Съдържание:
Видео: McAfee Endpoint Security 10 5 (Септември 2024)
Започвайки от 30, 16 долара на потребител годишно, McAfee Endpoint Protection Essential за SMB маркира много кутии с функции на хартия и определено е значителна актуализация на стария си продукт за защита на крайната точка на бизнеса. Всички популярни настолни платформи са добре поддържани, въпреки че компанията засега е избрала да игнорира мобилните операционни системи. Освен това, след като преодолеете списъка с функции на хартия и започнете да използвате продукта, мнозина вероятно ще го окажат по-сложен от неговите конкуренти. Това и слабостта в откриването на фишинг атаки го поддържат зад нашите настоящи победители в избора на редактори Bitdefender GravityZone Elite и ESET Endpoint Protection Standard.
Инсталация и потребителски интерфейс
Влизането в McAfee Endpoint Protection Essential за ePolicy Orchestrator (ePO) на SMB е невероятно изживяване за потребителите, които са за първи път. Задължително е да кликнете върху раздела Първи стъпки или може да прекарате часове в опит да разберете къде да отидете. След като влезете в този раздел, инсталирането на защита е лесно изтегляне и инсталиране; това е предимно автоматично и безболезнено упражнение. След като се добавят всички крайни точки, следващото място, което трябва да се насочите, е до таблото за управление.
Таблото за управление не е само едно; това е колекция от 25 прегледа на различни аспекти на продукта. Това може да бъде откриване на заплахи, лицензиране, внедряване на продукти, дейност за уеб контрол и много други. След като прекарате няколко минути в щракване, е лесно да намерите някои фаворити, но той задава тона на останалата част от ePO. В обобщение: това е излишно. Само в главното меню има достъпни над 30 отделни секции и не винаги е интуитивен избор по отношение на това къде да отидете. Това важи особено за управлението и възлагането на политики.
Това е разочароващо, тъй като каталогът на политиките, достъпен в главното меню, е мястото, където ще прекарате по-голямата част от времето си в конфигуриране на различните модули и продукти, налични във вашия акаунт. Има конфигурации по подразбиране, които са подходящи за огромния брой потребители. Но ако се осмелите да се осмелите тук, тогава бъдете готови да прекарате известно време, за да получат земята. Почти всичко е конфигурируемо. Настройките за предотвратяване на заплахи, правилата на защитната стена, планираните сканирания и много други настройки могат да бъдат оправени, ако успеете да ги намерите.
Политиките могат да бъдат зададени въз основа на маркер или група. Макар и удобно на теория, това на практика е по-тромаво. За съжаление, това се дължи най-вече на повтарящите се пробиви. След като знаете накъде отивате, има логичен смисъл, но аз открих, че си правя бележки къде да отида, което никога не е добре за нито един администратор на малък бизнес.
Една от по-интересните функции е опцията за откриване на облачни облаци (CTD). Управлявана от страницата на Работното пространство на Cloud Thread, CTD позволява на клиентите да изпращат изпълними и PDF файлове в облачна пясъчна кутия за детонация и анализ. След това тази информация може да се използва не само за защита на вашата локална среда, но и за подобряване на цялостната способност на McAfee Endpoint Protection Essential за SMB да защитава от подобни заплахи във вашата организация.
Модулът за отчитане обаче беше глътка свеж въздух. Широчината и дълбочината на опциите работеха в полза на продукта тук. По време на този преглед има 148 заявки, които могат да бъдат изпълнени за информация. Макар и малко по-неофициални, установих, че те са много по-полезни от обобщените доклади. От гледна точка на одита на сигурността, това е златна мина и лесно превъзхожда продукти като F-Secure, които са склонни да сведат до минимум отчитането
Ransomware Protection
За защита на бизнеса от компютърна защита, McAfee Endpoint Protection за SMB разчита предимно на злонамерен софтуер и експлоатация за откриване, за да не извлече откъм софтуер. Тук няма модни звънци и свирки. Заслужава да се отбележи, че Endpoint Protection Essential за SMB не живее във вакуум и че в тяхната гама има други продукти, които добавят допълнителна защита, като McAfee Host Intrusion Prevention и McAfee Advanced Threat Protection, които могат да повторят много от функциите открити в продуктите с по-висока оценка. Всичко казано, McAfee Endpoint Protection за SMB се разбира доста добре само с основните положения.
