Innehållsförteckning:
Video: Sophos Central How-To: Getting Started With Intercept X and Endpoint Advanced (Oktober 2024)
Nästa ned från instrumentpanelen är varningssidan. Det är här alla hot kommer att katalogiseras och visas när de upptäcks. När de löses kan du markera och markera dem från listan. Om ett särskilt hot citeras mer än en gång kan det grupperas med en enkel växelströmbrytare. Om något hot kräver manuell sanering eller ytterligare aktivitet kan du klicka in på hotlänkens hyperlänk och se vad nästa steg är. För det mesta är allt du behöver en enkel omstart för att rensa problemet.
Enhetsavsnittet är också mycket enkelt att använda. Om du vill visa detaljerna för ett specifikt system kan du klicka på det. Därifrån kan du få en snabb sammanfattning av de installerade produkterna, senaste händelser, aktuell systemstatus och policyer. Säkerhetshälsa under statusfliken är ganska detaljerad och kan ge dig en snabb översikt om något är fel, till exempel föråldrad programvara eller ett aktivt hot. I policyn kan du också se en översikt vilka policyer som gäller den enheten.
Överlägset, en av de mest användbara delarna av Endpoint Protection är rotorsakanalys. Det är bra att säga att dina system är skyddade, men det är ofta mer användbart att veta hur en attack härstammar, eftersom det kan vara en utmärkt materialkälla som sedan kan användas för att utbilda användare om vad de inte ska göra. Till exempel, om Bob laddar ner en osanktionerad applikation som råkar ha en ransomware som hissar en tur, kan det tas upp i nästa säkerhetsmöte. Det finns en hel del komponenter inblandade, men det kan verkligen delas in i tre delar: Översikt, artefakter och Visualisera. Översikt beskriver hotet och ger dig redogörelse för var det hittades och när. Artefakter beskriver de förändringar som det försökte göra i systemet. Visualize ger dig ett diagram som visar infektionsvägen och hur skadlig programvara försökte interagera med systemet. Förutom att vara en av endast tre produkter i denna översynsöversikt som ger denna typ av analys, gör Sophos Intercept X Endpoint Protection också det bästa jobbet med det.
Om det finns en nackdel med Sophos Intercept X Endpoint Protection, skulle det vara det överväldigande antalet alternativ när det gäller policykonfiguration. Den goda nyheten är att alla standardpolicyer har de viktiga funktionerna till att börja med, så det finns inte mycket att göra här om du inte vill bli listig eller har specifika krav för enhet- eller webbkontroll. Detta står i skarp kontrast till produkter som Panda Security Adaptive Defense 360 där läget måste ändras för att få en skyddsnivå. Det finns sju kategorier av policyer som du kan lägga till, allt från applikationskontroll till webbkontroll och alla har sina egna unika inställningar att justera. Varje policy kan gälla antingen användare eller enheter, så det finns mycket flexibilitet i när och var du använder inställningar.
Ransomware-skydd
Sophos Intercept X Endpoint Protection utmärker sig för ransomware-skydd. Med djup inlärning och utnyttjande av upptäckt kan det snabbt fastställa olika programvaruhot. CryptoGuard-funktionen kan automatiskt återställa alla skadade filer och skydda mot ransomware-krypteringsförsök.
Sophos Intercept X Endpoint Protection kan dessutom spåra vad som händer när ett program körs så att allt, vad det än gör, kan rullas tillbaka senare, vid behov. I kombination med en brandvägg som vet hur man letar efter olika typer av fientlig trafik har du en vinnare.
Testresultat
Min första test handlade om att använda en känd uppsättning malware som samlats in för forskningsändamål. Var och en lagrades i en lösenordsskyddad ZIP-fil och extraherades individuellt. Virusproven upptäcktes omedelbart när de extraherades. Av 142 malware-varianter flaggades och karantänades alla artiklar.
För att testa skyddet mot skadliga webbplatser valdes ett slumpmässigt urval av de senaste 10 webbplatserna från PhishTank, en öppen gemenskap som rapporterar kända och misstänkta nätfiskewebbplatser. Alla försök till enhetliga resurslokaler (URL: er) resulterade i att webbplatsen i fråga blockerades.
För att testa Sophos Intercept X Endpoint Protection: s svar på ransomware använde jag en uppsättning av 44 ransomware-prover, inklusive WannaCry. Inget av proverna gjorde det förbi extraktion från ZIP-filen. Detta är inte särskilt förvånande eftersom varje prov har en känd signatur. Som sagt, svaret var snabbt och allvarligt. Körbarn flaggades omedelbart som ransomware och togs bort från disken.
KnowBe4s ransomware-simulator RanSim flaggades också som en ransomware-instans också. Eftersom det är troligt att dessa hämtades via kända signaturer, fortsatte jag med ett mer direkt tillvägagångssätt genom att simulera en aktiv angripare. Detta överensstämmer med de högst rankade ransomware-skyddsprodukterna som inkluderar Bitdefender GravityZone Elite och ESET Endpoint Protection Standard.
Alla Metasploit-tester utfördes med hjälp av produktens standardinställningar. Eftersom ingen av dem lyckades kände jag mig säker på att hoppa över några inställningar av mer aggressiv karaktär. Först använde jag Metasploit för att ställa in en AutoPwn2-server utformad för att utnyttja webbläsaren. Detta lanserar en serie attacker som är kända för att lyckas med vanliga webbläsare som Firefox och Internet Explorer. Sophos Intercept X Endpoint Protection blockerade exploaterna med lite krångel.
Nästa test använde ett makroaktiverat Microsoft Word-dokument. Inne i dokumentet innehöll ett kodat program som ett Microsoft Visual Basic Script (VBScript) sedan skulle avkoda och försöka starta. Detta kan ofta vara ett knepigt tillstånd att upptäcka när olika maskerings- och krypteringstekniker används. Filen gav ett fel vid öppningen, vilket indikerade att attacken misslyckades.
Slutligen testade jag en socialteknikbaserad attack. I det här scenariot laddar användaren ner ett kompromissat installationsprogram av FileZilla med Shellter. När den körs kommer den att utföra en Meterpreter-session och ringa tillbaka till det attackerande systemet. Utnyttjandet blockerades inom några sekunder och togs bort från disken.
AV-Test, ett oberoende laboratorium som testar antivirusprogramvara, genomförde ett test i augusti 2018 för att utvärdera en serie slutpunktsäkerhetsprogramvarupaket. Deras resultat gav Sophos Intercept X Endpoint Protection en skyddspoäng på "6 av 6" och en prestationsresultat på "5, 5 av 6." Dessutom har MRF-Effitas rankat Sophos i första hand när det gäller att utnyttja skyddet. Denna robusthet återspeglades också i våra egna tester. Även om det inte var den perfekta poängen som mottogs av Symantec Endpoint Protection Cloud, såg jag inte någon betydande skillnad i deras totala prestanda.
Slutgiltiga tankar
Sophos Intercept X Endpoint Protection blandar perfekt skydd med användarvänlighet och verktyg för att sätta företag i en mer proaktiv hållning. Priset är rätt, och det har verktyg för en erfaren säkerhetspersonal utan att ge avkall på möjligheten för en lekperson att installera och hantera det. Det är ett utmärkt val för alla företag som vill skydda sitt nätverk utan att spendera mycket tid och pengar för att göra det.
