Análise de proteção de endpoint do Sophos Intercept X

[ad_1]

Sophos Intercept-X Endpoint Protection permanece um excelente proteção de endpoint hospedado solução desde a última vez que testamos há um ano. O preço do produto varia de $ 20,00 a $ 40,00 por usuário por ano, dependendo dos recursos que você selecionar no momento da assinatura, mas é vendido estritamente por meio de canais de parceiros que podem desligar alguns compradores. Ainda assim, o Sophos é uma ótima solução para empresas de qualquer tamanho, pois é capaz de proteger tanto os principais sistemas operacionais de desktop (SOs) quanto as plataformas de dispositivos móveis. Você pode até decidir adicionar licenças de proteção de servidor, o que significa que você obterá algum suporte para Linux, embora os ambientes de desktop Linux não precisem se aplicar. Deixando esse leve toque de lado, a Sophos verifica todas as caixas que uma empresa pode procurar e faz isso a um preço muito competitivo. Por esse motivo, ele mantém nosso prêmio Escolha do Editor na categoria de proteção de endpoint junto com os concorrentes Bitdefender GravityZone Ultra e ESET Endpoint Protection.

Começando

Depois que sua conta for criada (que é um processo que provavelmente varia de parceiro para parceiro), começar é muito fácil. O login no Sophos Central dá as boas-vindas ao Dashboard. No topo, estão os alertas mais recentes (se houver), o que é bom porque os coloca em uma visão rápida e fácil do administrador, caso haja algum problema. Abaixo está um resumo de uso, mostrando quais dispositivos estão protegidos e quais estão inativos por um período de tempo considerável. Se um dispositivo cair fora do mapa por um tempo, pode ser um motivo de preocupação, então esta é outra estatística interessante para se ter uma rápida olhada. Se estiver usando o componente Email Security, que requer apontar os registros MX do seu domínio para o Sophos, você também pode obter um resumo da atividade de ameaças por email. As estatísticas da web estão à direita, portanto, se houver algumas tentativas de phishing, você também saberá sobre elas. Uma adição interessante é um fluxo de “notícias” na parte inferior, que tenta mantê-lo atualizado sobre as novas ameaças e como combatê-las. Gostamos de educar os usuários para evitar problemas, então isso nos conquistou.

Captura de tela do painel central do Sophos Intercept-X Endpoint Protection

Para começar rapidamente, você pode ir até a seção Proteger dispositivos. A partir daí, você pode clicar no link de download apropriado para os sistemas que deseja proteger. Apple macOS e Microsoft Windows 10 são compatíveis com desktops e laptops, mas os dispositivos móveis Android e iOS também são suportados por meio de um assistente de inscrição de dispositivo e recebem o mesmo tratamento de cidadão de primeira classe que os desktops em termos de proteção. Depois que o agente é instalado, o que leva apenas um ou dois minutos, seu dispositivo fica oficialmente protegido pelo sistema. Se você estiver usando um dispositivo móvel, o assistente de inscrição móvel estará na mesma página. Adicionar usuários é igualmente fácil na seção Pessoas. Você pode adicionar um usuário de cada vez ou importá-los de um arquivo CSV (valores separados por vírgula) ou de Microsoft Active Directory, embora esta etapa seja mais envolvente.

A seguir, no painel de controle, está a página Alertas. É aqui que todas as ameaças serão catalogadas e exibidas à medida que são descobertas. Semelhante a um gerenciador de tarefas, conforme essas ameaças são resolvidas, você pode clicar e retirá-las da lista. Se uma determinada ameaça for citada mais de uma vez, ela pode ser agrupada com um botão de alternância simples. Se qualquer ameaça exigir limpeza manual ou atividade adicional, você pode clicar no hiperlink da ameaça e ver quais são as próximas etapas. Na maioria das vezes, tudo o que você precisa é reiniciar para resolver o problema.

A seção Dispositivos também é bastante simples de usar. Para visualizar os detalhes de um sistema específico, basta clicar sobre ele. A partir daí, você pode obter um resumo rápido dos produtos instalados, eventos recentes, status do sistema atual e políticas. A integridade da segurança na guia de status é bastante detalhada e pode fornecer um resumo rápido se algo estiver errado, como software desatualizado ou uma ameaça ativa. As políticas também permitirão que você veja rapidamente quais políticas se aplicam a esse dispositivo.

