resumo executivo do relatório de validação em laboratório ...€¦ · de aplicativos 4 caça a...

Relatório de validação em laboratório da IDC, resumo executivo

Patrocinado pela McAfee | Março de 2017

SOLUÇÃO DE DEFESA INTEGRADA CONTRA AMEAÇAS DA McAFEE

Capacidades essenciais para análise e proteção contra ameaças avançadas

Por Rob Ayoub, CISSP da equipe de produtos de segurança da IDC

pág. 2

SOLUÇÃO DE DEFESA INTEGRADA CONTRA AMEAÇAS DA McAFEEResumo executivo do relatório de validação em laboratório da IDC

Resumo executivo do relatório de validação em laboratório da IDCA IDC validou cinco cenários de caso de uso relevantes que aproveitam a solução de defesa integrada contra ameaças da McAfee:4 Proteção contra malware de dia zero com endpoint dinâmico

4 Proteção contra downloads de passagem utilizados por ransomware

4 Proteção contra malware de servidor por meio do controle de aplicativos

4 Caça a ameaças

4 Proteção contra malware com IPS

Opinião da IDCA solução de defesa integrada contra ameaças da McAfee combina inteligência, análises e sensores integrados em uma orquestração automatizada para combater malware conhecido e desconhecido. Ela oferece aos profissionais de segurança todas as ferramentas e a automação necessárias para detectar, localizar e proteger contra as mais recentes ameaças avançadas e em constante evolução. Aproveitando o McAfee Threat Intelligence Exchange e as capacidades de Data Exchange Layer dos produtos McAfee, toda a infraestrutura de segurança pode operar de uma maneira coordenada e automatizada, constantemente avaliando e reagindo a ameaças tão logo fique claro que há uma evidência.

pág. 3


Descoberta-chave: detectar e prevenir a disseminação de malware malicioso de dia zero Inferência da IDC: a IDC

considerou que a proteção contra ransomware proporcionada pelo cliente endpoint foi fácil de distribuir e de administrar. Houve muita análise automatizada dentro desse cenário.

Os destaques incluem: • A solução McAfee Dynamic Endpoint

Threat Defense evita que o malware avançado seja entregue / instalado no sistema

• A solução analisa automaticamente arquivos suspeitos e produz indicadores de comprometimento

• As ferramentas do McAfee Advanced Threat Defense têm capacidades de análise comportamental e de assinaturas

• A solução produz indicadores decisivos para as operações de segurança

• A solução oferece a capacidade de triagem de incidentes comuns em um único console (SIEM)

pág. 4


Descoberta-chave: disseminação de um download de passagem detectada e evitada

Inferência da IDC: no caso da prevenção de downloads de passagem, muitas soluções exigem intervenção manual. A solução de defesa integrada contra ameaças da McAfee agrega muita avaliação e resposta automatizada a uma situação potencialmente perigosa.

Os destaques incluem: • O McAfee Web Gateway pode

evitar que o malware avançado seja entregue via spear phishing




• A solução oferece uma capacidade de triagem de incidentes comuns, visualizável em um único console

pág. 5


Descoberta-chave: proteção contra malware de servidor por meio do controle de aplicativos

Inferência da IDC: o controle de aplicativos permite estabelecer políticas automatizadas que protejam os ativos mais suscetíveis da organização – os servidores de aplicativos.

Os destaques incluem: • A solução McAfee Dynamic Endpoint Threat Defense pode

proteger contra software malicioso os servidores incluídos em uma lista branca




• A solução oferece capacidades de detecção e resposta para endpoints

• Capacidade de triagem de incidentes, visualizável em um único console

pág. 6


Descoberta-chave: caça a ameaçasInferência da IDC: a caça ao malware está se tornando um componente crítico da resposta a incidentes. O ônus de compreender a variedade e o escopo dos incidentes está recaindo sobre as organizações. A solução de defesa integrada contra ameaças da McAfee oferece uma variedade de funcionalidades de pesquisa para auxiliar os analistas no rastreamento da extensão de uma violação.

