Índice:
- Instalação e interface do usuário
- Proteção contra Ransomware
- Resultado dos testes
- Pensamentos finais
Vídeo: Тестирование Symantec Endpoint Protection 14.2 (Outubro 2024)
A Symantec é uma das entidades mais estabelecidas em segurança comercial e é um nome confiável para pequenas e médias empresas (SMBs). Seu produto de proteção para terminais de negócios é o Symantec Endpoint Protection Cloud (que começa em US $ 28 por dispositivo por ano) e é entregue em quatro níveis, para que empresas de todos os tamanhos tenham alguma margem de manobra para selecionar qual deles melhor se adequa ao dispositivo e à contagem de usuários. Agora enraizado em seu serviço de entrega em nuvem, o Symantec Endpoint Protection Cloud mantém seu foco nos pontos de extremidade do Microsoft Windows, mesmo quando o suporte ao sistema operacional Mac foi expandido. Também há recursos aprimorados de gerenciamento de dispositivos móveis (MDM) que as empresas com funcionários da linha de frente valorizarão. Todos esses recursos tornam a Symantec Endpoint Protection Cloud uma opção excelente, que fica logo atrás dos vencedores do Editors 'Choice, Bitdefender GravityZone Elite e ESET Endpoint Protection Standard, especialmente quando se trata de funcionalidade de relatório.
Se você gosta de comprar sua plataforma de segurança comercial com um nome estabelecido, não há ninguém mais firmemente cimentado no mercado do que a Symantec. No entanto, você ainda deve prestar atenção aos recursos e SKUs, pois a empresa vem fazendo algumas mudanças nesse sentido recentemente. Seu produto atual de proteção para terminais de negócios é o Symantec Endpoint Protection Cloud (que começa em US $ 28 por dispositivo por ano), mas é entregue em quatro níveis, portanto, você precisa analisar atentamente o que está comprando. E embora tenha adotado a nuvem como um mecanismo de entrega, este produto ainda está fortemente focado nos pontos de extremidade do Microsoft Windows; embora durante essa atualização, descobrimos que ele adicionou mais suporte aos sistemas operacionais Mac, além de alguns recursos de gerenciamento de dispositivos móveis (MDM). Ainda assim, apesar de tudo isso constituir uma sólida plataforma de proteção comercial, ela permanece apenas um pouco atrás dos vencedores dos Editors 'Choice, Bitdefender GravityZone Elite e ESET Endpoint Protection Standard, especialmente quando se trata de relatórios.
Ao investigar este produto, você verá que ele é oferecido em quatro versões. O produto Endpoint Protection Cloud que analisamos aqui é realmente oferecido em dois níveis de preços diferentes. Uma é a camada por dispositivo mencionada acima, que começa em US $ 2, 50 por dispositivo por mês ou US $ 28 por dispositivo por ano. No entanto, você também pode comprá-lo em um modelo por usuário, onde ele custa US $ 4, 50 por usuário por mês ou US $ 49 por usuário por ano, e você poderá instalá-lo em 5 dispositivos por usuário. Se você ainda estiver executando algumas instâncias do Microsoft Windows Server no local, também há uma versão do Symantec Endpoint Protection Cloud, que custa US $ 3, 50 por servidor por mês ou US $ 38 por servidor por ano. Um bom preço e você poderá gerenciar a segurança do servidor por meio do mesmo console online dos dispositivos do usuário final.
Por fim, a árvore de preços do Endpoint Protection possui uma camada de Criptografia de unidade listada separadamente como uma quarta camada. Gostaríamos de ver essa opção incluída no pacote básico, mas a Symantic a dividiu em um complemento opcional que custa US $ 9 por unidade por mês ou US $ 97 por unidade por ano. Não testamos a criptografia de unidade como parte desta análise, embora testemos os recursos de proteção de ransomware de nível comercial do produto, como você verá abaixo.
Instalação e interface do usuário
A instalação e operação do Symantec Endpoint Protection Cloud é rápida e relativamente fácil. O processo foi muito aprimorado em relação à versão anterior, onde os administradores tiveram que registrar máquinas clientes usando seu ID da Microsoft. Para configurá-lo agora, basta gerar um pacote de implantação de rede que possa ser levado de uma máquina para outra ou empurrado para fora usando outros meios.
