Sommario:
Video: Sophos Central How-To: Getting Started With Intercept X and Endpoint Advanced (Ottobre 2024)
Successivamente nella dashboard si trova la pagina degli avvisi. Qui è dove tutte le minacce verranno catalogate e visualizzate man mano che vengono scoperte. Una volta risolti, è possibile controllarli e contrassegnarli dall'elenco. Se una determinata minaccia viene citata più di una volta, può essere raggruppata con un semplice interruttore a levetta. Se una minaccia richiede la pulizia manuale o un'attività aggiuntiva, è possibile fare clic sul collegamento ipertestuale della minaccia e vedere quali sono i passaggi successivi. Il più delle volte, tutto ciò che serve è un semplice riavvio per eliminare il problema.
La sezione Dispositivi è anche deliziosamente semplice da usare. Per visualizzare i dettagli di un sistema specifico, è possibile fare clic al suo interno. Da lì è possibile ottenere un breve riepilogo dei prodotti installati, eventi recenti, stato del sistema corrente e criteri. Sicurezza La salute nella scheda dello stato è abbastanza dettagliata e può darti una rapida carrellata se qualcosa non va, come un software obsoleto o una minaccia attiva. Le politiche ti permetteranno anche di vedere a colpo d'occhio quali politiche si applicano a quel dispositivo.
Di gran lunga, uno dei pezzi più utili di Endpoint Protection è l'analisi delle cause alla radice. È bello dire che i tuoi sistemi sono protetti, ma spesso è più utile sapere come è nato un attacco, in quanto può essere un'ottima fonte di materiale che può quindi essere utilizzato per addestrare gli utenti su cosa non fare. Ad esempio, se Bob scarica un'applicazione non autorizzata che ha qualche ransomware che fa l'autostop, può essere portata alla luce nella prossima riunione di sicurezza. Ci sono alcuni componenti coinvolti, ma può davvero essere suddiviso in tre parti: panoramica, artefatti e visualizzazione. La panoramica descrive la minaccia e ti fornisce la panoramica su dove è stata trovata e quando. Gli artefatti descrivono le modifiche che ha tentato di apportare al sistema. Visualize ti fornisce un diagramma che mostra il percorso dell'infezione e come il malware ha tentato di interagire con il sistema. Oltre ad essere uno dei soli tre prodotti in questa carrellata di recensioni che fornisce questo tipo di analisi, Sophos Intercept X Endpoint Protection fa anche il suo meglio.
Se c'è un aspetto negativo in Sophos Intercept X Endpoint Protection, allora sarebbe il numero schiacciante di opzioni quando si tratta di configurazione della politica. La buona notizia è che tutte le politiche predefinite hanno le caratteristiche importanti per cominciare, quindi non c'è molto da fare qui a meno che non si desideri ottenere furbi o avere requisiti specifici per il controllo del dispositivo o del web. Ciò è in netto contrasto con prodotti come Panda Security Adaptive Defense 360 in cui la modalità deve essere modificata per ottenere un livello di protezione. Esistono sette categorie di criteri che è possibile aggiungere, che vanno dal controllo delle applicazioni al controllo Web e ognuno ha il proprio set unico di impostazioni da modificare. Ogni criterio può essere applicato a utenti o dispositivi, quindi c'è molta flessibilità quando e dove si applicano le impostazioni.
Protezione da ransomware
Sophos Intercept X Endpoint Protection eccelle nella protezione dei ransomware. Con il deep learning e il rilevamento degli exploit, può determinare rapidamente varie minacce software. La funzione CryptoGuard può ripristinare automaticamente tutti i file danneggiati e proteggersi dai tentativi di crittografia dei ransomware.
Inoltre, con la sua analisi della causa principale, Sophos Intercept X Endpoint Protection è in grado di tenere traccia di ciò che accade mentre un programma viene eseguito in modo tale che, qualunque cosa faccia, può essere ripristinata in seguito, se necessario. In combinazione con un firewall che sa cercare vari tipi di traffico ostile, hai un vincitore.
