Trend mikro gondtalan üzleti biztonsági szolgáltatások áttekintése és besorolása

A Trend Micro aggódó üzleti biztonsági szolgáltatásai egy nagyon hosszú nevet szilárd, üzleti szintű, végpontvédő szolgáltatássá változtatnak, amely évente 75, 50 dollárt fog fizetni a két felhasználó elindításához. Noha a szolgáltatáskészlete nagyon szilárdnak tűnik a papíron, a frissítés során végzett tesztelésünk során problémákat tapasztalt néhány fejlettebb kihasználtságunkkal, és nem rendelkezett a legbiztonságosabb alapértelmezett beállításokkal. Ezért a jelenlegi Szerkesztői döntések mögött marad az üzemeltetett üzleti végpont, a Bitdefender GravityZone Elite és az ESET Endpoint Protection Standard.

E megoldások tesztelésekor ezúttal úgy döntöttünk, hogy megvizsgáljuk a lakosztályok azon képességét is, hogy üzleti szintű ransomware védelmet nyújtsanak. Míg a Trend Micro továbbra is jól teljesítette ezeket a teszteket, ez nem volt kiemelkedő, és a versenyek némelyike ​​jobban teljesített, amikor a visszatekerési képességről volt szó.

Ennek ellenére ez általában meglehetősen szilárd versenytárs, amely a legtöbb olyan funkcióval bír, amelyre szüksége van a végpontok biztonságában. A következő lépés, a Trend Micro aggódó nélküli speciális szolgáltatások, külön védelmi intézkedéseket tesz az e-mail, a felhőtárolás és a Microsoft Office 365 védelmére. Az értékelés céljából 30 napos próbaverzió érhető el a vállalat weboldalán.

Felhasználói felület

A Trend Micro aggódó üzleti biztonsági szolgáltatásait egy jól felépített webkonzollal parancsolják. Nem túl bonyolult, de nem olyan egyszerű, mint amilyen az Avast Business Antivirus Pro Plus-nál találkoztam. A Trend Micro aggódó üzleti biztonsági szolgáltatásokkal az adminisztrátorok hozzáadhatnak számítógépeket a Biztonsági ügynök laphoz, ha rákattintanak a „Biztonsági ügynökök hozzáadása” gombra, és kiválasztják, hogy szeretnének-e e-mailt telepíteni linkre, azonnal telepíteni az aktuális eszközre vagy letölteni a telepítőt. csomag, amely több eszközre terjeszthető. A regisztráció után az eszköz megjelenik és könnyen kezelhető csoportokba rendezhető. Az összes információ, mint például a számítógép vagy az eszköz neve, az IP-cím, az állapot és a fertőzés statisztikája, egy pillanat alatt elérhető.

A Műszerfal fül áttekintést nyújt a fennálló fenyegetésekről, a felfedezett fenyegetések típusáról és arról, hogy ezek a fenyegetések hogyan alakulnak ki az érintett eszköz és a támadás stílusa szempontjából. Azt is megmutatja, hogy szükség van-e bármilyen azonnali intézkedésre az adminisztrátor részéről. Egyszerűen olvasható minimális szellőzéssel, ami fontos, ha a hívások kezdenek az ügyfélszolgálaton. Ez az előző verzió óta egy kicsit működőképessé vált, és számos leolvasás lehetővé teszi a naplók fúrását.

Ha a Biztonsági ügynökök fülön egy vagy több ügynököt bejelölnek, akkor frissítéseket hajthat végre az eszközön, vagy a merevlemez-meghajtók titkosíthatók vagy dekódolhatók bármilyen rendelkezésre álló natív szoftver használatával, a legördülő feladatok használatával. A Microsoft Windows alapú gépeknél az adott vállalat BitLocker-jét kell használni. Az Apple OS X számítógépeknél a File Vault lesz a választott titkosítási módszer. Az irányelvek csoportonként beállíthatók és alkalmazhatók. Ez egy jó tulajdonság, mivel az utazóknak gyakran eltérő szélességi szintet kell megkövetelniük az irodában ülő jól irányított asztali PC-khez képest. Hasonlóképpen, a szerverek magasabb szintű ellenőrzést fognak végezni, mivel ők általában a legtöbb kibernetikai támadás fődíja. Érdemes megjegyezni, hogy minden tesztelésnél engedélyeztem az összes viselkedésfigyelő lehetőséget az összes eszköz számára.

A Szkennelés lap eltűnt, és a Biztonsági ügynökök körében leépülté vált. Ez nagy előrelépés és kevesebb kattintást igényel a hozzáféréshez. Innen azonnal kiválthatja az agresszív vagy normál vizsgálatot. Az ütemezett vizsgálatok átkerültek a házirend-konfiguráció lapra, amely sokkal értelmesebb. Összességében az itt bemutatott előadás tisztább.

