Tartalomjegyzék:
Videó: Symantec Endpoint Protection Cloud: Management Console Overview (November 2024)
A Symantec az üzleti biztonság egyik legelterjedtebb szervezete, megbízható név a vállalkozások számára, valamint a kis- és közepes méretű vállalkozások számára. Üzleti végpontvédő terméke a Symantec Endpoint Protection Cloud (eszközönként évente 28 dollárral kezdődik), és négy szintre szállítja, így minden méretű vállalkozásnak van némi mozgástere annak kiválasztásában, hogy melyik a legmegfelelőbb eszközéhez és felhasználói számához. A Symantec Endpoint Protection Cloud, amelynek felhőszolgáltatásában gyökerezik, továbbra is a Microsoft Windows végpontokra koncentrál, még akkor is, ha a Mac operációs rendszer (OS) támogatását kibővítették. Javultak a továbbfejlesztett mobil eszközkezelő (MDM) funkciók is, amelyeket az élvonalbeli dolgozókkal rendelkező vállalkozások értékelni fognak. Mindezek a képességek teszik a Symantec Endpoint Protection Cloud kiemelkedő lehetőséget, amely közvetlenül a Szerkesztők Választása győzteseink, a Bitdefender GravityZone Elite és az ESET Endpoint Protection Standard elmaradása mögött marad, különös tekintettel a jelentéskészítő funkciókra.
Ha szeretné megvásárolni üzleti biztonsági platformját egy megalapozott névből, akkor a piacon senki sem szilárdabb, mint a Symantec. Figyelembe kell azonban venni a képességeket és az SKU-kat, mivel a vállalat ebben a tekintetben a közelmúltban némi változást hajtott végre. Jelenlegi üzleti végpontvédő terméke a Symantec Endpoint Protection Cloud (eszközönként 28 dolláronként kezdődik), de négy szintre szállítja, tehát alaposan meg kell vizsgálnia, mit vásárol. És bár a felhőt szállítási mechanizmusként alkalmazta, ez a termék továbbra is erősen a Microsoft Windows végpontokra koncentrál; bár a frissítés során felfedeztük, hogy több támogatást nyújtott a Mac operációs rendszerekhez, valamint néhány mobil eszközkezelő (MDM) funkciót is. Ennek ellenére, bár mindez szilárd üzleti védelmi platformot teremt, ez alig marad el a Szerkesztők Választása nyerteseinket, a Bitdefender GravityZone Elite és az ESET Endpoint Protection Standard szabványtól, különös tekintettel a jelentésekre.
A termék vizsgálata során négy változatban kínálják fel. Az itt felülvizsgált Endpoint Protection Cloud termék valójában két különböző árképzési szintet kínál. Az egyik a fent említett eszközönkénti szint, amely havonta 2, 50 dollár, eszközönként pedig évente 28 dollár. Megvásárolhatja azonban egy felhasználónkénti modellben is, ahol havonta 4, 50 dollárt, felhasználónként pedig 49 dollárt fizet, és felhasználónként 5 eszközre telepítheti. Ha továbbra is fut néhány Microsoft Windows Server példány a helyszínen, akkor ehhez is rendelkezésre áll egy Symantec Endpoint Protection Cloud verzió, amely havonta kiszolgálónként 3, 50 USD, kiszolgálónként évente 38 USD. Jó ár, és a szerver biztonságát ugyanazon az online konzolon keresztül kezelheti, mint a végfelhasználói eszközöket.
Végül, a Endpoint Protection árfának van egy meghajtótitkosítási szintje, amelyet külön sorolunk fel negyedik rétegként. Szerettem volna látni ezt az opciót az alapcsomagban, de a Symantic kibontotta azt egy opcionális kiegészítőként, amely havonta 9 dollárt / hajtást vagy évente 97 dollárt / hajtást eredményez. A felülvizsgálat részeként nem teszteltük a meghajtó titkosítását, bár teszteltük a termék üzleti minőségű ransomware védelmi funkcióit, amint azt alább láthatja.
Telepítés és felhasználói felület
A Symantec Endpoint Protection Cloud felhő üzembe helyezése gyors és viszonylag problémamentes. A folyamat sokkal tovább javult az előző verzióhoz képest, ahol az adminisztrátoroknak az ügyfélgépeket a Microsoft ID használatával kellett regisztrálniuk. A beállításhoz egyszerűen generáljon egy hálózati telepítési csomagot, amelyet el lehet vinni gépről a számítógépre, vagy más módon ki lehet húzni.
