Obsah:
Video: Sophos Central How-To: Getting Started With Intercept X and Endpoint Advanced (Október 2024)
Ďalej z informačného panela sa nachádza stránka s upozorneniami. Na tomto mieste budú všetky hrozby katalogizované a zobrazené hneď po ich zistení. Keď sú vyriešené, môžete ich skontrolovať a označiť zo zoznamu. Ak je konkrétna hrozba citovaná viackrát, môže byť zoskupená pomocou jednoduchého prepínača. Ak si nejaká hrozba vyžaduje manuálne vyčistenie alebo ďalšiu aktivitu, môžete kliknúť na hypertextový odkaz hrozby a zistiť, aké sú ďalšie kroky. Všetko, čo potrebujete, je väčšinou jednoduché reštartovanie, aby sa problém vyriešil.
Používanie sekcie Zariadenia je tiež úžasne jednoduché. Ak chcete zobraziť podrobnosti o konkrétnom systéme, môžete doň kliknúť. Odtiaľto získate rýchly prehľad nainštalovaných produktov, nedávnych udalostí, aktuálneho stavu systému a politík. Bezpečnosť na karte Stav je pomerne podrobná a môže vám poskytnúť rýchly prehľad, ak je niečo v poriadku, napríklad zastaraný softvér alebo aktívna hrozba. Tieto pravidlá vám na prvý pohľad ukážu, ktoré pravidlá sa vzťahujú na dané zariadenie.
Jednou z najužitočnejších častí ochrany koncových bodov je analýza hlavných príčin. Je skvelé povedať, že vaše systémy sú chránené, ale často je užitočnejšie vedieť, ako vznikol útok, pretože to môže byť vynikajúci zdroj materiálu, ktorý potom možno použiť na školenie používateľov o tom, čo nemajú robiť. Napríklad, ak Bob stiahne neohraničenú aplikáciu, ktorá náhodou zaberá nejaký ransomware, môže sa to prejaviť na ďalšom bezpečnostnom stretnutí. Zapojených je pomerne málo komponentov, ale môže sa skutočne rozdeliť na tri časti: Prehľad, Artefakty a Vizualizácia. Prehľad popisuje hrozbu a poskytuje prehľad o tom, kde bola nájdená a kedy. Artefakty opisujú zmeny, ktoré sa pokúsil vykonať v systéme. Vizualizácia vám poskytuje diagram ukazujúci cestu infekcie a spôsob, akým sa malware pokúsil interagovať so systémom. Okrem toho, že produkt Sophos Intercept X Endpoint Protection je jedným z iba troch produktov v tomto kole prehľadov, ktoré poskytuje tento druh analýzy, robí to najlepšie.
Ak existuje nevýhoda ochrany koncových bodov Sophos Intercept X, potom by to bolo ohromné množstvo možností, pokiaľ ide o konfiguráciu politiky. Dobrou správou je, že všetky predvolené politiky majú začať s dôležitými funkciami, takže tu nie je veľa čo robiť, pokiaľ nechcete byť prefíkaný alebo mať špecifické požiadavky na kontrolu zariadenia alebo webu. Toto je v ostrom kontraste s produktmi, ako je napríklad Panda Security Adaptive Defense 360 v ktorom musí byť režim zmenený, aby sa dosiahla úroveň ochrany. Existuje sedem kategórií politík, ktoré môžete pridať, od ovládania aplikácií po riadenie webu a každá z nich má svoju vlastnú jedinečnú sadu nastavení vyladenia. Každá zásada sa môže vzťahovať na používateľov alebo zariadenia, takže v čase a kde použijete nastavenia existuje veľká flexibilita.
Ochrana Ransomware
Ochrana koncových bodov Sophos Intercept X vyniká ochranou ransomware. Vďaka hĺbkovému učeniu a detekcii zneužitia dokáže rýchlo určiť rôzne softvérové hrozby. Funkcia CryptoGuard dokáže automaticky obnoviť všetky poškodené súbory a chrániť pred pokusmi o šifrovanie ransomware.
Okrem toho Sophos Intercept X Endpoint Protection môže pomocou analýzy koreňových príčin sledovať, čo sa stane, keď sa program vykoná, takže v prípade potreby sa dá čokoľvek neskôr vrátiť späť. V kombinácii s bránou firewall, ktorá vie, ako hľadať rôzne druhy nepriateľskej premávky, máte víťaza.
