docSeguridad Práctica de Endpoints Empresariales
download 
Demanda Transcripción
Seguridad Práctica de Endpoints Empresariales
Presentado por RESEÑA COMPARATIVA Seguridad Práctica de Endpoints Empresariales En esta Reseña •ESET Smart Security 4 Business Edition •Kaspersky Business Space Security 6.0 R2 (Administration Kit 8.0) •McAfee Total Protection for Endpoint v 8.7i (ePO 4.5) •Sophos Endpoint Security and Control 8 •Symantec Endpoint Protection 11.0 •Trend Micro Worry-Free Business Security 6.0 Standard Edition El mercado de la seguridad de “endpoints” está cambiando a un ritmo sorprendentemente rápido, especialmente cuando se considera cuán relativamente maduro éste es. Mientras que las marcas establecidas pueden proveer una tranquilidad subjetiva, los compradores que buscan más allá de ellas y hacia las capacidades cuantitativas de los productos pueden descubrir opciones menos conocidas que son mejores para ajustarse a sus empresas. En nuestra continua evaluación de productos de seguridad, Cascadia Labs ha encontrado diferencias significativas en qué tan bien los productos cubren las metas corporativas en cuanto a paquetes de seguridad, desde la efectividad al bloquear amenazas hasta el desempeño al integrarse a la infraestructura de la empresa. Con el fin de evaluar las capacidades reales de los paquetes de seguridad para “endpoints”, pusimos a seis de ellas a prueba en nuestro laboratorio de seguridad. Recopilamos información cuantitativa y cualitativa a detalle sobre sus capacidades en diferentes áreas importantes para empresas pequeñas y medianas. Comenzamos por observar la experiencia del “endpoint” con algunas medidas cuantitativas de efectividad y desempeño –un producto necesita proteger a los usuarios contra las amenazas en Internet y mantenerlos alejados de ellas en la medida de lo posible. Después cambiamos los puntos de ventaja para el administrador de IT y exploramos la forma en que el producto se integra con Active Directory y Windows 2008 Server, así como el manejo y uso del producto. Continuamos creyendo que los productos que son fáciles de manejar y que ofrecen visibilidad sobre su trabajo serán los que a fin de cuentas contribuyan a una mejor política de seguridad. Resumen Encontramos que los productos son más diferentes que similares –conduciendo a la conclusión de que las compañías deberían considerar cuidadosamente la elección que hacen. CALIFICACIONES GENERALES ESET Smart Security 4 Business Edition Categoría Instalación & Configuración Políticas & Manejo Visibilidad & reportes Desempeño Efectividad Key: – Pobre McAfee Total Protection for Endpoint 8.7i (ePO 4.5) Sophos Endpoint Security and Control 8 Symantec Endpoint Protection 11.0 Un producto muy limpio y bien diseñado con configuraciones por default que hacen poco por bloquear las amenazas de la red. Los reportes necesitan algo de trabajo. Un producto sólido con buen manejo y buenos reportes, pero con fuertes problemas para combatir nuestras amenazas de la red. ½ EN GENERAL Resumen Rápido Kaspersky Business Space Security 6.0 R2 (Administration Kit 8.0) Un producto rápido ideal para compañías pequeñas dada su poca integración AD, su falta de tablero y su poco pulimiento en relación con otros productos en esta reseña – Regular – Bueno ½ Buena elección para compañías de todos los tamaños dada su gran velocidad de integración AD, su excelente protección contra amenazas de la red y un manejo sólido. Los reportes y la documentación pueden mejorarse. Un producto complejo más apropiado para organizaciones grandes que pueden manejar su complejidad. Encontramos un desempeño lento a lo largo de las pruebas. – Muy Bueno 1 – Excelente Trend Micro Worry-Free Business Security 6.0 Standard Edition ½ Una buena elección para compañías pequeñas, ofrece protección contra amenazas de la red. Su desempeño puede ser una molestia. RESUMEN DEL INFORME DE INSTALACIÓN & CONFIGURACIÓN Pasos y Tiempo Producto Calificación para Terminar Pros Cons ESET Smart Security 131 pasos 3-4 horas • Muy bien documentado: fácil de seguir, incluyendo cambio de GPO • Pobre integración con el Active Directory • Usa la base de datos de Microsoft Access automáticamente (sin documentación en el asistente de instalación) Kaspersky Lab Business Space Security 78 pasos 3 horas • No se necesitan cambio de GPO • Cambios manuales en el firewall claramente documentados • Provee una lista extensiva de las renovaciones del producto • Automáticamente instala bases de datos para el servidor de administración • La documentación de la instalación podría ser más clara McAfee Total Protection for Endpoint 166 pasos 4-6 horas • Buena detección de clientes del Active Directory y otros dominios de la red • Tarea AD sync es fácil de ejecutar y usar posteriormente • El proceso es complejo • El producto requirió un número grande de descargas y estuvo pobremente integrado • Documentación pobre, con temas desvinculados Sophos Endpoint Security and Control 183 pasos 3-4 horas • Magnífica integración con el Active Directory; al importar la estructura AD es fácil de encontrar