Indholdsfortegnelse:
Video: Sophos Central How-To: Getting Started With Intercept X and Endpoint Advanced (November 2024)
Næste ned fra instrumentbrættet er alarmsiden. Det er her alle trusler vil blive katalogiseret og vist, når de opdages. Når de er løst, kan du kontrollere og markere dem fra listen. Hvis en særlig trussel citeres mere end én gang, kan den grupperes med en simpel vippekontakt. Hvis en trussel kræver manuel oprydning eller yderligere aktivitet, kan du klikke ind på trusselens hyperlink og se, hvad de næste trin er. Det meste af tiden, alt hvad du behøver, er en simpel genstart for at rydde problemet.
Enhedssektionen er også dejligt enkel at bruge. Hvis du vil se detaljerne i et specifikt system, kan du klikke på det. Derfra kan du få en hurtig oversigt over de installerede produkter, nylige begivenheder, nuværende systemstatus og politikker. Sikkerhedssundhed under fanebladet Status er ret detaljeret og kan give dig en hurtig gennemgang, hvis noget er galt, såsom forældet software eller en aktiv trussel. Politikerne giver dig også mulighed for at se et øjeblik, hvilke politikker der gælder for denne enhed.
Langtfra er et af de mest nyttige stykker af endepunktbeskyttelse analyse af rodårsager. Det er dejligt at sige, at dine systemer er beskyttet, men det er ofte mere nyttigt at vide, hvordan et angreb opstod, da dette kan være en fremragende kilde til materiale, der derefter kan bruges til at træne brugere om, hvad de ikke skal gøre. Hvis Bob for eksempel downloader et uanfaldet program, der tilfældigvis har noget ransomware, der løber en tur, kan det bringes frem i det næste sikkerhedsmøde. Der er ganske mange komponenter involveret, men det kan virkelig opdeles i tre dele: Oversigt, artefakter og visualisere. Oversigt beskriver truslen og giver dig oversigt over, hvor den blev fundet, og hvornår. Artefakter beskriver de ændringer, det forsøgte at foretage i systemet. Visualize giver dig et diagram, der viser infektionsstien, og hvordan malware forsøgte at interagere med systemet. Udover at være et af kun tre produkter i denne gennemgangsopdatering, der leverer denne form for analyse, gør Sophos Intercept X Endpoint Protection også det bedste job med det.
Hvis der er en ulempe med Sophos Intercept X Endpoint Protection, ville det være det overvældende antal indstillinger, når det kommer til politikkonfiguration. Den gode nyhed er, at alle standardpolitikkerne har de vigtige funktioner til at begynde med, så der er ikke meget at gøre her, medmindre du vil blive listig eller har specifikke krav til enheds- eller webkontrol. Dette står i skarp kontrast til produkter som Panda Security Adaptive Defense 360 hvor tilstanden skal ændres for at få et beskyttelsesniveau. Der er syv kategorier af politikker, du kan tilføje, lige fra applikationskontrol til webkontrol og har hver deres unikke sæt indstillinger, der skal justeres. Hver politik kan gælde for enten brugere eller enheder, så der er stor fleksibilitet i, hvornår og hvor du anvender indstillinger.
Ransomware-beskyttelse
Sophos Intercept X Endpoint Protection udmærker sig med ransomware-beskyttelse. Med dyb læring og udnyttelse af detektion kan det hurtigt bestemme forskellige softwaretrusler. CryptoGuard-funktionen kan automatisk gendanne eventuelle beskadigede filer og beskytte mod ransomware-krypteringsforsøg.
Endvidere kan Sophos Intercept X Endpoint Protection med sin rodårsanalyse spore, hvad der sker, når et program køres, så hvad det end gør, kan om nødvendigt rulles tilbage senere. Kombineret med en firewall, der ved, hvordan man ser efter forskellige former for fjendtlig trafik, har du en vinder.