Os destaques incluem: • A solução pode analisar indicadores

de comprometimento automaticamente


• A solução oferece uma capacidade de triagem de incidentes comuns, automatizada e visualizável em um único console

• A solução compartilha inteligência automaticamente entre defesas de rede e de endpoint

• A solução pode procurar indicadores de comprometimento automaticamente

• A solução pode prevenir ataques com base em indicadores de comprometimento

pág. 7


Descoberta-chave: proteção contra malware com IPS Inferência da IDC: a IDC considerou que a proteção contra

ransomware proporcionada pelo cliente endpoint foi fácil de distribuir e de administrar. Houve muita análise automatizada dentro desse cenário.

Os destaques incluem: • O IPS pode evitar que o malware avançado seja entregue via spear

phishing

• A solução pode analisar arquivos suspeitos e produzir indicadores de comprometimento




• A solução oferece uma capacidade de triagem de incidentes comuns, automatizada e visualizável em um único console

• A solução oferece uma capacidade de integração de fluxos de trabalho entre ferramentas de análise e ferramentas de detecção e resposta para endpoints (EDR)

• A solução oferece uma capacidade de integração de fluxos de trabalho entre ferramentas de análise e gateway de Web

• A solução oferece uma capacidade de integração de fluxos de trabalho entre ferramentas de análise e SIEM

• A solução oferece uma capacidade de correção remota

• A solução adapta a segurança de rede e de endpoint para prevenir ataques futuros no mesmo vetor

pág. 8


Processo de validaçãoA IDC realizou a validação no laboratório da McAfee na Holanda. O objeto do teste consistiu em uma ampla variedade de produtos da McAfee, incluindo IPS, SIEM, para endpoint, para servidor, Secure Web Gateway, Advanced Threat Defense e Threat Intelligence Exchange. Cada recurso foi validado independentemente utilizando ambientes com configurações e objetos de teste diferentes.

Metodologia de validação em laboratório da IDC

Este resumo de validação em laboratório sumariza um amplo processo de validação realizado pela IDC em colaboração com as equipes do fornecedor. A IDC baseou-se nos equipamentos, instalações e configuração do fornecedor para fazer essa validação. Todos os testes foram realizados na presença de um ou mais analistas da IDC.

Este resumo pretende oferecer um breve conjunto de inferências e insights para profissionais de TI e tomadores de decisões de negócios que queiram realizar diligências adicionais quanto às capacidades dos produtos e/ou serviços que foram validados neste resumo. No entanto, o objetivo deste resumo não é fornecer trabalhos de validação e planos práticos de testes detalhados. Ele não se destina a substituir o processo de validação que a maioria das empresas realiza antes de tomar qualquer decisão de compra de produtos e/ou serviços.

É por esse motivo que este resumo não foi concebido para ser um documento abrangente sobre todas as capacidades do produto, mas como um documento conciso que destaque os recursos e as funções dos produtos, seu desempenho em relação a um ambiente tradicional e o valor que esses recursos agregam para empresas que queiram resolver determinados problemas com cargas de trabalho Hadoop.

Enfim, muito embora este resumo seja um documento patrocinado, isso não significa que se trate de um endosso, por parte da IDC, do produto, serviço ou fornecedor patrocinador. As opiniões da IDC são independentes e não são influenciadas pela produção deste documento.

pág. 9


Objeto do teste de validação Esta tabela resume detalhes do ambiente de teste para cada recurso validado.

Função de defesa contra ameaças

N° de etapas de defesa contra

ameaças validadas

Nível de automação

Integração com DXL

Componentes do produto:

Detecção do ataque e contenção inicial 3 100% Sim • McAfee Endpoint Security (ENS 10.2)

4 100% Sim • McAfee Network Security Platform (NSP 8.3.7.7)

4 100% Sim • McAfee Web Gateway (MGW 7.6.2.6)

Validação da inteligência contra ameaças 4 75% Sim • McAfee Threat Intelligence Exchange (TIE 2.0.1)

• McAfee Global Threat Intelligence

Análise de deflagração 7 100% Sim • McAfee Advanced Threat Defense (ATD 3.8)