y ejecutar • Requiere una pre-instalación de SQL Server 2005/2008 • Requiere que el servidor se reinicie después de deshabilitar UAC, forzando el reinicio del asistente de instalación desde el inicio • Instalación personalizada al componente "SQL Server" es confusa Symantec Endpoint Protection 123 pasos 3-4 horas steps, • Documentación muy detallada, fácil de seguir • Auto-instalación de bases de datos para el servidor administrador • AD sync bien documentado y fácil de ejecutar • La configuración manual del GPO o la del cliente requirió abrir la red para instalar el agente Trend Micro WorryFree Business Security 72 pasos 3 horas • Menos número de pasos durante la instalación • Auto-instala una base de datos para el servidor administrador • Requiere una configuración manual del GPO para empujar al cliente • No se documentan los componentes específicos del IIS hasta después de que se terminó la instalación inicial del IIS Kaspersky, Symantec y Trend Micro Worry-Free hicieron la configuración de la instalación sencilla, de los cuales Kaspersky superó a los otros gracias a su integración con el Active Directory. Estos mismos productos y Sophos proveyeron las mejores políticas y la mejor experiencia de manejo; McAfee quedó relegada por su complejidad y ESET necesita una mejor integración con el Active Directory para poder considerarle como proveedor de grandes empresas. Symantec y McAfee tuvieron la mejor visibilidad y reportes, con muchas opciones para hacer que el administrador y el oficial de cumplimiento estén contentos. En cuanto al desempeño, Kaspersky, Sophos y ESET tuvieron buenas calificaciones; McAfee y Trend Micro disminuían la velocidad de la experiencia del usuario. Por lo que a la efectividad se refiere, Kaspersky y Trend Micro Worry-Free obtuvieron las mejores calificaciones, mientras que Symantec y Sophos no bloquean las amenazas en Internet suficientemente en sus configuraciones por default. Al final, las compañías necesitarán hacer una elección con base en los requisitos individuales y configurarlos apropiadamente, para que valga la pena tomar en cuenta las calificaciones individuales y reseñas y no sólo las calificaciones generales de los productos. Calificando los Productos Las calificaciones están determinadas con base en las pruebas realizadas en nuestros laboratorios con los puntos a favor y en contra resaltados en nuestros resúmenes de los reportes. Se pretende que las calificaciones comparen los productos y no deben usarse como medidas absolutas de las capacidades de los productos en un área dada. Si un producto resalta 2 en verdad en comparación con otros productos, puede recibir 5 triángulos. Instalamos cada producto en nuestra red de pruebas en máquinas con Windows Server 2008 , Windows XP y Windows 7, lo configuramos y luego probamos su desempeño y efectividad contra un grupo de amenazas en internet para probar las respuestas del producto que puedan incluir detección basada en firmas, filtro de contenido de URL e internet, bloqueo conductual, firewall y otras habilidades de protección. Del mismo modo llevamos a cabo tareas administrativas representativas tales como añadir nuevas máquinas a la red, permitiendo excepciones para aplicaciones particulares que se ejecutan en máquinas individuales, así también evaluamos las capacidades de alerta y reportes. Le dimos entonces una calificación a cada producto siguiendo las siguientes cinco categorías. RESUMEN DEL INFORME DE POLÍTICAS & MANEJO Producto Calificación Pros Cons ESET Smart Security • El editor de políticas incluye un botón único de default para establecer cualquier valor por default • No hay integración con el Active Directory No maneja bien los grupos; la vista default regresa a la vista sin grupos cuando se reinicia Kaspersky Business Space Security • Interface clara y fácil de usar • Permite políticas en cada grupo de estaciones de trabajo, servidores y dispositivos móviles • Usa una política por grupo • La interface MMC es más fácil y rápida que las interfaces con base en internet • Sólo se permitió una política activa en cada contenedor McAfee Total Protection for Endpoint • Provee un control muy a detalle sobre políticas y lo que el usuario ve • Es complejo: usa 11 políticas antivirus por separado, además de una más para el agente • La instalación por default deja a los clientes sin protección; las actualizaciones no están habilitadas • La instalación por default del firewall deshabilita toda la conexión de la red Sophos Endpoint Security and Control • Interface buena y clara; todo lo que se necesita está en una sola ventana • Usa cinco políticas (agente, antivirus, control de la aplicación, firewall y NAC) haciendo, creando y ejecutando políticas de manera torpe y lenta Symantec Endpoint Protection • La interface es sencilla y clara • Las políticas por default tienen configuraciones que la mayoría de los administradores querrían • El firewall funciona con las aplicaciones de la empresa sin modificación • La multiplicidad de políticas hacen que la administración del cliente sea más compleja que