McAFEE-LÖSUNG FÜR INTEGRIERTE BEDROHUNGSABWEHR

Transkript

1 McAFEE-LÖSUNG FÜR INTEGRIERTE BEDROHUNGSABWEHR Unverzichtbare Funktionen zur Analyse und Abwehr hochentwickelter Bedrohungen Rob Ayoub, CISSP, IDC Security Products Team Unterstützt von McAfee März 2017

2 Kurzfassung des Testberichts IDC testete die Leistung der McAfee- Lösung für integrierte Bedrohungsabwehr in fünf häufigen Anwendungsszenarien: 4 Schutz vor Zero-Day-Malware mit der dynamischen Abwehr von Endgerätebedrohungen 4 Schutz vor Ransomware-Drive-by-Downloads 4 Malware-Schutz für Server mithilfe von Anwendungskontrolle 4 Bedrohungssuche 4 Malware-Schutz mithilfe von IPS Einschätzung von IDC Die McAfee-Lösung für integrierte Bedrohungsabwehr kombiniert integrierte Sensoren, Analysen und Bedrohungsdaten zu einer automatisierten sowie koordinierten Lösung, die bekannte ebenso wie unbekannte Malware abwehrt. Mit dieser Lösung erhalten Sicherheitsexperten alle Tools und Automatisierungsmöglichkeiten, die sie zur Erkennung, Beseitigung und Abwehr der neuesten, wandlungsfähigen und hochentwickelten Bedrohungen benötigen. Dank der McAfee-Produktkomponenten Threat Intelligence Exchange und Data Exchange Layer kann die gesamte Sicherheitsinfrastruktur koordiniert und automatisiert agieren, kontinuierlich Analysen durchführen und Maßnahmen bei Bedrohungen ergreifen, sobald diese zuverlässig überführt wurden. Seite 2

3 Szenario: Erkennung und Eindämmung böswilliger Zero-Day-Malware Schlussfolgerung von IDC: IDC schätzt die Bereitstellung und Verwaltung des Ransomware-Schutzes durch den Endgeräte-Client als unkompliziert ein. Während der Tests zeigte sich, dass ein großer Teil der Analyse automatisiert erfolgte. Erkenntnisse: Die Lösung McAfee Dynamic Endpoint Threat Defense verhindert die Übertragung bzw. Installation von Malware auf dem System. Die Lösung automatisiert die Analyse verdächtiger Dateien und generiert Kompromittierungsindikatoren. Die Analyse-Tools (McAfee Advanced Threat Defense) besitzen Funktionen zur Signatur- und Verhaltensanalyse. Die Lösung generiert umsetzbare Indikatoren für Sicherheitsabläufe. Die Lösung stellt häufig verwendete Vorfallanalysefunktionen über eine zentrale Konsole (SIEM) zur Verfügung. Seite 3

4 Szenario: Erkennung und Eindämmung von Drive-by-Downloads Schlussfolgerung von IDC: Bei der Verhinderung von Drive-by-Downloads erfordern viele Lösungen manuelle Interventionen. Die McAfee-Lösung für integrierte Bedrohungsabwehr ermöglicht die größtenteils automatisierte Analyse und Behebung potenziell gefährlicher Situationen. Erkenntnisse: McAfee Web Gateway kann die Übertragung hochentwickelter Malware per Spearphishing verhindern. Die Lösung automatisiert die Analyse verdächtiger Dateien und generiert Kompromittierungsindikatoren. Die Analyse-Tools (McAfee Advanced Threat Defense) besitzen Funktionen zur Signatur- und Verhaltensanalyse. Die Lösung generiert umsetzbare Indikatoren für Sicherheitsabläufe. Die Lösung stellt häufig verwendete Vorfallanalysefunktionen über eine zentrale Konsole zur Verfügung. Seite 4

5 Szenario: Malware-Schutz für Server mithilfe von Anwendungskontrolle Schlussfolgerung von IDC: Die Anwendungskontrolle erlaubt die Festlegung automatisierter Richtlinien zum Schutz der vertraulichsten Ressourcen eines Unternehmens der Anwendungs-Server. Erkenntnisse: Die Lösung McAfee Dynamic Endpoint Threat Defense kann Server per Whitelist vor böswilliger Software schützen. Die Lösung automatisiert die Analyse verdächtiger Dateien und generiert Kompromittierungsindikatoren. Die Analyse-Tools (McAfee Advanced Threat Defense) besitzen Funktionen zur Signatur- und Verhaltensanalyse. Die Lösung generiert umsetzbare Indikatoren für Sicherheitsabläufe. Die Lösung bietet Funktionen zur Erkennung von sowie Reaktion auf Endgerätebedrohungen. Funktionen zur Vorfalluntersuchung stehen über eine zentrale Konsole zur Verfügung. Seite 5

