Revisione e valutazione dei servizi di sicurezza aziendale Trend Micro senza preoccupazioni

Trend Micro Worry-Free Business Security Services trasforma un nome molto lungo in un solido servizio di protezione degli endpoint ospitato di livello aziendale che ti consentirà di avviare $ 75, 50 all'anno per l'avvio di due utenti. Tuttavia, sebbene il suo set di funzionalità appaia molto solido sulla carta, i nostri test durante questo aggiornamento hanno riscontrato problemi con alcuni dei nostri exploit più avanzati e inoltre non disponevano delle impostazioni predefinite più sicure. Per questo motivo, mantiene le scelte dei nostri attuali redattori negli endpoint ospitati per le aziende, Bitdefender GravityZone Elite ed ESET Endpoint Protection Standard.

Nel testare queste soluzioni questa volta, abbiamo deciso di esaminare anche la capacità delle suite di fornire protezione ransomware di livello aziendale. Mentre Trend Micro ha continuato ad andare bene in questi test, non è stato un successo e alcuni concorrenti hanno ottenuto risultati migliori in termini di capacità di rollback.

Tuttavia, nel complesso si tratta di un concorrente abbastanza solido che possiede la maggior parte delle funzionalità necessarie per proteggere gli endpoint. Il passaggio successivo, Trend Micro Worry-Free Advanced Services, aggiunge misure di protezione separate per la posta elettronica, l'archiviazione cloud e la protezione di Microsoft Office 365. A fini di valutazione, è disponibile una versione di prova di 30 giorni sul sito Web dell'azienda.

Interfaccia utente

Trend Micro Worry-Free Business Security Services è gestito da una console Web ben costruita. Non è eccessivamente complesso ma non è così semplicistico come quello che ho incontrato su Avast Business Antivirus Pro Plus. Con Trend Micro Worry-Free Business Security Services, gli amministratori possono aggiungere computer alla scheda Security Agent facendo clic sul pulsante "Aggiungi agenti di sicurezza" e scegliendo se desiderano inviare tramite e-mail un collegamento di installazione, installare immediatamente sul dispositivo corrente o scaricare un programma di installazione pacchetto che può essere distribuito su più dispositivi. Una volta registrato, il dispositivo verrà visualizzato e può essere organizzato in gruppi facilmente gestibili. Le informazioni, come il nome del computer o del dispositivo, l'indirizzo IP, lo stato e le statistiche sulle infezioni, sono tutte disponibili a colpo d'occhio.

La scheda Dashboard funge da panoramica delle minacce in sospeso, il tipo di minacce rilevate e il modo in cui tali minacce si manifestano in termini di dispositivo interessato e stile di attacco. Mostra anche se è richiesta un'azione immediata da parte dell'amministratore. È semplice da leggere con la minima lanugine, che è importante quando le chiamate iniziano a entrare nell'helpdesk. Ciò ha acquisito un po 'di funzionalità rispetto alla versione precedente e molte letture consentono il drill-down dei log.

Se uno o più agenti nella scheda Agenti di sicurezza sono selezionati, è possibile eseguire gli aggiornamenti sul dispositivo oppure è possibile crittografare o decrittografare le unità disco utilizzando il software nativo disponibile tramite il menu a discesa Attività. Per i computer basati su Microsoft Windows, viene utilizzato BitLocker dell'azienda. Per i computer Apple OS X, File Vault sarà il metodo di crittografia preferito. I criteri possono essere impostati e applicati per gruppo. Questa è una bella funzionalità poiché i viaggiatori richiedono spesso un diverso livello di latitudine rispetto ai PC desktop ben controllati seduti in ufficio. Allo stesso modo, i server avranno un livello di controllo più elevato poiché tendono ad essere il primo premio per la maggior parte degli attacchi informatici. Vale la pena notare che, per tutti i test, ho abilitato tutte le opzioni di monitoraggio del comportamento per tutti i dispositivi.

La scheda Scansioni è scomparsa ed è diventata un pulldown sotto agenti di sicurezza. Questo è un grande miglioramento e richiede meno clic per accedere. È possibile attivare immediatamente una scansione aggressiva o normale da qui. Le scansioni pianificate sono state spostate nella scheda Configurazione criteri, il che ha molto più senso. Nel complesso, la presentazione qui è più pulita.

