Sophos Intercept-X Endpoint Protection reste une excellente solution de protection des terminaux hébergés depuis la dernière fois que nous l'avons testée il y a un an.
Le prix du produit varie de 20,00 USD à 40,00 USD par utilisateur et par an en fonction des fonctionnalités que vous sélectionnez au moment de l'abonnement, mais il est vendu uniquement via des canaux partenaires, ce qui peut désactiver certains acheteurs.
Néanmoins, Sophos est une excellente solution pour les entreprises de toute taille car il est capable de protéger à la fois les principaux systèmes d'exploitation de bureau (OS) et les plates-formes d'appareils mobiles.
Vous pouvez même décider d'ajouter des licences de protection de serveur, ce qui signifie que vous bénéficiez d'une certaine prise en charge de Linux, même si les environnements Linux de bureau ne doivent pas s'appliquer.
Mis à part ce léger problème, Sophos coche toutes les cases qu'une entreprise peut rechercher et le fait à un prix très compétitif.
Pour cette raison, il conserve notre prix Editors 'Choice dans la catégorie Endpoint Protection avec ses concurrents Bitdefender GravityZone Ultra et ESET Endpoint Protection.
Commencer
Une fois votre compte créé (ce qui est un processus qui variera probablement d'un partenaire à l'autre), commencer est un jeu d'enfant.
La connexion à Sophos Central vous accueille avec le tableau de bord.
En haut se trouvent les alertes les plus récentes (s'il y en a), ce qui est bien car cela les met en vue rapide et facile de l'administrateur en cas de problème.
Vous trouverez ci-dessous un résumé de l'utilisation, indiquant quels appareils sont protégés et lesquels sont restés inactifs pendant une période de temps considérable.
Si un appareil tombe de la carte pendant un certain temps, cela peut être une source de préoccupation, c'est donc une autre statistique intéressante à avoir en un coup d'œil.
Si vous utilisez le composant Email Security, qui nécessite de pointer les enregistrements MX de votre domaine vers Sophos, vous pouvez également obtenir un résumé de l'activité des menaces de messagerie.
Les statistiques Web sont à droite, donc s'il y a des tentatives de phishing, vous serez sûr de les connaître également.
Un ajout intéressant est un flux de nouvelles en bas, qui essaie de vous tenir au courant des nouvelles menaces et de la façon de les combattre.
Nous aimons éduquer les utilisateurs sur les problèmes, cela nous a donc convaincus.
Pour commencer rapidement, vous pouvez accéder à la section Protéger les appareils.
À partir de là, vous pouvez cliquer sur le lien de téléchargement approprié pour les systèmes que vous souhaitez protéger.
Apple macOS et Microsoft Windows 10 sont tous deux pris en charge pour les ordinateurs de bureau et les ordinateurs portables, mais les appareils mobiles Android et iOS sont également pris en charge via un assistant d'inscription d'appareils et bénéficient du même traitement citoyen de première classe que les ordinateurs de bureau en termes de protection.
Une fois l'agent installé, ce qui ne prend qu'une minute ou deux, votre appareil est officiellement protégé par le système.
Si vous utilisez un appareil mobile, l'assistant d'inscription mobile se trouve sur la même page.
L'ajout d'utilisateurs est également simple dans la section Personnes.
Vous pouvez ajouter des utilisateurs un par un ou les importer à partir d'un fichier CSV (valeurs séparées par des virgules) ou de Microsoft Active Directory, bien que cette étape soit plus complexe.
La page Alertes se trouve ensuite à partir du tableau de bord.
C'est là que toutes les menaces seront cataloguées et affichées au fur et à mesure qu'elles seront découvertes.
Semblable à un gestionnaire de tâches, lorsque ces menaces sont résolues, vous pouvez cliquer et les cocher dans la liste.
Si une menace particulière est citée plus d'une fois, elle peut être regroupée avec un simple interrupteur à bascule.
Si une menace nécessite un nettoyage manuel ou une activité supplémentaire, vous pouvez cliquer sur le lien hypertexte de la menace et voir les étapes suivantes.
La plupart du temps, tout ce dont vous avez besoin est un simple redémarrage pour résoudre le problème.