6 Szenario: Bedrohungssuche Schlussfolgerung von IDC: Die Malware-Suche ist ein immer wichtigerer Teil der Reaktion auf Zwischenfälle. Es ist Aufgabe der Unternehmen, Verbreitung und Umfang von Zwischenfällen zu verstehen. Die McAfee- Lösung für integrierte Bedrohungsabwehr bietet vielfältige Suchfunktionen, um Analysten beim Aufspüren des Ausmaßes einer Kompromittierung zu unterstützen. Erkenntnisse: Die Lösung kann Kompromittierungsindikatoren automatisch analysieren. Die Lösung bietet Funktionen zur Erkennung von sowie Reaktion auf Endgerätebedrohungen. Die Lösung stellt häufig verwendete, automatisierte Vorfallanalysefunktionen über eine zentrale Konsole zur Verfügung. Die Lösung gibt Bedrohungsdaten automatisch an andere Netzwerk- und Endgeräteschutzmaßnahmen weiter. Die Lösung kann automatisch nach Kompromittierungsindikatoren suchen. Die Lösung kann Angriffe durch die Erkennung von Kompromittierungsindikatoren verhindern. Seite 6

7 Szenario: Malware-Schutz mithilfe von IPS Schlussfolgerung von IDC: IDC schätzt die Bereitstellung und Verwaltung des Ransomware-Schutzes durch den Endgeräte-Client als unkompliziert ein. Während der Tests zeigte sich, dass ein großer Teil der Analyse automatisiert erfolgte. Erkenntnisse: IPS kann die Übertragung hochentwickelter Malware per Spearphishing verhindern. Die Lösung kann verdächtige Dateien analysieren und Kompromittierungsindikatoren generieren. Die Analyse-Tools (McAfee Advanced Threat Defense) besitzen Funktionen zur Signatur- und Verhaltensanalyse. Die Lösung generiert umsetzbare Indikatoren für Sicherheitsabläufe. Die Lösung bietet Funktionen zur Erkennung von sowie Reaktion auf Endgerätebedrohungen. Die Lösung stellt häufig verwendete, automatisierte Vorfallanalysefunktionen über eine zentrale Konsole zur Verfügung. Die Lösung bietet Funktionen zur Workflow-Integration zwischen Analyse-Tools und dem Tool zur Erkennung von sowie Reaktion auf Endgerätebedrohungen. Die Lösung bietet Funktionen zur Workflow-Integration zwischen Web-Gateway und Analyse-Tools. Die Lösung bietet Funktionen zur Workflow-Integration zwischen Analyse-Tools und SIEM. Die Lösung bietet Funktionen zur Remote-Verwaltung. Die Lösung passt die Netzwerk- und Endgerätesicherheit an, um zukünftige Angriffe über den gleichen Vektor zu verhindern. Seite 7

8 Vorgehensweise für den Test IDC führte den Test im McAfee-Labor in den Niederlanden durch. Dabei kamen verschiedenste McAfee-Produkte zum Einsatz, darunter für IPS, SIEM, Endgeräte- und Server-Schutz, Secure Web Gateway, Advanced Threat Defense und Threat Intelligence Exchange. Jede Funktion wurde unabhängig mit unterschiedlichen Konfigurationen und Testumgebungen geprüft. Methodik der Validierung durch IDC Lab Diese Kurzfassung zum Testbericht bietet eine Zusammenfassung des umfangreichen Testprozesses, der von IDC gemeinsam mit den Teams des Anbieters durchgeführt wurde. Für diesen Test nutzte IDC die Geräte, Einrichtungen und Konfigurationen des Anbieters. Alle Tests wurden in Anwesenheit mindestens eines IDC-Analysten durchgeführt. Die Kurzfassung stellt eine kurze Übersicht der Schlussfolgerungen und Einblicke dar und ist für IT-Experten sowie Entscheidungsträger in Unternehmen gedacht, die sich über die Funktionen der getesteten Produkte bzw. Services informieren möchten. Die Kurzfassung hat jedoch nicht das Ziel, praktische Testpläne und Validierungen bereitzustellen. Sie ist kein Ersatz für die Testprozesse, die von den meisten Unternehmen vor einer Entscheidungsfindung zum Kauf eines Produkts bzw. Services durchgeführt werden. Aus diesem Grund ist die Kurzfassung keine umfassende Dokumentation aller Produktfunktionen, sondern eine kurze Vorstellung von Funktionen bzw. Eigenschaften des Produkts, der relativen Leistung im Vergleich zu einer herkömmlichen Umgebung sowie dem Mehrwert dieser Funktionen für Unternehmen, die bestimmte Aufgaben bei Hadoop-Workloads bewältigen müssen. Und obwohl diese Kurzfassung mit Unterstützung des Anbieters erstellt wurde, spricht IDC keine Empfehlung des Produkts, Services oder des Anbieters aus. IDC vertritt seine eigene Meinung und wird nicht durch die Produktion dieses Dokuments beeinflusst. Seite 8

