Symantec es una de las entidades más consolidadas en seguridad empresarial y es un nombre de confianza para empresas y pequeñas y medianas empresas (PYMES).
Su producto de protección de terminales comerciales es Symantec Endpoint Protection Cloud (que comienza en $ 28 por dispositivo por año) y se entrega en cuatro niveles, por lo que las empresas de todos los tamaños tienen cierta libertad para seleccionar cuál se adapta mejor a su dispositivo y número de usuarios.
Ahora basado en su servicio de entrega en la nube, Symantec Endpoint Protection Cloud mantiene su enfoque en los puntos finales de Microsoft Windows incluso cuando se ha ampliado el soporte para el sistema operativo (SO) Mac.
También hay funciones mejoradas de administración de dispositivos móviles (MDM) que las empresas con trabajadores de primera línea valorarán.
Todas estas capacidades hacen que Symantec Endpoint Protection Cloud sea una opción sobresaliente, que se encuentra justo detrás de nuestros ganadores de Editors 'Choice Bitdefender GravityZone Elite y ESET Endpoint Protection Standard, especialmente cuando se trata de funcionalidad de informes.
Si le gusta comprar su plataforma de seguridad empresarial de un nombre establecido, no hay ninguna más firmemente consolidada en el mercado que Symantec.
Sin embargo, aún debe prestar atención a las capacidades y SKU, ya que la compañía ha estado haciendo algunos cambios en este sentido recientemente.
Su producto de protección de endpoint empresarial actual es Symantec Endpoint Protection Cloud (que comienza en $ 28 por dispositivo por año), pero se entrega en cuatro niveles, por lo que debe observar de cerca lo que está comprando.
Y aunque ha adoptado la nube como mecanismo de entrega, este producto sigue estando muy centrado en los terminales de Microsoft Windows; aunque durante esta actualización descubrimos que se agregó más soporte para los sistemas operativos Mac, así como también algunas funciones de administración de dispositivos móviles (MDM).
Aún así, si bien todo esto lo convierte en una plataforma de protección empresarial sólida, permanece un poco por detrás de nuestros ganadores de Editors 'Choice, Bitdefender GravityZone Elite y ESET Endpoint Protection Standard, especialmente cuando se trata de informes.
Al investigar este producto, encontrará que se ofrece en cuatro versiones.
El producto de Endpoint Protection Cloud que revisamos aquí se ofrece en dos niveles de precios diferentes.
Uno es el nivel por dispositivo mencionado anteriormente, que comienza en $ 2.50 por dispositivo por mes o $ 28 por dispositivo por año.
Sin embargo, también puede comprarlo en un modelo por usuario, donde le costará $ 4.50 por usuario por mes o $ 49 por usuario por año, y podrá instalarlo en 5 dispositivos por usuario.
Si todavía está ejecutando algunas instancias de Microsoft Windows Server (consulte el sitio para obtener detalles en Microsoft Store) en las instalaciones, también hay una versión de Symantec Endpoint Protection Cloud para eso, que cuesta $ 3.50 por servidor por mes o $ 38 por servidor por año .
Un buen precio y podrá administrar la seguridad de su servidor a través de la misma consola en línea que sus dispositivos de usuario final.
Finalmente, el árbol de precios de Endpoint Protection tiene un nivel de Drive Encryption listado por separado como un cuarto nivel.
Nos hubiera gustado ver esta opción incluida en el paquete básico, pero Symantic la ha dividido en un complemento opcional que le costará $ 9 por unidad por mes o $ 97 por unidad por año.
No probamos el cifrado de unidades como parte de esta revisión, aunque sí probamos las funciones de protección contra ransomware de nivel empresarial del producto, como verá a continuación.
Instalación e interfaz de usuario
Poner en funcionamiento Symantec Endpoint Protection Cloud es rápido y relativamente sencillo.
