Sommario:
Video: Symantec Endpoint Protection Cloud: Management Console Overview (Novembre 2024)
Symantec è una delle entità più affermate nella sicurezza aziendale ed è un nome affidabile per le aziende e le piccole e medie imprese (PMI). Il suo prodotto per la protezione degli endpoint aziendali è Symantec Endpoint Protection Cloud (che inizia a $ 28 per dispositivo all'anno) e viene distribuito su quattro livelli, quindi le aziende di tutte le dimensioni hanno una certa libertà nel selezionare quale si adatta meglio al proprio dispositivo e al numero di utenti. Ora radicato nel suo servizio di consegna cloud, Symantec Endpoint Protection Cloud mantiene la sua attenzione sugli endpoint Microsoft Windows anche se il supporto per il sistema operativo Mac (SO) è stato ampliato. Sono state inoltre migliorate le funzionalità di gestione dei dispositivi mobili (MDM) che le aziende con lavoratori in prima linea apprezzeranno. Tutte queste funzionalità rendono Symantec Endpoint Protection Cloud un'opzione eccezionale, che è proprio dietro ai nostri vincitori della scelta dei redattori Bitdefender GravityZone Elite e ESET Endpoint Protection Standard, soprattutto quando si tratta di funzionalità di reporting.
Se ti piace acquistare la tua piattaforma di sicurezza aziendale da un nome consolidato, allora non c'è nessuno più saldamente consolidato sul mercato di Symantec. Dovresti comunque prestare attenzione alle capacità e agli SKU, poiché la società ha recentemente apportato alcuni cambiamenti al riguardo. Il suo attuale prodotto di protezione degli endpoint aziendali è Symantec Endpoint Protection Cloud (che inizia a $ 28 per dispositivo all'anno), ma viene distribuito su quattro livelli, quindi è necessario esaminare attentamente ciò che si sta acquistando. E mentre ha adottato il cloud come meccanismo di consegna, questo prodotto è ancora fortemente focalizzato sugli endpoint di Microsoft Windows; sebbene durante questo aggiornamento abbiamo scoperto che è stato aggiunto più supporto per i sistemi operativi Mac e anche alcune funzionalità di gestione dei dispositivi mobili (MDM). Tuttavia, sebbene tutto ciò costituisca una solida piattaforma di protezione aziendale, rimane solo un po 'indietro rispetto ai nostri vincitori della scelta dei redattori, Bitdefender GravityZone Elite e ESET Endpoint Protection Standard, soprattutto quando si tratta di reportistica.
Quando studi questo prodotto, scoprirai che è offerto in quattro versioni. Il prodotto Endpoint Protection Cloud che esaminiamo qui è attualmente offerto in due diversi livelli di prezzo. Uno è il livello per dispositivo menzionato sopra, che inizia a $ 2, 50 per dispositivo al mese o $ 28 per dispositivo all'anno. Tuttavia, puoi anche acquistarlo in un modello per utente, dove ti costerà $ 4, 50 per utente al mese o $ 49 per utente all'anno e sarai in grado di installarlo su 5 dispositivi per utente. Se stai ancora eseguendo alcune istanze di Microsoft Windows Server in locale, allora esiste anche una versione di Symantec Endpoint Protection Cloud, che costa $ 3, 50 al server al mese o $ 38 al server all'anno. Un buon prezzo e sarai in grado di gestire la sicurezza del tuo server attraverso la stessa console online dei dispositivi dell'utente finale.
Infine, l'albero dei prezzi di Endpoint Protection ha un livello Drive Encryption elencato separatamente come quarto livello. Ci sarebbe piaciuto vedere questa opzione inclusa nel pacchetto base, ma Symantic l'ha suddivisa in un componente aggiuntivo opzionale che ti farà guadagnare $ 9 per unità al mese o $ 97 per unità all'anno. Non abbiamo testato la crittografia dell'unità come parte di questa recensione, ma abbiamo testato le funzionalità di protezione del ransomware di livello aziendale come vedrai di seguito.
Installazione e interfaccia utente
La messa in servizio di Symantec Endpoint Protection Cloud è rapida e relativamente semplice. Il processo è molto migliorato rispetto alla versione precedente, in cui gli amministratori dovevano registrare i computer client utilizzando il loro ID Microsoft. Per configurarlo ora, è sufficiente generare un pacchetto di distribuzione di rete che può essere portato da una macchina all'altra o espulso con altri mezzi.
