1、McAfee VSE&ASE 产品技术白皮书关键词:恶意软件、访问保护、Artemis摘要:版本控制:序号 修订类型 修订内容简述 修订日期 版本号0 创建 2009-5-8 1.0123McAfee(中国)公司2019 年 5 月 20 日第 2 页 共 11 页目 录1 产品概述 .41.1 面临的挑战 .41.2 主流解决方案的不足之处 .41.2.1 存在防护时间差 .41.2.2 难以应对形形色色的恶意软件 .51.2.3 安全管理成本居高不下 .51.3 McAfee 的解决之道 .52 VSE 产品特点 .62.1 不间断的实时防护 .62.2 全方位的病毒防护 .62.3 潜在
2、“恶意/间谍程序 /广告软件”程序安全 .62.4 缓冲区溢出防护(IPS 功能) .62.5 全面的病毒突发回应 .62.6 集中的管理和完全可定制的报告功能 .73 VSE 产品功能 .83.1 OAS 访问扫描技术 .83.2 基于行为的检测技术 .83.3 BOP 缓存溢出防护 .83.4 端口阻挡 .83.5 企业级管理 .83.6 感染源追踪和阻挡 .8第 3 页 共 11 页3.7 Rootkit 检测 .83.8 企业级报表 .84 VSE 产品的部署方式 .95 主要成功案例 .10第 4 页 共 11 页1 产 品 概 述1.1 面 临 的 挑 战自从 25 年前首次出现病
3、毒以来,计算机安全领域发生了翻天覆地的变化。病毒一波接一波地袭来,各种恶意漏洞攻击和狡猾的威胁轮番上场。随着您的网络向远程地点和移动用户扩展,您所面临的风险也将随之扩大。恶意软件的增长速度如此之快,以致安全厂商的解决方案难以跟上威胁的步伐。2008 年,我们发现的恶意软件数量比之前两年的数量总和还要多。恶意软件不断增长的主要因素在于不法分子受到越来越多的利益驱使。他们追逐金钱并不惧以身试法。Gartner 的调查显示,80% 多的攻击是为了谋取不义之财。恶意软件编写者所收集的个人及机密信息交易已经导致了高达数十亿美元的网络犯罪。绝大多数的威胁是悄无声息的它们被加密或打包,混淆在有效荷载中;缩小
4、了文件的容量;使安全厂商花费更多的时间和成本对其进行分析及防御。1.2 主 流 解 决 方 案 的 不 足 之 处1.2.1 存 在 防 护 时 间 差针对更大量、更复杂、更快速的威胁,多数解决方案依靠特征更新的方式进行威胁防护,这通常需要一到三天的时间。而在防护时间差内,系统无法对新的威胁进行防护。 (如下图)第 5 页 共 11 页1.2.2 难 以 应 对 形 形 色 色 的 恶 意 软 件除了各种各样的病毒、蠕虫、木马以外,当前还存在广告软件、间谍软件、按键记录程序、玩笑程序、拨号程序等等恶意软件。并且这些恶意程序不断融合,单一的文件检查方式越来越难以应对层出不穷的安全威胁。1.2.3
5、 安 全 管 理 成 本 居 高 不 下为了应对各种威胁,企业在信息安全的建设中采用了不同的安全解决方案。随着采用安全产品的增多,就需要不同的管理界面进行管理,造成管理复杂性不断提升、管理报告也日趋复杂。不仅如此,企业投入到安全管理的人员成本、设备投资、时间成本也在不断蔓延。1.3 McAfee 的 解 决 之 道这些问题虽然棘手,但 McAfee 会帮您一一解决。我们的系统安全解决方案集成了Artemis 实时防护技术,使您在瞬间即可获得对未知威胁的防护能力。通过提供全面的恶意软件保护和防病毒爆发控制,能够有效拦截威胁、减轻威胁带来的影响。通过统一的管理平台 ePO,可以极大地提升 IT 安
6、全管理效率并降低 IT 安全管理成本。ePO 整合了对终端、邮件和网络的所有信息,将威胁、漏洞信息全部集中在一个综合的管理平台上面,从而可以快速查找出关于感染事件和威胁事件的信息,缩短响应时间。ePO的管理框架设计原则为单一控制台,单一代理的模式。据统计,在大型企业中采用 ePO 管理平台可以使得安全运营的成本下降 62%。第 6 页 共 11 页2 VSE 产 品 特 点 2.1 不 间 断 的 实 时 防 护McAfee Artemis 技术为相关最新研究及响应提供不间断的新交付模式 ,以缩短防护时间差。当用户收到一个被扫描代理认定为“可疑”的文件(如加密文件或打包文件) ,而本地 DAT