Um teste de 60 dias está disponível em seu site. O software levou apenas um ou dois minutos para instalar, e uma mensagem amigável "Você está protegido" apareceu. Ainda não há um indicador real de que algo esteja acontecendo durante a instalação, e eu brevemente me perguntei se estava funcionando. No entanto, o atraso foi mínimo o suficiente para que não importasse muito.
O software cliente não tem muito o que falar em termos de interface do usuário (UI), pois a principal ação ocorre no console de gerenciamento em nuvem. Vale a pena mencionar uma seção Avançada, mas serve apenas para indicar os resultados da política atual aplicada ao dispositivo. Também é possível disparar manualmente uma verificação de malware, mas esse geralmente é um evento raro, pois a detecção em tempo real está sempre ativada.
O console da nuvem é bonito e fácil de navegar. Ele o inicia em um painel que fornece alguns indicadores rápidos de quantos dispositivos estão seguros e estão enfrentando uma ameaça. Ao clicar em qualquer um desses itens, você pode detalhar uma lista detalhada desses dispositivos e executar as ações apropriadas. Isso pode ser qualquer coisa, desde puxar o plugue de um dispositivo comprometido ou endereçar itens em quarentena. Os detalhes do dispositivo são excepcionais: a lista inclui tudo, incluindo o hardware e os aplicativos atualmente instalados, além do log de eventos.
A gestão do grupo é igualmente simples. Era intuitivo adicionar grupos, usuários e dispositivos a um grupo específico. Foi interessante e potencialmente útil ver usuários e dispositivos como opções para associação ao grupo. Nos casos em que são usuários problemáticos, eles podem ter como padrão um perfil mais seguro, enquanto os usuários avançados que podem estar trabalhando estritamente de dentro da rede podem ter uma política mais relaxada.
O gerenciamento de políticas segue naturalmente com três tipos principais. As diretivas do sistema controlam atualizações e configurações de proxy. As políticas de segurança controlam tudo, desde configurações de antivírus até prevenção de intrusões, controles de dispositivos e proteção da web, com um conjunto significativo de outras opções. Embora cada tela fosse muito bem explicada, seria fácil se perder nos detalhes. Nem todos os recursos se aplicam a todas as plataformas; portanto, um ícone aparece à direita de cada recurso para que você saiba rapidamente onde um item de política se aplica.
Alguns dos destaques excepcionais incluem criptografia de cliente configurável, proteção de rede e proteção de senha. A adição desses três recursos demonstra que a Symantec está comprometida com um plano de proteção completo do sistema, em vez de simplesmente tentar bloquear malware. O gerenciamento centralizado da complexidade de senhas é especialmente bom para pequenas empresas que podem ou não ter o Active Directory (AD) ou produto similar.
Proteção contra Ransomware
Para proteção de ransomware, o Symantec Endpoint Protection Cloud traz algumas boas ferramentas para a mesa. Por um lado, possui uma excelente proteção por firewall e navegador; portanto, é menos provável que uma ameaça chegue ao ponto de execução em seu sistema. Em segundo lugar, oferece um recurso chamado Mitigação de Exploração de Memória (MEM). Isso procura comportamentos típicos de exploração e pode interromper e desligar qualquer coisa que pareça suspeita. Portanto, mesmo que algum ransomware o encontre no sistema e tente executar, provavelmente não vai chegar muito longe.
O Symantec Endpoint Protection Cloud obviamente não aplica nenhum recurso de detecção específico de ransomware fora do mecanismo principal, mas faz isso muito bem. Isso significa que nada mais sofisticado, como a vacina contra ransomware, está incluído uma maneira de induzir o ransomware a acreditar que seu sistema já está infectado. Também não há nada na reversão de arquivos se os dados forem danificados em um ataque. No entanto, como mostra o teste, o Symantec Endpoint Protection Cloud ainda é uma força a ser reconhecida e tem como objetivo provar que esses extras são desnecessários. Se você precisar da vacina contra ransomware, o ESET Endpoint Protection Standard é um bom caminho a percorrer.
