Índice:
Vídeo: Sophos Central How-To: Getting Started With Intercept X and Endpoint Advanced (Novembro 2024)
A seguir, no painel, está a página de alertas. É aqui que todas as ameaças serão catalogadas e exibidas à medida que forem descobertas. Como eles são resolvidos, você pode verificar e marcá-los da lista. Se uma ameaça específica for citada mais de uma vez, ela poderá ser agrupada com um simples botão de alternância. Se alguma ameaça exigir limpeza manual ou atividade adicional, você pode clicar no hiperlink da ameaça e ver quais são as próximas etapas. Na maioria das vezes, tudo o que você precisa é de uma reinicialização simples para resolver o problema.
A seção Dispositivos também é deliciosamente simples de usar. Para visualizar os detalhes de um sistema específico, você pode clicar nele. A partir daí, você pode obter um resumo rápido dos produtos instalados, eventos recentes, status atual do sistema e políticas. A integridade da segurança na guia status é bastante detalhada e pode fornecer um resumo rápido se algo estiver errado, como software desatualizado ou uma ameaça ativa. As políticas também permitem que você veja rapidamente quais políticas se aplicam a esse dispositivo.
De longe, uma das partes mais úteis do Endpoint Protection é a análise de causa raiz. É ótimo dizer que seus sistemas estão protegidos, mas geralmente é mais útil saber como um ataque se originou, pois pode ser uma excelente fonte de material que pode ser usada para treinar os usuários sobre o que não fazer. Por exemplo, se Bob fizer o download de um aplicativo não autorizado que tenha algum ransomware pegando carona, isso poderá ser trazido à luz na próxima reunião de segurança. Existem alguns componentes envolvidos, mas ele pode realmente ser dividido em três partes: Visão geral, Artefatos e Visualizar. Visão geral descreve a ameaça e fornece um resumo de onde foi encontrada e quando. Artefatos descreve as mudanças que ele tentou fazer no sistema. Visualizar fornece um diagrama mostrando o caminho da infecção e como o malware tentou interagir com o sistema. Além de ser um dos únicos três produtos neste resumo de análises que fornecem esse tipo de análise, o Sophos Intercept X Endpoint Protection também faz o melhor trabalho.
Se houver uma desvantagem no Sophos Intercept X Endpoint Protection, seria o número esmagador de opções no que diz respeito à configuração da política. A boa notícia é que todas as políticas padrão têm os recursos importantes para começar, portanto, não há muito o que fazer aqui, a menos que você queira ser esperto ou ter requisitos específicos para controle de dispositivo ou Web. Isso contrasta fortemente com produtos como o Panda Security Adaptive Defense 360 em que o modo deve ser alterado para obter um nível de proteção. Você pode adicionar sete categorias de políticas, desde Controle de aplicativos até Controle da Web, e cada uma tem seu próprio conjunto de configurações para ajustar. Cada política pode ser aplicada a usuários ou dispositivos, portanto, há muita flexibilidade em quando e onde você aplica as configurações.
Proteção contra Ransomware
O Sophos Intercept X Endpoint Protection é excelente na proteção contra ransomware. Com aprendizado profundo e detecção de exploração, ele pode determinar rapidamente várias ameaças de software. O recurso CryptoGuard pode recuperar automaticamente todos os arquivos danificados e proteger contra tentativas de criptografia de ransomware.
Além disso, com sua análise de causa raiz, o Sophos Intercept X Endpoint Protection pode rastrear o que acontece quando um programa é executado, para que, o que quer que seja, possa ser revertido mais tarde, se necessário. Combinado com um firewall que sabe procurar vários tipos de tráfego hostil, você tem um vencedor.
Resultado dos testes
Meu teste inicial envolveu o uso de um conjunto conhecido de malware coletado para fins de pesquisa. Cada um foi armazenado em um arquivo ZIP protegido por senha e foi extraído individualmente. As amostras de vírus, quando extraídas, foram detectadas imediatamente. Das 142 variantes de malware, todos os itens foram sinalizados e colocados em quarentena.
Para testar a proteção contra sites prejudiciais, uma seleção aleatória dos 10 sites mais recentes foi selecionada no PhishTank, uma comunidade aberta que relata sites suspeitos e suspeitos de phishing. Todos os URLs (Uniform Resource Locators) tentados resultaram no bloqueio do site em questão.
Para testar a resposta do Sophos Intercept X Endpoint Protection ao ransomware, usei um conjunto de 44 amostras de ransomware, incluindo o WannaCry. Nenhuma das amostras passou pela extração do arquivo ZIP. Isso não é muito surpreendente, pois cada uma das amostras possui uma assinatura conhecida. Dito isto, a resposta foi rápida e severa. Os executáveis foram rapidamente sinalizados como ransomware e removidos do disco.
O simulador de ransomware do KnowBe4, RanSim, também foi sinalizado como uma instância de ransomware. Como é provável que eles tenham sido capturados por assinaturas conhecidas, continuei com uma abordagem mais direta simulando um invasor ativo. Isso é consistente com os produtos de proteção de ransomware com maior pontuação, que incluem o Bitdefender GravityZone Elite e o ESET Endpoint Protection Standard.
Todos os testes Metasploit foram realizados usando as configurações padrão do produto. Como nenhum deles conseguiu, senti-me confiante em ignorar qualquer configuração de natureza mais agressiva. Primeiro, usei o Metasploit para configurar um servidor AutoPwn2 projetado para explorar o navegador. Isso inicia uma série de ataques conhecidos por terem sucesso em navegadores comuns, como Firefox e Internet Explorer. O Sophos Intercept X Endpoint Protection bloqueou as explorações com pouco barulho.
O próximo teste usou um documento do Microsoft Word habilitado para macro. Dentro do documento havia um aplicativo codificado que um Microsoft Visual Basic Script (VBScript) decodificaria e tentaria iniciar. Geralmente, essa pode ser uma condição complicada para detectar quando várias técnicas de mascaramento e criptografia são usadas. O arquivo produziu um erro ao abrir, indicando que o ataque falhou.
Por fim, testei um ataque baseado em engenharia social. Nesse cenário, o usuário baixa um instalador comprometido do FileZilla usando o Shellter. Ao executá-lo, ele executará uma sessão do Meterpreter e retornará ao sistema atacante. A exploração foi bloqueada em segundos e removida do disco.
O AV-Test, um laboratório independente que testa software antivírus, realizou um teste em agosto de 2018 para avaliar uma série de pacotes de software de segurança para terminais. Seus resultados deram ao Sophos Intercept X Endpoint Protection uma pontuação de proteção "6 em 6" e uma pontuação de desempenho "5, 5 em 6." Além disso, a MRF-Effitas classificou a Sophos em primeiro lugar no que diz respeito à proteção contra exploração. Essa robustez também se refletiu em nossos próprios testes. Embora não seja a pontuação perfeita recebida pelo Symantec Endpoint Protection Cloud, não notei uma diferença significativa no desempenho geral.
Pensamentos finais
O Sophos Intercept X Endpoint Protection combina perfeitamente a proteção com a facilidade de uso e as ferramentas para colocar as empresas em uma postura mais proativa. O preço é justo e possui ferramentas para um profissional de segurança experiente, sem sacrificar a capacidade de um leigo de instalar e gerenciar. É uma excelente opção para qualquer empresa que queira manter sua rede protegida, sem gastar muito tempo e dinheiro para isso.