Captura de tela de análise de ameaças do Sophos Intercept-X Endpoint Protection

Análise de causa raiz

De longe, um dos componentes mais úteis do Intercept X é a análise de causa raiz. É ótimo dizer que seus sistemas estão protegidos, mas geralmente é mais útil saber como e por que um ataque aconteceu. Isso pode ajudar não apenas a proteger seus sistemas no futuro, mas também a educar os usuários sobre o que eles devem ou não fazer. Por exemplo, se Bob baixar um aplicativo não autorizado que tenha algum ransomware pegando carona, isso pode ser revelado na próxima reunião de segurança. Existem alguns componentes envolvidos, mas o Sophos os agrupa amplamente em três partes: Visão Geral, Artefatos e Visualizar.

A visão geral descreve a ameaça e fornece um resumo de onde ela foi encontrada e quando. Artefatos informa sobre as alterações que tentou fazer no sistema, enquanto Visualize mostra um diagrama exibindo o caminho da infecção e como o malware tentou interagir com o resto do sistema. Além de ser um dos apenas três produtos neste roundup com este tipo de análise disponível, sentimos que o Sophos Intercept-X faz o melhor trabalho ao apresentar os dados porque não é apenas claro, também é muito fácil de pegar e com um mínimo de técnica discutir.

Captura de tela do monitor de atividade do dispositivo Sophos Intercept-X Endpoint Protection

No entanto, isso não quer dizer que o Sophos Intercept X se tornou mais fácil de usar desde a última vez que o analisamos. Na verdade, se há uma desvantagem real para a nova Sophos, seria o número esmagador de opções quando se trata de configuração de política. Para realmente entender o que você está colocando em uma política, você precisa estar preparado para enfrentar uma curva de aprendizado significativa. A boa notícia é que todas as políticas padrão têm recursos importantes para começar, então você não precisa necessariamente ser astuto aqui, embora os administradores de grandes redes provavelmente não consigam evitá-lo. Existem sete categorias de políticas que você pode adicionar, variando de controle de aplicativos a controle da Web e cada uma tem seu próprio conjunto exclusivo de configurações para ajustar. Cada política pode ser aplicada a usuários ou dispositivos, portanto, há muita flexibilidade em quando e onde você aplica as configurações.

Anti-Ransomware e EDR

Além da proteção contra malware, o Sophos Intercept X também é um excelente executor como ferramenta anti-ransomware de classe empresarial. O Intercept-X traz uma excelente combinação de aprendizado profundo e detecção de exploits para esse problema específico, de modo que ele possa descobrir de forma rápida e fácil se um software está sujeito a um ransomware malicioso. Ele também emprega um recurso chamado CryptoGuard para recuperar automaticamente todos os arquivos danificados e proteger contra tentativas hostis de criptografia de ransomware. Além disso, quando você combina esses recursos com sua análise de causa raiz, o Intercept X pode rastrear o que acontece enquanto um programa é executado. Portanto, tudo o que ele fizer pode ser revertido mais tarde, se necessário. Combinado com um firewall que sabe como procurar vários tipos de tráfego hostil, esta é uma solução de proteção contra ransomware tão boa quanto vimos até agora.

Uma novidade no produto é o Endpoint Detection and Response (EDR), que aparece como Centro de Análise de Ameaças. As ameaças podem ser eliminadas diretamente deste módulo, além de isolar os dispositivos afetados enquanto você descobre de onde a ameaça veio. Ele fornece um resumo útil, incluindo se os dados de negócios estavam ou não envolvidos quando a ameaça ocorreu e qual era a causa raiz. Usando essas informações, você pode inventar algumas estratégias para evitar ataques semelhantes no futuro. O Bitdefender GravityZone Ultra também possui recursos EDR integrados com seu Painel de Risco, mas esta é outra área em que sentimos que o Sophos Intercept X simplesmente implementa o recurso um pouco melhor.