A Jelentések lapon különféle jelentéstartalom található, amely letölthető PDF-fájlként vagy e-mail címre küldhető. A jelentéseket hetente vagy havonta, vagy egy adott dátumtartomány között ütemezheti. Vagy az összes eszközt vagy egy adott csoportot meg lehet választani a jelentéskészítéshez, így a kiszolgálók, az asztali számítógépek, a laptopok és a mobil eszközök egyszerűen megbonthatják a dolgokat. Noha szükség lehet újragondolni néhány dolgot, hogy a jelentéssorozatokat a szervezeti paraméterek (pl. Értékesítés, számvitel stb.) Alapján készítse el, ez végrehajtható, és a jelentés tartalma informatív és jól szervezett.

A Ransomware védelme az üzleti életben

A ransomware védelme szempontjából a Trend Micro aggódó üzleti biztonsági szolgáltatások speciális kapcsolót kínálnak a ransomware védelem bekapcsolásához. Noha meglepődtem, hogy ez alapértelmezés szerint nem volt bekapcsolva, nagyon egyszerű volt engedélyezni közvetlenül a műszerfalról. Az antivírus motor által alkalmazott szokásos viselkedési elemzésen túlmenően külön figyelni fogja a dokumentumok illetéktelen titkosítását is, ami hasonló a DeepGuard viselkedéséhez az F-Secure Protection Business for Business szolgáltatásban. Ezen felül aktívan megpróbálja blokkolni a ransomware-hez társított folyamatokat, és fokozza az ellenőrzést olyan programok felé, amelyek váratlanul viselkedhetnek. További információkért a Trend Micro útmutatást nyújt ezeknek a házirendeknek a végrehajtására. Végül, a Trend Micro egy Ransomware File Decryptor alkalmazást kínál arra az esetre, ha a ransomware megkapja néhány fájlt. Nem garantált, hogy működni fog, de érdemes lehet egy lövés, mielőtt kihúzza a biztonsági másolatot. Jobb megoldás lehet a Webroot SecureAnywhere Business Endpoint Protection vagy egy jó naplózó biztonsági mentési program, például az Acronis Backup 12.5, ha a visszatekerés kritikus funkció az Ön számára.

A Trend Micro víruskeresõ motorjával az MRG-Effitas, a biztonsági és antivírus termékek tesztelésére szakosodott kutató cég 2018 elsõ negyedévi tesztelése során megállapította, hogy a védett rendszerekben tesztelt rosszindulatú programok közül a fenyegetések 75, 7 százaléka automatikusan blokkolódik. Eközben a ransomware 6, 5 százalékát blokkolták a viselkedés elemzése, de végrehajtást igényelt, 9, 5 százalékát pedig 24 órán belül blokkolták. Ezenkívül 8, 3 százalékot is kihagytak. Az értékelés során tesztelt termékek közül ez volt a legalacsonyabb.

Kezdeti független tesztelésem során egy ismert, kutatási célokra gyűjtött malware szoftvert használtunk. Mindegyiket jelszóval védett ZIP fájlban tároltuk, és külön-külön kibontottuk. A Trend Micro aggódó üzleti biztonsági szolgáltatói vírusok és rosszindulatú programok észlelése során bebizonyították a tesztet, ám ezt csak a teljes rendszerű vizsgálat elvégzése után tette meg. Míg számos más termék észlelte egy rosszindulatú alkalmazás jelenlétét az asztalra másoláskor, a Trend Micro aggódó üzleti biztonsági szolgáltatása késleltetett megközelítést alkalmazott. A teljes vizsgálat befejezése után azonban a 143 változat közül 102-et észlelt. Ez a fenyegetések 71% -át teszi ki. Érdemes megjegyezni, hogy mivel ezeket a fájlokat nem hajtották végre, ez az észlelési arány alacsonyabb lesz, mint ha a hasznos terheléseket a gépen futtatnák (mivel a Trend Micro aggódó üzleti biztonsági szolgáltatásainak észlelési folyamata része a program viselkedésének elemzését tartalmazza).

A káros webhelyekkel szembeni védelem tesztelése céljából véletlenszerűen választottam ki a 10 legfrissebb bejelentett webhelyet a PhishTank-ban, egy nyílt közösségben, amely ismert és gyanús adathalászati ​​webhelyeket jelent. Az egységes erőforrás-kereső eszközök (URL-ek), amelyekre a cél eszközre mutattam, az összes weboldal blokkolását eredményezte, osztályozással és kategóriával.

Ransomware tesztek

A Trend Micro aggódó üzleti biztonsági szolgáltatások ransomware-re adott válaszának tesztelésére 44 ransomware-mintát használtam, köztük a WannaCry-t. Mindegyiknek ismert volt az aláírása, tehát nem volt meglepő, hogy a Trend Micro egyiküknek sem engedte, hogy a ZIP fájlból kiürítsék. Ennek ellenére a termék gyorsan reagált a veszélyre. A végrehajtható fájlokat hamarosan ransomware-ként jelölték meg, és eltávolították a lemezről. A RanSim, a KnowBe4 ransomware szimulátorja szintén ransomware példányként lett megjelölve. Mivel valószínű, hogy ezeket ismert aláírásokkal gyűjtötték össze, egy közvetlen megközelítéssel folytattam az aktív támadó szimulációját.

