目录:
视频: Introducing Sophos Intercept X with EDR (十月 2024)
仪表板的下一个是警报页面。 在这里,所有威胁都会被分类并在发现威胁时显示出来。 解决这些问题后,您可以将其选中并从列表中标记出来。 如果特定威胁被多次引用,则可以使用简单的拨动开关将其分组。 如果任何威胁需要手动清除或进行其他活动,则可以单击威胁的超链接,然后查看下一步。 在大多数情况下,您只需要重新启动即可解决问题。
设备部分也非常易于使用。 要查看特定系统的详细信息,可以单击它。 您可以从那里快速获得已安装产品,最近事件,当前系统状态和策略的摘要。 “状态”选项卡下的“安全性运行状况”相当详细,如果出现任何问题(例如过时的软件或活动的威胁),您可以快速了解情况。 这些策略还可以让您一目了然地了解哪些策略适用于该设备。
到目前为止,Endpoint Protection最有用的部分之一就是根本原因分析。 可以说您的系统受到了保护,但是了解攻击的起源通常会更有用,因为这可以成为很好的资料来源,然后可以用来培训用户不应该采取的措施。 例如,如果Bob下载了一个未经批准的应用程序,而该应用程序恰巧有一些勒索软件正在兜风,则可以在下一次安全会议上揭晓。 其中涉及许多组件,但实际上可以分为三个部分:概述,工件和可视化。 概述描述了威胁,并提供了在何处以及何时发现威胁的摘要。 工件描述了它试图对系统进行的更改。 Visualize为您提供了一个图表,显示了感染的路径以及恶意软件如何尝试与系统进行交互。 Sophos Intercept X Endpoint Protection除了是提供这种分析的本综述中仅有的三种产品之一之外,还做到了最好。
如果Sophos Intercept X Endpoint Protection有不利的一面,那么在策略配置方面将是压倒性的选择。 好消息是,所有默认策略都具有重要的功能,因此,除非您想精打细算或对设备或Web控制有特定要求,否则此处无需做太多事情。 与Panda Security Adaptive Defense 360等产品形成鲜明对比 必须更改模式才能获得保护级别。 您可以添加七类策略,从Application Control到Web Control,每种策略都有自己独特的设置要调整。 每个策略都可以应用于用户或设备,因此在何时何地应用设置具有很大的灵活性。
勒索软件防护
Sophos Intercept X Endpoint Protection在勒索软件防护方面表现出色。 通过深度学习和漏洞利用检测,它可以快速确定各种软件威胁。 CryptoGuard功能可以自动恢复任何损坏的文件,并防止勒索软件进行加密尝试。
此外,通过其根本原因分析,Sophos Intercept X Endpoint Protection可以跟踪程序执行时发生的情况,以便以后可以在必要时回滚它所做的任何事情。 结合知道如何查找各种敌对流量的防火墙,您将成为赢家。
检测结果
我的初始测试涉及使用为研究目的收集的一组已知恶意软件。 每个文件都存储在受密码保护的ZIP文件中,并分别提取。 提取病毒样本后,立即对其进行检测。 在142个恶意软件变体中,所有项目均已标记并隔离。
为了测试对有害网站的保护,从开放的社区PhishTank中随机选择了最新的10个网站,该网站报告已知和可疑的钓鱼网站。 尝试所有统一资源定位符(URL)均导致该网站被阻止。
为了测试Sophos Intercept X Endpoint Protection对勒索软件的响应,我使用了一组44个勒索软件样本,包括WannaCry。 没有任何样本经过ZIP文件提取。 这并不出乎意料,因为每个样品都有已知的特征。 话虽如此,反应迅速而严峻。 可执行文件立即被标记为勒索软件,并从磁盘中删除。
KnowBe4的勒索软件模拟器RanSim也被标记为勒索软件实例。 由于这些很可能是通过已知签名被拾取的,因此我通过模拟主动攻击者来采用更直接的方法。 这与得分最高的勒索软件防护产品一致,这些产品包括Bitdefender GravityZone Elite和ESET Endpoint Protection Standard。
所有Metasploit测试均使用产品的默认设置进行。 由于它们都不成功,因此我有信心跳过任何更具侵略性的设置。 首先,我使用Metasploit设置了旨在利用浏览器的AutoPwn2服务器。 这会发动一系列攻击,这些攻击在Firefox和Internet Explorer等通用浏览器上会成功。 Sophos Intercept X Endpoint Protection毫不费力地阻止了漏洞利用。
下一个测试使用了启用宏的Microsoft Word文档。 文档内部包含一个编码的应用程序,Microsoft Visual Basic脚本(VBScript)随后将对该编码的应用程序进行解码并尝试启动。 检测何时使用各种屏蔽和加密技术通常可能是一个棘手的条件。 打开时文件产生错误,表明攻击失败。
最后,我测试了一种基于社会工程学的攻击。 在这种情况下,用户将使用Shellter下载受损的FileZilla安装程序。 在执行它时,它将执行一个Meterpreter会话并回调到攻击系统。 该漏洞在几秒钟内被阻止,并从磁盘中删除。
AV-Test是一家测试杀毒软件的独立实验室,于2018年8月进行了一项测试,以评估一系列端点安全软件包。 他们的结果使Sophos Intercept X Endpoint Protection的保护得分为“ 6分(满分6分)”,而性能得分为“ 5.5分(满分6分)”。 此外,MRF-Effitas在保护利用方面将Sophos排名第一。 这种鲁棒性也反映在我们自己的测试中。 尽管这不是Symantec Endpoint Protection Cloud所获得的完美分数,但我并未注意到它们的整体性能有显着差异。
最后的想法
Sophos Intercept X Endpoint Protection将保护与易用性和工具完美地融合在一起,使企业处于更加主动的状态。 价格是正确的,并且它为有经验的安全专业人员提供了工具,而又不会牺牲非专业人士的安装和管理能力。 对于希望保持网络保护而又不花费大量时间和金钱来保护网络的企业来说,这是一个绝佳的选择。
