Sophos Intercept-X Endpoint Protection rimane un'eccellente soluzione di protezione degli endpoint in hosting dall'ultima volta che l'abbiamo testata un anno fa.
Il prezzo del prodotto varia da $ 20,00 a $ 40,00 per utente all'anno a seconda delle funzionalità selezionate al momento dell'abbonamento, ma è venduto rigorosamente attraverso i canali dei partner che potrebbero disattivare alcuni acquirenti.
Tuttavia, Sophos è un'ottima soluzione per aziende di qualsiasi dimensione in quanto è in grado di proteggere sia i principali sistemi operativi desktop (OS) sia le piattaforme per dispositivi mobili.
Puoi anche decidere di aggiungere licenze di protezione del server, il che significa che ottieni un po 'di supporto Linux, anche se gli ambienti desktop Linux non devono essere applicati.
A parte questo piccolo errore, Sophos controlla tutte le caselle che un'azienda potrebbe cercare e lo fa a un prezzo molto competitivo.
Per questo motivo, mantiene il nostro premio Editors 'Choice nella categoria Endpoint Protection insieme ai concorrenti Bitdefender GravityZone Ultra ed ESET Endpoint Protection.
Iniziare
Una volta creato il tuo account (che è un processo che probabilmente varierà da partner a partner), iniziare è un gioco da ragazzi.
L'accesso a Sophos Central vi accoglie con il Dashboard.
In alto ci sono gli avvisi più recenti (se ce ne sono), il che è positivo perché li mette in una vista facile e veloce dell'amministratore in caso di problemi.
Di seguito è riportato un riepilogo dell'utilizzo, che mostra quali dispositivi sono protetti e quali sono rimasti inattivi per un periodo di tempo considerevole.
Se un dispositivo esce dalla mappa per un po ', potrebbe essere motivo di preoccupazione, quindi questa è un'altra bella statistica da avere a colpo d'occhio.
Se stai utilizzando il componente Email Security, che richiede di puntare i record MX del tuo dominio su Sophos, puoi anche ottenere un riepilogo dell'attività delle minacce e-mail.
Le statistiche web sono sulla destra, quindi se ci sono alcuni tentativi di phishing, sarai sicuro di conoscerli anche tu.
Un'aggiunta interessante è un flusso di "notizie" in fondo, che cerca di tenerti aggiornato sulle nuove minacce e su come combatterle.
Ci piace educare gli utenti a uscire dai guai, quindi questo ci ha convinto.
Per iniziare rapidamente, puoi passare alla sezione Proteggi dispositivi.
Da lì, è possibile fare clic sul collegamento di download appropriato per i sistemi che si desidera proteggere.
Apple macOS e Microsoft Windows 10 sono entrambi supportati per desktop e laptop, ma anche i dispositivi mobili Android e iOS sono supportati tramite una procedura guidata di registrazione del dispositivo e ottengono lo stesso trattamento cittadino di prima classe dei desktop in termini di protezione.
Dopo l'installazione dell'agente, che richiede solo uno o due minuti, il dispositivo è ufficialmente protetto dal sistema.
Se stai utilizzando un dispositivo mobile, la procedura guidata di registrazione mobile è sulla stessa pagina.
Aggiungere utenti è altrettanto facile nella sezione Persone.
Puoi aggiungere gli utenti uno alla volta o importarli da un file CSV (valori separati da virgole) o da Microsoft Active Directory, sebbene questo passaggio sia più complesso.
Il prossimo dalla Dashboard è la pagina Avvisi.
Qui è dove tutte le minacce verranno catalogate e visualizzate non appena vengono scoperte.
Simile a un task manager, poiché queste minacce vengono risolte, puoi fare clic e spuntarle dall'elenco.
Se una particolare minaccia viene citata più di una volta, può essere raggruppata con un semplice interruttore a levetta.
Se una minaccia richiede una pulizia manuale o un'attività aggiuntiva, è possibile fare clic sul collegamento ipertestuale della minaccia e vedere quali sono i passaggi successivi.
La maggior parte delle volte, tutto ciò di cui hai bisogno è un semplice riavvio per risolvere il problema.