La scheda Rapporti ha una varietà di contenuti del rapporto che possono essere scaricati come file PDF o inviati a un indirizzo e-mail. È possibile pianificare report su base settimanale o mensile o tra un intervallo di date specifico. Tutti i dispositivi o un gruppo specifico possono essere scelti per i report, quindi è facile suddividere le cose da server, desktop, laptop e dispositivi mobili. Mentre potrebbe essere necessario reimpostare alcune cose per ottenere una serie di report sui parametri organizzativi (ad esempio, vendite, contabilità, ecc.), È fattibile e il contenuto del report è informativo e ben organizzato.

Protezione da ransomware per le aziende

In termini di protezione ransomware, Trend Micro Worry-Free Business Security Services offre un interruttore specifico per attivare la protezione ransomware. Mentre sono stato sorpreso di scoprire che questo non era attivo per impostazione predefinita, è stato abbastanza semplice abilitarlo direttamente dalla dashboard. Oltre alla normale analisi comportamentale utilizzata dal motore antivirus, monitorerà in modo specifico la crittografia non autorizzata dei documenti, un comportamento simile a DeepGuard in F-Secure Protection Service for Business. Inoltre, proverà attivamente a bloccare i processi comunemente associati al ransomware e ad aumentare il controllo sui programmi che potrebbero comportarsi in modo imprevisto. Per ulteriori dettagli, Trend Micro fornisce una guida sull'esecuzione di queste modifiche ai criteri. Infine, Trend Micro offre un decodificatore di file ransomware nel caso in cui ransomware riesca a bloccare alcuni dei tuoi file. Non è garantito che funzioni, ma potrebbe valere la pena provare prima di estrarre il supporto di backup. Una soluzione migliore potrebbe essere Webroot SecureAnywhere Business Endpoint Protection o un buon programma di backup journaling come Acronis Backup 12.5 se il rollback è una funzionalità fondamentale per te.

Utilizzando il motore di scansione antivirus di Trend Micro, MRG-Effitas, una società di ricerca specializzata nel test di prodotti antivirus e di sicurezza, ha scoperto durante i test del primo trimestre del 2018 che, a partire dal malware testato su sistemi protetti, il 75, 7% delle minacce veniva automaticamente bloccato. Nel frattempo, il 6, 5 percento del ransomware è stato bloccato con analisi comportamentale ma ha richiesto l'esecuzione e il 9, 5 percento è stato bloccato in 24 ore. Inoltre, l'8, 3 per cento è stato perso del tutto. Dei prodotti testati durante tale valutazione, è stato il punteggio più basso.

I miei test indipendenti iniziali prevedevano l'utilizzo di un set noto di malware raccolto a fini di ricerca. Ognuno è stato memorizzato in un file ZIP protetto da password ed è stato estratto singolarmente. Trend Micro Worry-Free Business Security Services ha superato il test per quanto riguarda il rilevamento di virus e malware, ma lo ha fatto solo dopo l'esecuzione di una scansione dell'intero sistema. Mentre diversi altri prodotti hanno rilevato la presenza di un'applicazione dannosa nel momento in cui è stata copiata sul desktop, Trend Micro Worry-Free Business Security Services ha adottato un approccio ritardato. Dopo aver completato una scansione completa, tuttavia, ha rilevato 102 delle 143 varianti. Ciò equivale al 71 percento delle minacce presentate. Vale la pena notare che, poiché questi file non sono stati eseguiti, questo tasso di rilevamento sarà inferiore rispetto a se i payload fossero eseguiti sulla macchina (poiché parte del processo di rilevamento di Trend Micro Worry-Free Business Security Services include l'analisi del comportamento del programma).

Per testare la protezione contro i siti Web dannosi, ho utilizzato una selezione casuale dei 10 siti Web più recenti segnalati su PhishTank, una comunità aperta che segnala siti Web di phishing noti e sospetti. Tutti i localizzatori di risorse (URL) uniformi che ho indicato sul dispositivo di destinazione hanno comportato il blocco di tutti i siti Web, con classificazione e categoria.

Test di ransomware

Per testare la risposta di Trend Micro Worry-Free Business Security Services al ransomware, ho usato un set di 44 campioni di ransomware, incluso WannaCry. Tutti avevano firme conosciute, quindi non era sorprendente che Trend Micro non permettesse a nessuno di superare l'estrazione dal file ZIP. Tuttavia, il prodotto ha reagito rapidamente alla minaccia. Gli eseguibili sono stati prontamente contrassegnati come ransomware e rimossi dal disco. Anche RanSim, il simulatore di ransomware di KnowBe4, è stato contrassegnato anche come istanza di ransomware. Poiché è probabile che questi siano stati raccolti tramite firme note, ho proceduto ad un approccio più diretto simulando un attaccante attivo.

