Revisió i classificació de serveis de seguretat empresarial sense preocupacions de tendència

Els serveis de seguretat Trend Micro sense preocupacions empresarials converteixen un nom molt llarg en un servei de protecció de punt final allotjat de qualitat empresarial sòlid que us administrarà 75, 50 dòlars anuals per començar dos usuaris. Tot i que, si bé el seu conjunt de funcions sembla molt sòlid en paper, les nostres proves durant aquesta actualització van trobar que tenia problemes amb algunes de les nostres explotacions més avançades i que tampoc tenia els paràmetres predeterminats més segurs. Per aquest motiu, es manté al marge de les nostres opcions d'Editors actuals en endpoints per a empreses, Bitdefender GravityZone Elite i ESET Endpoint Protection Standard.

A l’hora de provar aquestes solucions, vam decidir examinar també la capacitat de les suites per proporcionar protecció de ransomware de qualitat empresarial. Si bé Trend Micro va continuar sortint bé en aquestes proves, no va ser destacat i una mica de la competència va resultar millor quan es tractava de la capacitat de tornada.

Tot i així, es tracta, en general, d’un competidor força sòlid que transporta la majoria de les funcions que necessitareu per mantenir els vostres punts segurs. El següent pas, Trend Micro Advanced Services sense preocupacions, afegeix mesures de protecció per correu electrònic, emmagatzematge en núvol i protecció de Microsoft Office 365. A efectes d'avaluació, hi ha disponible una prova de 30 dies al lloc web de l'empresa.

Interfície d'usuari

Els serveis de seguretat empresarials Trend Micro, que no es preocupin, es comanden des d’una consola web ben construïda. No és massa complex, però no és tan simplista com el que he trobat a Avast Business Antivirus Pro Plus. Amb els serveis de seguretat empresarials Trend Micro que no es preocupin, els administradors poden afegir equips a la pestanya Agent de seguretat fent clic al botó "Afegir agents de seguretat" i triant si volen enviar per correu electrònic un enllaç d'instal·lació, instal·lar-lo immediatament al dispositiu actual o bé descarregar un instal·lador. paquet que es pot distribuir a diversos dispositius. Un cop registrat, el dispositiu es mostrarà i es pot organitzar en grups fàcilment gestionables. La informació, com ara el nom de l’ordinador o el dispositiu, l’adreça IP, l’estat i les estadístiques d’infecció, es troben disponibles d’un cop d’ull.

La pestanya Tauler de control actua com una visió general de les amenaces pendents, el tipus d’amenaces detectades i la manera com es produeixen aquestes amenaces en termes de dispositiu afectat i l’estil d’atac. També mostra si cal qualsevol acció immediata per part de l'administrador. És senzill de llegir amb fluff mínim, que és important quan les trucades comencen a entrar al servei d’atenció. Això ha obtingut una mica de funcionalitat des de la versió anterior, i diverses de les lectures permeten treure els registres.

Si es comprova un o més dels agents de la pestanya Agents de seguretat, es poden realitzar actualitzacions al dispositiu o es poden xifrar o desxifrar les unitats de disc mitjançant tot el programari natiu disponible amb el desplegable Tasques. Per a màquines basades en Microsoft Windows, s'utilitza BitLocker de l'empresa. Per als equips d’Apple OS X, File Vault serà el mètode d’encriptació escollit. Es poden configurar i aplicar polítiques per grup. Aquesta és una bonica característica, ja que els viatgers sovint requereixen un nivell de latitud diferent respecte dels ordinadors d’escriptori ben controlats asseguts a l’oficina. Així mateix, els servidors tindran un nivell més alt d’escrutini, ja que acostumen a ser un gran premi per a la majoria de ciberataques. Val la pena assenyalar que, per a totes les proves, he activat totes les opcions de control del comportament per a tots els dispositius.

La pestanya Scans s'ha esvaït i s'ha convertit en un espai de distribució a Agents de seguretat. Aquesta és una gran millora i requereix menys clic per accedir-hi. Des d'aquí podeu activar una exploració agressiva o normal. Les exploracions programades s'han traslladat a la pestanya Configuració de la política, cosa que té molt més sentit. En general, la presentació aquí és més neta.