9 Testumgebung Diese Tabelle bietet eine Übersicht über die Testumgebung für die einzelnen überprüften Funktionen. Bedrohungsabwehrfunktion Anzahl der getesteten Schritte Automatisierungsstufe DXL- Integration Produktkomponenten: Angriffserkennung und erste Eindämmung % Ja McAfee Endpoint Security (ENS 10.2) % Ja McAfee Network Security Platform (NSP ) % Ja McAfee Web Gateway (MGW ) Bedrohungsdaten-Test 4 75 % Ja McAfee Threat Intelligence Exchange (TIE 2.0.1) McAfee Global Threat Intelligence Ausführungsanalyse % Ja McAfee Advanced Threat Defense (ATD 3.8) Verlaufsanalyse (Umfang) und Reaktion 4 75 % Ja McAfee Enterprise Security Manager (ESM 9.6 (10.0)) 2 50 % Ja McAfee Active Response (MAR 1.1.0) Seite 9

10 Grundlegende Empfehlungen Empfehlungen für Käufer: Es gibt verschiedene grundlegende Probleme, die CISOs den Schlaf rauben. Da wären die im steten Wandel befindliche Bedrohungslandschaft, die Gefahr für das Unternehmen, in die Schlagzeilen zu geraten, sowie die Schwierigkeit, qualifizierte Sicherheitsexperten zu finden und zu halten. Vor diesen Herausforderungen stehen nicht nur kleine Unternehmen, sondern auch große. Dennoch dürfen Unternehmen nicht untätig bleiben. Die Lösung für die genannten Herausforderungen ist daher ein integrierter Ansatz, der Sicherheit in der Tiefe gewährleistet mit permanenter Überwachung, Analysen und Schutzmaßnahmen, um bekannte ebenso wie unbekannte Angriffe aus allen Vektoren abzuwehren. Hinzu kommt, dass diese Lösung eine Benutzeroberfläche und Suchfunktionen bereitstellen muss, mit der Analysten grundlegende Teile ihrer Arbeit automatisieren können. Zudem benötigen die Analysten Tools, mit denen sie potenzielle Kompromittierungen entdecken sowie deren Ausmaß analysieren und beheben können. Die Lösung darf sich dabei nicht nur auf einen bestimmten Angriffsvektor konzentrieren, stattdessen muss sie alle genannten Herausforderungen angehen sowie verschiedenste Angriffsplattformen schnell und effektiv abdecken. Mit anderen Worten: Die Lösung muss die gesamte Infrastruktur physisch, virtuell und Cloud integrieren, das gesamte Netzwerk bis hinunter zum Endgerät erfassen sowie den Verlauf von Dateien nachverfolgen, die heruntergeladen und im Netzwerk übertragen werden. Eine Einzellösung ist nicht in der Lage, alle notwendigen Funktionen bereitzustellen, um der heutigen Bedrohungslage Herr zu werden. Kommunikation und die Weitergabe von Informationen spielen für CISOs ebenfalls eine große Rolle. Alle Komponenten einer integrierten Lösung müssen Informationen schnell und automatisch an Sicherheitsanalysten sowie weitere Komponenten im Netzwerk weitergeben können. Nur so lassen sich Bedrohungen auch ohne langsame und aufwändige manuelle Untersuchungen aufhalten. Seite 10

11 Grundlegende Empfehlungen Fortsetzung Die McAfee-Lösung für integrierte Bedrohungsabwehr löst die hier beschriebenen Herausforderungen, indem sie integrierte Sensoren, Analysen und Bedrohungsdaten zu einer automatisierten sowie koordinierten Lösung kombiniert, die bekannte ebenso wie unbekannte Malware abwehrt. Dank dem McAfee Data Exchange Layer (DXL) werden innerhalb von durchschnittlich acht Minuten folgende koordinierte Schritte zur Bedrohungsabwehr integriert und automatisiert: 25 verschiedene Schritte zur Bedrohungsanalyse 3 Bedrohungsschutz-Plattformen Endgeräte-, Web- und Netzwerksicherheit decken die Angriffsvektoren Dateien, Anwendungen sowie Web- und Netzwerkbedrohungen ab 3 Sicherheitsanalysemodule McAfee Active Response, Enterprise Security Manager und Advanced Threat Defense übernehmen Echtzeitschutz, Verlaufsverfolgung und gründliche Malware-Analysen 9 verschiedene Überprüfungen von Bedrohungsdaten Die Lösung bietet richtliniengestützten Schutz für die gesamte Infrastruktur. Potenziell böswillige Dateien werden automatisiert untersucht, um eine mögliche Gefährdung festzustellen und diese Dateien entsprechend zu behandeln. Die integrierte McAfee- Lösung bietet einen umfangreichen Satz an Analyse-Tools, mit denen Sicherheitsanalysten ihr Netzwerk umfassend untersuchen können, um Kompromittierungsindikatoren zu erkennen und Spuren eines Angreifers zu finden, der auf der Suche nach interessanten Daten ist. Die McAfee-Lösung für integrierte Bedrohungsabwehr ist eine Stütze für das Sicherheitsteam. Nur wenige Anbieter bieten die gleiche umfassende Abdeckung wie McAfee. Der integrierte Ansatz zeigt seine Stärken in den verschiedenen Szenarien, die Sicherheitsteams im Alltag erleben können. Seite 11