El proceso ha mejorado mucho con respecto a su versión anterior, donde los administradores tenían que inscribir las máquinas cliente mediante su ID de Microsoft.
Para configurarlo ahora, simplemente genere un paquete de implementación de red que pueda llevarse de una máquina a otra o enviarse por otros medios.
Una prueba de 60 días está disponible en su sitio web.
El software sólo tardó uno o dos minutos en instalarse y apareció un mensaje amistoso "Estás protegido".
Todavía no hay un indicador real de que esté sucediendo algo durante la instalación, y me pregunté brevemente si estaba funcionando.
Sin embargo, la demora fue lo suficientemente mínima como para que no importara mucho.
El software del cliente no tiene mucho de qué hablar en términos de interfaz de usuario (UI), ya que la acción principal ocurre en la consola de administración de la nube.
Hay una sección Avanzada que vale la pena mencionar, pero solo sirve para indicar los resultados de la política actual aplicada al dispositivo.
También es posible activar manualmente un escaneo de malware, pero esto generalmente es un evento poco común ya que la detección en tiempo real siempre está habilitada.
La consola en la nube es atractiva y fácil de navegar.
Lo inicia en un panel que proporciona algunos indicadores rápidos de cuántos dispositivos están seguros y experimentan una amenaza.
Al hacer clic en cualquiera de estos, puede acceder a una lista detallada de esos dispositivos y tomar las medidas adecuadas.
Esto podría ser cualquier cosa, desde desconectar un dispositivo comprometido o abordar elementos en cuarentena.
Los detalles del dispositivo son excepcionales: la lista incluye todo, hasta el hardware y las aplicaciones instaladas actualmente, además del registro de eventos.
La gestión del grupo es igualmente sencilla.
Fue intuitivo agregar grupos, usuarios y dispositivos a un grupo específico.
Fue interesante, y potencialmente útil, ver a los usuarios y dispositivos como opciones para la pertenencia a un grupo.
En los casos en que sean usuarios problemáticos, se les podría establecer un perfil más seguro de forma predeterminada, mientras que los usuarios avanzados que podrían estar trabajando estrictamente desde dentro de la red podrían tener una política más relajada.
La gestión de políticas sigue naturalmente con tres tipos principales.
Las políticas del sistema controlan las actualizaciones y la configuración del proxy.
Las políticas de seguridad controlan todo, desde la configuración del antivirus hasta la prevención de intrusiones, los controles de dispositivos y la protección web, con un conjunto significativo de otras opciones intermedias.
Si bien cada pantalla estaba muy bien explicada, sería fácil perderse en los detalles.
No todas las funciones se aplican a todas las plataformas, por lo que aparece un icono a la derecha de cada función para permitirle saber rápidamente dónde se aplica un elemento de política.
Algunos de los aspectos destacados excepcionales incluyen cifrado de cliente configurable, protección de red y protección con contraseña.
La adición de estas tres características demuestra que Symantec está comprometido con un plan de protección completo del sistema en lugar de simplemente intentar bloquear el malware.
La administración centralizada de la complejidad de las contraseñas es especialmente útil para las pequeñas empresas que pueden tener o no Active Directory (AD) o un producto similar.
Protección contra ransomware
Para la protección contra ransomware, Symantec Endpoint Protection Cloud trae algunas buenas herramientas a la mesa.
Por un lado, tiene un excelente firewall y protección del navegador, por lo que es menos probable que una amenaza llegue al punto de ejecución en su sistema.
En segundo lugar, ofrece una función llamada Mitigación de puntos vulnerables en la memoria (MEM).
Esto busca comportamientos típicos de exploits y puede interrumpir y cerrar cualquier cosa que parezca sospechosa.
Por lo tanto, incluso si algún ransomware lo encuentra en su sistema e intenta ejecutarse, probablemente no llegará muy lejos.
Obviamente, Symantec Endpoint Protection Cloud no aplica ninguna capacidad de detección específica de ransomware fuera de su motor central, pero lo hace muy bien.