Tutti i test Metasploit sono stati condotti utilizzando le impostazioni predefinite del prodotto. Dato che nessuno di loro è riuscito, mi sono sentito sicuro nel saltare qualsiasi impostazione di natura più aggressiva. Innanzitutto, ho usato Metasploit Framework di Rapid7 per configurare un server AutoPwn2 progettato per sfruttare il browser. Ciò avvia una serie di attacchi noti per avere successo su browser comuni come Firefox e Microsoft Internet Explorer. Trend Micro Worry-Free Business Security Services ha rilevato correttamente ogni exploit e ha annullato l'attacco. Ciò ha funzionato alle aspettative o al di sopra.

Successivamente, ho testato un attacco basato sull'ingegneria sociale. In questo scenario, l'utente scarica un programma di installazione compromesso dello strumento FileZilla FTP (File Transfer Protocol) open source utilizzando Shellter. Eseguendolo, eseguirà una sessione Meterpreter e richiamerà il sistema attaccante. Sfortunatamente, questo tipo di attacco è ancora riuscito e si correla con un regime di test già noto condotto da MRG.

Dopo aver ottenuto una shell remota, ho potuto elevare le autorizzazioni amministrative, recuperare un elenco di tutte le password con hash, cancellare i registri degli eventi, aggiungere elementi al registro di Windows, caricare e scaricare file, crittografare i file e modificare il file degli host di Windows che correla gli URL dove si risolvono e installano un keylogger. A questo punto, chiunque considererebbe il sistema completamente compromesso e consentirebbe a un utente malintenzionato di iniziare a ruotare su altri sistemi della rete o spiare l'attività degli utenti e acquisire informazioni riservate.

Risposta all'attacco

Quando Trend Micro Worry-Free Business Security Services ha rilevato la minaccia, la risposta è stata immediata sul computer client. Ma sono stati fatti diversi tentativi prima che gli allarmi e-mail fossero attivati. Tuttavia, ciò è dovuto a un'impostazione predefinita che richiede cinque rilevamenti nell'ultima ora per dare il via a un'e-mail. Ho trovato che questo è in qualche modo un'opzione rinfrescante poiché diventa fastidioso quando ogni minaccia genera un'e-mail. Eventuali infezioni vengono messe in quarantena per impostazione predefinita e, se possibile, pulite.

Le minacce possono essere esaminate dalla dashboard della console Web in quanto è possibile trovare un riepilogo o maggiori dettagli utilizzando il modulo Rapporti. Entrambi sono ben strutturati e forniscono informazioni su quali dispositivi sono interessati e il tipo e la frequenza degli attacchi.

Per i siti Web non attendibili che potrebbero essere un tentativo di phishing, il livello di sicurezza più elevato di Trend Micro Worry-Free Business Security Services consente di chiudere le richieste a siti Web non attendibili. Questa non è l'impostazione predefinita del software, tuttavia, è necessario impostarla manualmente o tramite criteri per tutti i client durante la configurazione. È inoltre possibile creare una whitelist che consente solo nuovi siti Web su richiesta. Vengono offerti due livelli di sicurezza inferiori, ma si basano sul database di sicurezza del sito Web di Trend Micro Worry-Free Business Security Services per contrassegnarlo come pericoloso o sospetto.

Pensieri finali

Nel complesso, Trend Micro Worry-Free Services non è un cattivo prodotto. È solido, ma non è riuscito a sovraperformare i prodotti di punta, tra cui la scelta dell'editor Bitdefender GravityZone Elite e F-Secure Protection Service for Business. Non ha lo stesso tempo di risposta di Bitdefender GravityZone Elite, ma ottiene il lavoro fatto, tranne contro attacchi sanguinanti. Se viene messa in atto una formazione in ingegneria sociale, gli utenti possono essere ragionevolmente fiduciosi che Trend Micro Worry-Free Services abbia le spalle. Combinata con alcune eccellenti capacità di reportistica e gestione dei dispositivi, questa soluzione merita sicuramente una visita.