Revisão e classificação de serviços de segurança empresarial Trend micro sem preocupações

Os Serviços de Segurança Empresarial sem preocupações da Trend Micro transformam um nome muito longo em um sólido serviço de proteção de terminal hospedado de nível comercial que custa US $ 75, 50 por ano para dois usuários iniciarem. No entanto, embora seu conjunto de recursos pareça muito sólido no papel, nossos testes durante esta atualização descobriram problemas com algumas de nossas explorações mais avançadas e também não tinham as configurações padrão mais seguras. Por esse motivo, ele permanece atrás das opções atuais dos editores em terminais hospedados para empresas, Bitdefender GravityZone Elite e ESET Endpoint Protection Standard.

Desta vez, testando essas soluções, decidimos examinar também a capacidade dos pacotes de fornecer proteção ransomware de nível comercial. Embora a Trend Micro continuasse se saindo bem nesses testes, não era um destaque e parte da concorrência se saiu melhor no que diz respeito à capacidade de reversão.

Ainda assim, esse é um concorrente bastante sólido que possui a maioria dos recursos necessários para manter seus pontos de extremidade seguros. A próxima etapa, os Serviços avançados sem preocupações da Trend Micro, adiciona medidas de proteção separadas para email, armazenamento em nuvem e proteção do Microsoft Office 365. Para fins de avaliação, um teste de 30 dias está disponível no site da empresa.

Interface de usuário

Os Serviços de Segurança Empresarial sem preocupações da Trend Micro são comandados a partir de um console da web bem construído. Não é muito complexo, mas não é tão simplista quanto o que encontrei no Avast Business Antivirus Pro Plus. Com os Serviços de Segurança Empresarial sem preocupações da Trend Micro, os administradores podem adicionar computadores à guia Security Agent clicando no botão "Adicionar agentes de segurança" e escolhendo se desejam enviar um link de instalação por e-mail, instalar imediatamente no dispositivo atual ou baixar um instalador pacote que pode ser distribuído para vários dispositivos. Depois de registrado, o dispositivo será exibido e pode ser organizado em grupos facilmente gerenciados. Informações, como o nome do computador ou dispositivo, endereço IP, status e estatísticas de infecção, estão disponíveis rapidamente.

A guia Painel atua como uma visão geral das ameaças pendentes, o tipo de ameaças detectadas e como essas ameaças ocorrem em termos de dispositivo afetado e estilo de ataque. Também mostra se alguma ação imediata é necessária por parte do administrador. É simples de ler com um mínimo de cotão, o que é importante quando as chamadas começam a entrar no suporte técnico. Isso ganhou um pouco de funcionalidade desde a versão anterior, e várias leituras permitem a análise detalhada dos logs.

Se um ou mais agentes da guia Agentes de segurança estiverem marcados, as atualizações poderão ser executadas no dispositivo ou as unidades de disco poderão ser criptografadas ou descriptografadas usando o software nativo disponível, usando o menu suspenso Tarefas. Para máquinas baseadas no Microsoft Windows, o BitLocker dessa empresa é usado. Para computadores Apple OS X, o File Vault será o método de criptografia preferido. As políticas podem ser configuradas e aplicadas por grupo. Esse é um recurso interessante, pois os viajantes geralmente precisam de um nível diferente de latitude em comparação aos PCs de mesa bem controlados, sentados no escritório. Da mesma forma, os servidores terão um nível mais alto de escrutínio, pois tendem a ser um grande prêmio para a maioria dos ataques cibernéticos. Vale ressaltar que, para todos os testes, habilitei todas as opções de monitoramento de comportamento para todos os dispositivos.

A guia Verificações desapareceu e se tornou uma lista suspensa em Agentes de segurança. Esta é uma grande melhoria e requer menos cliques para acessar. Você pode acionar imediatamente uma verificação agressiva ou normal a partir daqui. As verificações agendadas foram movidas para a guia Configuração da política, o que faz muito mais sentido. No geral, a apresentação aqui é apenas mais limpa.

