Tabla de contenido:
- Instalación e interfaz de usuario
- Protección contra ransomware
- Resultados de la prueba
- Pensamientos finales
Video: Symantec Endpoint Protection Cloud: Management Console Overview (Noviembre 2024)
Symantec es una de las entidades más establecidas en seguridad empresarial y es un nombre confiable para empresas y pequeñas y medianas empresas (PYMES). Su producto de protección de punto final empresarial es Symantec Endpoint Protection Cloud (que comienza en $ 28 por dispositivo por año) y se entrega en cuatro niveles, por lo que las empresas de todos los tamaños tienen cierta libertad para seleccionar cuál se adapta mejor a su dispositivo y número de usuarios. Ahora enraizada en su servicio de entrega en la nube, Symantec Endpoint Protection Cloud mantiene su enfoque en los puntos finales de Microsoft Windows incluso a medida que se ha ampliado el soporte para el sistema operativo (SO) Mac. También hay características mejoradas de administración de dispositivos móviles (MDM) que las empresas con trabajadores de primera línea valorarán. Todas estas capacidades hacen de Symantec Endpoint Protection Cloud una opción sobresaliente, que está justo detrás de nuestros ganadores de Editors 'Choice, Bitdefender GravityZone Elite y ESET Endpoint Protection Standard, especialmente cuando se trata de la funcionalidad de informes.
Si le gusta comprar su plataforma de seguridad empresarial con un nombre establecido, entonces no hay nadie más consolidado en el mercado que Symantec. Sin embargo, aún debe prestar atención a las capacidades y SKU, ya que la compañía ha estado haciendo algunos cambios en este sentido recientemente. Su producto de protección de punto final empresarial actual es Symantec Endpoint Protection Cloud (que comienza en $ 28 por dispositivo por año), pero se entrega en cuatro niveles, por lo que debe mirar de cerca lo que está comprando. Y aunque ha adoptado la nube como un mecanismo de entrega, este producto todavía está fuertemente enfocado en los puntos finales de Microsoft Windows; aunque durante esta actualización descubrimos que ha agregado más soporte para los sistemas operativos Mac, así como también algunas funciones de administración de dispositivos móviles (MDM). Aun así, si bien todo esto se convierte en una plataforma sólida de protección comercial, sigue estando un poco por detrás de los ganadores de Editors 'Choice, Bitdefender GravityZone Elite y ESET Endpoint Protection Standard, especialmente cuando se trata de informes.
Al investigar este producto, encontrará que se ofrece en cuatro versiones. El producto Endpoint Protection Cloud que revisamos aquí en realidad se ofrece en dos niveles de precios diferentes. Uno es el nivel por dispositivo mencionado anteriormente, que comienza en $ 2.50 por dispositivo por mes o $ 28 por dispositivo por año. Sin embargo, también puede comprarlo en un modelo por usuario, donde le costará $ 4.50 por usuario por mes o $ 49 por usuario por año, y podrá instalarlo en 5 dispositivos por usuario. Si todavía está ejecutando algunas instancias de Microsoft Windows Server localmente, también hay una versión de Symantec Endpoint Protection Cloud para eso, que cuesta $ 3.50 por servidor por mes o $ 38 por servidor por año. Un buen precio y podrá administrar la seguridad de su servidor a través de la misma consola en línea que sus dispositivos de usuario final.
Finalmente, el árbol de precios de Endpoint Protection tiene un nivel de Drive Encryption listado por separado como un cuarto nivel. Nos hubiera gustado ver esta opción incluida en el paquete base, pero Symantic lo ha dividido en un complemento opcional que le costará $ 9 por unidad por mes o $ 97 por unidad por año. No probamos el cifrado de la unidad como parte de esta revisión, aunque sí probamos las características de protección de ransomware de grado empresarial del producto como verá a continuación.
Instalación e interfaz de usuario
Poner en marcha Symantec Endpoint Protection Cloud es rápido y relativamente sencillo. El proceso ha mejorado mucho con respecto a su versión anterior, donde los administradores tenían que inscribir las máquinas de los clientes utilizando su ID de Microsoft. Para configurarlo ahora, simplemente genere un paquete de despliegue de red que se pueda llevar de máquina a máquina o expulsar utilizando otros medios.
