Índice:
Vídeo: Webroot vs Malware | Test (Outubro 2024)
O Webroot SecureAnywhere Business Endpoint Protection (que começa em US $ 150 por ano para cinco pontos de extremidade) é um dos poucos serviços de proteção de pontos de extremidade hospedados e gerenciados em nuvem, de propriedade e gerenciamento independentes. A empresa Webroot fornece uma solução completa baseada na Web para profissionais de TI que precisam proteger PCs e servidores Microsoft Windows e computadores usando o Apple OS X. O software também fornece um componente de dispositivo móvel que oferece recursos como antivírus, localização de dispositivo, dispositivo limpeza e navegação segura, embora esses recursos sejam principalmente direcionados à plataforma Android devido aos limites que a Apple cria no iOS. Você pode avaliar o Webroot SecureAnywhere Business Endpoint Protection por meio da avaliação de 30 dias disponível no site deles. No geral, gostei muito deste produto, mas sua incapacidade de detectar ataques baseados em script o mantém bem atrás do atual vencedor do Editors 'Choice, Bitdefender GravityZone Elite.
Interface de usuário
Uma coisa que eu gostei no Webroot SecureAnywhere Business Endpoint Protection é que é deliciosamente simples de configurar. Um aplicativo cliente pode ser implantado e instalado com o mínimo de barulho após ser baixado do console da web. O único prompt é para a chave de ativação que corresponde ao cliente até a conta online. Nesse ponto, o Webroot SecureAnywhere Business Endpoint Protection examinará o sistema em busca de ameaças existentes e, em seguida, se ativará. No lado do cliente, o Webroot SecureAnywhere Business Endpoint Protection fornece uma interface do usuário simplificada (UI) que permite executar algumas tarefas importantes, como verificação, bloqueio manual e verificação de logs.
O console da Web é uma interface de usuário simples e com guias que não sofre muita simplicidade, ao contrário do Avast for Business Premium Endpoint Security. Um toque legal para os consultores de TI é que o Webroot SecureAnywhere Business Endpoint Protection pode gerenciar várias organizações a partir de um console. Você pode detalhar cada um deles para encontrar um módulo específico do Endpoint Protection. A partir daí, é possível gerenciar políticas, grupos de dispositivos, gerar relatórios e alterar configurações globais, que podem ser aplicadas a todos os dispositivos.
Os administradores têm um alcance amplo e profundo quando se trata de controlar dispositivos registrados no console de gerenciamento. Uma gama completa de ações do sistema, como reiniciar o sistema, restaurar um arquivo, configurar verificações e executar ferramentas de linha de comando, estão a apenas um clique de distância. Alguns dos recursos são um pouco mais complicados do que eu gostaria. Por exemplo, restaurar um arquivo requer conhecer seu hash do algoritmo Message Digest 5 (MD5). Embora isso possa ser rastreado através dos arquivos de log, parece desnecessariamente envolvido. Concedido, isso só é eficaz se o sistema reconhecer que um processo está fazendo coisas potencialmente maliciosas.
Resultado dos testes
O Webroot SecureAnywhere Business Endpoint Protection interveio imediatamente de uma maneira rápida e óbvia no sistema do cliente quando comecei a extrair minha amostra de 111 variantes de malware para a área de trabalho. Ele abriu um diálogo que mostrava os itens em quarentena e se ofereceu para limpá-los. Da mesma forma, sites com malware conhecido foram imediatamente bloqueados. Minha simulação de ransomware personalizada, no entanto, não foi bloqueada imediatamente e pude aplicar uma cifra a uma pasta de dados confidenciais. Felizmente, o Webroot SecureAnywhere Business Endpoint Protection monitorou as alterações e, uma vez que eu bloqueei o aplicativo manualmente, as alterações foram rapidamente revertidas.
Para testar a proteção contra sites prejudiciais, usei uma seleção aleatória de 10 sites recentemente reportados do PhishTank, uma comunidade aberta que relata sites suspeitos e suspeitos de phishing. Todos os URLs que tentei usar resultaram em uma mensagem "Site prejudicial bloqueado" no navegador.
Quando confrontado com duas explorações baseadas no navegador, o Webroot SecureAnywhere Business Endpoint Protection se saiu extremamente bem. O primeiro teste utilizou uma falha no Java 1.7 e, abaixo disso, permite que um invasor execute programas remotamente se um URL específico for clicado. O Webroot SecureAnywhere Business Endpoint Protection interrompeu rapidamente o processo e relatou uma ameaça no painel. Da mesma forma, a exploração baseada em Flash que permitia a execução remota de código também foi bloqueada e eliminada. Além disso, o Webroot SecureAnywhere Business Endpoint Protection detectou e removeu com êxito vários arquivos PDF infectados com uma carga útil do Metasploit que permitiria uma conexão persistente com a máquina.