A guia Relatórios possui uma variedade de conteúdo de relatório que pode ser baixado como um arquivo PDF ou enviado para um endereço de email. Você pode agendar relatórios semanalmente ou mensalmente ou entre um período específico. Todos os dispositivos ou um grupo específico podem ser escolhidos para geração de relatórios, por isso é fácil descobrir tudo por servidores, desktops, laptops e dispositivos móveis. Embora você possa precisar revogar algumas coisas para realizar uma série de relatórios sobre parâmetros organizacionais (por exemplo, vendas, contabilidade, etc.), é factível e o conteúdo do relatório é informativo e bem organizado.

Proteção contra Ransomware para Empresas

Em termos de proteção contra ransomware, os Serviços de Segurança Empresarial sem preocupações da Trend Micro oferecem uma opção específica para ativar a proteção contra ransomware. Embora eu tenha ficado surpreso ao descobrir que isso não estava ativado por padrão, era bastante simples ativar diretamente no painel. Além da análise de comportamento normal que o mecanismo antivírus usa, ele monitora especificamente a criptografia não autorizada de documentos, comportamento semelhante ao DeepGuard no F-Secure Protection Service for Business. Além disso, tentará bloquear ativamente os processos geralmente associados ao ransomware e aumentará o escrutínio em relação a programas que podem estar se comportando de maneira inesperada. Para mais detalhes, a Trend Micro fornece um guia sobre como executar essas alterações de política. Por fim, a Trend Micro oferece um decodificador de arquivos Ransomware, caso o ransomware obtenha alguns de seus arquivos. Não é garantido que funcione, mas pode valer a pena tentar antes de retirar a mídia de backup. Uma solução melhor pode ser o Webroot SecureAnywhere Business Endpoint Protection ou um bom programa de backup de registro no diário, como o Acronis Backup 12.5, se a reversão for um recurso crítico para você.

Usando o mecanismo de varredura de vírus da Trend Micro, a MRG-Effitas, uma empresa de pesquisa especializada em testes de produtos de segurança e antivírus, descobriu durante os testes do primeiro trimestre de 2018 que, dentre os malwares testados em sistemas protegidos, 75, 7% das ameaças foram bloqueadas automaticamente. Enquanto isso, 6, 5% do ransomware foram bloqueados pela análise comportamental, mas exigiram execução, e 9, 5% foram bloqueados em 24 horas. Além disso, 8, 3% foram perdidos por completo. Dos produtos testados durante essa avaliação, foi a pontuação mais baixa.

Meu teste independente inicial envolveu o uso de um conjunto conhecido de malware coletado para fins de pesquisa. Cada um foi armazenado em um arquivo ZIP protegido por senha e foi extraído individualmente. Os Serviços de Segurança Empresarial sem preocupações da Trend Micro fizeram o teste no que diz respeito à detecção de vírus e malware, mas o fizeram apenas após a execução de uma verificação completa do sistema. Enquanto vários outros produtos detectaram a presença de um aplicativo mal-intencionado no momento em que foi copiado para a área de trabalho, os Serviços de Segurança Empresarial sem preocupações da Trend Micro adotaram uma abordagem atrasada. Após uma verificação completa, no entanto, ele detectou 102 das 143 variantes. Isso representa 71% das ameaças apresentadas. Vale ressaltar que, como esses arquivos não foram executados, essa taxa de detecção será menor do que se as cargas úteis fossem executadas na máquina (uma vez que parte do processo de detecção do Trend Micro Worry-Free Business Security Services inclui análise de comportamento do programa).

Para testar a proteção contra sites prejudiciais, usei uma seleção aleatória dos 10 sites mais recentes relatados no PhishTank, uma comunidade aberta que relata sites suspeitos e suspeitos de phishing. Todos os localizadores uniformes de recursos (URLs) que apontei para o dispositivo de destino resultaram no bloqueio de todos os sites, com uma classificação e categoria.

Testes de ransomware

Para testar a resposta dos Serviços de Segurança Empresarial da Trend Micro ao ransomware, usei um conjunto de 44 amostras de ransomware, incluindo o WannaCry. Todos eles tinham assinaturas conhecidas, portanto, não era de surpreender que a Trend Micro não permitisse que nenhuma delas passasse pela extração do arquivo ZIP. Ainda assim, o produto reagiu rapidamente à ameaça. Os executáveis ​​foram prontamente sinalizados como ransomware e removidos do disco. O RanSim, o simulador de ransomware do KnowBe4, também foi sinalizado como uma instância de ransomware. Como é provável que eles tenham sido capturados por assinaturas conhecidas, continuei com uma abordagem mais direta simulando um invasor ativo.