Risultati del test
I miei test iniziali hanno comportato l'utilizzo di una serie nota di malware raccolti a scopo di ricerca. Ognuno è stato memorizzato in un file ZIP protetto da password ed è stato estratto singolarmente. I campioni di virus, quando estratti, sono stati rilevati immediatamente. Su 142 varianti di malware, tutti gli elementi sono stati contrassegnati e messi in quarantena.
Per testare la protezione da siti Web dannosi, è stata selezionata una selezione casuale dei più recenti 10 siti Web da PhishTank, una comunità aperta che segnala siti Web di phishing noti e sospetti. Tutti gli URL (Uniform Resource Locator) hanno tentato di bloccare il sito Web in questione.
Per testare la risposta di Sophos Intercept X Endpoint Protection al ransomware, ho usato un set di 44 campioni di ransomware, incluso WannaCry. Nessuno dei campioni ha superato l'estrazione dal file ZIP. Ciò non è terribilmente sorprendente poiché ciascuno dei campioni ha una firma nota. Detto questo, la risposta è stata rapida e severa. Gli eseguibili sono stati prontamente contrassegnati come ransomware e rimossi dal disco.
Anche il simulatore di ransomware di KnowBe4 RanSim è stato contrassegnato anche come istanza di ransomware. Poiché è probabile che questi siano stati raccolti tramite firme note, ho proceduto ad un approccio più diretto simulando un attaccante attivo. Ciò è coerente con i prodotti di protezione ransomware con il punteggio più alto che includono Bitdefender GravityZone Elite ed ESET Endpoint Protection Standard.
Tutti i test Metasploit sono stati condotti utilizzando le impostazioni predefinite del prodotto. Dato che nessuno di loro è riuscito, mi sono sentito sicuro nel saltare qualsiasi impostazione di natura più aggressiva. Innanzitutto, ho usato Metasploit per configurare un server AutoPwn2 progettato per sfruttare il browser. Ciò avvia una serie di attacchi noti per avere successo su browser comuni come Firefox e Internet Explorer. Sophos Intercept X Endpoint Protection ha bloccato gli exploit con poca confusione.
Il test successivo ha utilizzato un documento Microsoft Word abilitato per le macro. All'interno del documento conteneva un'applicazione codificata che un Microsoft Visual Basic Script (VBScript) avrebbe quindi decodificato e tentato di avviare. Questa spesso può essere una condizione difficile da rilevare quando vengono utilizzate varie tecniche di mascheramento e crittografia. Il file ha prodotto un errore all'apertura, indicando che l'attacco non è riuscito.
Infine, ho testato un attacco basato sull'ingegneria sociale. In questo scenario, l'utente scarica un programma di installazione compromesso di FileZilla utilizzando Shellter. Eseguendolo, eseguirà una sessione Meterpreter e richiamerà il sistema attaccante. L'exploit è stato bloccato in pochi secondi e rimosso dal disco.
AV-Test, un laboratorio indipendente che testa i software antivirus, ha condotto un test nell'agosto del 2018 per valutare una serie di pacchetti software per la sicurezza degli endpoint. I loro risultati hanno dato a Sophos Intercept X Endpoint Protection un punteggio di protezione di "6 su 6" e un punteggio di prestazione di "5, 5 su 6." Inoltre, MRF-Effitas ha classificato Sophos al primo posto per quanto riguarda la protezione dagli exploit. Questa robustezza si riflette anche nei nostri test. Pur non essendo il punteggio perfetto ottenuto da Symantec Endpoint Protection Cloud, non ho notato differenze significative nelle prestazioni complessive.
Pensieri finali
Sophos Intercept X Endpoint Protection combina perfettamente la protezione con la facilità d'uso e gli strumenti per mettere le aziende in una postura più proattiva. Il prezzo è giusto e ha gli strumenti per un professionista della sicurezza esperto senza sacrificare la possibilità per un laico di installarlo e gestirlo. È una scelta eccellente per qualsiasi azienda che desideri proteggere la propria rete, senza spendere molto tempo e denaro per farlo.