Anche la sezione Dispositivi è abbastanza semplice da usare.
Per visualizzare i dettagli di un sistema specifico, è sufficiente fare clic su di esso.
Da lì, è possibile ottenere un breve riepilogo dei prodotti installati, degli eventi recenti, dello stato corrente del sistema e dei criteri.
L'integrità della sicurezza nella scheda Stato è abbastanza dettagliata e può darti una rapida carrellata se qualcosa non va, come un software obsoleto o una minaccia attiva.
I criteri ti permetteranno anche di vedere a colpo d'occhio quali criteri si applicano a quel dispositivo.
Analisi delle cause alla radice
Di gran lunga, uno dei componenti più utili di Intercept X è l'analisi della causa principale.
È bello dire che i tuoi sistemi sono protetti, ma spesso è più utile sapere come e perché è avvenuto un attacco.
Questo può aiutare non solo a proteggere i tuoi sistemi in futuro, ma anche a istruire gli utenti su ciò che dovrebbero o non dovrebbero fare.
Ad esempio, se Bob scarica un'applicazione non autorizzata a cui capita di avere qualche ransomware che fa l'autostop, ciò può essere portato alla luce nella prossima riunione di sicurezza.
Sono coinvolti diversi componenti, ma Sophos li raggruppa in tre parti: Panoramica, Artefatti e Visualizzazione.
Panoramica descrive la minaccia e fornisce una panoramica su dove è stata trovata e quando.
Artifacts ti informa sulle modifiche che ha cercato di apportare al sistema, mentre Visualize ti mostra un diagramma che mostra il percorso dell'infezione e come il malware ha cercato di interagire con il resto del sistema.
Oltre ad essere uno dei soli tre prodotti in questa carrellata con questo tipo di analisi disponibile, riteniamo che Sophos Intercept-X faccia il miglior lavoro nel presentare i dati perché non solo è chiaro, ma è anche molto facile da raccogliere e con un minimo confusione.
Tuttavia, questo non vuol dire che Sophos Intercept X sia diventato più facile da usare dall'ultima volta che l'abbiamo recensito.
In effetti, se c'è un vero svantaggio nella nuova Sophos, sarebbe il numero enorme di opzioni quando si tratta di configurazione delle policy.
Per capire veramente cosa stai inserendo in una politica, devi essere pronto a seguire una curva di apprendimento significativa.
La buona notizia è che tutte le politiche predefinite hanno le caratteristiche importanti con cui iniziare, quindi non è necessario essere furbi qui, anche se gli amministratori di reti di grandi dimensioni probabilmente non saranno in grado di evitarlo.
Esistono sette categorie di criteri che è possibile aggiungere, che vanno da Controllo applicazioni a Controllo Web e ciascuna ha il proprio set di impostazioni univoco da modificare.
Ogni criterio può essere applicato a utenti o dispositivi, quindi c'è molta flessibilità nel momento e nel luogo in cui applicare le impostazioni.
Anti-Ransomware ed EDR
Oltre alla protezione dal malware, Sophos Intercept X è anche uno strumento eccellente come strumento anti-ransomware di classe aziendale.
Intercept-X offre un'eccellente combinazione di deep learning e rilevamento degli exploit a questo particolare problema, in modo che possa capire rapidamente e facilmente se un pezzo di software è all'altezza del ransomware.
Utilizza anche una funzione chiamata CryptoGuard per recuperare automaticamente tutti i file danneggiati e proteggersi dai tentativi di crittografia ransomware ostili.
Inoltre, quando si combinano queste funzionalità con la sua analisi della causa principale, Intercept X può tenere traccia di ciò che accade come programma durante l'esecuzione.
Quindi qualunque cosa faccia può essere ripristinata in un secondo momento, se necessario.
In combinazione con un firewall che sa come cercare vari tipi di traffico ostile, questa è una buona soluzione di protezione da ransomware come abbiamo visto fino ad oggi.
La novità del prodotto è Endpoint Detection and Response (EDR), che si presenta come Threat Analysis Center.