7、 文件数据库也没有特征码,那么扫描代理就使用 Artemis 技术发送文件指纹,即时在 McAfee Avert Labs 的综合数据库进行查询。如果确认这个指纹是已知恶意软件,就会在几毫秒内向终端用户计算机发回一个响应,从而阻止或隔离该文件。2.2 全 方 位 的 病 毒 防 护McAfee 防病毒扫描引擎能够拦截各种病毒和恶意代码威胁,包括宏病毒、木马程序、Internet 蠕虫、32 位高级病毒,甚至是恶意的 ActiveX 和 Java 对象。先进的启发式检测和通用检测技术使 VirusScan 具有了前瞻性的防护能力,能够“提前”防御各种新的、未知的病毒以及其它多种威胁。2.3 潜
8、在 “恶 意 /间 谍 程 序 /广 告 软 件 ”程 序 安 全 VirusScan 能够自动检测“恶意/间谍/广告”程序,有效防止隐藏程序跟踪企业和用户的 Internet 使用记录、访问用户个人数据(例如密码和帐户信息)或者在用户系统中造成安全漏洞。 2.4 缓 冲 区 溢 出 防 护 ( IPS 功 能 )VirusScan 8.7i 可防护大约 20 种最常用的软件应用程序和 Microsoft Windows OS 服务,管理员还可以按程序指定例外情况。2.5 全 面 的 病 毒 突 发 响 应VirusScan 8.7i 内设的病毒突发回应功能可在生成 DAT 文件之前就提供 有
9、效防护,这使得管理员可以在发现病毒之后、接到 DAT 文件之前对严重的漏洞口采取及时的行动。 突发回应功能包括: 第 7 页 共 11 页 端口阻塞/锁定(防火墙功能) 应用程序监控:电子邮件引擎(防火墙功能) 文件锁闭、目录锁闭、文件夹/share 锁闭(IPS 功能) 传染追溯与拦截VirusScan 可以发现和追溯将恶意代码发送到运行 ViruScan Enterprise 8.7i 的端点系统的 IP 地址(传染源) ,并将传染源信息发送会管理控制台。 另外,它还可以使来自传染源端点系统的信息交流被阻塞一段时间(可配置的)或使其始终受阻(直到重新另行设置后) 。2.6 集 中 的 管
10、理 和 完 全 可 定 制 的 报 告 功 能VirusScan 8.7i 集成了 McAfee ePolicy Orchestrator,唯一名副其实易于扩展的安全策略管理工具,可提供策略更新、详细的图形报告编制和软件部署。 ePolicy Orchestrator 具有促进防护实施的集中授权,可提供一个单一的控制台,以管理您的 McAfee 部署。第 8 页 共 11 页3 VSE 产 品 功 能McAfee 业内领先的防病毒软件提供下述功能,可以有效地对终端进行防护:3.1 OAS 访 问 扫 描 技 术 在程序安装时阻止恶意程序和下载插件,阻止恶意程序破坏和感染系统。 3.2 基 于
11、行 为 的 检 测 技 术 针对特征库中没有的、新出现或未知的威胁进行防护 可以智能地锁定系统文件和文件夹避免被恶意程序篡改 3.3 BOP 缓 存 溢 出 防 护 这种技术可以帮助用户在漏洞已经发布但补丁还没有安装的时候保护系统的安全性 保护针对缓存溢出的漏洞攻击,类似 WMF、Sasser、SQL Slammer 等 保护核心的生产应用,例如 IE、MS Offices、Windows OS services、Media Player 等3.4 端 口 阻 挡 阻止病毒通过特定端口进行传播 防止间谍软件或者下载插件将内部资料往外发送3.5 企 业 级 管 理 增强的安全管理功能。在 ePO
12、 的管理框架下,您可以方便的进行部署、配置、更新和报告3.6 感 染 源 追 踪 和 阻 挡 发现并报告往外发送恶意代码的终端的 IP 地址 减少病毒爆发的响应时间 通过识别感染源降低恶意程序的传播3.7 Rootkit 检 测 专享的技术保证可以从内存中检测并清除 rootkit。3.8 企 业 级 报 表 根据恶意程序和下载行为来进行全单位的企业级报表 提供一个整体的终端安全状况评估 针对法规遵从需求提供方便的总揽报表第 9 页 共 11 页4 VSE 产 品 的 部 署 方 式第 10 页 共 11 页5 主 要 成 功 案 例案例1:中国建设银行 网络状况中国建行由总行、一级行、二级行组成三级网络架构,全行有3万多台。 整体方案:综合采用桌面客户端的防病毒产品、服务器的防病毒产品、针对群件环境的防病毒产品及EPO统一管理平台,形成了一个立体的、统一完整的企业网病毒防护体系。 整体效果:每一层次都部署ePO服务器,构成上、下级关系,上级行有查看、监控下级行的权限,从而实现集中监控、分级维护的策略。 中国建行自从用McAfee AVD部署全行的防病毒系统部署以来,成功的抵御了包括红色代码、Nimda、求职信等各种病毒的攻击,确保了网络系统的正常运行。