Análise histórica (escopo) e resposta 4 75% Sim • McAfee Enterprise Security Manager (ESM 9.6 (10.0))

2 50% Sim • McAfee Active Response (MAR 1.1.0)

pág. 10


Recomendação aos compradores: existem vários problemas fundamentais que tiram o sono dos CISOs. O cenário de ataques em constante mudança, a possibilidade de sua organização aparecer nas manchetes e a dificuldade de encontrar e reter talentos com qualificação em segurança são os principais desafios para todas as organizações, grandes ou pequenas. Porém, assim como os negócios não podem parar, as organizações não podem se omitir e nada fazer. A resposta a esses desafios é aumentar a profundidade da segurança com uma abordagem integrada de constante monitoramento, análise e proteção contra ataques conhecidos e desconhecidos em todos os vetores. Além disso, essa solução precisa oferecer uma interface e capacidades de pesquisa que permitam aos analistas automatizar os componentes mais básicos de seu trabalho, proporcionando-lhes as ferramentas necessárias para descobrir violações em potencial, determinar se houve uma violação, avaliar qual pode ser a extensão de um incidente e fazer a correção.

A solução que enfrenta todos esses desafios não deve ser apenas a melhor solução para um determinado vetor de ataque, mas também precisa ser eficaz rapidamente e em uma ampla variedade de plataformas de ataque. A solução que ajuda os CISOs a dormir melhor precisa estar integrada na infraestrutura como um todo – física, virtual e na nuvem. A solução precisa “enxergar” toda a rede, chegando até o endpoint. Ela precisa ser capaz de mostrar um histórico dos arquivos transferidos por download e movimentados pela rede. Nenhuma solução isolada pode oferecer toda a funcionalidade necessária para lidar com o atual cenário de ameaças.

A disseminação da comunicação e da informação também são recursos essenciais necessários para atender às principais preocupações de um CISO. Todos os componentes de uma solução integrada precisam ser capazes de transferir informações, rápida e automaticamente, para analistas de segurança e para outros componentes da rede. Essa é a única maneira pela qual as ameaças podem ser detidas sem recorrer a investigações manuais, lentas e complicadas.

Orientação essencial

pág. 11


A solução de defesa integrada contra ameaças da McAfee resolve todos os desafios apresentados acima. Ela combina inteligência, análises e sensores integrados em uma orquestração automatizada para combater malware conhecido e desconhecido. O laboratório, com a ajuda do McAfee Data Exchange Layer, oferece integração e automatização dos elementos seguintes, com um tempo de resposta orquestrada de oito minutos, em média.

• 25 etapas de triagem de ameaças diferentes

• Três plataformas de proteção contra ameaças - segurança de endpoint, de Web e de rede - abrangendo os vetores de ameaças de arquivo, aplicativo, Web e rede

• Três mecanismos analíticos de segurança - McAfee Active Response, Enterprise Security Manager e Advanced Threat Defense - abrangendo análises de malware em tempo real, históricas e detalhadas

• Nove verificações diferentes de inteligência contra ameaças

A solução oferece proteção orientada por políticas para toda a infraestrutura. Ela emprega ações automáticas para avaliar arquivos potencialmente maliciosos, determinar conclusivamente se esses arquivos constituem uma ameaça e corrigir devidamente esses arquivos. A solução integrada da McAfee oferece um rico conjunto de ferramentas investigativas para os analistas de segurança utilizarem em um exame detalhado de suas redes – o que lhes permite compreender os indicadores de comprometimento (IoCs) e os rastros possivelmente deixados pelo atacante em sua busca por dados importantes a serem roubados. A solução de defesa integrada contra ameaças da McAfee foi desenvolvida para complementar a equipe de segurança. Poucos fornecedores têm a profundidade de cobertura oferecida pela McAfee e as vantagens de um sistema integrado são evidentes quando se observa a variedade de cenários enfrentados pelas equipes de segurança.

Orientação essencial (continuação)

resumo executivo do relatório de validação em laboratório ...€¦ · de aplicativos 4 caça a...

Documents