Una versión de prueba de 60 días está disponible en su sitio web. El software solo tardó uno o dos minutos en instalarse, y apareció un mensaje amigable "Estás protegido". Todavía no hay un indicador real de que algo esté sucediendo durante la instalación, y me pregunté brevemente si estaba funcionando. Sin embargo, la demora fue lo suficientemente mínima como para no importar mucho.
El software del cliente no tiene mucho de qué hablar en términos de interfaz de usuario (UI), ya que la acción principal ocurre en la consola de administración de la nube. Hay una sección Avanzada que vale la pena mencionar, pero solo sirve para indicar los resultados de la política actual aplicada al dispositivo. También es posible activar manualmente un escaneo de malware, pero esto generalmente es un evento raro ya que la detección en tiempo real siempre está habilitada.
La consola en la nube es atractiva y fácil de navegar. Lo inicia en un tablero que proporciona algunos indicadores rápidos de cuántos dispositivos son seguros y están experimentando una amenaza. Al hacer clic en cualquiera de estos, puede profundizar en una lista detallada de esos dispositivos y tomar las medidas apropiadas. Esto podría ser cualquier cosa, desde desconectar un dispositivo comprometido o abordar elementos en cuarentena. Los detalles del dispositivo son excepcionales: la lista incluye todo, hasta el hardware y las aplicaciones instaladas actualmente, además del registro de eventos.
La gestión del grupo es igualmente sencilla. Era intuitivo agregar grupos, usuarios y dispositivos a un grupo específico. Fue interesante y potencialmente útil ver a los usuarios y dispositivos como opciones para la membresía de grupo. En los casos en que son usuarios problemáticos, podrían tener un perfil más seguro por defecto, mientras que los usuarios avanzados que podrían estar trabajando estrictamente desde dentro de la red podrían tener una política más relajada.
La gestión de políticas sigue naturalmente con tres tipos principales. Las políticas del sistema controlan las actualizaciones y la configuración del proxy. Las políticas de seguridad controlan todo, desde la configuración del antivirus hasta la prevención de intrusiones, los controles del dispositivo y la protección web, con un conjunto significativo de otras opciones intermedias. Si bien cada pantalla estaba muy bien explicada, sería fácil perderse en los detalles. No todas las funciones se aplican a todas las plataformas, por lo que aparece un icono a la derecha de cada función para que pueda saber rápidamente dónde se aplica un elemento de política.
Algunos de los aspectos más destacados incluyen cifrado de cliente configurable, protección de red y protección con contraseña. La adición de estas tres características demuestra que Symantec está comprometido con un plan completo de protección del sistema en lugar de simplemente tratar de bloquear el malware. La administración centralizada de la complejidad de la contraseña es especialmente buena para las pequeñas empresas que pueden tener Active Directory (AD) o productos similares o no.
Protección contra ransomware
Para la protección contra ransomware, Symantec Endpoint Protection Cloud trae algunas buenas herramientas a la mesa. Por un lado, tiene un excelente firewall y protección del navegador, por lo que es menos probable que tenga una amenaza para llegar al punto de ejecución en su sistema. En segundo lugar, ofrece una característica llamada Memory Exploit Mitigation (MEM). Esto busca comportamientos de explotación típicos y puede interrumpir y apagar cualquier cosa que parezca sospechosa. Entonces, incluso si algún ransomware lo encuentra en su sistema e intenta ejecutarse, probablemente no llegará muy lejos.
Symantec Endpoint Protection Cloud obviamente no aplica ninguna capacidad de detección específica de ransomware fuera de su motor principal, pero lo hace muy bien. Esto no significa nada lujoso como la vacuna contra ransomware, se incluye una forma de engañar al ransomware para que crea que su sistema ya está infectado. Tampoco hay nada en el camino de la reversión de archivos si los datos se dañan en un ataque. Sin embargo, como lo demuestran las pruebas, Symantec Endpoint Protection Cloud sigue siendo una fuerza a tener en cuenta y tiene como objetivo demostrar que esos extras no son necesarios. Si necesita la vacuna contra ransomware, ESET Endpoint Protection Standard es un buen camino a seguir.