Výsledky testu
Moje počiatočné testovanie zahŕňalo použitie známej sady škodlivého softvéru zhromaždeného na výskumné účely. Každý z nich bol uložený do súboru ZIP chráneného heslom a bol extrahovaný jednotlivo. Vzorky vírusu sa po extrakcii detegovali okamžite. Zo 142 variantov škodlivého softvéru boli všetky položky označené a umiestnené do karantény.
Na testovanie ochrany proti škodlivým webom bol z PhishTank, otvorenej komunity, ktorá hlási známe a podozrivé phishingové weby, vybraný náhodný výber z posledných 10 webových stránok. Výsledkom všetkých pokusov o jednotné adresy URL (Uniform Resource Locators) bolo zablokovanie danej webovej stránky.
Na testovanie odozvy Sophos Intercept X Endpoint Protection na ransomware som použil sadu 44 vzoriek ransomware vrátane WannaCry. Žiadna zo vzoriek sa nedostala cez extrakciu zo súboru ZIP. To nie je nijako prekvapujúce, pretože každá zo vzoriek má známy podpis. Ako už bolo povedané, reakcia bola rýchla a tvrdá. Spustiteľné súbory boli okamžite označené ako ransomware a odstránené z disku.
Simulátor ransomware spoločnosti KnowBe4 RanSim bol tiež označený ako inštancia ransomware. Keďže je pravdepodobné, že boli zachytené známymi podpismi, pristúpil som k priamejšiemu prístupu simuláciou aktívneho útočníka. Je to v súlade s produktmi na ochranu ransomware s najvyšším skóre, ktoré zahŕňajú Bitdefender GravityZone Elite a ESET Endpoint Protection Standard.
Všetky testy Metasploit boli vykonané s použitím predvolených nastavení produktu. Pretože žiadnemu z nich sa nepodarilo, som presvedčený, že preskočím akékoľvek prostredie agresívnejšej povahy. Najprv som použil Metasploit na nastavenie servera AutoPwn2 určeného na využívanie prehliadača. Týmto sa spúšťa celý rad útokov, o ktorých je známe, že uspejú v bežných prehľadávačoch, ako sú Firefox a Internet Explorer. Ochrana koncových bodov Sophos Intercept X Endpoint Protection zabrzdila výbušniny s malým rozruchom.
V nasledujúcom teste sa použil dokument programu Microsoft Word umožňujúci makro. Vnútri dokumentu obsahovala kódovanú aplikáciu, ktorú by potom skript Microsoft Visual Basic Script (VBScript) dekódoval a pokúsil sa spustiť. Toto môže byť často komplikovaná podmienka na detekciu použitia rôznych techník maskovania a šifrovania. Pri otváraní súboru došlo k chybe, čo naznačuje, že útok zlyhal.
Nakoniec som vyskúšal útok založený na sociálnom inžinierstve. V tomto scenári si používateľ stiahne kompromitovaný inštalátor FileZilla pomocou Shellter. Po jeho vykonaní vykoná reláciu Meterpreter a zavolá späť do útočiaceho systému. Exploit bol zablokovaný v priebehu niekoľkých sekúnd a odstránený z disku.
AV-Test, nezávislé laboratórium, ktoré testuje antivírusový softvér, vykonal test v auguste 2018, aby vyhodnotil sériu koncových bezpečnostných softvérových balíkov. Ich výsledky dali Sophos Intercept X Endpoint Protection skóre ochrany „6 zo 6“ a skóre výkonu „5, 5 zo 6“. Okrem toho spoločnosť MRF-Effitas zaradila Sophos na prvé miesto, pokiaľ ide o ochranu pred zneužitím. Táto robustnosť sa prejavila aj v našich vlastných testoch. Aj keď to nie je dokonalé skóre, ktoré získal produkt Symantec Endpoint Protection Cloud, nezaznamenal som výrazný rozdiel v ich celkovom výkone.
Záverečné myšlienky
Sophos Intercept X Endpoint Protection dokonale spája ochranu s ľahkosťou použitia a nástrojmi, vďaka ktorým sa podniky dostávajú do aktívnejšej polohy. Cena je správna a má nástroje pre skúseného bezpečnostného profesionála bez toho, aby obetovala schopnosť laika jeho inštaláciu a správu. Je to vynikajúca voľba pre všetky podniky, ktoré chcú chrániť svoju sieť, bez toho, aby na to vynaložili veľa času a peňazí.
