Sommario:
- Installazione e interfaccia utente
- Protezione da ransomware per le aziende
- analisi
- Risultati dei test di laboratorio indipendenti
- Pensieri finali
Video: Aether Demo - Panda Security Adaptive Defense (Ottobre 2024)
A partire da $ 68 per posto all'anno, Panda Security Adaptive Defense 360 è la voce di punta dell'azienda nello spazio di protezione degli endpoint ospitato di livello aziendale. Sebbene offra una vasta gamma di funzionalità, dovrai fare attenzione quando acquisti perché il sito Web dell'azienda non è così chiaro su quali funzionalità sono incluse in quali livelli. Tuttavia, una volta configurata, questa piattaforma offre solide capacità di protezione su più piattaforme del sistema operativo con la gestione completa disponibile sul cloud. Al rovescio della medaglia, alcune debolezze nell'esperienza dell'utente e la protezione globale dalle minacce la mantengono dietro i nostri attuali vincitori della scelta degli editori, Bitdefender GravityZone Elite e ESET Endpoint Protection Standard.
Panda Adaptive Defense 360 offre gran parte del set di funzionalità aggiornato attraverso la piattaforma Aether acquisita, inclusa la gestione della console basata su cloud e la protezione da ransomware di livello aziendale. Gli agenti sono disponibili per dispositivi Android, Linux, Apple OS X e Microsoft Windows. Mentre l'iOS di Apple è ancora escluso, questo è generalmente un peccato perdonabile poiché di solito ci sono poche funzionalità disponibili a causa delle limitazioni di gestione dei dispositivi poste su quella piattaforma da Apple. Ciò che è meno perdonabile è che non è possibile scaricare una versione di valutazione gratuita di questo prodotto dal sito Web di Panda.
Installazione e interfaccia utente
La registrazione per Panda Security Adaptive Defense 360 non può essere effettuata direttamente tramite Panda Security, quindi potrebbe essere scoraggiante per alcune persone. Dovrai collaborare con uno dei partner di Panda per completare un acquisto iniziale e creare il tuo portale. Detto questo, una volta che il tuo portale è pronto, puoi accedere e colpire il terreno correndo. Ottenere un installer agente è semplice come fare clic su "Aggiungi computer". L'esecuzione dell'installer è per lo più incustodita, a parte pochi clic. Dopo aver superato una fase di raccolta delle conoscenze in cui raccoglie informazioni relative all'hardware e al software installati, scompare silenziosamente in background.
Quando si accede alla console Panda Cloud, tutti i servizi disponibili, incluso Panda Adaptive Defense 360, sono icone cliccabili sulla pagina. Facendo clic su Panda Security Adaptive Defense 360, inizia su una pagina di stato. Visualizza grafici di programmi classificati suddivisi in programmi attendibili, malware, exploit e programmi potenzialmente indesiderati (PUP). C'è anche un pratico set di indicatori nella parte superiore dello schermo che mostra quali computer non si sono connessi di recente al cloud e quindi potenzialmente in esecuzione con una protezione obsoleta. In generale, ho scoperto che Panda Security Adaptive Defense 360 si è basato sulla presentazione familiare ed eccellente di ciò che Panda Security Endpoint Protection aveva già.
Oltre a ciò che era originariamente disponibile in Panda Security Endpoint Protection, ci sono alcuni strumenti intelligenti in Panda Security Adaptive Defense 360 in grado di mappare il percorso di un attacco per penetrare nella rete. Gli strumenti possono anche monitorare software e hardware comuni e se i tuoi sistemi sono aggiornati. Anche se raramente è necessario che un amministratore acceda anche alla console cloud, qui c'è molta potenza.
La scheda Computer rivela una pagina Gestione dispositivi basata su gruppi. I computer possono essere facilmente aggiunti scaricando il client o inviando tramite e-mail un collegamento a un nuovo utente. Le licenze possono anche essere monitorate da qui, quindi, se il numero di sistemi aggiunti supera l'attuale assegnazione di licenze, è facile eliminare tali sistemi o sapere che è necessario acquistare posti aggiuntivi. I sistemi possono essere raccolti insieme in gruppi e sottogruppi. I criteri possono quindi essere applicati a tali gruppi o sottogruppi anziché ai singoli sistemi. Sebbene non unico, è un metodo efficiente di gestione dei dispositivi.
La scheda Impostazioni consente a un amministratore di aggiungere e modificare i criteri che si applicano a gruppi di dispositivi. Ogni politica contiene una serie ben ponderata di opzioni. Le impostazioni di base come scansioni pianificate, aggiornamenti e avvisi possono essere configurate dall'opzione del sistema operativo (SO) corrispondente. Android, Linux, OS X e Windows hanno ciascuno i propri controlli individuali. La sezione Antivirus offre la possibilità di abilitare o disabilitare varie impostazioni di protezione di file, posta e web. Il firewall, allo stesso modo, ha molte delle opzioni che ti aspetteresti. È possibile consentire programmi specifici e aggiungere regole personalizzate per consentire loro di essere esplicitamente autorizzati o bloccati. Esistono anche molte impostazioni di prevenzione delle intrusioni intelligenti che possono essere abilitate o disabilitate in base alle proprie esigenze.
