Зміст:
Відео: Central Endpoint & Intercept X: Scanning Exclusions for Specific Users (Жовтень 2024)
Далі вниз від інформаційної панелі знаходиться сторінка сповіщень. Тут усі загрози будуть каталогізовані та відображені в міру їх виявлення. Після їх вирішення ви можете перевірити та позначити їх у списку. Якщо певна загроза цитується не один раз, її можна групувати за допомогою простого тумблера. Якщо будь-яка загроза вимагає очищення вручну або додаткової активності, ви можете натиснути на гіперпосилання загрози і подивитися, що наступні кроки. Більшу частину часу все, що вам потрібно, - це простий перезапуск для усунення проблеми.
Розділ Пристрої також приємно простий у використанні. Щоб переглянути деталі конкретної системи, ви можете натиснути на неї. Звідти ви можете отримати короткий підсумок встановлених продуктів, останніх подій, поточного стану системи та політики. Безпека безпеки на вкладці статусу досить детальна і може дати вам швидке завершення роботи, якщо щось не так, наприклад, застаріле програмне забезпечення або активна загроза. Політика також дозволить з першого погляду побачити, які політики застосовуються до цього пристрою.
На сьогоднішній день однією з найкорисніших частин захисту кінцевих точок є аналіз першопричин. Чудово сказати, що ваші системи захищені, але часто корисніше знати, як виникла атака, оскільки це може бути чудовим джерелом матеріалу, який потім може бути використаний для навчання користувачів, що не робити. Наприклад, якщо Боб завантажує несанкціоновану програму, у якій трапляється якась викупна програма, то вона може з’ясуватись на наступній зустрічі з безпеки. Задіяно досить багато компонентів, але їх справді можна розбити на три частини: Огляд, Артефакти та Візуалізація. Огляд описує загрозу та дає вам просіти місце, де її було знайдено та коли. Артефакти описують зміни, які вона намагалася внести в систему. Візуалізація дає діаграму, яка показує шлях зараження та те, як зловмисне програмне забезпечення намагалося взаємодіяти з системою. Окрім того, що є одним із трьох продуктів у цьому оглядовому огляді, що надає подібний аналіз, Sophos Intercept X Endpoint Protection також виконує найкращу роботу.
Якщо в захисті кінцевої точки Sophos Intercept X є недоліком, то це буде переважна кількість варіантів, що стосується конфігурації політики. Хороша новина полягає в тому, що всі політики за замовчуванням мають важливі функції для початку, тому тут робити не багато чого, якщо ви не хочете отримати хитрості або не мати конкретних вимог щодо контролю пристроїв або веб-сторінок. Це на відміну від таких продуктів, як Panda Security Adaptive Defense 360 в якому режим повинен бути змінений, щоб отримати рівень захисту. Існує сім категорій політик, які ви можете додати, починаючи від керування додатками до веб-керування, і для кожного є свій унікальний набір налаштувань. Кожна політика може застосовуватися до користувачів або пристроїв, тому існує велика гнучкість у тому, коли та де ви застосовуєте налаштування.
Захист від викупу
Sophos Intercept X Endpoint Protection відзначається в захисті від сканування. Завдяки глибокому навчанню та виявленню експлуатації можна швидко визначити різні програмні загрози. Функція CryptoGuard може автоматично відновлювати будь-які пошкоджені файли та захищати від спроб шифрування викупних програм.
Крім того, за допомогою аналізу першопричини Sophos Intercept X Endpoint Protection може відслідковувати те, що відбувається під час виконання програми, так що все, що вона буде зроблено, згодом може бути відмовлено. У поєднанні з брандмауером, який вміє шукати різного роду ворожий трафік, у вас є переможець.
Результати тесту
Моє первинне тестування включало використання відомого набору зловмисних програм, зібраних для наукових цілей. Кожен з них зберігався у захищеному паролем ZIP-файлі та був вилучений окремо. Проби вірусу при їх вилученні були виявлені негайно. Із 142 варіантів зловмисних програм усі предмети були позначені і поставлені під карантин.
Для перевірки захисту від шкідливих веб-сайтів було вибрано випадковий вибір останніх 10 веб-сайтів із відкритої спільноти PhishTank, яка повідомляє про відомі і підозрювані фішинг-сайти. Усі спроби Уніфікованих локаторів ресурсів (URL-адрес) призвели до блокування відповідного веб-сайту.
Для тестування відповіді Sophos Intercept X Endpoint Protection на викуп, я використав набір із 44 зразків програмного забезпечення, включаючи WannaCry. Жоден із зразків не здійснив минуле вилучення з ZIP-файлу. Це не дивно, адже кожен із зразків має відомий підпис. Як було сказано, реакція була швидкою і суворою. Виконані файли були негайно позначені як програмне забезпечення та вилучені з диска.
Симулятор викупного програмного забезпечення KnowBe4 RanSim також був позначений як екземпляр вимогавського програмного забезпечення. Оскільки, ймовірно, вони були зібрані за допомогою відомих підписів, я приступив до більш прямого підходу, імітуючи активного нападника. Це узгоджується із засобами захисту від найвищого рейтингу, що включають Bitdefender GravityZone Elite та ESET Standard Endpoint Protection.
Всі випробування Metasploit проводилися з використанням параметрів продукту за замовчуванням. Оскільки жодному з них не вдалося, я почував себе впевнено пропускати будь-які налаштування більш агресивного характеру. По-перше, я використовував Metasploit для налаштування сервера AutoPwn2, призначеного для використання браузера. Це запускає низку атак, які, як відомо, досягли успіху на звичайні браузери, такі як Firefox та Internet Explorer. Захист кінцевої точки Sophos Intercept X блокував подвиги з невеликою суєтою.
У наступному тесті було використано документ з підтримкою макросу Microsoft Word. Усередині документа містилася закодована програма, яку Microsoft Visual Basic Script (VBScript) потім розшифрує та спробує запустити. Це часто може бути складним умовою виявлення, коли використовуються різні методи маскування та шифрування. Файл видав помилку під час відкриття, вказуючи на те, що атака не вдалася.
Нарешті, я випробував напад на основі соціальної інженерії. У цьому випадку користувач завантажує компрометований інсталятор FileZilla за допомогою Shellter. Після його виконання він виконає сеанс Meterpreter і передзвонить до атакуючої системи. Експлуатацію було заблоковано протягом декількох секунд та вилучено з диска.
AV-Test, незалежна лабораторія, яка тестує антивірусне програмне забезпечення, провела тест у серпні 2018 року для оцінки серії програмних пакетів захисту кінцевих точок. Їх результати дали Sophos Intercept X Endpoint Protection балом захисту "6 з 6" та показник продуктивності "5, 5 з 6". Крім того, MRF-Effitas посіла "Софос" на першому місці за захистом від експлуатації. Ця надійність знайшла відображення і в наших власних тестах. Хоча це не ідеальний бал, який отримав Symantec Endpoint Protection Cloud, я не помітив суттєвої різниці в загальній їх продуктивності.
Фінальні думки
Sophos Intercept X Endpoint Protection прекрасно поєднує захист із зручністю у використанні та інструментами для поставлення бізнесу в більш ініціативну позицію. Ціна є правильною, і у неї є інструменти для досвідченого фахівця з безпеки, не жертвуючи можливістю лайперсона встановити та керувати нею. Це відмінний вибір для будь-якого бізнесу, який прагне зберегти свою мережу захищеною, не витрачаючи на це багато часу та коштів.