los productos con una sola política Trend Micro WorryFree Business Security • Interface simple y limpia • Todos los cambios a las políticas pueden hacerse en una pestaña • Es fácil determinar qué políticas aplican a cada grupo para crear nuevas políticas o grupos • La configuración por default deja la consola para entrar a internet con un error de certificado de la seguridad La categoría de Instalación & Configuración evalúa la experiencia de instalación del software del servidor y de la consola de administración, así como la ejecución del software de seguridad para el “endpoint” en las máquinas del cliente y del servidor en la red. Les dimos preferencia a productos realmente integrados, aquéllos con asistentes de instalación claros y a aquéllos que descubrían de manera automática a “endpoints” a través de una completa integración con el Active Directory, NetBIOS o direcciones IP. Muchos de RESUMEN DEL INFORME DE VISIBILIDAD & REPORTES Producto Calificación Pros estos productos requieren de una base de datos y de un servidor de internet. El mejor hace la vida del administrador más sencilla al instalar automáticamente los pre-requisitos necesarios. Cons ESET Smart Security • Muchos reportes predefinidos • Sin tablero • Los reportes y alertas personalizados son difíciles de instalar • No hay opción de reportes en PDF Kaspersky Business Space Security • Excelente tablero extensible • Sistema flexible para reportes predefinidos y personalizados y alertas • Fácil de enviar por correo electrónico alertas y reportes • Puede tardar un tiempo encontrar el reporte que se esté buscando • Los reportes "personalizados" están limitados a búsquedas predefinidas McAfee Total Protection for Endpoint • Juegos grandes de reportes predefinidos y alertas • Buen tablero, con un gran número de opciones de gráficos que pueden ser mostrados en tantas pestañas como se quiera • Proceso complejo para crear reportes • Se debe navegar a través de varias secciones de la interface Sophos Endpoint Security and Control • Interface limpia para tableros y reportes • La Configuración de alertas por correo electrónico es rápida y fácil • La función de reporte está limitada a algunas categorías • No hay forma de generar reportes semanales Symantec Endpoint Protection • Tablero informativo bien organizado • El proceso de envío de alertas es sencillo y claro • El sistema de alertas es completo y fácil de usar con dampers • La consola de administración puede terminar usando demasiado los niveles en el servidor • Se limita a los reportes de HTML Trend Micro WorryFree Business Security • El tablero está bien organizado y se puede personalizar • Los reportes canned son un poco incómodosde usar • Los reportes están limitados a periodos • Las alertas y los reportes son fáciles de predefinidos de 14 días programar y enviar por correo electrónico 3 La de Políticas & Manejo cubre tanto a la configuración inicial de políticas como al manejo de políticas actuales. Incluimos tareas administrativas como configurar una política de “endpoint” por default, añadiendo un escritorio nuevo, programando escaneos, ejecutando un escaneo bajo demanda y configurando un firewall. Asimismo otorgamos calificaciones altas a los productos con características orientadas a la empresa como la integración con el Active Directory y consciencia de ubicación. Todos los productos soportan algún tipo de empuje a la instalación para clientes en un dominio, así como heredan políticas de contenedores padres a sus hijos. Preferimos pocas políticas a manejar y los productos que pudieran manejar políticas de laptops, desktops y servidores de manera sensible. La Visibilidad & Reportes examina las capacidades del tablero, los reportes y las alertas ofrecidas por el producto. Consideramos como un beneficio mayor que la disponibilidad de un tablero que provee una visión clara de comprender del estado de protección del cliente, de eventos recientes y que las actividades basadas en tareas. No obstante, un tablero debe aumentarse por herramientas de reportes y alertas que identifiquen información crítica tal como malware detectado, firmas fuera de fecha y computadoras carentes de protección para el “endpoint” a través de cientos o incluso miles de “endpoints”. El Desempeño mide qué tan bien se minimiza el impacto en los usuarios mientras llevan a cabo tareas comunes tales como escaneos por acceso, escaneos del sistema completo y al abrir archivos pesados. Una solución de seguridad para “endpoints” no debería aletargar de manera significativa a los usuarios. Los mejores añadirán una mínima carga a las computadoras de los clientes en escaneos por acceso o bajo demanda. Resultados de Desempeño Los productos de Sophos y Kaspersky fueron los más rápidos que evaluamos. Minimizan la carga en los escaneos por acceso y mostraron por mucho los tiempos más cortos para ejecutar escaneos de todo el sistema bajo demanda. Por otro lado, los productos McAfee y Tren Micro imponen un impacto significativo en las actividades diarias – necesitaron más del doble de tiempo para copiar carpetas y