Índice:
Vídeo: Intelligent & Proactive Endpoint Security (Outubro 2024)
A partir de US $ 30, 16 por usuário por ano, o McAfee Endpoint Protection Essential for SMB preenche muitas caixas de recursos no papel e é definitivamente uma atualização significativa para seu antigo produto de proteção para terminais de negócios. Todas as plataformas de desktop populares são bem suportadas, embora a empresa tenha optado por ignorar os sistemas operacionais móveis por enquanto. Além disso, depois de passar pela lista de recursos em papel e começar a usar o produto, muitos provavelmente o acharão mais complexo que seus concorrentes. Isso e uma fraqueza na detecção de ataques de phishing mantêm isso atrás dos nossos atuais vencedores do Editors 'Choice, Bitdefender GravityZone Elite e ESET Endpoint Protection Standard.
Instalação e interface do usuário
Fazer login no McAfee Endpoint Protection Essential para ePolicy Orchestrator (ePO) da SMB é uma experiência impressionante para usuários iniciantes. É imperativo clicar na guia Introdução ou você pode passar horas tentando descobrir para onde ir. Uma vez nessa guia, a instalação da proteção é um simples download e instalação; é um exercício principalmente automático e indolor. Após a adição de todos os pontos de extremidade, o próximo local a seguir é o painel.
O painel não é apenas uma coisa; é uma coleção de 25 visões gerais de vários aspectos do produto. Isso pode ser detecção de ameaças, licenciamento, implantação de produtos, atividade de controle da web e muitos outros. Depois de passar alguns minutos clicando, é fácil encontrar alguns favoritos, mas define o tom para o restante do ePO. Resumindo: é um exagero. Somente no menu principal, existem mais de 30 seções separadas acessíveis, e nem sempre é uma escolha intuitiva a respeito de onde ir. Isso é especialmente verdadeiro para o gerenciamento e a atribuição de políticas.
Isso é frustrante, pois o catálogo de políticas, acessível no menu principal, é onde você passa a maior parte do tempo configurando os vários módulos e produtos disponíveis em sua conta. Existem configurações padrão apropriadas para o grande número de usuários. Mas se você ousar se aventurar aqui, esteja preparado para gastar algum tempo adquirindo a configuração da terra. Quase tudo é configurável. As configurações de prevenção de ameaças, regras de firewall, verificações agendadas e muitas outras configurações podem ser aprimoradas se você conseguir encontrá-las.
As políticas podem ser atribuídas com base na tag ou grupo. Embora útil na teoria, isso tende a ser mais complicado na prática. Infelizmente, isso se deve principalmente às pesquisas repetitivas. Depois de saber para onde está indo, faz sentido lógico, mas me vi fazendo anotações para onde ir, o que nunca é bom para qualquer administrador de pequenas empresas.
Um dos recursos mais interessantes é a opção de detecção de ameaças na nuvem (CTD). Gerenciado a partir da página Cloud Thread Workspace, o CTD permite que os clientes enviem arquivos executáveis e PDF para uma sandbox na nuvem para detonação e análise. Essas informações podem ser usadas não apenas para proteger seu ambiente local, mas também para melhorar a capacidade geral do McAfee Endpoint Protection Essential for SMB de proteger contra ameaças semelhantes em toda a organização.
O módulo de relatórios era uma lufada de ar fresco, no entanto. A amplitude e profundidade das opções funcionaram a favor do produto aqui. Existem 148 consultas no momento desta revisão que podem ser executadas para obter informações. Embora um pouco mais informal, achei que eram muito mais úteis do que os relatórios resumidos. Do ponto de vista da auditoria de segurança, essa é uma mina de ouro e supera facilmente produtos como o F-Secure, que tendem a minimizar os relatórios
Proteção contra Ransomware
Para proteção de ransomware comercial, o McAfee Endpoint Protection for SMB depende principalmente de detecção de malware e exploração para manter o ransomware fora. Não há sinos e assobios aqui. Vale ressaltar que o Endpoint Protection Essential para SMB não vive no vácuo e que há outros produtos em sua linha que adicionam proteção adicional, como o McAfee Host Intrusion Prevention e o McAfee Advanced Threat Protection, que podem replicar muitos dos recursos encontrado nos produtos com maior pontuação. Tudo isso dito, o McAfee Endpoint Protection for SMB se dá muito bem apenas com o básico.