Una prova di 60 giorni è disponibile sul loro sito Web. Il software ha impiegato solo un minuto o due per l'installazione e è apparso un messaggio amichevole "Sei protetto". Non c'è ancora alcun indicatore reale che qualcosa stia succedendo durante l'installazione e mi sono chiesto brevemente se funzionava. Tuttavia, il ritardo era abbastanza minimo da non importare molto.
Il software client non ha molto di cui parlare in termini di interfaccia utente (UI) in quanto l'azione principale si verifica nella console di gestione cloud. C'è una sezione Avanzata che vale la pena menzionare, ma serve solo allo scopo di indicare i risultati della politica corrente applicata al dispositivo. È anche possibile attivare manualmente una scansione malware, ma questo è generalmente un evento raro poiché il rilevamento in tempo reale è sempre abilitato.
La console cloud è bella e facile da navigare. Ti avvia su una dashboard che fornisce alcuni indicatori rapidi di quanti dispositivi sono sicuri e in pericolo. Facendo clic su uno di questi, è possibile eseguire il drill down su un elenco dettagliato di tali dispositivi e intraprendere le azioni appropriate. Potrebbe trattarsi di qualsiasi cosa: staccare la spina da un dispositivo compromesso o indirizzare oggetti in quarantena. I dettagli del dispositivo sono eccezionali: l'elenco include tutto l'hardware e le applicazioni attualmente installate oltre al registro eventi.
La gestione del gruppo è altrettanto semplice. È stato intuitivo aggiungere gruppi, utenti e dispositivi a un gruppo specifico. È stato interessante e potenzialmente utile vedere utenti e dispositivi entrambi come opzioni per l'appartenenza al gruppo. Nei casi in cui sono utenti problematici, potrebbero essere impostati automaticamente su un profilo più sicuro, mentre gli utenti esperti che potrebbero lavorare rigorosamente all'interno della rete potrebbero avere una politica più rilassata.
La gestione delle politiche segue naturalmente tre tipi principali. I criteri di sistema controllano gli aggiornamenti e le impostazioni del proxy. I criteri di sicurezza controllano tutto, dalle impostazioni antivirus alla prevenzione delle intrusioni, ai controlli dei dispositivi e alla protezione Web, con una serie significativa di altre opzioni intermedie. Mentre ogni schermata è stata molto ben spiegata, sarebbe facile perdersi nei dettagli. Non tutte le funzionalità si applicano a tutte le piattaforme, quindi un'icona appare a destra di ciascuna funzione per farti sapere rapidamente dove si applica un elemento della politica.
Alcuni dei punti salienti eccezionali includono la crittografia client configurabile, la protezione della rete e la protezione con password. L'aggiunta di queste tre funzionalità dimostra che Symantec è impegnata in un piano di protezione completo del sistema anziché semplicemente nel tentativo di bloccare il malware. La gestione centralizzata della complessità delle password è particolarmente utile per le piccole aziende che potrebbero avere o meno Active Directory (AD) o prodotti simili in atto.
Protezione da ransomware
Per la protezione dai ransomware, Symantec Endpoint Protection Cloud offre alcuni buoni strumenti. Per uno, ha un eccellente firewall e protezione del browser, quindi è meno probabile che una minaccia arrivi al punto di esecuzione sul sistema. In secondo luogo, offre una funzione chiamata Memory Exploit Mitigation (MEM). Questo cerca comportamenti di exploit tipici e può interrompere e chiudere qualsiasi cosa che appaia sospetta. Quindi, anche se alcuni ransomware lo trovano sul tuo sistema e cercano di funzionare, probabilmente non andrà molto lontano.
Symantec Endpoint Protection Cloud non applica ovviamente funzionalità di rilevamento specifiche per i ransomware al di fuori del suo motore principale, ma lo fa molto bene. Ciò significa che non è incluso niente di speciale come il vaccino ransomware, un modo per indurre i ransomware a credere che il tuo sistema sia già infetto. Non vi è inoltre nulla in termini di rollback dei file se i dati vengono danneggiati in un attacco. Tuttavia, come dimostrano i test, Symantec Endpoint Protection Cloud è ancora una forza con cui fare i conti e mira a dimostrare che tali extra non sono necessari. Se hai bisogno del vaccino ransomware, allora ESET Endpoint Protection Standard è una buona strada da percorrere.
