El año pasado, como parte de nuestro resumen de protección de endpoints alojado, probamos Endpoint Protection Essential for SMB de McAfee., que todavía existe con el nombre de McAfee Endpoint Protection for SMB.
Sin embargo, como parte del resumen de este año, la compañía nos pidió que probamos su nueva familia de productos de seguridad orientados a la empresa, denominada McAfee MVision Cloud.
Nos enfocamos en su componente Endpoint, que cuesta $ 30.16 por nodo por año, pero Mvision apunta a abordar mucho más que la protección de endpoints, ofreciendo una arquitectura de seguridad de extremo a extremo en capas impulsada por un motor de aprendizaje automático subyacente (ML).
Si bien encontramos que la arquitectura es impresionante, su enfoque en múltiples productos, cada uno cobrado por separado, significa que probablemente gastará bastante más para igualar todas las características que ya forman parte de productos más completos, como nuestra Elección de los editores.
ganador, Bitdefender GravityZone Ultra.
Aún así, el enfoque de MVision permite prácticamente cualquier modelo de implementación que pueda desear, ya sea completamente basado en la nube, en las instalaciones o en algún formato híbrido.
Por otra parte, si bien es compatible con todos los sistemas operativos clave, incluidos los dispositivos móviles, el sistema está muy centrado en Windows 10 y va tan lejos como para utilizar Windows Defender como su primera capa de defensa en los puntos finales compatibles.
Como se indicó, los sistemas operativos móviles también son compatibles, aunque para una funcionalidad completa, deberá agregar MVision Mobile, que tiene un costo adicional.
Aquellos que quieran evaluar la plataforma antes de la compra también pueden beneficiarse de una demostración gratuita disponible mediante solicitud en el sitio web de McAfee, lo que podría ser un problema para los compradores cuidadosos.
Instalación e interfaz
Una vez que haya iniciado sesión en su cuenta de MVision, el espacio de trabajo de protección de ePO lo recibirá.
Esta pantalla proporciona una descripción general de alto nivel de su entorno e incluye un resumen de las amenazas actuales y pasadas, el estado de la implementación y si sus entornos están actualizados o no en lo que respecta a la protección contra amenazas.
En general, está bien diseñado, pero vimos las principales interfaces del tablero que nos gustaron más en otros productos durante las pruebas, en particular Vipre Endpoint Security Cloud y otro ganador de Editors 'Choice, Sophos Intercept X.
Sin embargo, antes de que esta pantalla pueda mostrarle algo útil, usted' Necesitaré agregar algunos dispositivos.
Este es un proceso sencillo y se puede lograr haciendo clic en Implementar protección en el lado derecho y eligiendo los productos que desea incluir.
Esto creará un instalador personalizado para esa máquina de destino en particular, que puede descargar e implementar.
Una vez que se haya instalado la protección del agente y del punto final, deberá esperar un poco antes de obtener el beneficio completo de la protección del punto final de MVision.
Dado que Windows Defender es la primera línea de defensa, será la solamente línea de defensa mientras el resto del producto se actualiza.
Es importante tener esto en cuenta para nuevas implementaciones, ya que habrá una brecha entre la implementación del agente y el nivel máximo de protección que MVision puede proporcionar.
Explorar ofrecerá una cara mucho más amigable a ePO que la que hemos visto en productos anteriores de McAfee.
Gran parte de los giros y vueltas confusos de navegar por la interfaz anterior están en gran parte ocultos, reemplazados por una interfaz de barra de navegación simple en la parte superior de la ventana.
Para aquellos que quieran las viejas formas, aún pueden llegar allí, pero tendrán que buscar en el menú desplegable de navegación para encontrarlo.
Funciones e informes clave
Algunas secciones importantes incluyen el Administrador de políticas, que abarca no solo la protección de endpoints, sino todos los demás productos de McAfee y algunas políticas de grupo de Windows.
particularmente los de Windows Defender.
Sin embargo, también hay varias opciones nuevas.
En realidad, la habilitación de la protección de endpoints se ha simplificado enormemente, por lo que ahora puede usar la configuración Recomendada, Alta Protección o Personalizada para acelerar enormemente esta parte del proceso.