A 60 napos próbaverzió elérhető a weboldalon. A szoftver telepítése csak egy-két percet vett igénybe, és egy barátságos "Te védett" üzenet jelenik meg. Még mindig nincs valódi jelzés arról, hogy valami történik a telepítés során, és röviden elgondolkodtam azon, hogy működik-e. A késés azonban elegendő volt ahhoz, hogy nemigen számítson.
Az ügyfélszoftverről nem sok beszélni kell a felhasználói felület (UI) szempontjából, mivel a fő művelet a felhőkezelő konzolon történik. Van egy speciális szakasz, amelyet érdemes megemlíteni, de csak arra szolgál, hogy feltárja az eszközre alkalmazott jelenlegi irányelv eredményeit. A rosszindulatú programok ellenőrzését manuálisan is elindíthatja, de ez általában ritka esemény, mivel a valós idejű észlelés mindig engedélyezve van.
A felhőkonzol jól néz ki és könnyen navigálható. A műszerfalon indítja el, amely néhány gyors jelzést ad arról, hogy hány eszköz biztonságos és mennyire fenyeget. Ezen elemek bármelyikére kattintva áttekintheti az eszközök részletes listáját, és megteheti a megfelelő lépéseket. Ez bármi lehet, ha a dugót egy veszélyeztetett eszközre húzza vagy a karanténba helyezett tárgyakat címezi. Az eszköz részletei kivételesek: a lista mindent tartalmaz, amely az eseménynapló mellett a jelenleg telepített hardverre és alkalmazásokra vonatkozik.
A csoportvezetés hasonlóan egyértelmű. Intuitív volt csoportokat, felhasználókat és eszközöket hozzáadni egy adott csoporthoz. Érdekes és potenciálisan hasznos volt látni a felhasználókat és az eszközöket egyaránt mint csoporttagsági lehetőséget. Azokban az esetekben, amikor problémás felhasználók, akkor alapértelmezetten alapulhatnak egy biztonságosabb profilnál, míg a szigorúan a hálózaton belül működő energiafelhasználóknak nyugodtabb politikájuk lehet.
A politika irányítása természetesen három fő típust követ. A rendszabályok vezérlik a frissítéseket és a proxybeállításokat. A biztonsági házirendek mindent a víruskereső beállításoktól a behatolás megelőzéséig, az eszközvezérlőkig és az internetes védelemig tartanak, és a közöttük számos más lehetőség található. Míg az egyes képernyők nagyon jól megmagyaráztak, könnyű lenne eltévedni a részletekben. Nem minden szolgáltatás vonatkozik minden platformra, ezért az egyes szolgáltatások jobb oldalán egy ikon jelenik meg, hogy gyorsan megtudja, hol alkalmazandó az irányelv.
A kivételes események közé tartozik a konfigurálható ügyféltitkosítás, a hálózat védelme és a jelszóvédelem. E három szolgáltatás kiegészítése bizonyítja, hogy a Symantec elkötelezett a teljes rendszervédelmi terv mellett, szemben a rosszindulatú programok egyszerű megpróbálásával. A központosított jelszó-összetettség-menedzsment különösen kedvező azoknak a kisvállalkozásoknak, amelyek rendelkeznek vagy nem rendelkeznek Active Directory (AD) vagy hasonló termékkel.
A Ransomware védelme
A ransomware védelme érdekében a Symantec Endpoint Protection Cloud néhány jó eszközt hoz az asztalra. Az egyik kiváló tűzfallal és böngészővédelemmel rendelkezik, így kevésbé valószínű, hogy fenyegetés merül fel a rendszer végrehajtási pontjára. Másodszor, a Memory Exploit Mitigation (MEM) nevű funkciót kínálja. Ez a tipikus kizsákmányoló magatartást keresi, és megszakíthat és leállíthat minden, ami gyanúsnak tűnik. Tehát akkor is, ha néhány ransomware megtalálja a rendszeren, és megpróbálja futtatni, valószínűleg nem fog túl messzire jutni.
A Symantec Endpoint Protection Cloud nyilvánvalóan nem alkalmaz a ransomware-specifikus észlelési képességeket a központi motorján kívül, de ezt nagyon jól alkalmazza. Ez azt jelenti, hogy semmi képzeletbeli, mint például a ransomware oltás, egy olyan módszer, amellyel rávilágíthatják a ransomware-t arra, hogy úgy gondolja, hogy a rendszer már fertőzött. A fájlok visszatérítésének semmi sem áll módjában, ha az adatok támadás során megsérülnek. Amint a tesztelés azt mutatja, a Symantec Endpoint Protection Cloud továbbra is erő, amellyel számolni kell, és célja annak bizonyítása, hogy ezek az extrák szükségtelenek. Ha ransomware oltásra van szüksége, akkor az ESET Endpoint Protection Standard jó módszer.