Il controllo del dispositivo è anche facile da configurare. È suddiviso in sei categorie: Bluetooth, unità CD / DVD / Blu-ray, acquisizione di immagini, dispositivi mobili, modem e archiviazione rimovibile. Di questi, oltre a consentire o bloccare esplicitamente un'intera categoria, dispositivi specifici possono essere consentiti senza restrizioni nel caso in cui il blocco di un'intera categoria sia troppo prepotente. Sarebbe stato bello vedere anche qui una lista nera ma, nel complesso, questa configurazione funziona.
Protezione da ransomware per le aziende
Nella lotta contro il ransomware, Panda Security Adaptive Defense 360 ha una serie di cose da fare. Perché, nella sua configurazione più sicura, forza tutte le applicazioni ad essere contrassegnate come goodware o malware; qualsiasi cosa abbia persino il potenziale di essere ransomware, semplicemente, non verrà eseguita fino a quando non verrà esaminata dalla sandbox in cui il carico utile viene fatto esplodere ed esaminato online. In secondo luogo, il rilevamento dell'exploit è abbastanza buono, quindi, anche se l'app tenta di essere eseguita, deve comunque ottenere i privilegi di amministratore per fare il maggior danno.
La mia unica preoccupazione per il prodotto è se viene eseguito in modalità Audit. Esistono mezzi sufficienti per ingannare potenzialmente il pezzo di monitoraggio del comportamento, che viene mostrato nel test. In tal caso, non esiste un buon modo per ripristinare le modifiche apportate dal malware. Questo non è un problema, ma illustra la necessità di una buona soluzione di backup di journaling.
analisi
Il mio test iniziale prevedeva l'estrazione di un nuovo set di 142 campioni di malware sul desktop. Panda Security Adaptive Defense 360 ha funzionato eccezionalmente bene rimuovendo tutte le minacce prima ancora che fossero estratte dai loro file ZIP protetti da password. Anche il rilevamento è stato evidente e mi ha comunicato immediatamente via e-mail e sul computer client.
Per valutare le funzionalità anti-phishing, ho prima selezionato la casella di controllo Anti-phishing nel modulo Controllo accesso Web (WAC) e ho utilizzato un set di 10 siti Web di phishing recentemente segnalati da PhishTank, una comunità aperta che segnala siti Web di phishing noti e sospetti. Solo due su 10 sono stati rilevati con successo da Panda Security Adaptive Defense 360. Per questi, ha visualizzato una semplice pagina Web che mostra che Panda Security Adaptive Defense 360 ha bloccato il sito Web in questione. La funzionalità del browser integrata è ancora più efficace nel contrassegnare i siti Web come ingannevoli o dannosi. Quindi, mentre è presente l'antiphishing incorporato in Panda Adaptive Defense 360, sembra raramente innescarsi.
La difesa di Panda Security Adaptive Defense 360 nei confronti del ransomware è legata in primo luogo alla sua capacità di prevenire l'infezione. Lo fa bene in modalità Audit, ma in modalità Indurimento, è una bestia con cui fare i conti. Ho testato una serie di 44 campioni di ransomware, incluso WannaCry. Tutti sono stati opportunamente bloccati ed eliminati dal disco anche prima dell'inizio dell'esecuzione, e questo era solo in modalità Audit in cui osserva il comportamento del programma o cerca le firme e lo spegne prima che possa causare problemi.
La modalità di indurimento è probabilmente la più interessante. Richiede che un programma sia classificato come goodware o malware prima ancora che sia autorizzato a funzionare. Questa testabilità al 100% è ciò che Panda Security spinge come principale forza di Adaptive Defense 360. Questa è un'estrema partenza da prodotti come Bitdefender GravityZone Elite o F-Secure Protection Service for Business che impiegano più tempo a cercare di estrarre malware da una gamma. Tuttavia, è anche un punto debole poiché costringere ogni app a essere sottoposta a revisione potrebbe facilmente legare un utente avanzato come uno sviluppatore di software. Anche RanSim, il simulatore di ransomware di KnowBe4, è stato sommariamente bloccato ed eliminato da quando è stato classificato come PUP. Tuttavia, per mettere davvero alla prova Panda Adaptive Defense 360, ho eseguito una serie di test e simulato un attaccante attivo che poteva distribuire ransomware dopo aver compromesso la soluzione AV.