Personalizado le brinda todos los interruptores que desea modificar como usuario avanzado, pero para la mayoría, la configuración Recomendada está bien.
Una rareza de la configuración personalizada es que la configuración de Confianza funciona de manera opuesta a lo que cabría esperar.
Una confianza baja significa que tiene poca confianza en que algo es seguro y, por lo tanto, trata los artículos con más escrutinio.
Por lo general, "baja confianza" significa lo contrario, pero dejando de lado la redacción incómoda, encontramos que el nivel de personalización es suficiente.
Los informes fueron un área en la que McAfee lo ha hecho bien en el pasado, y siguen siendo tan buenos como siempre.
Si bien no se ha avanzado mucho en el desarrollo de nuevos informes a partir de lo que podemos ver, no ha habido ningún paso hacia atrás con la introducción de la nueva interfaz de usuario.
Esto siempre es un alivio bienvenido, ya que las nuevas interfaces de usuario tienden a borrar al menos uno o dos aspectos favoritos de todas las aplicaciones antiguas.
Rendimiento de detección
La primera prueba que ejecutamos durante nuestro conjunto de terminales alojados es siempre una prueba de phishing.
Para ello, utilizamos 10 muestras seleccionadas al azar de PhishTank, un recurso de Internet independiente que enumera sitios web de phishing conocidos.
Después de seleccionar nuestros objetivos, usamos Internet Explorer en nuestro dispositivo de prueba para navegar a cada sitio.
McAfee MVision detectó y bloqueó todos y cada uno de los intentos de phishing.
Ese es un gran resultado, sin embargo, vale la pena señalar que esto requiere un complemento de navegador además del agente de cliente para funcionar.
Este no fue el caso con otro software que funcionó bien en la prueba de phishing, como los ganadores de Editors 'Choice, ESET Endpoint Protection Standard o BitDefender GravityZone Ultra.
La siguiente prueba fue descargar y ejecutar una nueva base de datos de malware contra nuestro sistema de prueba.
Al ejecutar el programa de extracción, MVision detectó todas las muestras inmediatamente y no dio ninguna oportunidad de ejecutarlas.
Este no fue un resultado raro entre nuestros mejores actores, pero demuestra que McAfee trabaja para mantener MVision actualizado cuando se trata de amenazas existentes.
La tercera prueba se basó en un navegador e implicó el uso de la vulnerabilidad Internet Explorer MS06-14.
Aunque se informó en 2006, todavía tiene una buena eficacia y las cargas útiles codificadas adecuadamente pueden pasar por alto a Windows Defender.
Después de establecer la trampa, navegamos al sitio ficticio usando Internet Explorer y verificamos si se ha creado un shell remoto.
Desafortunadamente para McAfee, aunque el exploit no se ejecutó, no se produjo ninguna marca para indicar que se trataba de un sitio web peligroso.
De todos los productos que probamos en el resumen de este año, MVision fue el único que no captó esto.
Por último, viene nuestra prueba de atacante activo, que asume que una máquina en su red local ha tenido su contraseña de protocolo de escritorio remoto (RDP) forzada brutalmente.
Una vez que establecimos el acceso a la máquina de esta manera, codificamos una amplia variedad de cargas útiles de malware Metasploit Meterpreter.
De los 42 que se copiaron al escritorio a través de RDP, solo uno sobrevivió para las pruebas de ejecución.
Mvision permitió que este ejecutable se ejecutara y pudimos mantener una sesión persistente.
Incluso pudimos escalar privilegios utilizando un exploit de omisión de Control de acceso de usuario (UAC).
Sin embargo, al intentar realizar un volcado hash de contraseñas, nos bloquearon.
Entonces, aunque el sistema finalmente detuvo nuestro ataque, tardó inquietantemente en hacerlo.
Si bien este problema se ha informado a McAfee, y es probable que no dure mucho, vale la pena verificarlo en su propio entorno.
Si bien esta instancia de Meterpreter codificada se escribió en Auto-It, F-Secure ha tenido problemas similares con los scripts codificados en Ruby.
Sin embargo, en la misma prueba, F-Secure detuvo el ataque mucho antes.
