事件的广度和范围。McAfee 集成威胁防御解

决方案提供丰富的搜索功能，可帮助分析师跟踪泄露程度。


• 解决方案可自动解析攻陷指标


• 解决方案提供常见的自动化事件分类功能，可通过单个控制

台读取

• 解决方案自动跨网络和终端防御分享情报

• 解决方案可自动搜索攻陷指标

• 解决方案可根据攻陷指标防范攻击

第 7 页



主要研究成果：IDC 推断：IDC 认为终端客户端提供的勒索软件防范是易于

部署和管理的。在整个场景进行了大量自动化分析。


• IPS 可防范通过鱼叉式网络钓鱼传播的高级恶意软件

• 解决方案可分析可疑文件并生成攻陷指标

• 具有特征码和行为分析功能的分析工具 (McAfee Advanced

Threat Defense)



• 解决方案提供常见的自动化事件分类功能，可通过单个控制

台读取

• 解决方案在分析工具和 EDR 工具之间提供工作流集成功能

• 解决方案在网格和分析工具之间提供工作流集成功能

• 解决方案在分析工具和 SIEM 之间提供工作流集成功能

• 解决方案提供远程补救功能

• 解决方案修改网络和终端安全性，防范未来同一媒介上的

攻击

借助 IPS 防范恶意软件

第 8 页



验证过程IDC 在 McAfee 位于荷兰的实验室执行了验证。试验台由丰富的 McAfee 产品构成，包括 IPS、 SIEM、终端、服务器、Secure Web Gateway、Advanced Threat Defense 和 Threat Intelligence Exchange。每个功能使用不同的配置和试验台环境独立进行了验证。

IDC 实验室验证方法

该实验室验证简介概述了 IDC 与供应商团队合作执行的广泛验证过程。IDC 依靠供应商的设备、设施和配置来执行验证。所有试验都在有一个或多个 IDC 分析师在场的情况下

执行。

该简介意在为 IT 专业人员和企业决策者提供一些简短的推断，满足他们对该简介中所验证产品和/或服务的功能执行进一步严格评估的需求。但本简介的目标不是提供详细的动

手试验计划以及验证工作。它只是用来取代一种评估流程，大多数企业在决定购买产品和/或服务之前往往要执行这种流程。

因此，本简介并非有关产品所有功能的详尽文档，只是一份简短文档，重点介绍产品特性/功能，其与传统环境相比的相对性能以及这些功能对于期望解决 Hadoop 工作负载特

定问题的企业的价值。

最后，尽管本简介是受赞助的文档，但并不意味着 IDC 认可产品、服务或提供赞助的供应商。IDC 的意见属于自己的观点，不受本文档产生方式的影响。

第 9 页



验证试验台该表格提供了验证的每种功能的试验环境详细信息摘要。

威胁防御功能

验证的威胁防御步骤数自动化程度集成 DXL 产品组件：

攻击检测和初始抑制 3 100% 是 • McAfee Endpoint Security (ENS 10.2)

4 100% 是 • McAfee Network Security Platform (NSP 8.3.7.7)

4 100% 是 • McAfee Web Gateway (MGW 7.6.2.6)

威胁情报验证 4 75% 是 • McAfee Threat Intelligence Exchange (TIE 2.0.1)

• McAfee Global Threat Intelligence

爆发分析 7 100% 是 • McAfee Advanced Threat Defense (ATD 3.8)

历史记录分析（范围）和响应 4 75% 是 • McAfee Enterprise Security Manager (ESM 9.6 (10.0))

2 50% 是 • McAfee Active Response (MAR 1.1.0)

第 10 页



给买家的建议：有几个核心问题一直让 CISO 夜不能寐。对于所有组织，无论大小，都面

临着这几个最大挑战：不断变化的攻击格局、组织因为安全问题登上头条的风险、难以寻

找和留住合格安全人才。

但企业不能停滞不前，必须采取行动。克服这些挑战的办法是通过集成的方法来增大安全的深度，这种方法持续监控、分析，防

范所有媒介上的已知和未知攻击。此外，该解决方案必须提供界面和搜索功能，让分析师可以将其工作中最为基本的组件自动

化，具备所需的工具发现潜在的泄露，确定是否发生了泄露，评估事件的波及范围并进行补救。

克服这些挑战的解决方案不能只是针对给定攻击媒介的最佳解决方案，而是要能快速跨各种攻击平台生效。能够帮助 CISO 安心

无忧的解决方案必须跨整个基础设施集成 - 物理、虚拟和云端。解决方案必须能下至终端“洞悉”整个网络。它必须能在文件被

下载并在网络上移动时提供相关历史记录。没有单一解决方案可提供所有必要的功能来应对如今的威胁格局。

通信和信息传播也是解决 CISO 最关注的问题的关键功能。集成解决方案中的所有组件必须能够快速而自动地将信息传达给安全

分析师以及网络中的其他组成部分。这是阻止威胁而不必依赖缓慢而繁琐的手动干预的唯一途径。

必要指导

第 11 页



McAfee 集成威胁防御解决方案可以克服上述所有挑战。它将集成的传感器、分析和情报组合为一个自动方案，抵御已知和未知

的恶意软件。启用 McAfee Data Exchange Layer 的实验室在平均 8 分钟的精心设计的威胁响应期间完成集成和自动化

• 25 个不同的威胁分类步骤

• 3 个威胁防范平台 - 终端、Web 和网络安全 - 涵盖文件、应用程序、Web 和网络威胁媒介

• 3 个安全分析引擎 - McAfee Active Response、Enterprise Security Manager 和 Advanced Threat Defense - 涵盖实时、历史和深

度恶意软件分析

• 9 种不同的威胁情报检查

解决方案跨整个基础设施提供策略指导的防护。它以自动方式评估潜在恶意文件，并决定这些文件是否造成威胁并适当对这

些文件进行补救。McAfee 集成解决方案为安全分析师提供丰富的调查工具，用来深入调查自己的网络，让他们能够了解攻陷

指标 (IoC) 以及攻击者在寻找窃取目标时留下的蛛丝马迹。McAfee 集成威胁防御解决方案旨在为安全团队提供强力辅助。很

少有供应商涵盖的深度能够企及 McAfee，对于安全团队面对的各种情况，集成系统的优势显而易见。

必要指导（续）

idc 实验室验证报告执行摘要：mcafee 集成威胁防御解决方案 · 第 5 页...

Documents