Todos os testes Metasploit foram realizados usando as configurações padrão do produto. Como nenhum deles conseguiu, senti-me confiante em ignorar qualquer configuração de natureza mais agressiva. Primeiro, usei o Metasploit Framework do Rapid7 para configurar um servidor AutoPwn2 projetado para explorar o navegador. Isso inicia uma série de ataques conhecidos por terem sucesso em navegadores comuns, como Firefox e Microsoft Internet Explorer. Os Serviços de Segurança Empresarial sem preocupações da Trend Micro detectaram corretamente cada exploração e cancelaram o ataque. Isso foi executado acima ou acima das expectativas.

Em seguida, testei um ataque baseado em engenharia social. Nesse cenário, o usuário baixa um instalador comprometido da ferramenta FileZilla (File Transfer Protocol) de código-fonte aberto, usando o Shellter. Ao executá-lo, ele executará uma sessão do Meterpreter e retornará ao sistema atacante. Infelizmente, esse tipo de ataque ainda teve êxito e se correlaciona com um regime de teste já conhecido realizado pelo MRG.

Depois de obter um shell remoto, eu podia elevar as permissões para o administrativo, recuperar uma lista de todas as senhas com hash, limpar os logs de eventos, adicionar itens ao registro do Windows, carregar e baixar arquivos, criptografar arquivos e alterar o arquivo de hosts do Windows que correlaciona URLs para onde eles resolvem e instale um keylogger. Nesse ponto, qualquer um consideraria o sistema completamente comprometido e permitiria a liberdade de um invasor começar a girar para outros sistemas na rede ou espionar a atividade do usuário e capturar informações confidenciais.

Resposta ao ataque

Quando os Serviços de Segurança Empresarial sem preocupações da Trend Micro puderam detectar a ameaça, a resposta foi imediata na máquina do cliente. Mas várias tentativas tiveram que ser feitas antes que os alertas por email fossem acionados. No entanto, isso se deve a uma configuração padrão que exige cinco detecções na última hora para iniciar um email. Achei que isso era uma opção refrescante, pois fica irritante quando toda ameaça gera um email. Quaisquer infecções são colocadas em quarentena por padrão e limpas, se possível.

As ameaças podem ser revisadas no painel do console da Web, pois um resumo ou mais detalhes podem ser encontrados usando o módulo Relatórios. Ambos são bem definidos e fornecem informações sobre quais dispositivos são afetados e o tipo e a frequência dos ataques.

Para sites não confiáveis ​​que possam ser uma tentativa de phishing, o mais alto nível de segurança dos Serviços de Segurança Empresarial da Trend Micro faz um excelente trabalho ao encerrar solicitações a sites não confiáveis. Porém, essa não é a configuração padrão do software, portanto, você precisará defini-la manualmente ou por política para todos os clientes durante a configuração. Você também pode criar uma lista de permissões que só permite novos sites mediante solicitação. Dois níveis de segurança mais baixa são oferecidos, mas dependem do banco de dados de segurança do site da Trend Micro Worry-Free Business Security Services para sinalizá-lo como perigoso ou suspeito.

Pensamentos finais

No geral, os Serviços sem preocupações da Trend Micro não são um produto ruim. É sólido, mas não conseguiu superar os principais produtos, incluindo o Bitdefender GravityZone Elite da Editors 'Choice e o Serviço de Proteção F-Secure para Empresas. Ele não tem o mesmo tempo de resposta que o Bitdefender GravityZone Elite, mas faz o trabalho, exceto contra ataques de ponta. Se algum treinamento de engenharia social for implementado, os usuários poderão estar razoavelmente confiantes de que a Trend Micro Worry-Free Services está de olho em si. Combinada com excelentes recursos de gerenciamento de relatórios e dispositivos, esta solução definitivamente vale a pena dar uma olhada.