Nuevamente, McAfee probablemente resolverá este problema muy pronto, pero aún muestra que la nueva plataforma podría necesitar un poco más de experiencia antes de enfrentarse cara a cara con los líderes en el campo.
Al comparar nuestros resultados con los de evaluadores externos independientes, no encontramos la paridad que normalmente obtenemos.
AV Comparatives, en su Real-World Protection Test de 2019, hizo que McAfee bloqueara el 99,8 por ciento de las amenazas del mundo real sin falsos positivos.
Si bien este es un resultado excelente y está a la par con las opciones de nuestros editores, como ESET y Bitdefender, no parece reflejar la vulnerabilidad citada anteriormente.
Gran diseño, pero queda trabajo por hacer
En general, McAfee ha hecho maravillas al mejorar su interfaz de usuario en la nueva familia MVision, además de ofrecer una alta tasa de detección con su motor.
Si bien Windows Defender tiene un punto ciego significativo cuando se trata de exploits codificados, McAfee hace un trabajo decente al tapar esos agujeros y trabaja constantemente para mejorar.
Dicho esto, definitivamente no es una solución perfecta.
Productos como BitDefender GravityZone Ultra tienen una tasa de detección mucho mejor con menos falsos positivos.
Sin embargo, si necesita poder implementarlo en las instalaciones o en un modo híbrido, McAfee es una de las pocas opciones disponibles y la compañía obviamente ha trabajado duro para hacer de MVision un producto destacado que probablemente estará disponible y será respaldado durante mucho tiempo.
hora.
Pros
Buena protección contra virus y malware
Discreto para el usuario final
Excelentes capacidades de generación de informes
Excelente detección de phishing
Ver más
Contras
Tiempo de retraso significativo para la protección.
No se detectan algunas formas inusuales de codificación
El componente anti-phishing requiere un complemento de navegador
La línea de fondo
McAfee MVision Cloud es un buen sistema completo para proteger sus dispositivos y la infraestructura de la nube, y el modelo de protección híbrida es novedoso.
Sin embargo, existen ciertos tipos de amenazas que tiene algunos problemas para detectar.
El año pasado, como parte de nuestro resumen de protección de endpoints alojado, probamos Endpoint Protection Essential for SMB de McAfee., que todavía existe con el nombre de McAfee Endpoint Protection for SMB.
Sin embargo, como parte del resumen de este año, la compañía nos pidió que probamos su nueva familia de productos de seguridad orientados a la empresa, denominada McAfee MVision Cloud.
Nos enfocamos en su componente Endpoint, que cuesta $ 30.16 por nodo por año, pero Mvision apunta a abordar mucho más que la protección de endpoints, ofreciendo una arquitectura de seguridad de extremo a extremo en capas impulsada por un motor de aprendizaje automático subyacente (ML).
Si bien encontramos que la arquitectura es impresionante, su enfoque en múltiples productos, cada uno cobrado por separado, significa que probablemente gastará bastante más para igualar todas las características que ya forman parte de productos más completos, como nuestra Elección de los editores.
ganador, Bitdefender GravityZone Ultra.
Aún así, el enfoque de MVision permite prácticamente cualquier modelo de implementación que pueda desear, ya sea completamente basado en la nube, en las instalaciones o en algún formato híbrido.
Por otra parte, si bien es compatible con todos los sistemas operativos clave, incluidos los dispositivos móviles, el sistema está muy centrado en Windows 10 y va tan lejos como para utilizar Windows Defender como su primera capa de defensa en los puntos finales compatibles.
Como se indicó, los sistemas operativos móviles también son compatibles, aunque para una funcionalidad completa, deberá agregar MVision Mobile, que tiene un costo adicional.
Aquellos que quieran evaluar la plataforma antes de la compra también pueden beneficiarse de una demostración gratuita disponible mediante solicitud en el sitio web de McAfee, lo que podría ser un problema para los compradores cuidadosos.
Instalación e interfaz
Una vez que haya iniciado sesión en su cuenta de MVision, el espacio de trabajo de protección de ePO lo recibirá.
Esta pantalla proporciona una descripción general de alto nivel de su entorno e incluye un resumen de las amenazas actuales y pasadas, el estado de la implementación y si sus entornos están actualizados o no en lo que respecta a la protección contra amenazas.
