Съдържание:
Видео: Sophos Central How-To: Getting Started With Intercept X and Endpoint Advanced (Октомври 2024)
Следващо надолу от таблото за управление е страницата със сигнали. Това е мястото, където всички заплахи ще бъдат каталогизирани и показани, когато бъдат открити. След като те са решени, можете да ги проверите и маркирате от списъка. Ако определена заплаха е цитирана повече от веднъж, тя може да се групира с обикновен превключвател. Ако някоя заплаха изисква ръчно почистване или допълнителна дейност, можете да щракнете върху хипервръзката на заплахата и да видите какви са следващите стъпки. През повечето време всичко, от което се нуждаете, е просто рестартиране, за да изчистите проблема.
Разделът „Устройства“ също е приятно лесен за използване. За да видите детайлите на конкретна система, можете да щракнете върху нея. От там можете да получите кратко обобщение на инсталираните продукти, последните събития, текущото състояние на системата и политиките. Сигурността на здравето в раздела за състоянието е доста подробна и може да ви даде бързо връщане, ако нещо не е наред, като остарял софтуер или активна заплаха. Правилата също така ще ви позволят да видите с един поглед кои правила се отнасят за това устройство.
Досега едно от най-полезните части на Endpoint Protection е анализ на причините за корените. Чудесно е да се каже, че вашите системи са защитени, но често е по-полезно да знаете как е възникнала атака, тъй като това може да бъде отличен източник на материал, който след това може да се използва за обучение на потребителите какво да не правят. Например, ако Боб изтегли несанкционирано приложение, за което случайно има някакво откупуващо програмно осигуряване, той може да бъде показан на следващата среща за сигурност. Включени са доста компоненти, но те наистина могат да бъдат разбити на три части: Преглед, Артефакти и Визуализация. Прегледът описва заплахата и ви дава връзката къде е намерена и кога. Артефакти описват промените, които се опита да направи в системата. Визуализира ви дава диаграма, показваща пътя на инфекцията и как зловредният софтуер се опита да взаимодейства със системата. Освен че е един от само три продукта в тази обзорна група, предоставяща този вид анализ, Sophos Intercept X Endpoint Protection също върши най-добрата работа.
Ако има недостатък на защитата на Sophos Intercept X Endpoint Protection, тогава това ще бъде преобладаващият брой опции, когато става въпрос за конфигурация на политиката. Добрата новина е, че всички политики по подразбиране имат важните функции за начало, така че няма много какво да се прави тук, освен ако не искате да получите хитър или да имате специфични изисквания за контрол на устройството или уеб. Това е в изключителен контраст с продукти като Panda Security Adaptive Defense 360 в който режимът трябва да бъде променен, за да се получи ниво на защита. Има седем категории политики, които можете да добавите, вариращи от Контрол на приложенията до Уеб контрол и всяка от тях има свой уникален набор от настройки, които да настройвате. Всяка политика може да се прилага или за потребители, или за устройства, така че има голяма гъвкавост в това кога и къде прилагате настройки.
Ransomware Protection
Sophos Intercept X Endpoint Protection се отличава с защита от защита от софтуер. С дълбокото учене и откриване на експлоатация може бързо да определя различни софтуерни заплахи. Функцията CryptoGuard може автоматично да възстановява всички повредени файлове и да се предпазва от опити за шифроване на ransomware.
Освен това, с анализа на първопричината си, Sophos Intercept X Endpoint Protection може да проследи какво се случва при изпълнение на програмата, така че, каквото и да направи, може да се върне по-късно, ако е необходимо. В комбинация със защитна стена, която знае как да търси различни видове враждебен трафик, вие имате победител.
Резултати от тестовете
Първоначалното ми тестване включваше използване на известен набор от злонамерен софтуер, събран за изследователски цели. Всеки от тях се съхранява в защитен с парола ZIP файл и се извлича поотделно. Пробите от вируса, когато бъдат извлечени, бяха открити незабавно. От 142 варианта на зловреден софтуер, всички елементи бяха маркирани и поставени под карантина.
За да се тества защитата срещу вредни уебсайтове, е избран случаен подбор от най-новите 10 уебсайта от PhishTank, отворена общност, която съобщава за известни и подозирани фишинг уебсайтове. Всички опити за единни локатори на ресурси (URL адреси) доведоха до блокиране на въпросния уебсайт.
За да тествам отговора на Sophos Intercept X Endpoint Protection на ransomware, използвах набор от 44 образци на рансъмуер, включително WannaCry. Нито една от пробите не го е извадила от ZIP файла. Това не е много учудващо, тъй като всяка от пробите има известен подпис. Като беше казано, реакцията беше бърза и тежка. Изпълнимите файлове бяха незабавно маркирани като софтуер за извличане и премахнати от диска.
Симулаторът на рансъмуер на KnowBe4 RanSim също беше означен като екземпляр на ransomware. Тъй като най-вероятно те са били избрани чрез известни подписи, аз пристъпих към по-директен подход, като симулирах активен нападател. Това е в съответствие с продуктите за защита от най-висока оценка, които включват Bitdefender GravityZone Elite и ESET Endpoint Protection Standard.
Всички тестове на Metasploit бяха проведени с помощта на настройките по подразбиране на продукта. Тъй като никой от тях не успя, се почувствах уверен в пропускането на всякакви настройки от по-агресивен характер. Първо използвах Metasploit, за да настроя AutoPwn2 сървър, предназначен да използва браузъра. Това стартира поредица от атаки, за които е известно, че успяват на обикновени браузъри като Firefox и Internet Explorer. Sophos Intercept X Endpoint Protection блокира подвизите с малко суетене.
Следващият тест използва документ с Microsoft Word с активиран макрос. Вътре в документа се съдържа кодирано приложение, което Microsoft Visual Basic Script (VBScript) след това ще декодира и се опита да стартира. Това често може да бъде сложно условие за откриване, когато се използват различни техники за маскиране и криптиране. Файлът създаде грешка при отваряне, което показва, че атаката не е успешна.
И накрая, тествах атака, базирана на социален инженеринг. В този сценарий потребителят изтегля компрометиран инсталатор на FileZilla с помощта на Shellter. След като го изпълни, той ще извърши сесия на Meterpreter и ще се обади обратно на атакуващата система. Експлоатацията беше блокирана в рамките на секунди и премахната от диска.
AV-Test, независима лаборатория, която тества антивирусен софтуер, проведе тест през август 2018 г., за да оцени серия от софтуерни пакети за сигурност на крайната точка. Резултатите от тях дадоха защита на Sophos Intercept X Endpoint Protection „6 от 6“ и резултат от „5, 5 от 6“. В допълнение, ДПС-Ефитас класира Sophos на първо място по отношение на защитата от експлоатация. Тази здравина се отрази и в нашите собствени тестове. Макар да не е перфектната оценка, получена от Symantec Endpoint Protection Cloud, не забелязах съществена разлика в цялостното им представяне.
Заключителни мисли
Sophos Intercept X Endpoint Protection перфектно съчетава защитата с лекота на използване и инструменти за поставяне на бизнеса в по-проактивна поза. Цената е правилна и тя разполага с инструменти за опитен професионалист по сигурността, без да жертва на възможността лаирсън да я инсталира и управлява. Това е отличен избор за всеки бизнес, който иска да запази мрежата си защитена, без да харчи много време и пари за това.