Резултати от тестовете
Първоначалното ми тестване включваше използване на известен набор от злонамерен софтуер, събран за изследователски цели. Всеки от тях се съхранява в защитен с парола ZIP файл и се извлича поотделно. Пробите от вируса, когато бъдат извлечени, бяха открити незабавно. От 142 варианта на зловреден софтуер, всички елементи бяха маркирани и поставени под карантина.
За да се тества защитата срещу вредни уебсайтове, е избран случаен подбор от най-новите 10 уебсайта от PhishTank, отворена общност, която съобщава за известни и подозирани фишинг уебсайтове. Само един от опита за унифицирани локатори на ресурси (URL адреси) доведе до блокиране на въпросния уебсайт, тъй като той беше фишинг уебсайт, а огромното мнозинство бяха фалшиви сайтове на PayPal. Въпреки че уеб контролът на McAfee беше ясно активиран заедно с опцията за блок фишинг, изглежда не се регистрира много. Като се има предвид, че фишинг имейлите могат да бъдат логичен път за въвеждане на целенасочена атака за износ, продукти като Bitdefender GravityZone Elite и ESET Endpoint Protection Standard вършат далеч по-добра работа за блокиране на тези опити.
За да тествам McAfee Endpoint Protection за реакция на SMB към ransomware, използвах набор от 44 образци на рансъмуер, включително WannaCry. Нито една от пробите не го е извадила от ZIP файла. Това не е много учудващо, тъй като всяка от пробите има известен подпис. Всички заплахи бяха незабавно и точно сигнализирани като извличане на софтуер и премахнати от диска. Симулаторът на рансъмуер на KnowBe4 RanSim също беше означен като екземпляр на ransomware. Тъй като най-вероятно те са били избрани чрез известни подписи, аз пристъпих към по-директен подход, като симулирах активен нападател.
Всички тестове на Metasploit бяха проведени с помощта на настройките по подразбиране на продукта. Тъй като никой от тях не успя, се почувствах уверен в пропускането на всякакви настройки от по-агресивен характер. Първо използвах Metasploit, за да настроя AutoPwn2 сървър, предназначен да използва браузъра. Това стартира поредица от атаки, за които е известно, че успяват на обикновени браузъри като Firefox и Internet Explorer (IE). McAfee Endpoint Protection за SMB правилно откри всеки експлоатация и отмени атаката.
Следващият тест използва активиран макрос
И накрая, тествах атака, базирана на социален инженеринг. В този сценарий потребителят изтегля компрометиран инсталатор на FileZilla с помощта на Shellter. След като го изпълни, той ще извърши сесия на Meterpreter и ще се обади обратно на атакуващата система. Той бе открит и премахнат от диска, преди дори да бъде изпълнен. Освен това той беше разпознат като изпълняващ метерпретар, дори докато е кодиран. Това всъщност е доста впечатляващо, като се има предвид, че навремето подписът беше маскиран.
AV-Test, независима лаборатория за тестване на вируси, даде на McAfee Endpoint Protection за SMB „6.0 от 6.0“ за защита, „5.0 от 6.0“ за производителност и „6.0 от 6.0“ за използваемост. MRG-Effitas, от друга страна, имаше някои незначителни проблеми с McAfee Endpoint Protection Essential за степента на откриване на SMB по време на техния тест за пълен спектър за Q2 2018. От 387 използвани проби 1, 6 процента са били пропуснати изцяло. Като се има предвид, 96, 6 процента са блокирани автоматично, 0, 3 процента са блокирани от подозрително поведение, а 1, 6 процента са блокирани след 24 часа работа в системата. Добрата новина е, че от тестваните 29 проби за извличане на софтуер, всички те бяха напълно блокирани автоматично. За по-добри показатели за откриване като цяло, Sophos Intercept-X бе класиран на първо място от MRF-Effitas за техните тестове за 2018 г., а интерфейсът е с леки години по-добър.
Като цяло, McAfee Endpoint Protection Essential за защитата на SMB е добър и от гледна точка на потребителя е ненатрапчив. Освен това е изключително гъвкав и конфигурируем с най-добрите възможности за отчитане. Той се чувства и функционира като бизнес продукт трябва. Потребителският интерфейс на ePO (UI), от друга страна, е объркващ и тромав и може да бъде рационализиран за малките бизнес клиенти. Можете да получите значителен удар за вашия долар предвид цената му по-ниска от средната. В крайна сметка обаче McAfee Endpoint Protection Essential за SMB е добър, но недостатъчен продукт.
