Innholdsfortegnelse:
Video: Sophos Central How-To: Getting Started With Intercept X and Endpoint Advanced (November 2024)
Neste nede fra dashbordet er varslingssiden. Det er her alle trusler vil bli katalogisert og vist når de blir oppdaget. Når de er løst, kan du sjekke og merke dem av listen. Hvis en spesiell trussel blir sitert mer enn en gang, kan den grupperes med en enkel vippebryter. Hvis en trussel krever manuell opprydding eller ekstra aktivitet, kan du klikke deg inn på trusselens hyperkobling og se hva de neste trinnene er. Det meste av tiden er alt du trenger en enkel omstart for å løse problemet.
Enheter-delen er også herlig enkel å bruke. For å se detaljene i et bestemt system, kan du klikke på det. Derfra kan du få en rask oversikt over produktene som er installert, nylige hendelser, gjeldende systemstatus og policyer. Security Health under statusfanen er ganske detaljert og kan gi deg en rask gjennomgang hvis noe er galt, for eksempel utdatert programvare eller en aktiv trussel. Retningslinjene lar deg også se på et øyeblikk hvilke retningslinjer som gjelder for den enheten.
Langtfra er en av de mest nyttige delene av Endpoint Protection analyse av årsaker. Det er flott å si at systemene dine er beskyttet, men det er ofte mer nyttig å vite hvordan et angrep oppsto, da dette kan være en utmerket kilde til materiale som deretter kan brukes til å trene brukere på hva de ikke skal gjøre. Hvis Bob for eksempel laster ned et ikke-sanksjonert program som tilfeldigvis har noe løseprogram som løfter en tur, kan det bli fremkommet i neste sikkerhetsmøte. Det er ganske mange komponenter involvert, men det kan virkelig deles inn i tre deler: Oversikt, artefakter og visualisere. Oversikt beskriver trusselen og gir deg oversikten over hvor den ble funnet og når. Artefakter beskriver endringene som den prøvde å gjøre i systemet. Visualize gir deg et diagram som viser smitteveien og hvordan skadelig programvare prøvde å samhandle med systemet. Foruten å være et av bare tre produkter i denne gjennomgangsoppsummeringen som gir denne typen analyse, gjør Sophos Intercept X Endpoint Protection også den beste jobben med det.
Hvis det er en ulempe med Sophos Intercept X Endpoint Protection, ville det være det overveldende antallet alternativer når det gjelder politikkonfigurasjon. Den gode nyheten er at alle standardpolicyene har de viktige funksjonene til å begynne med, så det er ikke mye å gjøre her med mindre du vil bli listig eller har spesifikke krav til enhets- eller nettkontroll. Dette står i sterk kontrast til produkter som Panda Security Adaptive Defense 360 der modusen må endres for å få et beskyttelsesnivå. Det er syv kategorier av policyer du kan legge til, alt fra applikasjonskontroll til nettkontroll og har hvert sitt unike sett med innstillinger for å finpusse. Hver policy kan gjelde for enten brukere eller enheter, så det er mye fleksibilitet i når og hvor du bruker innstillinger.
Ransomware-beskyttelse
Sophos Intercept X Endpoint Protection utmerker seg mot ransomware-beskyttelse. Med dyp læring og utnyttelse av gjenkjenning kan det raskt bestemme forskjellige programvaretrusler. CryptoGuard-funksjonen kan automatisk gjenopprette eventuelle skadede filer og beskytte mot ransomware-krypteringsforsøk.
Sophos Intercept X Endpoint Protection kan dessuten med sin årsaksanalyse spore hva som skjer når et program kjøres, slik at hva som helst det kan gjøres tilbake senere, om nødvendig. Kombinert med en brannmur som vet hvordan du skal se etter forskjellige typer fiendtlig trafikk, har du en vinner.