Resultados de la prueba
Mi prueba inicial implicó el uso de un conjunto conocido de malware recopilado con fines de investigación. Cada uno se almacenó en un archivo ZIP protegido por contraseña y se extrajo individualmente. Las muestras de virus, cuando se extrajeron, se detectaron de inmediato. De 142 variantes de malware, todos los elementos fueron marcados y puestos en cuarentena.
Para probar la protección contra sitios web dañinos, se seleccionó una selección aleatoria de los 10 sitios web más nuevos de PhishTank, una comunidad abierta que informa sobre sitios web de phishing conocidos y sospechosos. Ninguna de las URL fue reconocida como maliciosa a pesar de ser obvias de PayPal o fraudes bancarios.
Para probar la respuesta de Symantec Endpoint Protection Cloud al ransomware, utilicé un conjunto de 44 muestras de ransomware, incluido WannaCry. Ninguna de las muestras pasó de la extracción del archivo ZIP. Esto no es terriblemente sorprendente ya que cada una de las muestras tiene una firma conocida. Dicho esto, la respuesta fue decisiva y rápida. Los ejecutables se marcaron rápidamente como ransomware y se eliminaron del disco. El simulador de ransomware de KnowBe4, RanSim, también fue marcado como una instancia de ransomware. Dado que es probable que estos se hayan recogido mediante firmas conocidas, procedí con un enfoque más directo simulando un atacante activo.
Todas las pruebas de Metasploit se realizaron utilizando la configuración predeterminada del producto. Como ninguno de ellos tuvo éxito, me sentí confiado en omitir cualquier configuración de naturaleza más agresiva. Primero, usé Metasploit para configurar un servidor AutoPwn2 diseñado para explotar el navegador. Esto lanza una serie de ataques que se sabe que tienen éxito en navegadores comunes como Firefox e Internet Explorer. Symantec bloqueó los exploits sin problemas.
La siguiente prueba utilizó un documento de Microsoft Word {/ ZIFFARTICLE}} habilitado para macros. Dentro del documento contenía una aplicación codificada que un script de Microsoft Visual Basic (VBScript) luego decodificaría e intentaría iniciar. Esto a menudo puede ser una condición difícil de detectar cuando se utilizan varias técnicas de enmascaramiento y encriptación. El archivo produjo un error al abrir, lo que indica que el ataque falló.
Por último, probé un ataque basado en ingeniería social. En este escenario, el usuario descarga un instalador comprometido de FileZilla usando Shellter. Al ejecutarlo, ejecutará una sesión de Meterpreter y volverá a llamar al sistema atacante. El exploit se bloqueó en segundos y se retiró del disco, lo que demuestra que incluso con un exploit codificado, el sistema pudo reconocer el comportamiento malicioso de la aplicación y cerrarla.
AV-Test, un laboratorio independiente que prueba el software antivirus, realizó una prueba en julio / agosto de 2018 para evaluar una serie de paquetes de software de seguridad de punto final. Sus resultados le dieron a Symantec Endpoint Protection Cloud un puntaje de protección de "6 de 6" y un puntaje de rendimiento de "6 de 6". Además, MRF-Effitas, en su prueba del segundo trimestre de 2018 "In the Wild 360 / Full Spectrum", citó a Symantec como el bloqueo automático del 99.7 por ciento de las muestras de malware presentadas, y el 0.3 por ciento restante se detectó en función del comportamiento. Además, fue capaz de bloquear completamente las 29 muestras de ransomware. Esto estuvo a la par con nuestras entradas de Elección del editor, incluyendo Bitdefender GravityZone Elite, ESET Endpoint Protection Standard y Sophos Intercept X Endpoint Protection.
Pensamientos finales
En general, Symantec Endpoint Protection Cloud es una fuente inagotable que puede superar los intentos de ataque. Si bien carece de la capacidad de detectar sitios web de phishing, sobresalió en todas las demás protecciones. Recientemente también ha obtenido soporte adicional para Mac OS, lo cual es una ventaja. Por otro lado, Linux todavía no es bienvenido a la fiesta. El informe es algo mediocre y, aunque es atractivo, no capta toda la gama de cosas que me gustaría ver. Tiene algo agradable