Resultado dos testes
Meu teste inicial envolveu o uso de um conjunto conhecido de malware coletado para fins de pesquisa. Cada um foi armazenado em um arquivo ZIP protegido por senha e foi extraído individualmente. As amostras de vírus, quando extraídas, foram detectadas imediatamente. Das 142 variantes de malware, todos os itens foram sinalizados e colocados em quarentena.
Para testar a proteção contra sites prejudiciais, uma seleção aleatória dos 10 sites mais recentes foi selecionada no PhishTank, uma comunidade aberta que relata sites suspeitos e suspeitos de phishing. Apenas uma das URLs (Uniform Resource Locators) tentou fazer com que o site em questão fosse bloqueado por ser um site de phishing, e a grande maioria eram sites falsos do PayPal. Embora o controle da Web da McAfee estivesse claramente ativado, juntamente com a opção de phishing de bloco, ele não parecia registrar muito. Considerando que os e-mails de phishing podem ser um caminho de entrada lógica para um ataque de ransomware direcionado, produtos como o Bitdefender GravityZone Elite e o ESET Endpoint Protection Standard fazem um trabalho muito melhor ao bloquear esse tipo de tentativa.
Para testar a resposta do McAfee Endpoint Protection for SMB ao ransomware, usei um conjunto de 44 amostras de ransomware, incluindo o WannaCry. Nenhuma das amostras passou pela extração do arquivo ZIP. Isso não é muito surpreendente, pois cada uma das amostras possui uma assinatura conhecida. Todas as ameaças foram prontamente identificadas como ransomware e removidas do disco. O simulador de ransomware do KnowBe4, RanSim, também foi sinalizado como uma instância de ransomware. Como é provável que eles tenham sido capturados por assinaturas conhecidas, continuei com uma abordagem mais direta simulando um invasor ativo.
Todos os testes Metasploit foram realizados usando as configurações padrão do produto. Como nenhum deles conseguiu, senti-me confiante em ignorar qualquer configuração de natureza mais agressiva. Primeiro, usei o Metasploit para configurar um servidor AutoPwn2 projetado para explorar o navegador. Isso inicia uma série de ataques conhecidos por terem sucesso em navegadores comuns, como Firefox e Internet Explorer (IE). O McAfee Endpoint Protection for SMB detectou corretamente cada exploração e cancelou o ataque.
O próximo teste usou um recurso habilitado para macro
Por fim, testei um ataque baseado em engenharia social. Nesse cenário, o usuário baixa um instalador comprometido do FileZilla usando o Shellter. Ao executá-lo, ele executará uma sessão do Meterpreter e retornará ao sistema atacante. Foi detectado e removido do disco antes mesmo de ser executado. Além disso, foi reconhecido como um executável Meterpreter mesmo enquanto codificado. Isso é realmente impressionante, considerando que a assinatura estava mascarada na época.
O AV-Test, um laboratório independente de testes antivírus, concedeu ao McAfee Endpoint Protection for SMB um "6.0 de 6.0" para proteção, um "5.0 de 6.0" para desempenho e um "6.0 de 6.0" para usabilidade. O MRG-Effitas, por outro lado, teve alguns problemas menores com a taxa de detecção do McAfee Endpoint Protection Essential for SMB durante seu teste de espectro completo no segundo trimestre de 2018. Das 387 amostras utilizadas, 1, 6% foram totalmente perdidas. Dito isto, 96, 6% foram bloqueados automaticamente, 0, 3% foram impedidos de comportamento suspeito e 1, 6% foram bloqueados após 24 horas de uso do sistema. A boa notícia é que, das 29 amostras de ransomware testadas, todas foram completamente bloqueadas automaticamente. Para um melhor desempenho de detecção em geral, o Sophos Intercept-X foi classificado em primeiro lugar pelo MRF-Effitas para os testes de 2018, e a interface é melhor em anos-luz.
No geral, o McAfee Endpoint Protection Essential para proteção da SMB é bom e, do ponto de vista do usuário, é discreto. Também é altamente flexível e configurável com recursos de relatórios de alto nível. Parece e funciona como um produto corporativo deveria. Sua interface do usuário ePO (UI), por outro lado, é confusa e desajeitada e pode ser otimizada para clientes de pequenas empresas. Você recebe um retorno significativo pelo seu investimento, considerando o preço abaixo da média. No final, porém, o McAfee Endpoint Protection Essential for SMB é um produto bom, mas com falhas.