Le minacce possono essere eliminate direttamente da questo modulo oltre a isolare i dispositivi interessati mentre si capisce da dove proviene la minaccia.
Fornisce un utile riepilogo che include se i dati aziendali erano coinvolti o meno quando si è verificata la minaccia e qual era la causa principale.
Utilizzando queste informazioni, puoi escogitare alcune strategie per prevenire attacchi simili in futuro.
Bitdefender GravityZone Ultra ha anche funzionalità EDR integrate con la sua Dashboard dei rischi, ma questa è un'altra area in cui riteniamo che Sophos Intercept X implementi semplicemente la capacità un po 'meglio.
Prestazioni di rilevamento
Il nostro primo passo per testare una piattaforma anti-malware di classe aziendale è sempre il test di phishing.
Per questo, utilizziamo 10 campioni da PhishTank, una risorsa Internet indipendente che elenca i siti Web di phishing conosciuti.
Dopo aver scelto a caso i nostri dieci siti, siamo passati a ciascuno dal nostro sistema di test utilizzando Internet Explorer.
Sophos emetteva un avviso ogni volta che veniva effettuato un tentativo di connessione e nessuno dei siti era consentito.
Non è stato mostrato molto chiaramente all'utente del sistema perché questo fosse il caso senza che guardasse nei log del client (cosa che pochi utenti finali farebbero), ma l'amministratore ottiene il quadro completo nel dashboard.
Francamente, saremmo stati un po 'più felici con un po' di allerta locale.
Il test successivo ha comportato il download e l'esecuzione di un nuovo database di malware sul sistema di test.
All'esecuzione del programma di estrazione, tutti i campioni sono stati rilevati immediatamente.
Sophos Intercept X ha fornito al malware nessuna possibilità di esecuzione, che è esattamente il risultato che desideri qui e mostra che Sophos ha svolto un buon lavoro lo scorso anno mantenendo i suoi sistemi aggiornati con la più recente protezione dai malware.
Il nostro terzo test viene eseguito utilizzando un exploit basato su browser.
Per questo abbiamo scelto una nota vulnerabilità di Internet Explorer, chiamata MS06-14.
Sebbene questa debolezza sia stata segnalata già nel 2006, è ancora utilizzata un po 'perché ha ancora un discreto successo.
Fatto bene, i payload che trasportano malware utilizzando MS06-14 possono ancora superare Microsoft Windows Defender.
Per testare Sophos su questo, abbiamo creato un sito Web fittizio che ha cercato di sfruttare MS06-14; se l'attacco avesse successo, creerebbe una connessione shell remota.
Sophos richiede che un componente aggiuntivo del browser sia abilitato per questo tipo di attacco, ma una volta installato sull'istanza di Internet Explorer del nostro sistema di test.
ha immediatamente bloccato il sito come dannoso.
Proprio come con il test di phishing, la scoperta è stata annunciata in una finestra di avviso, ma non è stata mostrata nel browser, come Bitdefender GravityZone Ultra.
Il nostro test di aggressione attivo presume che una macchina da qualche parte sulla rete abbia avuto la sua password RDP (Remote Desktop Protocol) compromessa e ora c'è un account limitato ostile attivo sulla macchina.
Il nostro primo passo dopo aver ottenuto l'accesso alla macchina remota è scaricare su di essa un enorme mucchio di malware.
Per fare ciò, abbiamo codificato un'ampia varietà di payload di Metasploit.
Meterpreter Sophos ha catturato ognuno di essi.
Dei 42 copiati sul desktop tramite RDP, nessuno è rimasto utilizzabile per l'esecuzione.
Questi sono risultati eccellenti e sono rimasti tali quando li abbiamo confrontati con risultati di terze parti.
AV Comparatives, nel loro Real-World Protection Test del 2019, ha rilevato che Sohops ha bloccato il 99,5% delle minacce senza falsi positivi.
Ancora una volta, ottimi risultati che lo mettono alla pari con giocatori come ESET e Kaspersky Endpoint Security Cloud.
Protezione dalle minacce eccellente e avanzata
Nel complesso, abbiamo trovato ...