La section Appareils est également assez simple à utiliser.
Pour afficher les détails d'un système spécifique, il vous suffit de cliquer dessus.
À partir de là, vous pouvez obtenir un résumé rapide des produits installés, des événements récents, de l'état actuel du système et des politiques.
La santé de la sécurité sous l'onglet d'état est assez détaillée et peut vous donner un aperçu rapide si quelque chose ne va pas, comme un logiciel obsolète ou une menace active.
Les politiques vous permettront également de voir en un coup d'œil quelles politiques s'appliquent à cet appareil.
Analyse de la cause originelle
De loin, l'un des composants les plus utiles d'Intercept X est l'analyse des causes profondes.
C'est bien de dire que vos systèmes sont protégés, mais il est souvent plus utile de savoir comment et pourquoi une attaque s'est produite.
Cela peut aider non seulement à protéger vos systèmes à l'avenir, mais également à informer les utilisateurs sur ce qu'ils devraient ou ne devraient pas faire.
Par exemple, si Bob télécharge une application non autorisée qui contient un ransomware en attente, cela peut être mis en lumière lors de la prochaine réunion de sécurité.
Plusieurs composants sont impliqués, mais Sophos le regroupe globalement en trois parties: Présentation, Artefacts et Visualiser.
Vue d'ensemble décrit la menace et vous donne un aperçu de l'endroit où elle a été trouvée et quand.
Les artefacts vous indiquent les modifications qu'il a tenté d'apporter au système, tandis que Visualize vous montre un diagramme montrant le chemin de l'infection et la manière dont le logiciel malveillant a tenté d'interagir avec le reste du système.
En plus d'être l'un des trois seuls produits de ce tour d'horizon à disposer de ce type d'analyse, nous pensons que Sophos Intercept-X fait le meilleur travail de présentation des données car ce n'est pas seulement clair, il est également très facile à prendre en main et avec un minimum de technique.
s'agiter.
Cependant, cela ne veut pas dire que Sophos Intercept X est devenu plus facile à utiliser depuis la dernière fois que nous l'avons examiné.
En fait, s'il y a un réel inconvénient au nouveau Sophos, ce serait le nombre écrasant d'options en matière de configuration de politique.
Pour vraiment comprendre ce que vous placez dans une politique, vous devez être prêt à manger une courbe d'apprentissage importante.
La bonne nouvelle est que toutes les politiques par défaut ont les fonctionnalités importantes pour commencer, vous n'avez donc pas nécessairement besoin d'être astucieux ici, bien que les administrateurs de grands réseaux ne pourront probablement pas l'éviter.
Vous pouvez ajouter sept catégories de stratégies, allant du contrôle des applications au contrôle Web, et chacune possède son propre ensemble de paramètres à modifier.
Chaque stratégie peut s'appliquer aux utilisateurs ou aux appareils, il existe donc une grande flexibilité quant au moment et à l'endroit où vous appliquez les paramètres.
Anti-Ransomware et EDR
Outre la protection contre les logiciels malveillants, Sophos Intercept X est également un excellent outil en tant qu'outil anti-ransomware de classe affaires.
Intercept-X apporte une excellente combinaison d'apprentissage en profondeur et de détection d'exploit à ce problème particulier, de sorte qu'il peut rapidement et facilement déterminer si un logiciel est à la hauteur d'un ransomware.
Il utilise également une fonctionnalité appelée CryptoGuard pour récupérer automatiquement tous les fichiers endommagés et se protéger contre les tentatives de chiffrement de ransomware hostiles.
De plus, lorsque vous combinez ces capacités avec son analyse des causes profondes, Intercept X peut suivre ce qui se passe en tant que programme pendant son exécution.
Donc, tout ce qu'il fait peut être annulé plus tard si nécessaire.
Combiné à un pare-feu qui sait comment rechercher différents types de trafic hostile, il s'agit d'une solution de protection contre les ransomwares aussi bonne que celle que nous avons vue à ce jour.
La nouveauté du produit est la détection et la réponse des points finaux (EDR), qui apparaît sous le nom de centre d'analyse des menaces.