Risultati del test
I miei test iniziali hanno comportato l'utilizzo di una serie nota di malware raccolti a scopo di ricerca. Ognuno è stato memorizzato in un file ZIP protetto da password ed è stato estratto singolarmente. I campioni di virus, quando estratti, sono stati rilevati immediatamente. Su 142 varianti di malware, tutti gli elementi sono stati contrassegnati e messi in quarantena.
Per testare la protezione da siti Web dannosi, è stata selezionata una selezione casuale dei più recenti 10 siti Web da PhishTank, una comunità aperta che segnala siti Web di phishing noti e sospetti. Nessuno degli URL è stato riconosciuto come dannoso nonostante siano palesi frodi bancarie o PayPal.
Per testare la risposta di Symantec Endpoint Protection Cloud al ransomware, ho usato un set di 44 campioni di ransomware, incluso WannaCry. Nessuno dei campioni ha superato l'estrazione dal file ZIP. Ciò non è terribilmente sorprendente poiché ciascuno dei campioni ha una firma nota. Detto questo, la risposta è stata decisa e tempestiva. Gli eseguibili sono stati prontamente contrassegnati come ransomware e rimossi dal disco. Anche il simulatore di ransomware di KnowBe4 RanSim è stato contrassegnato anche come istanza di ransomware. Poiché è probabile che questi siano stati raccolti tramite firme note, ho proceduto ad un approccio più diretto simulando un attaccante attivo.
Tutti i test Metasploit sono stati condotti utilizzando le impostazioni predefinite del prodotto. Dato che nessuno di loro è riuscito, mi sono sentito sicuro nel saltare qualsiasi impostazione di natura più aggressiva. Innanzitutto, ho usato Metasploit per configurare un server AutoPwn2 progettato per sfruttare il browser. Ciò avvia una serie di attacchi noti per avere successo su browser comuni come Firefox e Internet Explorer. Symantec ha bloccato gli exploit senza problemi.
Il test successivo ha utilizzato un documento Microsoft Word {/ ZIFFARTICLE}} abilitato per le macro. All'interno del documento conteneva un'app codificata che uno script di Microsoft Visual Basic (VBScript) avrebbe quindi decodificato e tentato di avviare. Questa spesso può essere una condizione difficile da rilevare quando vengono utilizzate varie tecniche di mascheramento e crittografia. Il file ha prodotto un errore all'apertura, indicando che l'attacco non è riuscito.
Infine, ho testato un attacco basato sull'ingegneria sociale. In questo scenario, l'utente scarica un programma di installazione compromesso di FileZilla utilizzando Shellter. Eseguendolo, eseguirà una sessione Meterpreter e richiamerà il sistema attaccante. L'exploit è stato bloccato in pochi secondi e rimosso dal disco, dimostrando che anche con un exploit codificato, il sistema è stato in grado di riconoscere il comportamento dannoso dell'app e spegnerlo.
AV-Test, un laboratorio indipendente che testa software antivirus, ha condotto un test a luglio / agosto 2018 per valutare una serie di pacchetti software di sicurezza endpoint. I loro risultati hanno assegnato a Symantec Endpoint Protection Cloud un punteggio di protezione di "6 su 6" e un punteggio di prestazione di "6 su 6." Inoltre, MRF-Effitas, nel suo test "In the Wild 360 / Full Spectrum" del secondo trimestre del 2018, ha citato Symantec come blocco automatico del 99, 7 percento dei campioni di malware presentati, con il restante 0, 3 percento rilevato in base al comportamento. Inoltre, è stato in grado di bloccare completamente tutti i 29 campioni di ransomware. Questo era alla pari con le nostre scelte degli editori, tra cui Bitdefender GravityZone Elite, ESET Endpoint Protection Standard e Sophos Intercept X Endpoint Protection.
Pensieri finali
Complessivamente, Symantec Endpoint Protection Cloud è un potente motore in grado di superare i tentativi di attacco. Sebbene non sia in grado di rilevare siti Web di phishing, eccelleva in tutte le altre protezioni. Recentemente ha ottenuto un supporto aggiuntivo anche per Mac OS, il che è un vantaggio. D'altra parte, Linux non è ancora il benvenuto alla festa. Il rapporto è in qualche modo poco brillante e, sebbene di bell'aspetto, non cattura l'intera gamma di cose che mi piacerebbe vedere. Ha qualcosa di carino