Taula de continguts:
Vídeo: Sophos Central How-To: Getting Started With Intercept X and Endpoint Advanced (Octubre 2024)
El següent quadre de tauler es mostra la pàgina d'alertes. Aquí és on totes les amenaces seran catalogades i mostrades a mesura que siguin descobertes. A mesura que es resolguin, podeu comprovar-les i marcar-les fora de la llista. Si es cita una amenaça en concret més d'una vegada, es pot agrupar amb un simple commutador. Si alguna amenaça requereix una neteja manual o una activitat addicional, podeu fer clic a l’hiperenllaç de l’amenaça i veure quins són els passos següents. Moltes vegades, només cal reiniciar el problema.
La secció Dispositius també és senzill d’utilitzar. Per veure els detalls d’un sistema específic, podeu fer clic al mateix. Des d'allà, podeu obtenir un resum breu dels productes instal·lats, esdeveniments recents, estat actual del sistema i polítiques. Seguretat Salut a la pestanya d'estat és força detallada i us pot donar una ràpida desaparició si hi ha alguna cosa correcta, com ara un programari desfasat o una amenaça activa. Les polítiques també us permetran veure en breu quines polítiques s'apliquen a aquest dispositiu.
Amb molt, una de les peces més útils de Endpoint Protection és l’anàlisi de causes primàries. És fantàstic dir que els vostres sistemes estan protegits, però sovint és més útil saber com es va originar un atac, ja que pot ser una excel·lent font de material que es pot utilitzar per formar els usuaris sobre què no fer. Per exemple, si Bob descarrega una aplicació no seleccionada, sembla que té un ransomware que comença a rodar, que es pot mostrar a la propera reunió de seguretat. Hi ha força components implicats, però es pot dividir en tres parts: visió general, artefactes i visualització. La visió general descriu l'amenaça i us proporciona la llista sobre on es va trobar i quan. Artifacts descriu els canvis que va intentar fer al sistema. Visualize us ofereix un esquema que mostra la ruta de la infecció i la forma en què el programari maliciós va intentar interactuar amb el sistema. Sophos Intercept X Endpoint Protection és, a més de ser només un dels tres productes d'aquesta revisió de revisió que ofereix aquest tipus d'anàlisis.
Si hi ha un desavantatge de Sophos Intercept X Endpoint Protection, aquest seria el nombre aclaparador d’opcions quan es tracta de la configuració de la política. La bona notícia és que totes les polítiques predeterminades tenen les funcions importants per començar, així que no hi ha molt a fer aquí, tret que vulgueu fer-vos còmodes o tenir requisits específics per al control de dispositius o web. Això contrasta força amb productes com Panda Security Adaptive Defense 360 en què cal canviar el mode per obtenir un nivell de protecció. Hi ha set categories de polítiques que podeu afegir, que van des del control d'aplicacions fins al control web i cadascuna té el seu propi conjunt únic de configuracions per modificar. Cada política pot aplicar-se a usuaris o dispositius, de manera que hi ha molta flexibilitat en quan i on apliqueu la configuració.
Protecció Ransomware
Sophos Intercept X Endpoint Protection sobresurt en la protecció del ransomware. Amb l'aprenentatge profund i la detecció d'explotacions, pot determinar ràpidament diverses amenaces de programari. La funció CryptoGuard pot recuperar automàticament qualsevol fitxer danyat i protegir-se contra els intents de xifrat de ransomware.
A més, amb l'anàlisi de la causa arrel, Sophos Intercept X Endpoint Protection pot fer un seguiment del que succeeix a mesura que s'executa un programa, de manera que qualsevol cosa que faci es pot tornar a fer posteriorment, si cal. Combinat amb un tallafoc que sap buscar diversos tipus de trànsit hostil, teniu un guanyador.