Testresultater
Min første test involverte bruk av et kjent sett med skadelig programvare samlet inn til forskningsformål. Hver ble lagret i en passordbeskyttet ZIP-fil og ble trukket ut individuelt. Virusprøvene, når de ble ekstrahert, ble oppdaget umiddelbart. Av 142 malware-varianter ble alle elementene flagget og satt i karantene.
For å teste beskyttelse mot skadelige nettsteder ble et tilfeldig utvalg av de nyeste 10 nettstedene valgt fra PhishTank, et åpent samfunn som rapporterer kjente og mistenkte nettfiskingsnettsteder. Alle forsøk på Uniform Resource Locator (URLs) resulterte i at det aktuelle nettstedet ble blokkert.
For å teste Sophos Intercept X Endpoint Protections svar på ransomware, brukte jeg et sett med 44 ransomware-prøver, inkludert WannaCry. Ingen av prøvene gjorde det forbi ekstraksjon fra ZIP-filen. Dette er ikke veldig overraskende siden hver av prøvene har en kjent signatur. Når det er sagt, var responsen rask og alvorlig. Kjørbare filer ble raskt flagget som ransomware og fjernet fra disken.
KnowBe4s ransomware-simulator RanSim ble også flagget som et ransomware-eksempel. Siden det er sannsynlig at disse ble plukket opp via kjente signaturer, fortsatte jeg med en mer direkte tilnærming ved å simulere en aktiv angriper. Dette er i samsvar med de høyest scorede ransomware-beskyttelsesproduktene som inkluderer Bitdefender GravityZone Elite og ESET Endpoint Protection Standard.
Alle Metasploit-tester ble utført ved bruk av standardinnstillingene for produktet. Siden ingen av dem lyktes, følte jeg meg trygg på å hoppe over innstillinger av mer aggressiv karakter. Først brukte jeg Metasploit for å sette opp en AutoPwn2-server designet for å utnytte nettleseren. Dette lanserer en serie angrep som er kjent for å lykkes på vanlige nettlesere som Firefox og Internet Explorer. Sophos Intercept X Endpoint Protection blokkerte utnyttelsene med lite oppstyr.
Den neste testen brukte et makroaktivert Microsoft Word-dokument. Inne i dokumentet inneholdt et kodet program som et Microsoft Visual Basic Script (VBScript) deretter ville avkode og prøve å starte. Dette kan ofte være en vanskelig tilstand å oppdage når forskjellige maskerings- og krypteringsteknikker brukes. Filen produserte en feil under åpningen, noe som indikerte at angrepet mislyktes.
Til slutt testet jeg et sosialt ingeniørbasert angrep. I dette scenariet laster brukeren ned et kompromittert installasjonsprogram av FileZilla ved bruk av Shellter. Når du utfører den, vil den utføre en Meterpreter-økt og ringe tilbake til det angripende systemet. Utbyttet ble blokkert i løpet av sekunder og fjernet fra disken.
AV-Test, et uavhengig laboratorium som tester antivirusprogramvare, gjennomførte en test i august 2018 for å evaluere en serie endepunktsikkerhetsprogramvarepakker. Resultatene ga Sophos Intercept X Endpoint Protection en beskyttelsesscore på "6 av 6" og en ytelsesscore på "5, 5 av 6." I tillegg har MRF-Effitas rangert Sophos på førsteplass når det gjelder å utnytte beskyttelsen. Denne robustheten gjenspeiles også i våre egne tester. Selv om det ikke var den perfekte poengsummen som ble mottatt av Symantec Endpoint Protection Cloud, merket jeg ikke noen vesentlig forskjell i deres generelle ytelse.
Siste tanker
Sophos Intercept X Endpoint Protection kombinerer perfekt beskyttelse med brukervennlighet og verktøy for å sette virksomheter i en mer proaktiv holdning. Prisen er riktig, og den har verktøy for en erfaren sikkerhetspersonell uten å ofre muligheten for en lekmann til å installere og administrere den. Det er et utmerket valg for enhver bedrift som ønsker å holde nettverket beskyttet, uten å bruke mye tid og penger på å gjøre det.