Captura de tela de seleção de relatórios do Sophos Intercept-X Endpoint Protection

Desempenho de detecção

Nosso primeiro passo para testar uma plataforma antimalware de classe empresarial é sempre o teste de phishing. Para isso, usamos 10 amostras de PhishTank, sou um recurso independente da Internet que lista sites de phishing conhecidos. Depois de escolher nossos dez sites aleatoriamente, navegamos em cada um de nosso sistema de teste usando o Internet Explorer. A Sophos emitia um alerta sempre que era feita uma tentativa de conexão e nenhum dos sites era permitido. Não ficou muito claro para o usuário do sistema por que esse era o caso sem que ele procurasse seus logs de cliente (o que poucos ou nenhum usuário final fariam), mas o administrador obtém a imagem completa no Dashboard. Francamente, teríamos ficado um pouco mais felizes com mais alertas locais.

O próximo teste envolveu o download e a execução de um novo banco de dados de malware no sistema de teste. Ao executar o programa de extração, todas as amostras foram detectadas imediatamente. O Sophos Intercept X forneceu ao malware nenhuma oportunidade de execução, que é exatamente o resultado que você deseja aqui e mostra que a Sophos fez um bom trabalho no ano passado mantendo seus sistemas atualizados com a proteção contra malware mais recente.

Nosso terceiro teste é feito usando um exploit baseado em navegador. Para isso, escolhemos uma vulnerabilidade bem conhecida do Internet Explorer, chamada MS06-14. Embora essa fraqueza tenha sido relatada já em 2006, ela ainda é muito usada porque ainda tem bastante sucesso. Feito da maneira certa, as cargas úteis que carregam malware usando o MS06-14 ainda podem superar o Microsoft Windows Defender. Para testar o Sophos nisso, construímos um site fictício que tentou explorar o MS06-14; se o ataque for bem-sucedido, será criada uma conexão shell remota. O Sophos requer que um complemento do navegador seja habilitado para esse tipo de ataque, mas assim que o instalamos na instância do Internet Explorer do nosso sistema de teste. ele imediatamente bloqueou o site como malicioso. Muito parecido com o teste de phishing, a descoberta foi anunciada em uma janela de alerta, mas não foi mostrada no navegador, como o Bitdefender GravityZone Ultra.

Nosso teste de invasor ativo presume que uma máquina em algum lugar da sua rede teve sua senha de protocolo de desktop remoto (RDP) comprometida e agora há uma conta limitada hostil ativa na máquina. Nosso primeiro passo depois de obter acesso à máquina remota é despejar nela uma enorme pilha de malware. Para fazer isso, codificamos uma grande variedade de cargas úteis de Metasploit Meterpreter Sophos pegou cada um deles. Dos 42 que foram copiados para o desktop via RDP, nenhum permaneceu viável para execução.

Esses são resultados excelentes e permaneceram assim quando os comparamos com as descobertas de terceiros. Comparativos AV, em seu teste de proteção do mundo real de 2019, descobriu que o Sohops bloqueou 99,5% das ameaças sem falsos positivos. Novamente, ótimos resultados que o colocam em pé de igualdade com jogadores como ESET e Kaspersky Endpoint Security Cloud.

Excelente e avançada proteção contra ameaças

No geral, descobrimos que o Sophos Intercept X faz um ótimo trabalho ao combinar uma poderosa proteção contra ameaças com ferramentas avançadas que podem colocar empresas de qualquer tamanho em uma postura mais segura e proativa. Embora haja muito aprendizado envolvido em seus recursos mais avançados, o preço que oferece a qualquer administrador, do generalista ao especialista em segurança, as ferramentas de que precisam para fazer o trabalho.

Sophos Intercept X Endpoint Protection

The Bottom Line

O Sophos Intercept X Endpoint Protection continua sendo uma excelente solução de defesa contra malware para empresas de qualquer tamanho e foi atualizado com ainda mais recursos desde a última vez que o analisamos. No entanto, embora isso signifique que ele retenha a designação de Escolha do Editor, esteja ciente de que também representa uma curva de aprendizado significativa.

Este boletim informativo pode conter publicidade, negócios ou links de afiliados. A assinatura de um boletim informativo indica seu consentimento com o nosso Termos de uso e Política de Privacidade. Você pode cancelar a assinatura dos boletins informativos a qualquer momento.



[ad_2]

Source link

Deixe um comentário

O seu endereço de e-mail não será publicado.