Esto significa que no se incluye nada elegante como la vacuna ransomware, una forma de engañar al ransomware haciéndole creer que su sistema ya está infectado.
Tampoco hay nada en el camino de la reversión de archivos si los datos se dañan en un ataque.
Sin embargo, como muestran las pruebas, Symantec Endpoint Protection Cloud sigue siendo una fuerza a tener en cuenta y tiene como objetivo demostrar que esos extras son innecesarios.
Si necesita una vacuna contra ransomware, ESET Endpoint Protection Standard (165,00 por año para 5 dispositivos en ESET) es una buena opción.
Resultados de la prueba
Mi prueba inicial implicó el uso de un conjunto conocido de malware recopilado con fines de investigación.
Cada uno se almacenó en un archivo ZIP protegido con contraseña y se extrajo individualmente.
Las muestras de virus, cuando se extrajeron, se detectaron de inmediato.
De 142 variantes de malware, todos los elementos se marcaron y se pusieron en cuarentena.
Para probar la protección contra sitios web dañinos, se seleccionó una selección aleatoria de los 10 sitios web más nuevos de PhishTank, una comunidad abierta que informa sobre sitios web de phishing conocidos y sospechosos.
Ninguna de las URL fue reconocida como maliciosa a pesar de que eran obvios fraudes bancarios o de PayPal.
Para probar la respuesta de Symantec Endpoint Protection Cloud al ransomware, utilicé un conjunto de 44 muestras de ransomware, incluido WannaCry.
Ninguna de las muestras superó la extracción del archivo ZIP.
Esto no es muy sorprendente ya que cada una de las muestras tiene una firma conocida.
Dicho esto, la respuesta fue decisiva y rápida.
Los ejecutables se marcaron rápidamente como ransomware y se eliminaron del disco.
El simulador de ransomware de KnowBe4, RanSim, también se marcó como una instancia de ransomware.
Dado que es probable que se hayan detectado a través de firmas conocidas, procedí con un enfoque más directo al simular un atacante activo.
Todas las pruebas de Metasploit se realizaron utilizando la configuración predeterminada del producto.
Dado que ninguno de ellos tuvo éxito, me sentí seguro de omitir cualquier configuración de naturaleza más agresiva.
Primero, utilicé Metasploit para configurar un servidor AutoPwn2 diseñado para explotar el navegador.
Esto lanza una serie de ataques que se sabe que tienen éxito en navegadores comunes como Firefox e Internet Explorer.
Symantec bloqueó los exploits sin problemas.
La siguiente prueba utilizó un documento de Microsoft Word / ZIFFARTICLE habilitado para macros.
Dentro del documento contenía una aplicación codificada que luego un script de Microsoft Visual Basic (VBScript) decodificaría e intentaría iniciar.
A menudo, esta puede ser una condición difícil de detectar cuando se utilizan varias técnicas de enmascaramiento y encriptación.
El archivo produjo un error al abrir, lo que indica que el ataque falló.
Por último, probé un ataque basado en ingeniería social.
En este escenario, el usuario descarga un instalador comprometido de FileZilla usando Shellter.
Al ejecutarlo, ejecutará una sesión de Meterpreter y volverá a llamar al sistema atacante.
El exploit se bloqueó en segundos y se eliminó del disco, lo que demuestra que incluso con un exploit codificado, el sistema pudo reconocer el comportamiento malicioso de la aplicación y cerrarla.
AV-Test, un laboratorio independiente que prueba software antivirus, realizó una prueba en julio / agosto de 2018 para evaluar una serie de paquetes de software de seguridad para endpoints.
Sus resultados le dieron a Symantec Endpoint Protection Cloud una puntuación de protección de "6 de 6" y una puntuación de rendimiento de "6 de 6".
Además, MRF-Effitas, en su Q2 2018 "In the Wild 360 / Full ...