En general, está bien diseñado, pero vimos las principales interfaces del tablero que nos gustaron más en otros productos durante las pruebas, en particular Vipre Endpoint Security Cloud y otro ganador de Editors 'Choice, Sophos Intercept X.
Sin embargo, antes de que esta pantalla pueda mostrarle algo útil, usted' Necesitaré agregar algunos dispositivos.
Este es un proceso sencillo y se puede lograr haciendo clic en Implementar protección en el lado derecho y eligiendo los productos que desea incluir.
Esto creará un instalador personalizado para esa máquina de destino en particular, que puede descargar e implementar.
Una vez que se haya instalado la protección del agente y del punto final, deberá esperar un poco antes de obtener el beneficio completo de la protección del punto final de MVision.
Dado que Windows Defender es la primera línea de defensa, será la solamente línea de defensa mientras el resto del producto se actualiza.
Es importante tener esto en cuenta para nuevas implementaciones, ya que habrá una brecha entre la implementación del agente y el nivel máximo de protección que MVision puede proporcionar.
Explorar ofrecerá una cara mucho más amigable a ePO que la que hemos visto en productos anteriores de McAfee.
Gran parte de los giros y vueltas confusos de navegar por la interfaz anterior están en gran parte ocultos, reemplazados por una interfaz de barra de navegación simple en la parte superior de la ventana.
Para aquellos que quieran las viejas formas, aún pueden llegar allí, pero tendrán que buscar en el menú desplegable de navegación para encontrarlo.
Funciones e informes clave
Algunas secciones importantes incluyen el Administrador de políticas, que abarca no solo la protección de endpoints, sino todos los demás productos de McAfee y algunas políticas de grupo de Windows.
particularmente los de Windows Defender.
Sin embargo, también hay varias opciones nuevas.
En realidad, la habilitación de la protección de endpoints se ha simplificado enormemente, por lo que ahora puede usar la configuración Recomendada, Alta Protección o Personalizada para acelerar enormemente esta parte del proceso.
Personalizado le brinda todos los interruptores que desea modificar como usuario avanzado, pero para la mayoría, la configuración Recomendada está bien.
Una rareza de la configuración personalizada es que la configuración de Confianza funciona de manera opuesta a lo que cabría esperar.
Una confianza baja significa que tiene poca confianza en que algo es seguro y, por lo tanto, trata los artículos con más escrutinio.
Por lo general, "baja confianza" significa lo contrario, pero dejando de lado la redacción incómoda, encontramos que el nivel de personalización es suficiente.
Los informes fueron un área en la que McAfee lo ha hecho bien en el pasado, y siguen siendo tan buenos como siempre.
Si bien no se ha avanzado mucho en el desarrollo de nuevos informes a partir de lo que podemos ver, no ha habido ningún paso hacia atrás con la introducción de la nueva interfaz de usuario.
Esto siempre es un alivio bienvenido, ya que las nuevas interfaces de usuario tienden a borrar al menos uno o dos aspectos favoritos de todas las aplicaciones antiguas.
Rendimiento de detección
La primera prueba que ejecutamos durante nuestro conjunto de terminales alojados es siempre una prueba de phishing.
Para ello, utilizamos 10 muestras seleccionadas al azar de PhishTank, un recurso de Internet independiente que enumera sitios web de phishing conocidos.
Después de seleccionar nuestros objetivos, usamos Internet Explorer en nuestro dispositivo de prueba para navegar a cada sitio.
McAfee MVision detectó y bloqueó todos y cada uno de los intentos de phishing.
Ese es un gran resultado, sin embargo, vale la pena señalar que esto requiere un complemento de navegador además del agente de cliente para funcionar.
Este no fue el caso con otro software que funcionó bien en la prueba de phishing, como los ganadores de Editors 'Choice, ESET Endpoint Protection Standard o BitDefender GravityZone Ultra.
La siguiente prueba fue descargar y ejecutar una nueva base de datos de malware contra nuestro sistema de prueba.
Al ejecutar el programa de extracción, MVision detectó todas las muestras inmediatamente y no dio ninguna oportunidad de ejecutarlas.