Les menaces peuvent être nettoyées directement à partir de ce module en plus d'isoler les périphériques affectés pendant que vous déterminez d'où vient la menace.
Il vous donne un résumé utile indiquant si les données commerciales étaient impliquées ou non lorsque la menace a eu lieu et quelle en était la cause profonde.
En utilisant ces informations, vous pouvez concocter des stratégies pour éviter des attaques similaires à l'avenir.
Bitdefender GravityZone Ultra a également intégré des capacités EDR avec son tableau de bord des risques, mais c'est un autre domaine dans lequel nous pensons que Sophos Intercept X implémente simplement un peu mieux la capacité.
Performances de détection
Notre première étape dans le test d'une plate-forme anti-malware de classe affaires est toujours le test de phishing.
Pour cela, nous utilisons 10 échantillons de PhishTank, une ressource Internet indépendante qui répertorie les sites Web de phishing connus.
Après avoir choisi au hasard nos dix sites, nous avons navigué vers chacun d'eux à partir de notre système de test à l'aide d'Internet Explorer.
Sophos a émis une alerte chaque fois qu'une tentative de connexion était effectuée et aucun des sites n'était autorisé.
Il n'a pas été très clairement montré à l'utilisateur du système pourquoi c'était le cas sans qu'il ne consulte les journaux de ses clients (ce que peu ou pas d'utilisateurs finaux feraient), mais l'administrateur obtient une image complète dans le tableau de bord.
Franchement, nous aurions été un peu plus heureux avec des alertes plus locales.
Le test suivant impliquait le téléchargement et l'exécution d'une nouvelle base de données de logiciels malveillants sur le système de test.
Lors de l'exécution du programme d'extraction, tous les échantillons ont été détectés immédiatement.
Sophos Intercept X n'a ??fourni au malware aucune possibilité de s'exécuter, ce qui est exactement le résultat que vous souhaitez ici et montre que Sophos a fait du bon travail cette année en maintenant ses systèmes à jour avec la dernière protection contre les logiciels malveillants.
Notre troisième test est effectué à l'aide d'un exploit basé sur un navigateur.
Pour cela, nous avons choisi une vulnérabilité Internet Explorer bien connue, appelée MS06-14.
Bien que cette faiblesse ait été signalée dès 2006, elle est encore un peu utilisée car elle est toujours assez réussie.
Bien fait, les charges utiles contenant des logiciels malveillants utilisant MS06-14 peuvent toujours dépasser Microsoft Windows Defender.
Pour tester Sophos à ce sujet, nous avons créé un site Web factice qui a tenté d'exploiter MS06-14; si l'attaque réussissait, elle créerait une connexion shell distante.
Sophos exige qu'un module complémentaire de navigateur soit activé pour ce type d'attaque, mais une fois que nous l'avons installé sur l'instance Internet Explorer de notre système de test.
il a immédiatement bloqué le site comme malveillant.
Tout comme avec le test de phishing, la découverte a été annoncée dans une fenêtre d'alerte, mais elle n'a pas été affichée dans le navigateur, comme Bitdefender GravityZone Ultra.
Notre test d'attaquant actif suppose qu'une machine quelque part sur votre réseau a vu son mot de passe de protocole de bureau distant (RDP) compromis et qu'il y a maintenant un compte limité hostile actif sur la machine.
Notre première étape après avoir accédé à la machine distante, est de vider une énorme pile de logiciels malveillants dessus.
Pour ce faire, nous avons encodé une grande variété de charges utiles de Metasploit Meterpreter Sophos a capturé chacune d'entre elles.
Sur les 42 copiés sur le bureau via RDP, aucun n'est resté viable pour l'exécution.
Ce sont d'excellents résultats et ils sont restés ainsi lorsque nous les avons comparés aux conclusions de tiers.
AV Comparatives, dans leur test de protection du monde réel 2019, a constaté que Sohops bloquait 99,5% des menaces sans faux positifs.
Encore une fois, d'excellents résultats le mettent à égalité avec des joueurs comme ESET et Kaspersky Endpoint Security Cloud.
Protection contre les menaces excellente et avancée
Dans l'ensemble, nous avons trouvé ...