abrir un archivo pesado de PowerPoint como un sistema de base de referencia (sin un producto de seguridad “endpoint”). A Symantec y Trend Micro les tomó el mayor tiempo en ejecutar escaneos bajo demanda. Además, realizamos un segundo escaneo bajo demanda para determinar el beneficio potencial máximo de los mecanismos de almacenamiento. El producto de Kaspersky mostró una mejora mucho mayor frente a los otros productos –sin embargo es importante recalcar que esta prueba muestra que el beneficio máximo posible, en condiciones donde ningún archivo ha cambiado y donde ninguna actualización de firmas que interviniera se llevó a cabo. Dado que este segundo escaneo bajo demanda es tan poco representativo del uso real, no lo incluimos en nuestros cálculos de las calificaciones del desempeño. Resultados de Efectividad Time to Perform On Access Scan 0:00 5:00 10:00 15:00 20:00 Baseline ESET Kaspersky McAfee Sophos Symantec Trend Micro Time to Perform On Demand Scan 0:00 5:00 10:00 15:00 20:00 25:00 30:00 Baseline ESET Kaspersky McAfee Sophos Symantec Trend Micro Time to Open Large PowerPoint File 0:00 0:05 0:10 0:15 0:20 1:30 2:00 Baseline ESET Kaspersky McAfee Sophos Symantec Trend Micro Time to Reboot 0:00 0:30 1:00 Baseline ESET Kaspersky McAfee Sophos Symantec Trend Micro Time to Perform Second On Demand Scan Los productos mostraron una amplia variación en la efectividad al bloquear los efectos de las descargas drive-by y los exploits browserborne, una forma dominante de obtener amenazas hoy en día. Kaspersky superó a Trend Micro por un 4 0:00 Baseline ESET Kaspersky McAfee Sophos Symantec Trend Micro 5:00 10:00 15:00 20:00 25:00 30:00 Mientras que el producto de ESET ofreció buenos números en su desempeño y la instalación fue aceptablemente clara –aunque con una pobre integración con el Active Directoryinevitablemente le falta Symantec Trend Micro una interface al tablero y otros aspectos deseables para compañías. Asimismo el paquete tiene características limitadas de manejo de políticas y fue una molestia generar reportes personalizados y alertas. Web Threat Blocking Effect iveness 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% ESET Kaspersky McAfee Sophos resultado mejor, cada uno bloqueando completamente 80 por ciento o más de las campañas de exploit con las que evaluamos. En el caso de Trend Micro, el producto alcanzó su efectividad a través de bloqueos con base en la URL, reportando haber prevenido numerosos URLs malignos por descargas. El producto de Kaspersky usó una variedad de técnicas, incluyendo identificación heurísticas de iframes malignos incluidos en la HTML de una página web que en la mayoría de los casos detuvieron exploits. Incluso en los casos en que Kaspersky no bloqueó el exploit por completo, al menos reportó que había detectado troyanos. ESET y McAfee estuvieron en segundo lugar, cada uno bloqueando la mitad de los exploits y en un caso adicional ESET bloqueó todo excepto por alguna actividad de archivos de sistema. Siguió Symantec y Sophos en último lugar, bloqueando por completo sólo 20 por ciento de los exploits. La capacidad HIPS de Sophos reportó frecuentemente un comportamiento sospechoso y resultó en un bloqueo parcial pero incompleto de la actividad maliciosa. La calificación de protección incompleta –donde un proceso maligno estaba todavía ejecutándose en el sistema comprometido- es una “falta”. ESET Smart Security 4 Business Edition RESUMEN ESET no ofrece gráficas bonitas, pero sí provee visibilidad sobre el estatus de todos los clientes instalados así como la habilidad para reducir la búsqueda de sistemas específicos rápidamente. El producto de ESET ofrece una interface limpia y simple con todo en una sola ventana y la mayoría de las opciones administrativas quedan ocultas para el “endpoint”. Como Kaspersky Business Space Security, el producto de ESET no requiere de un administrador para instalar manualmente ya sea una base de datos o un servidor de internet previo a la instalación y ejecución del agente. No obstante, antes de ejecutar el agente, se necesitan hacer varias modificaciones a la configuración de firewall de Windows en el GPO. Uno de los retos cuando se intenta localizar los componentes de seguridad apropiados para descargarlos de la lista extensa, con multi-lenguajes multiplataforma que usa abreviaturas en lugar de nombres de productos. Este proceso podría simplificarse al separar el lenguaje y la opción de la plataforma en listas separadas con mejores denominaciones. ESET no hace nada importante con el Active Directory. Usa una estructura plana inicial y todas las estaciones de trabajo y servidores se importan a un solo grupo con una sola política por default –depende de usted descifrar las cosas. No es necesario agregar que en una gran organización esto representa una gran desventaja. 