Test resultater
Min første test involverede brug af et kendt sæt malware indsamlet til forskningsformål. Hver blev gemt i en adgangskodebeskyttet ZIP-fil og blev ekstraheret individuelt. Når virusekstrakterne blev ekstraheret, blev detekteret øjeblikkeligt. Ud af 142 malware-varianter blev alle varer markeret og sættes i karantæne.
For at teste beskyttelse mod skadelige websteder blev et tilfældigt udvalg af de nyeste 10 websteder valgt fra PhishTank, et åbent samfund, der rapporterer kendte og mistanke om phishing-websteder. Alle forsøg på Uniform Resource Locators (URLs) resulterede i, at det pågældende websted blev blokeret.
For at teste Sophos Intercept X Endpoint Protection's svar på ransomware brugte jeg et sæt af 44 ransomware-prøver, inklusive WannaCry. Ingen af prøverne fik det forbi ekstraktion fra ZIP-filen. Dette er ikke meget overraskende, da hver af prøverne har en kendt signatur. Når det er sagt, var svaret hurtigt og alvorligt. Eksekverbare filer blev hurtigt markeret som ransomware og fjernet fra disken.
KnowBe4s ransomware-simulator RanSim blev også markeret som et ransomware-eksempel. Da det sandsynligvis blev hentet via kendte underskrifter, gik jeg videre med en mere direkte tilgang ved at simulere en aktiv angriber. Dette er i overensstemmelse med de højest scorede ransomware-beskyttelsesprodukter, der inkluderer Bitdefender GravityZone Elite og ESET Endpoint Protection Standard.
Alle Metasploit-test blev udført ved hjælp af produktets standardindstillinger. Da ingen af dem lykkedes, følte jeg mig sikker på at springe over indstillinger af mere aggressiv karakter. Først brugte jeg Metasploit til at konfigurere en AutoPwn2-server designet til at udnytte browseren. Dette lancerer en række angreb, der vides at have succes på almindelige browsere som Firefox og Internet Explorer. Sophos Intercept X Endpoint Protection blokerede udnyttelserne med lidt ståhej.
Den næste test brugte et makroaktiveret Microsoft Word-dokument. Inde i dokumentet indeholdt et kodet program, som en Microsoft Visual Basic Script (VBScript) derefter ville afkode og forsøge at starte. Dette kan ofte være en vanskelig tilstand at registrere, når forskellige maskerings- og krypteringsteknikker anvendes. Filen producerede en fejl under åbningen, hvilket indikerede, at angrebet mislykkedes.
Til sidst testede jeg et socialt ingeniørbaseret angreb. I dette scenarie downloader brugeren et kompromitteret installationsprogram af FileZilla ved hjælp af Shellter. Når den udføres, udfører den en Meterpreter-session og ringer tilbage til det angribende system. Udnyttelsen blev blokeret inden for få sekunder og fjernet fra disken.
AV-Test, et uafhængigt laboratorium, der tester antivirussoftware, gennemførte en test i august 2018 for at evaluere en række endepunktsikkerhedssoftwarepakker. Deres resultater gav Sophos Intercept X Endpoint Protection en beskyttelsesscore på "6 ud af 6" og en præstationsscore på "5, 5 ud af 6." Derudover har MRF-Effitas rangeret Sophos i første omgang med hensyn til at udnytte beskyttelsen. Denne robusthed blev også afspejlet i vores egne test. Selvom det ikke var den perfekte score, der blev modtaget af Symantec Endpoint Protection Cloud, bemærkede jeg ikke nogen signifikant forskel i deres samlede præstation.
Afsluttende tanker
Sophos Intercept X Endpoint Protection blander perfekt beskyttelse med brugervenlighed og værktøjer til at sætte virksomheder i en mere proaktiv holdning. Prisen er rigtig, og den har værktøjer til en erfaren sikkerhedspersonal uden at ofre muligheden for en lægmand til at installere og styre den. Det er et fremragende valg for enhver virksomhed, der ønsker at holde sit netværk beskyttet, uden at bruge en masse tid og penge på at gøre det.