La pestanya Informes té una gran quantitat de contingut de l’informe que es pot descarregar com a fitxer PDF o enviar-lo a una adreça de correu electrònic. Podeu programar informes setmanalment o mensualment o entre un interval de dates específic. Es poden triar tots els dispositius o un grup específic per a informar, de manera que és fàcil esborrar coses per servidors, ordinadors de sobretaula, ordinadors portàtils i dispositius mòbils. Tot i que potser haureu de rebutjar algunes coses per aconseguir que una sèrie d'informes es faci al voltant de paràmetres organitzatius (per exemple, vendes, comptabilitat, etc.), es pot fer i el contingut de l'informe és informatiu i ben organitzat.

Protecció Ransomware per a empreses

En termes de protecció contra ransomware, Trend Micro Worry-Free Business Security Services ofereix un commutador específic per activar la protecció contra ransomware. Tot i que em va sorprendre trobar que això no estava activat per defecte, era força senzill habilitar des del tauler de control. Més enllà de l’anàlisi de comportament normal que utilitza el motor antivirus, controlarà específicament el xifratge no autoritzat de documents, que és un comportament similar al de DeepGuard al servei de protecció F-Secure for Business. A més, intentarà bloquejar activament els processos associats habitualment al ransomware i augmentarà l'escrutini cap a programes que es puguin comportar de manera inesperada. Per a més detalls, Trend Micro proporciona una guia per realitzar aquests canvis de política. Finalment, Trend Micro ofereix un descriptor de fitxers Ransomware en cas que el ransomware aconsegueixi algun dels seus fitxers. No es garanteix que funcioni, però pot ser que valgui la pena disparar abans de treure el suport de còpia de seguretat. Una millor solució pot ser Webroot SecureAnywhere Business Endpoint Protection o un bon programa de còpia de seguretat de diari com Acronis Backup 12.5 si el retrocés és una característica crítica per a vosaltres.

Mitjançant el motor d’exploració de virus de Trend Micro, MRG-Effitas, una empresa de recerca especialitzada en la prova de productes antivirus i seguretat, va trobar durant les proves del primer trimestre de 2018 que, fora del programari maliciós provat en sistemes protegits, el 75, 7 per cent de les amenaces es van bloquejar automàticament. Mentrestant, el 6, 5 per cent del ransomware es va bloquejar amb anàlisis de comportament, però es va requerir execució, i el 9, 5 per cent es va bloquejar en 24 hores. A més, es va perdre el 8, 3%. Dels productes que es van provar durant aquesta avaluació, va ser la més baixa.

La meva primera prova independent va consistir en utilitzar un conjunt conegut de programari maliciós recollit amb finalitats de recerca. Cadascun s’emmagatzemava en un fitxer ZIP protegit amb contrasenya i s’extreia de forma individual. Els serveis de seguretat empresarials gratuïts de Trend Micro no van preocupar a la prova quan es tractava de la detecció de virus i programari maliciós, però només ho va fer després de l’execució d’un escaneig complet del sistema. Si bé diversos altres productes van detectar la presència d'una aplicació maliciosa en el moment en què es copiava a l'escriptori, Trend Micro Security Free Business Security Services va adoptar un enfocament retardat. Tot i que, després de completar-se una exploració completa, es van detectar 102 de les 143 variants. Això representa el 71 per cent de les amenaces presentades. Val la pena assenyalar que, com que aquests fitxers no es van executar, aquesta taxa de detecció serà menor que si les càrregues de càrrega fossin executades a la màquina (ja que una part del procés de detecció de Trend Micro Worry-Free Business Security Services inclou l'anàlisi del comportament del programa).

Per provar la protecció contra llocs web nocius, he utilitzat una selecció aleatòria dels deu llocs web més notificats de PhishTank, una comunitat oberta que informa de llocs web de phishing coneguts i sospitosos. Tots els ubicadors uniformes de recursos (URL) que he apuntat al dispositiu objectiu han resultat bloquejar tots els llocs web amb una qualificació i una categoria.