5 El crear reportes personalizados y alertas es complejo debido a una interface casi impenetrable, aunque el producto sí ofrece 17 reportes útiles y alertas concordantes. Al final ESET ofrece resultados de escaneo rápidos, pero al producto le llevó más tiempo hacer escaneos del sistema completo que a los productos más rápidos. Su efectividad contra las amenazas de internet fue mediana. Kaspersky Business Space Security 6.0 R2 RESUMEN El paquete de Kaspersky Endpoint Security superó en nuestras pruebas de desempeño y efectividad y fue muy fácil de instalar. Su ejecución estuvo entre las que menos pasos requirió de los productos que evaluamos, además de proveer un manejo flexible y capacidades de reportes. El producto usa varios asistentes de instalación para simplificar la instalación de los servidores y los componentes de administración, con la opción para ejecutar el agente de seguridad vía un objeto de Windows Group Policy (GPO) o vía un archivo push once y se abren los puertos de impresión compartida. Fue el único producto que revisamos que permite que un administrador ejecute silenciosamente a los agentes vía un GPO creado automáticamente y estuvo entre los menos complicados y más rápidos en ejecutar en un ambiente de Active Directory. El paquete de Kaspersky no requiere de instalación desde un servidor de internet y a diferencia de Sophos y McAfee, no requiere de un manual de instalación de bases de datos. Nuestra única queja: algunas secciones de la guía de ejecución de la documentación y administrador podrían organizarse mejor y presentarse de manera más clara. Kaspersky ofrece una estructura en forma de árbol fácil de entender que refleja la arquitectura de su Active Directory así como acceso rápido a todas las herramientas que usted necesita. Kaspersky Business Space Security permite tres políticas activas por grupo –estaciones de trabajo, servidor y móviles- mientras que otros productos que revisamos generalmente requerían de grupos separados para servidores, estaciones de trabajo y sistemas móviles en cada grupo geográfico o funcional. La configuración de la política por default del producto es muy efectiva y generalmente es justo lo que el administrador querría: su configuración por default media provee un balance entre la más alta seguridad y el menor impacto en el desempeño. Otro punto a favor es que la configuración de la para implementar parches es complicado; no hay manera de crear una tarea como plantilla y aplicarla más tarde. El tablero principal de McAfee ofrece acceso a tutoriales, una vista de los archivos de actualización más recientes de firmas y motores, y el nivel de amenaza para todos los sistemas administrados. entre las más complejas y tardadas de los productos que probamos. Esto se debe, principalmente, a que el producto requiere de la instalación manual de una base de datos, así como de la descarga y de la revisión manual de los componentes anti-virus y antispyware. También nos encontramos con problemas con el agente de implementación debido a la falta de documentación clara en la cual los puertos requerían ser abiertos en el firewall de Windows. El producto de Kaspersky es directo y fácil de navegar, con pocas opciones. estación de trabajo y el servidor para todos los aspectos del escaneo antivirus de archivo y aplicación, importación de internet y firewall son una sola política, mientras que los productos de McAfee, Symantec y Sophos requieren la configuración de múltiples políticas por separado. El producto usa el Microsoft Management Console (MMC) para administrar el servidor, en lugar de una aplicación de internet, haciendo que las tareas sean más fáciles y rápidas de ejecutar. La primera vez que la consola de administración es iniciada, información AD ocupa el sistema, pero las computadoras tuvieron que seleccionarse manualmente y ser agregadas antes de que pudieran ser administradas. McAfee Total Protection for Endpoint 8.7i RESUMEN El producto de McAfee trae consigo un complejo proceso de instalación, y obtuvo en nuestras pruebas uno de los resultados más pobres en cuanto a desempeño. Mientras que ofrece características de reporte poderosas y flexibles, éstas pueden ser difíciles de utilizar. Encontramos que la instalación e implementación de McAfee están Por default, el cliente de McAfee da al usuario final un acceso completo a todas las opciones y detalles de configuración a través de una variedad de ventanas. Otro inconveniente es que los clientes no están listos para descargar actualizaciones por default de manera automática; esto tiene que ser manualmente configurado. La importación de la estructura del Active Directory con McAfee Total Protection for Endpoint fue más complicada que con la mayoría de los otros. El sistema separa las tareas y las políticas, y requiere de que usted cree una tarea para descargar actualizaciones a servidores y otra tarea para incluir nuevas firmas para los clientes –McAfee no provee una manera de ejecutar una tarea automatizada más de una vez al día. Además, crear una tarea 6 El paquete más fuerte del producto fue el de sus poderosas herramientas de reporte y de alertas, que incluye 14 consolas de tableros pre-diseñados y la capacidad de diseñar los suyos. De cualquier modo, mientras que las características eran poderosas, los administradores pueden tener problemas