Resultats de la prova
La meva primera prova va consistir en utilitzar un conjunt conegut de programari maliciós recollit amb finalitats de recerca. Cadascun s’emmagatzemava en un fitxer ZIP protegit amb contrasenya i s’extreia de forma individual. Les mostres de virus, en extreure's, es van detectar immediatament. De les 142 variants de programari maliciós, tots els articles eren marcats i posats en quarantena.
Per provar la protecció contra llocs web nocius, es va seleccionar una selecció aleatòria dels deu llocs web més recents de PhishTank, una comunitat oberta que informa de llocs web de phishing coneguts i sospitosos. Tots els ubicadors de recursos uniformes (URL) que van intentar va ser bloquejat el lloc web en qüestió.
Per provar la resposta de Sophos Intercept X Endpoint Protection al ransomware, he utilitzat un conjunt de 44 mostres de ransomware, inclosa WannaCry. Cap de les mostres va fer que extregués el fitxer ZIP. Això no és sorprenent, ja que cadascuna de les mostres té una signatura coneguda. Dit això, la resposta fou ràpida i severa. Els executables es van marcar ràpidament com a ransomware i es van eliminar del disc.
El simulador de ransomware de Ranbsim de KnowBe4 també es va marcar com a instància de ransomware. Com que és probable que es recollissin mitjançant signatures conegudes, vaig procedir a un enfocament més directe simulant un atacant actiu. Això és coherent amb els productes de protecció contra ransomware amb més puntuació que inclouen Bitdefender GravityZone Elite i ESET Endpoint Protection Standard.
Totes les proves de Metasploit es van realitzar mitjançant la configuració predeterminada del producte. Com que cap d’ells va tenir èxit, em vaig sentir confiat a saltar-me de qualsevol entorn de caràcter més agressiu. Primer, vaig utilitzar Metasploit per configurar un servidor AutoPwn2 dissenyat per explotar el navegador. Això llança una sèrie d'atacs que se sap que tenen èxit en navegadors comuns com Firefox i Internet Explorer. Sophos Intercept X Endpoint Protection va bloquejar les gestions amb poca sorpresa.
La prova següent va utilitzar un document Microsoft Word habilitat per a macro. A l’interior del document hi havia una aplicació codificada que un script de Microsoft Visual Basic (VBScript) descodificaria i intentaria llançar. Sovint pot ser una condició complicada per detectar quan s’utilitzen diverses tècniques d’emmascarament i encriptació. El fitxer va produir un error en obrir-se, cosa que indica que l'atac va fallar.
Finalment, vaig provar un atac basat en enginyeria social. En aquest escenari, l'usuari descarrega un instal·lador compromès de FileZilla mitjançant Shellter. En executar-la, executarà una sessió de Metro i tornarà al sistema que l'ataca. L'explotació es va bloquejar en pocs segons i es va eliminar del disc.
AV-Test, un laboratori independent que posa a prova el programari antivirus, va realitzar una prova a l'agost del 2018 per avaluar una sèrie de paquets de programari de seguretat endpoints. Els seus resultats van donar a Sophos Intercept X Endpoint Protection una puntuació de protecció de "6 de 6" i una puntuació de rendiment de "5, 5 de 6." A més, MRF-Effitas ha classificat Sophos en primer lloc pel que fa a la protecció contra explotacions. Aquesta robustesa també es va reflectir en les nostres pròpies proves. Tot i que no era la puntuació perfecta que va rebre Symantec Endpoint Protection Cloud, no vaig notar una diferència significativa en el seu rendiment global.
Pensaments finals
Sophos Intercept X Endpoint Protection combina perfectament la protecció amb la facilitat d’ús i les eines per posar les empreses en una postura més proactiva. El preu és correcte i disposa d’eines per a un professional de la seguretat amb experiència sense renunciar a la capacitat d’un instal·lador d’instal·lar-lo i gestionar-lo. És una excel·lent elecció per a qualsevol negoci que busqui mantenir la seva xarxa protegida, sense gastar molt de temps i diners per fer-ho.