Resultado dos testes
Meu teste inicial envolveu o uso de um conjunto conhecido de malware coletado para fins de pesquisa. Cada um foi armazenado em um arquivo ZIP protegido por senha e foi extraído individualmente. As amostras de vírus, quando extraídas, foram detectadas imediatamente. Das 142 variantes de malware, todos os itens foram sinalizados e colocados em quarentena.
Para testar a proteção contra sites prejudiciais, uma seleção aleatória dos 10 sites mais recentes foi selecionada no PhishTank, uma comunidade aberta que relata sites suspeitos e suspeitos de phishing. Nenhum dos URLs foi reconhecido como malicioso, apesar de serem óbvios no PayPal ou em fraudes bancárias.
Para testar a resposta do Symantec Endpoint Protection Cloud ao ransomware, usei um conjunto de 44 amostras de ransomware, incluindo o WannaCry. Nenhuma das amostras passou pela extração do arquivo ZIP. Isso não é muito surpreendente, pois cada uma das amostras possui uma assinatura conhecida. Dito isto, a resposta foi decisiva e rápida. Os executáveis foram rapidamente sinalizados como ransomware e removidos do disco. O simulador de ransomware do KnowBe4, RanSim, também foi sinalizado como uma instância de ransomware. Como é provável que eles tenham sido capturados por assinaturas conhecidas, continuei com uma abordagem mais direta simulando um invasor ativo.
Todos os testes Metasploit foram realizados usando as configurações padrão do produto. Como nenhum deles conseguiu, senti-me confiante em ignorar qualquer configuração de natureza mais agressiva. Primeiro, usei o Metasploit para configurar um servidor AutoPwn2 projetado para explorar o navegador. Isso inicia uma série de ataques conhecidos por terem sucesso em navegadores comuns, como Firefox e Internet Explorer. A Symantec bloqueou as explorações sem problemas.
O próximo teste usou um documento do Microsoft Word {/ ZIFFARTICLE}} habilitado para macro. Dentro do documento havia um aplicativo codificado que um Microsoft Visual Basic Script (VBScript) decodificaria e tentaria iniciar. Geralmente, essa pode ser uma condição complicada para detectar quando várias técnicas de mascaramento e criptografia são usadas. O arquivo produziu um erro ao abrir, indicando que o ataque falhou.
Por fim, testei um ataque baseado em engenharia social. Nesse cenário, o usuário baixa um instalador comprometido do FileZilla usando o Shellter. Ao executá-lo, ele executará uma sessão do Meterpreter e retornará ao sistema atacante. A exploração foi bloqueada em segundos e removida do disco, demonstrando que, mesmo com uma exploração codificada, o sistema conseguiu reconhecer o comportamento malicioso do aplicativo e desligá-lo.
O AV-Test, um laboratório independente que testa software antivírus, realizou um teste em julho / agosto de 2018 para avaliar uma série de pacotes de software de segurança para terminais. Seus resultados deram ao Symantec Endpoint Protection Cloud uma pontuação de proteção "6 em 6" e uma pontuação de desempenho "6 em 6". Além disso, o MRF-Effitas, em seu teste "In the Wild 360 / Full Spectrum" do segundo trimestre de 2018, citou a Symantec como bloqueando automaticamente 99, 7% das amostras de malware apresentadas, com os 0, 3% restantes detectados com base no comportamento. Além disso, conseguiu bloquear completamente todas as 29 amostras de ransomware. Isso foi parecido com as entradas de nossos editores, incluindo o Bitdefender GravityZone Elite, o ESET Endpoint Protection Standard e o Sophos Intercept X Endpoint Protection.
Pensamentos finais
No geral, o Symantec Endpoint Protection Cloud é uma potência que pode sobrecarregar as tentativas de ataque. Embora não possua a capacidade de detectar sites de phishing, ele se destaca em todas as outras proteções. Recentemente, também ganhou suporte adicional para o Mac OS, o que é um bônus. Por outro lado, o Linux ainda não é bem-vindo à festa. Os relatórios são um tanto sem brilho e, embora bonitos, não capturam toda a gama de coisas que eu gostaria de ver. Tem algum bom