con la complejidad de tener que configurar numerosos escenarios en diferentes menús para completar una sola tarea. Prepárese para consultar el manual más frecuentemente que con otros productos. En cuanto al desempeño, McAfee no tiene una velocidad demoníaca, posicionándose en el último lugar en nuestra prueba de tiempo de escaneo por acceso y regresando en un lugar medio dentro del grupo en los resultados de escaneo bajo demanda. Su efectividad también obtuvo un lugar medio en el grupo en contra de las amenazas de la Web. Sophos Endpoint Security and Control 8 RESUMEN Armado con un desempeño estelar, configuración relativamente simple, e interface de administración muy bien diseñada, Sophos Endpoint Security and Control obtuvo buenos resultados en el lado del software de seguridad. Su desempeño fue de primera clase pero su efectividad contra las amenazas de la Web no fue tan buena. El producto Sophos fue el único paquete revisado que permitió la creación de grupos dentro de su interface y la habilidad de sincronizarlos de regreso en el Active Directory. Esto le permite a una empresa mantener la misma estructura de directorio en AD y en la aplicación Sophos –lo cual, con Sophos le da un agradable panorama gráfico de las amenazas detectadas junto con una visión organizada de la estructura y las políticas del directorio. las configuraciones correctas, puede ser extremadamente útil para mantener una estructura consistente. El paquete de Endpoint Security and Control estuvo entre los productos más fáciles de instalar. Desafortunadamente, los administradores necesitan instalar manualmente una base de datos si desean El desempeño fue sobresaliente: Sophos dio los resultados más rápidos en casi todas nuestras pruebas, a pesar de que tuvo un resultado pobre en el tiempo de reinicio, sumando 40 segundos a nuestros sistemas de prueba. La efectividad no fue impresionante –a pesar de que el producto de Sophos nos advertiría en ocasiones de contenido sospechoso, la mayoría de las hazañas fueron al menos parcialmente exitosas en iniciar procesos de rogue (maliciosos). Symantec Endpoint Protection 11.0 RESUMEN Sophos provee herramientas de administración de clientes separadas para las aplicaciones de Anti-Virus y de Firewall. instalar el servidor y la consola en el Servidor de Windows 2008. Un reinicio adicional del servidor es requerido si se está ejecutando el UAC. Una vez que esos obstáculos son superados, los múltiples asistentes de Sophos hacen el proceso de instalación rápido y fácil de navegar. También incluye un asistente de sincronización con el Active Directory que simplifica enormemente la localización de clientes en un ambiente AD. En general, Sophos tuvo una interface limpia; como la de Kaspersky Business Space Security, utiliza el Windows MMC. Encontramos la instalación de grupos y políticas simple y transparente. Sumado a esto, el producto utiliza cinco políticas haciendo que la creación e implementación de políticas sea un poco más complicada. El tablero del producto tiene gráficas de barras fáciles de leer, y permite la configuración útil de límites para advertencias y umbrales críticos. Las alertas de correo electrónico pueden ser configuradas directamente desde la ventana de la plantilla de configuración. Pero no hay mecanismo para enviar reportes a un intervalo regular, como por ejemplo una vez por semana –el sistema sólo envía alertas cuando el umbral ha sido excedido. Además, la funcionalidad del reporte está muy limitada a pesar de que provee control sobre el periodo del reporte. Los resultados contradictorios en el desempeño del producto de Symantec y la falta de efectividad contra las amenazas de la Web fueron compensados por características de reporte y alerta, generalmente buenas y una robusta administración de políticas. Antes de instalar la consola y el servidor de administración Symantec, los administradores deben instalar un El tablero de Symantec da una imagen clara del nivel de amenazas de virus actuales junto con el estatus de archivos de firma recientemente implementados y el estatus de los clientes. servidor Web. Los dos retos primarios que encontramos durante la instalación fue localizar la documentación listando los puertos abiertos necesarios para que la implementación de agentes triunfara así como para identificar adecuadamente a nuestros clientes usando el asistente “Find Unmanaged Computers” (Encontrar computadoras no administradas). Una vez que el producto está instalado, Symantec incluye uno de los asistentes de sincronización AD más fáciles de usar. Encontramos que la documentación de Symantec es de gran ayuda y una de las mejores estructuradas de todos los productos. Symantec permite la creación de políticas para controlar todo aspecto del anti-virus, anti-spyware, firewall, intrusión, prevención, aplicación y control 7 El producto de Symantec es simple y fácil de usar, sin opciones innecesarias. de dispositivo, LiveUpdate y excepción de categorías, incluyendo qué días de la semana y/o veces al día deben ejecutarse los escaneos. La página principal