Proves de Ransomware

Per provar la resposta de Trend Micro als serveis de seguretat empresarial lliures de preocupacions amb ransomware, he utilitzat un conjunt de 44 mostres de ransomware, inclosa WannaCry. Totes aquestes tenien signatures conegudes, per la qual cosa no va sorprendre que Trend Micro no deixés que cap d'ells passés l'extinció del fitxer ZIP. Tot i així, el producte va reaccionar ràpidament davant l’amenaça. Els executables es van marcar ràpidament com a ransomware i es van eliminar del disc. RanSim, el simulador de ransomware de KnowBe4, també es va marcar com a instància de ransomware. Com que és probable que es recollissin mitjançant signatures conegudes, vaig procedir a un enfocament més directe simulant un atacant actiu.

Totes les proves de Metasploit es van realitzar mitjançant la configuració predeterminada del producte. Com que cap d’ells va tenir èxit, em vaig sentir confiat a saltar-me de qualsevol entorn de caràcter més agressiu. Primer, he utilitzat Metasploit Framework de Rapid7 per configurar un servidor AutoPwn2 dissenyat per explotar el navegador. Això llança una sèrie d'atacs que se sap que tenen èxit en navegadors comuns com Firefox i Microsoft Internet Explorer. Els serveis de seguretat empresarials lliures de preocupacions de tendència de Micro van detectar correctament cada explotació i van cancel·lar l'atac. Això es va realitzar a les expectatives o per sobre.

A continuació, vaig provar un atac basat en enginyeria social. En aquest escenari, l'usuari descarrega un instal·lador compromès de l'eina FileZilla, de codi obert de transferència de fitxers de protocol (FTP), utilitzant Shellter. En executar-la, executarà una sessió de Metro i tornarà al sistema que l'ataca. Malauradament, aquest tipus d’atac encara va tenir èxit i es correlaciona amb un règim de proves ja conegut realitzat per MRG.

Després d’obtenir un shell remot, podria elevar permisos a l'administratiu, recuperar una llista de totes les contrasenyes hashed, esborrar els registres d’esdeveniments, afegir elements al registre de Windows, carregar i descarregar fitxers, xifrar fitxers i modificar el fitxer amfitrions de Windows que correlaciona els URL. fins on resolen i instal·len un keylogger. Arribats a aquest punt, qualsevol persona consideraria que el sistema estava totalment compromès, i permetria als atacants la llibertat de començar a pivotar en altres sistemes de la xarxa o espiar l’activitat de l’usuari i capturar informació sensible.

Resposta d’atac

Quan els serveis de seguretat empresarials sense tendència de Trend Micro van poder detectar l’amenaça, la resposta del client va ser immediata. Però es van haver de fer diversos intents abans de desencadenar les alertes per correu electrònic. Tanmateix, això es deu a una configuració predeterminada que requereix cinc deteccions en l'última hora per iniciar un correu electrònic. Em va semblar una opció refrescant, ja que resulta molest quan cada amenaça genera un correu electrònic. De totes les infeccions, es pot netejar en quarantena per defecte i si es pot netejar.

Les amenaces es poden revisar des del tauler de consola web com que es pot trobar un resum o més detall mitjançant el mòdul Informes. Tots dos estan ben disposats i proporcionen una visió detallada dels dispositius afectats i el tipus i freqüència dels atacs.

Per als llocs web no fiables que puguin ser un intent de pesca, el nivell més alt de Trend Micro Security Services Security Security fa un treball excel·lent per disminuir les sol·licituds a llocs web no fiables. Aquesta no és la configuració predeterminada del programari, però, haureu de definir-la manualment o directament per a tots els clients durant la configuració. També podeu crear una llista blanca que només permeti nous llocs web a petició. S'ofereixen dos nivells de seguretat més baixos, però es basen en la base de dades de seguretat del lloc web de Trend Micro Worry-Free Business Security Services per indicar-la com a perillosa o sospitosa.

Pensaments finals

En general, els serveis de tendència sense preocupacions de micro no són un producte dolent. És sòlid, però no ha aconseguit superar els principals productes, inclosos els Editors 'Choice Bitdefender GravityZone Elite i el servei de protecció F-Secure per a empreses. No té el mateix temps de resposta que Bitdefender GravityZone Elite, però s'aconsegueix la feina, excepte en contra dels atacs de sagnat. Si es posa en marxa una formació d’enginyeria social, els usuaris poden estar segurament segurs que els serveis de Trend Micro sense preocupacions. Aquesta solució, combinada amb algunes excel·lents capacitats d'informació i gestió de dispositius, val la pena revisar.