Vizsgálati eredmények
Első tesztelésem során egy ismert, kutatási célból összegyűjtött malware szoftvert használtunk. Mindegyiket jelszóval védett ZIP fájlban tároltuk, és külön-külön kibontottuk. A kivont vírusmintákat azonnal kimutatták. A 142 malware változat közül az összeset megjelölték és karanténba helyezték.
A káros webhelyekkel szembeni védelem tesztelése érdekében a PhishTankból nyílt tíz legújabb webhelyet véletlenszerűen választottak ki. Ez egy nyílt közösség, amely ismert és valószínűleg adathalász webhelyeket jelent. Az egyik URL-t sem elismerték rosszindulatúnak, annak ellenére, hogy nyilvánvaló PayPal vagy banki csalások voltak.
A Symantec Endpoint Protection Cloud válaszának tesztelésére a ransomware-re 44 ransomware-mintát használtam, köztük a WannaCry-t. A minták egyike sem tette lehetővé a ZIP-fájlból való kivonást. Ez nem meglepően meglepő, mivel mindegyik minta ismert aláírással rendelkezik. Mindazonáltal a válasz határozott és gyors volt. A végrehajtható fájlokat hamarosan ransomware-ként jelölték meg, és eltávolították a lemezről. A KnowBe4 ransomware szimulátorát, a RanSim-et szintén ransomware példányként is megjelölték. Mivel valószínű, hogy ezeket ismert aláírásokkal gyűjtötték össze, egy közvetlen megközelítéssel folytattam az aktív támadó szimulációját.
Az összes Metasploit tesztet a termék alapértelmezett beállításaival végeztük. Mivel egyikük sem sikerült, magabiztosnak éreztem magam, ha átugorom az agresszívebb természetű beállításokat. Először a Metasploit segítségével állítottam be az AutoPwn2 szervert, amely a böngészőt kihasználta. Ez olyan támadások sorozatát indítja el, amelyekről ismert, hogy sikeresek olyan általános böngészőkben, mint a Firefox és az Internet Explorer. A Symantec kérdés nélkül blokkolta a kizsákmányolást.
A következő teszt egy makrokompatibilis Microsoft Word {/ ZIFFARTICLE}} dokumentumot használt. A dokumentum belsejében egy kódolt alkalmazás található, amelyet a Microsoft Visual Basic Script (VBScript) dekódol és megpróbál elindítani. Ez gyakran nehézkes körülmény lehet a különböző maszkolási és titkosítási technikák használatakor történő észlelés során. A fájl hibát okozott a megnyitáskor, jelezve, hogy a támadás sikertelen.
Végül kipróbáltam a szociális mérnöki alapú támadást. Ebben a forgatókönyvben a felhasználó letölt egy veszélyeztetett FileZilla telepítőt a Shellter használatával. A végrehajtás után végrehajt egy Meterpreter munkamenetet, és visszahívja a támadó rendszert. A kizsákmányolás másodpercek alatt blokkolódott, és eltávolításra került a lemezről, megmutatva, hogy még a kódolt kihasználás esetén is a rendszer képes felismerni az alkalmazás rosszindulatú viselkedését, és leállította.
Az AV-Test, egy antivírus szoftvert tesztelő független laboratórium, 2018 júliusában / augusztusában tesztelt egy végpont biztonsági szoftvercsomag sorozatának értékelésére. Eredményeik a Symantec Endpoint Protection Cloud számára "6-ból 6-ból" és "6-ból 6-ból" védelmi pontszámot adtak. Ezen túlmenően az MRF-Effitas a 2018 második negyedévének „A vadon élő 360 / teljes spektrum” tesztelésében megemlítette, hogy a Symantec automatikusan blokkolja a bemutatott rosszindulatú programok mintáinak 99, 7 százalékát, a fennmaradó 0, 3 százalék pedig a viselkedés alapját fedezi fel. Ezenkívül képes volt teljes mértékben blokkolni az összes 29 ransomware mintát. Ez megegyezett a Szerkesztők által választott bejegyzésekkel, beleértve a Bitdefender GravityZone Elite-t, az ESET Endpoint Protection Standard-ot és a Sophos Intercept X Endpoint Protection-t.
Végső gondolatok
Összességében a Symantec Endpoint Protection Cloud egy erőmű, amely görgeti a támadási kísérleteket. Noha nem képes az adathalász webhelyek észlelésére, az összes többi védelem kiváló volt. Nemrégiben kapott további támogatást a Mac OS-hez is, ami bónusz. Másrészről, a Linux még mindig nem fogadja a pártot. A jelentések kissé gyengék és jó megjelenésűek, de nem fedik le azokat a dolgokat, amelyeket szeretnék látni. Van valami jó