del producto es un tablero muy bien organizado, que puede mostrar la actividad de las últimas 12 ó 24 horas. Los administradores pueden configurar la plantilla para autoactualizarse cada 3, 5 10, ó 15 minutos así como establecer umbrales para las alertas (a pesar de que el producto no permite umbrales que no sean número de eventos en un tiempo dado). Symantec Endpoint Protection provee un rango muy amplio de reportes predefinidos, con fina granularidad en periodos de tiempo (del último día al último mes) y filtrando por OS, protocolo, dirección (de entrada o de salida), severidad y otras métricas. El inconveniente es que sólo provee reportes en formato HTML. Mientras que Symantec demostró velocidad razonable en nuestras pruebas de escaneo por acceso y de descarga de archivos pesados, fue uno de los productos más lentos en el escaneo bajo demanda, posicionándose bastante atrás de Kaspesrky y Sophos. Su falta de efectividad en contra de las amenazas de la Web fue sorprendente basada en pruebas previas que hemos hecho en el producto para el consumidor de Symantec. Trend Micro Worry-Free Business Security 6.0 Standard Edition RESUMEN Trend Micto puede presumir de una muy buena efectividad en contra de las amenazas de la Web y de una interface simple y útil. Fue, sin embargo, el producto más lento de todos los que examinamos, y sus capacidades de reporte son limitadas. Al igual que el producto de Symantec, Trend Micro Worry- están limitadas a 24 eventos-la mayoría con umbrales, incluyendo estatus de clientes y virus detectados. Trend Micro simplifica la identificación de clientes desprotegidos, la implementación del software anti-virus, y la administración del proceso general de protección de PCs en una organización. Free Business Security requiere que el administrador instale un servidor Web, tal como IIS o Apache, previo a la instalación del producto. El asistente de instalación automáticamente instala una base de datos ya sea en el Servidor de Windows 2003 ó 2008. La documentación de Trend Micro relacionada con la implementación del agente de seguridad fue ligeramente confusa; listaba los requerimientos específicos para las estaciones de trabajo de Windows Vista pero no los pasos para El diseño de reportes por medio de las plantillas de Trend Micro es muy simple, y utiliza los mismas disparadores de los 24 eventos como alertas. Los reportes pueden ser ejecutados diariamente, semanalmente en cualquier día, o mensualmente en cualquier día del mes. Pero las características del reporte de producto carecen ligeramente de sentido. Primero, la carpeta de reportes está inicialmente vacía: usted tiene que crear un nuevo reporte utilizando una de las 14 plantillas, las cuales no pueden ser modificadas, para ejecutar un reporte. En cierto modo esto es lo peor de los dos mundos, en que Trend Micro no provee nada que usted pueda ejecutar para empezar, pero ninguna manera de personalizar lo que ha creado. Por ejemplo, el producto no tiene manera de generar un reporte mostrando terminales que estén fuera del límite de fecha. Finalmente, Trend Micro terminó en o cerca del final de nuestras pruebas de desempeño. Se tardó el mayor tiempo en completar el escaneo bajo demanda –casi el doble que los dos paquetes más veloces, Kaspersky y Sophos. El producto de Trend Micro también incrementó sustancialmente al tiempo de reinicio. Cómo Examinamos el Desempeño El software de cliente de Trend provee una buena interface básica para comenzar los escaneos y otras tareas básicas. las estaciones de trabajo de Windows XP. Ver y crear políticas funcionó bien y fue fácil de hacer. Trend Micro provee una manera sencilla de empezar con una plantilla y de modificarla fácilmente para cualquier grupo, así como para determinar de manera simple qué política aplica a un grupo en específico. El tablero Live Status del producto provee estatus de amenaza para todos los clientes junto con muchos otros indicadores de seguridad-salud, así como un estatus de sistema de servidor mostrando escaneo inteligente, actualizaciones de componentes, eventos inusuales del sistema, y estatus de la licencia. Las alertas Para las pruebas de rendimiento, configuramos las políticas para hacer los informes comparables entre productos. Para los escaneos bajo demanda del sistema completo, escaneamos únicamente el disco duro local y posibilitamos el escaneo dentro de archivos comprimidos y archivos que contienen otros archivos. Nuestras pruebas por acceso no incluyeron archivos comprimidos o históricos. Posibilitamos excepciones para nuestras herramientas de automatización y dejamos otras configuraciones en su estado por default. Ejecutamos cada prueba individual por lo menos tres veces, recomenzando desde una instalación limpia cada vez, y promediando los resultados. Computamos el puntaje del desempeño general totalizando los resultados de cada producto en nuestras pruebas de escaneo por acceso, escaneo bajo demanda, archivo Power Point abierto, y pruebas de tiempo de reinicio. 