Tutti i test Metasploit sono stati condotti due volte per questo prodotto. Poiché la modalità Audit e la modalità Hardening sembrano offrire un livello di controllo variabile su ciò che viene eseguito, ho deciso di provare prima la modalità Audit poiché questo è ciò che la maggior parte degli utenti avrebbe iniziato. Innanzitutto, ho usato Metasploit Framework di Rapid7 per configurare un server AutoPwn2 progettato per sfruttare il browser. Ciò ha lanciato una serie di attacchi noti per avere successo su browser comuni come Firefox e Microsoft Internet Explorer. Panda Security Adaptive Defense 360 ha correttamente rilevato ogni exploit e annullato l'attacco. Ciò ha funzionato alle aspettative o al di sopra.
Il test successivo ha utilizzato un documento Microsoft Word abilitato per le macro. All'interno del documento c'era un'app codificata che un Microsoft Visual Basic Script (VBScript) avrebbe quindi decodificato e tentato di avviare. Questa spesso può essere una condizione difficile da rilevare quando vengono utilizzate varie tecniche di mascheramento e crittografia. Panda Security Adaptive Defense 360 è riuscito a chiudere il tentativo.
Successivamente, ho testato un attacco basato sull'ingegneria sociale. In questo scenario, l'utente scarica un programma di installazione compromesso dello strumento FileZilla FTP (File Transfer Protocol) open source utilizzando Shellter. Eseguendolo, eseguirà una sessione Meterpreter e richiamerà il sistema attaccante. È riuscito. Una volta che ho avuto una sessione aperta, sono stato in grado di mantenere una connessione persistente attraverso ogni tentativo di exploit per aumentare i miei privilegi di amministratore. La maggior parte di loro ha fallito, ma sono stato in grado di utilizzare uno che richiede all'utente di consentire l'esecuzione di una richiesta di autorizzazione Controllo accesso utente (UAC) come amministratore. Dal momento che questo può essere fatto sembrare legittimo, ha avuto successo e non è stato identificato come un exploit. Suppongo che ciò sia dovuto alla natura interattiva dell'attacco. A questo punto, sono stato in grado di ottenere i privilegi a livello di sistema, che è il massimo che puoi acquisire su un computer Windows. Da questo punto, sono stato in grado di estrarre gli hash delle password e disinstallare l'agente Panda Security Adaptive Defense 360.
Per la seconda esecuzione, ho abilitato la modalità di tempra e abilitato la protezione antimanomissione che impedisce la disinstallazione del prodotto senza password. In questa modalità, Panda Security Adaptive Defense 360 ha impedito l'esecuzione dell'installer compromesso e lo ha taggato in modo appropriato come file infetto. Dopo aver seguito il prompt di riavvio, lo ha eliminato dal desktop e la minaccia era contenuta. Sebbene efficace, questa modalità ha anche impedito l'esecuzione di altre app personalizzate fino a quando l'app non è stata contrassegnata come buona o cattiva, quindi è una benedizione mista.
Risultati dei test di laboratorio indipendenti
Il laboratorio indipendente di test sulla sicurezza IT MRG-Effitas aveva provato a testare Panda Security Adaptive Defense 360 nell'aprile 2017, ma come affermato da MRG-Effitas nel rapporto di valutazione comparativa dell'efficienza, Panda Security "non ha potuto collaborare per questo test, solo se il test fosse eseguito mesi dopo. Non è stato possibile acquisire licenze senza la collaborazione del fornitore, ha optato per il test di Panda Endpoint Protection Plus. Eventuali richieste per ottenere versioni di prova anonime per Adaptive Defense 360 non sono riuscite."
AV-Comparatives, laboratorio di test di software antivirus indipendente, d'altra parte, è stato in grado di testare Panda Security Adaptive Defense 360 a dicembre 2016. Il rapporto sui test per singolo prodotto a gennaio 2017 ha dichiarato che Panda Security Adaptive Defense 360 è stato in grado di rilevare il 99, 4 percento di i campioni di malware e il 100 percento dei PUP testati. Non sono stati rilevati falsi allarmi, lasciando Panda Security Adaptive Defense 360 con un punteggio solido.
Pensieri finali
Nel complesso, Panda Security Adaptive Defense 360 è facile da usare come il suo predecessore ed è ovviamente progettato pensando agli utenti delle piccole imprese. Sebbene sia un po 'debole con la sua funzionalità WAC, in realtà inchioda la tecnologia anti-exploit. L'uso delle impostazioni predefinite potrebbe comunque far entrare qualcuno in alcune circostanze gravi, ma se fai la dovuta diligenza, allora Panda Adaptive Defense 360 è un serbatoio metaforico e i suoi strumenti forensi inclusi valgono il loro peso in oro. Questa protezione ha un prezzo però. L'uso delle impostazioni che proteggeranno al meglio un sistema può anche comprometterne l'usabilità, quindi questa è una chiamata di giudizio, che richiederà un po 'di saggezza da parte dell'amministratore per decidere quali sistemi devono essere bloccati e quali possono usare un po' di spazio. Altrimenti, questo è un buon sistema e ha un prezzo medio rispetto alla concorrenza.