Az összes Metasploit tesztet a termék alapértelmezett beállításaival végeztük. Mivel egyikük sem sikerült, magabiztosnak éreztem magam, ha átugorom az agresszívebb természetű beállításokat. Először a Rapid7 Metasploit keretrendszerével állítottam be a böngésző kihasználására tervezett AutoPwn2 szervert. Ez olyan támadások sorozatát indítja el, amelyekről ismert, hogy sikeresek olyan általános böngészőkben, mint a Firefox és a Microsoft Internet Explorer. A Trend Micro aggódó üzleti biztonsági szolgáltatásainak helyesen észlelte az egyes kihasználásokat, és megszakította a támadást. Ez a várakozásokkal vagy azok fölött haladt.

Ezután teszteltem egy társadalmi mérnöki alapú támadást. Ebben a forgatókönyvben a felhasználó letölt egy sérült telepítőt a FileZilla nyílt forrású fájlátviteli protokoll (FTP) eszközhöz a Shellter használatával. A végrehajtás után végrehajt egy Meterpreter munkamenetet, és visszahívja a támadó rendszert. Sajnos az ilyen típusú támadás továbbra is sikeres volt, és korrelál az MRG által már ismert tesztrendszerrel.

A távoli héj megszerzése után javíthatom az adminisztrációs engedélyeket, lekérdezhetem az összes kivonatolt jelszó felsorolását, törölhetem az eseménynaplókat, elemeket adhattam a Windows-nyilvántartáshoz, fájlokat tölthetem fel és tölthetem le, titkosíthatom a fájlokat, és megváltoztathatom a Windows hosts fájlt, amely korrelálja az URL-eket ahova eldöntik, és telepítik-e a keyloggert. Ezen a ponton bárki úgy véli, hogy a rendszer teljesen veszélyeztetett, és ez lehetővé tenné a támadó számára, hogy a hálózat más rendszereire forduljon, vagy kémkedjen a felhasználói tevékenységekre, és érzékeny információkat gyűjtsön.

Attack Response

Amikor a Trend Micro gondtalan üzleti biztonsági szolgálat észlelte a fenyegetést, a kliens gépen azonnal reagált a válasz. Az e-mail figyelmeztetések kiváltása előtt azonban még számos kísérletet meg kellett tenni. Ennek oka azonban az alapértelmezett beállítás, amely megköveteli, hogy az elmúlt órában öt észlelés érkezzen az e-mail elküldéséhez. Úgy találtam, hogy ez kissé frissítő lehetőség, mivel bosszantóvá válik, amikor minden fenyegetés e-mailt generál. A fertőzéseket alapértelmezés szerint karanténba helyezik és lehetőség szerint megtisztítják.

A fenyegetések a webkonzol irányítópultján tekinthetők át, összefoglalóként, vagy részletesebben a Jelentések modul segítségével. Mindkettő jól kialakítva, és betekintést nyújt az érintett eszközökbe, valamint a támadások típusához és gyakoriságához.

Azok a megbízhatatlan webhelyek, amelyek adathalászati ​​kísérlet lehetnek, a Trend Micro aggódó üzleti biztonsági szolgáltatásainak legmagasabb szintű biztonsági szintje kitűnő feladatot jelent a megbízhatatlan webhelyekre irányuló kérelmek leállításáért. Ez azonban nem a szoftver alapértelmezett beállítása, ezért ezt manuálisan vagy házirend szerint kell beállítania az összes ügyfél számára a konfigurálás során. Felépíthet egy engedélyezési listát is, amely csak kérésre engedélyezi az új webhelyeket. Két alacsonyabb biztonsági szintet kínálnak, de támaszkodnak a Trend Micro Aggódó üzleti biztonsági szolgáltatások webhelyének biztonsági adatbázisára, hogy veszélyesnek vagy gyanúsnak nyilvánítsák.

Végső gondolatok

Összességében a Trend Micro gondtalan szolgáltatás nem rossz termék. Megalapozott, de nem sikerült felülmúlni a vezető termékeket, köztük az Editors Choice Bitdefender GravityZone Elite és az F-Secure Protection Business for Business szolgáltatást. Nem ugyanolyan válaszidővel rendelkezik, mint a Bitdefender GravityZone Elite, de megkapja a munkát, kivéve a vérzéses peremtámadásokat. Ha valamilyen szociális mérnöki képzést valósítanak meg, akkor a felhasználók ésszerűen meggyőződhetnek arról, hogy a Trend Micro aggódó szolgáltatások hátuljai vannak. Egyes kiváló jelentési és eszközkezelési lehetőségekkel kombinálva ez a megoldás mindenképpen érdemes megnézni.