No entanto, estranhamente, não detectou um arquivo do Microsoft Word incorporado com uma exploração semelhante. Após implantar um ataque no estilo phishing no qual um usuário abriu um email infectado, o Webroot SecureAnywhere Business Endpoint Protection não detectou o comprometimento. Desse ponto em diante, eu poderia escalar meus privilégios para o status administrativo e participar de várias atividades que desencadeariam rapidamente uma resposta da maioria de nossos concorrentes e até do Windows Defender. Em ordem: eu poderia recuperar uma lista de todas as senhas com hash, limpar os logs de eventos, adicionar itens ao registro do Windows, carregar e baixar arquivos, criptografar arquivos e alterar o arquivo de hosts do Windows que correlaciona os URLs para onde eles resolvem e instalar um keylogger.
Curiosamente, porém, eu tinha um keylogger instalado ao navegar no tráfego HTTPS; O Webroot SecureAnywhere Business Endpoint Protection atolou com êxito a saída. As teclas digitadas apareceram em branco ou exibiram apenas caracteres de nova linha. Enquanto eu ainda estava desconfortável por ter chegado tão longe, o Webroot SecureAnywhere Business Endpoint Protection estava pelo menos tentando bloquear tentativas de fraude.
O teste final, no entanto, foi tentar desligar o Webroot SecureAnywhere Business Endpoint Protection sem intervenção do usuário. Como o usuário do ambiente de teste faz parte do grupo de administradores locais, eu poderia escalar meus privilégios para o nível do sistema. O Webroot SecureAnywhere Business Endpoint Protection torna quase impossível eliminar o processo ativo. Ele continua reiniciando como uma horda interminável de zumbis de proteção do sistema. No final, ainda consegui anular essa proteção simplesmente passando uma opção de desinstalação para o aplicativo Webroot SecureAnywhere Business Endpoint Protection. Ele desapareceu silenciosamente e me deu controle total. Para impedir que isso aconteça, você pode configurar uma senha de desinstalação, mas que não é configurada por padrão.
É difícil obter resultados independentes de laboratório para o Webroot SecureAnywhere Business Endpoint Protection. No entanto, o MRG Effitas concedeu o prêmio MRG Effitas Online Banking / Segurança do navegador ao Webroot SecureAnywhere Business Endpoint Protection em 2016, o que não é tarefa fácil. De uma perspectiva de teste, acho que é um produto sólido. No entanto, a empresa precisará trabalhar em suas medidas de prevenção de exploração de scripts para acompanhar o restante do campo, especialmente com produtos líderes como o Bitdefender GravityZone Elite da Editors 'Choice e o Serviço de Proteção para Empresas F-Secure.
Resposta ao ataque
O Webroot SecureAnywhere Business Endpoint Protection acionou alertas que eu configurei em poucos minutos após a infecção, e um indicador vermelho fácil de ver apareceu no painel. A máquina cliente estava relativamente quieta, no entanto, quando se tratava de alertar seu usuário. O ícone Tarefa mudou para ter uma exclamação momentaneamente, mas toda a ação ocorreu no painel. Isso coloca a maior parte do ônus da resposta no administrador de TI da sua empresa, em oposição ao usuário final. Como o pessoal de TI geralmente está circulando em vez de simplesmente olhar para o painel, isso significa alguma resposta atrasada e certamente requer atenção prestada à configuração de email e outras notificações que podem chegar aos profissionais de TI quando não estão em suas mesas. Existem argumentos a favor e contra essa filosofia, mas ela funciona como planejada.
Nos casos em que o Webroot SecureAnywhere Business Endpoint Protection perde uma infecção, existem proteções para impedir que os keyloggers despejem esses dados na Web, mas isso tende a ser uma solução imperfeita. Como ele não impede o malware de coletar senhas da rede local, ainda há uma oportunidade de dinamizar, pois os usuários, em geral, usam a mesma senha em vários locais. Nos cenários para os quais foi projetado, no entanto, funcionou bem o suficiente.
O Webroot SecureAnywhere Business Endpoint Protection não é, de forma alguma, um produto ruim de proteção de endpoints, mas falha ao abordar alguns dos métodos mais recentes de ataque. Seu principal modo de ação é evitar infecções por ataques nativos, e não por scripts. Na defesa do Webroot SecureAnywhere Business Endpoint Protection, isso capturará a maioria dos ataques existentes. No entanto, em uma era pós-Equifax, basta esperar uma atualização que resolva esses problemas. Ele também caiu sob a pressão de um ataque direto quando um arquivo foi escondido no sistema de um funcionário inocente. Como a humanidade é sempre o elo mais fraco, isso geralmente é uma inevitabilidade. Mesmo assim, com algumas pequenas correções, o Webroot SecureAnywhere Business Endpoint Protection pode ser um excelente aliado na defesa da sua rede.