Este no fue un resultado raro entre nuestros mejores actores, pero demuestra que McAfee trabaja para mantener MVision actualizado cuando se trata de amenazas existentes.
La tercera prueba se basó en un navegador e implicó el uso de la vulnerabilidad Internet Explorer MS06-14.
Aunque se informó en 2006, todavía tiene una buena eficacia y las cargas útiles codificadas adecuadamente pueden pasar por alto a Windows Defender.
Después de establecer la trampa, navegamos al sitio ficticio usando Internet Explorer y verificamos si se ha creado un shell remoto.
Desafortunadamente para McAfee, aunque el exploit no se ejecutó, no se produjo ninguna marca para indicar que se trataba de un sitio web peligroso.
De todos los productos que probamos en el resumen de este año, MVision fue el único que no captó esto.
Por último, viene nuestra prueba de atacante activo, que asume que una máquina en su red local ha tenido su contraseña de protocolo de escritorio remoto (RDP) forzada brutalmente.
Una vez que establecimos el acceso a la máquina de esta manera, codificamos una amplia variedad de cargas útiles de malware Metasploit Meterpreter.
De los 42 que se copiaron al escritorio a través de RDP, solo uno sobrevivió para las pruebas de ejecución.
Mvision permitió que este ejecutable se ejecutara y pudimos mantener una sesión persistente.
Incluso pudimos escalar privilegios utilizando un exploit de omisión de Control de acceso de usuario (UAC).
Sin embargo, al intentar realizar un volcado hash de contraseñas, nos bloquearon.
Entonces, aunque el sistema finalmente detuvo nuestro ataque, tardó inquietantemente en hacerlo.
Si bien este problema se ha informado a McAfee, y es probable que no dure mucho, vale la pena verificarlo en su propio entorno.
Si bien esta instancia de Meterpreter codificada se escribió en Auto-It, F-Secure ha tenido problemas similares con los scripts codificados en Ruby.
Sin embargo, en la misma prueba, F-Secure detuvo el ataque mucho antes.
Nuevamente, McAfee probablemente resolverá este problema muy pronto, pero aún muestra que la nueva plataforma podría necesitar un poco más de experiencia antes de enfrentarse cara a cara con los líderes en el campo.
Al comparar nuestros resultados con los de evaluadores externos independientes, no encontramos la paridad que normalmente obtenemos.
AV Comparatives, en su Real-World Protection Test de 2019, hizo que McAfee bloqueara el 99,8 por ciento de las amenazas del mundo real sin falsos positivos.
Si bien este es un resultado excelente y está a la par con las opciones de nuestros editores, como ESET y Bitdefender, no parece reflejar la vulnerabilidad citada anteriormente.
Gran diseño, pero queda trabajo por hacer
En general, McAfee ha hecho maravillas al mejorar su interfaz de usuario en la nueva familia MVision, además de ofrecer una alta tasa de detección con su motor.
Si bien Windows Defender tiene un punto ciego significativo cuando se trata de exploits codificados, McAfee hace un trabajo decente al tapar esos agujeros y trabaja constantemente para mejorar.
Dicho esto, definitivamente no es una solución perfecta.
Productos como BitDefender GravityZone Ultra tienen una tasa de detección mucho mejor con menos falsos positivos.
Sin embargo, si necesita poder implementarlo en las instalaciones o en un modo híbrido, McAfee es una de las pocas opciones disponibles y la compañía obviamente ha trabajado duro para hacer de MVision un producto destacado que probablemente estará disponible y será respaldado durante mucho tiempo.
hora.
Pros
Buena protección contra virus y malware
Discreto para el usuario final
Excelentes capacidades de generación de informes
Excelente detección de phishing
Ver más
Contras
Tiempo de retraso significativo para la protección.
No se detectan algunas formas inusuales de codificación
El componente anti-phishing requiere un complemento de navegador
La línea de fondo
McAfee MVision Cloud es un buen sistema completo para proteger sus dispositivos y la infraestructura de la nube, y el modelo de protección híbrida es novedoso.
Sin embargo, existen ciertos tipos de amenazas que tiene algunos problemas para detectar.