8 Escaneo Por Acceso: El tiempo para copiar y pegar una carpeta muy grande de archivos que no sean del tipo de archivos que contienen otros archivos, incluyendo archivos de sistema de Windows, documentos, hojas de cálculo, imágenes, PDFs, películas, y archivos de música. Escaneo Bajo Demanda: El tiempo para completar un escaneo del sistema completo en una computadora no infectada con las configuraciones de escaneo establecidas por default, pero en todos los casos configurando los productos para escanear todos los archivos y escanear archivos comprimidos. Abrir Archivo Grande de Power Point: El tiempo para abrir un archivo de Power Point (álbum de fotos de Power Point de 8.7 MB), demostrando el impacto de los componentes de escaneo por acceso. Tiempo de Reinicio: El tiempo de reinicio, desde la especificación de una petición de reinicio hasta que la computadora pasa de encenderse a tener un escritorio completamente reiniciado de Windows con un CPU parado. Segundo Escaneo Bajo Demanda: El tiempo para completar un escaneo de sistema subsecuente completo de una computadora no infectada con configuraciones establecidas por default. Esta prueba muestra el máximo beneficio que puede ser alcanzado por las capacidades de almacenamiento de caché, y no contribuyó a la clasificación final. Para estas pruebas de desempeño, Cascadia Labs utilizó un set de desktop PCs Dell idénticamente configuradas con Intel Core 2 Duo E4500 procesadores 2.2-GHz, 2GB de memoria RAM, 160 GB de disco duro, y Microsoft Windows XP profesional Service Pack 2. Las tareas de las pruebas fueron automatizadas para máxima repetición. Cómo Examinamos la Efectividad Estas pruebas reflejan la efectividad de los productos contra amenazas realistas, vivas, utilizando el conjunto completo de características de los productos -incluyendo la reputación de la Web, motores anti-virus y anti-malware, y capacidades de protección conductual, entre otros. Cascadia Labs cree que estas pruebas son una manera mucho más apropiada de medir la efectividad de un producto que la de situar a los motores de firma del producto contra un gran número de binarios maliciosos. De cualquier modo, este acercamiento también requiere que los lectores consideren los siguientes tres factores al interpretar los resultados. Configuración del Producto: Los productos para terminales de negocio proveen muchas opciones de configuración, tanto en los componentes de protección que ofrecen como en las configuraciones elegidas para cada componente. Las compañías pueden elegir diferentes configuraciones basándose en la rigurosidad de su política de seguridad, su nivel de experiencia, u otras consideraciones específicas. Para estas pruebas, utilizamos los productos con las configuraciones que tenían establecidas por default. Muestras Elegidas: Las amenazas pueden venir de muchos lugares. Para estas pruebas, nos concentramos en las amenazas de la Web, específicamente, descargas drive-by, ya que creemos que representan la mayor y más prevalente amenaza para las compañías hoy en día. Cascadia Labs captura cientos de amenazas por día; en vez de escoger aleatoriamente una muestra de amenazas en la Web, que guíen a pruebas con un gran número de ataques subyacentes muy similares, Cascadia Labs escogió una sola muestra de 10 campañas diferentes con mecanismos diferenciados de explotis para proveer más diversidad de amenazas. Mecanismo de Puntuación: Definir una detección exitosa y crear un algoritmo de puntuación justo es más difícil de lo que puede parecer. La mayoría está de acuerdo en que lo mejor es detener una amenaza antes de que explote a una computadora, desaparezca archivos, y ejecute procesos. De cualquier modo, ¿acaso no los productos que detienen la amenaza antes de que se ejecute – aunque permitan una hazaña y algunos archivos desaparecidos- tienen mejor puntuación que un producto que no detecta la amenaza? Para este reporte, los productos que detienen una amenaza completamente obtienen la puntuación de bloqueo completo y aquéllos que detienen la ejecución de la amenaza obtienen la puntuación de mitad de un bloqueo. Utilizamos la tecnología de captura y reproducción de exploits de nuestra propiedad para asegurar que cada producto fuera examinado en contra de amenazas idénticas. Para cada hazaña, registramos la actividad del sistema y dimos los resultados más altos a los productos que bloquearon las amenazas sin permitirles comenzar nuevos procesos o borrar archivos en el sistema; crédito parcial a aquellos productos que bloquearon todos los procesos no deseados; y no dimos puntos a aquellos productos que permitieron que el ataque triunfara, completa o parcialmente, iniciando exitosamente procesos rogue en nuestros sistemas de prueba. Evaluaciones independientes de technology productos deproducts tecnología Independent evaluations of Contacto: [email protected] www.cascadialabs.com Esta reseña comparativa, conducida independientemente por Cascadia Labs en Noviembre de 2009, fue patrocinada por Kaspersky Lab. Cascadia Labs pretende proveer análisis objetivo, imparcial de cada producto basado en pruebas manuales en su laboratorio de seguridad. 9
