Лучшее программное обеспечение для защиты и безопасности конечных точек на 2021 год

Может быть, вам немного надоедает защита конечных точек. По правде говоря, это более чем напоминает холодную войну. С одной стороны, производители вредоносных программ, в основном злоумышленники, усердно работают над совершенствованием своих методов поиска и использования даже самых незначительных уязвимостей. С другой стороны, разработчики защиты конечных точек, которые также непрерывно работают в поисках еще более интеллектуальных способов выявления, блокировки и уничтожения вредоносного кода во всех его формах. Конфликт — это бесконечная борьба, и, что еще хуже, она происходит в основном на заднем плане. По крайней мере, пока не случится что-то ужасное.

Вот когда защита конечных точек становится очень интересной. Но хотя те дни, как правило, попадают в заголовки газет, когда они затрагивают компании из списка Fortune 500 и их клиентов, никогда не забывайте, что малый и средний бизнес (SMB) столь же уязвим и подвержен всем тем же атакам и атакам. А поскольку у них, как правило, не такие большие бюджеты безопасности, как у крупных организаций, малые и средние предприятия кажутся хакерам более легкой добычей или низко висящими фруктами. Это означает, что предприятия малого и среднего бизнеса нуждаются в сложной и быстрой защите конечных точек так же, как и предприятия, если не больше.

Что такое размещенное решение для защиты конечных точек?

Решение для защиты размещенных конечных точек представляет собой платформу антивируса и защиты от вредоносных программ бизнес-уровня, внутренности которой размещены на хосте полностью в облаке. Это означает, что администраторы входят в веб-консоль для выполнения сканирования, регистрации пользователей, управления лицензиями и выполнения других повседневных задач управления, а также составления отчетов. Это естественная эволюция, поскольку преимуществ службы безопасности с облачным управлением слишком много, чтобы их игнорировать.

Использование старомодных комплектов защиты конечных точек означает, что ИТ-отделы должны создать серверную часть локально, затем разверните программное обеспечение и агенты сканирования на каждом устройстве, которое они хотят защитить вручную, взяв на себя ответственность за обновления ядра сканирования. В отличие от облачной управляемой службы, большая часть этих головных болей ложится на плечи поставщика услуг. Серверная часть полностью управляется поставщиком, и ваши пользователи получают программное обеспечение и обновления для своих устройств автоматически, при этом обеспечивая ИТ-отдел четкую отчетность о любых исключениях, проблемах и угрозах. Облако даже помогает поставщикам развертывать более продвинутые решения для более сложных угроз.

Проблема, с которой сталкиваются все эти инструменты, — это постоянно меняющийся ландшафт угроз кибербезопасности. Им нужно точно выяснить, что является вредоносным, и пресечь его, не помекая настолько, чтобы защита бизнеса фактически остановила его. Это сложная проблема, поскольку злонамеренность может быть очень туманной. Таким образом, ложные срабатывания являются постоянной проблемой, и их устранение — один из основных аспектов того, как разработчики выделяют свои продукты и соревнуются за долю на рынке.

Именно здесь облако оказалось благом в последнее время годы. Любое решение для защиты конечных точек, размещенное на хосте, будет иметь хотя бы часть общей архитектуры, находящейся в облаке. Это дает возможность использовать науку о больших данных и расширенную аналитику на стороне сервера. Это позволяет поставщикам услуг создавать модели машинного обучения (ML), которые могут значительно повысить уровень обнаружения, что было далеко не так достижимо, когда поставщикам приходилось полагаться на локальные вычислительные мощности своих клиентов. Хотя обнаружение на основе сигнатур, безусловно, по-прежнему играет важную роль в расчистке поля, машинное обучение — это то, за чем большинство наших поставщиков видят будущее, и мы заметили большие успехи, достигнутые здесь в ходе тестирования в этом году. Наши обзоры ясно показали, что ML является самым популярным компонентом безопасности года, в котором реализованы многие из новейших функций, особенно обнаружение на основе поведения. Хотя эти двигатели все еще можно обмануть, сделать это становится все труднее.

Тем не менее, при правильном количестве настроек разработчики вредоносных программ по-прежнему более чем способны искусно замаскировать свои вредоносные полезные нагрузки и ускользнуть от защиты ИТ-отдела. Плохие приложения используют для этого всевозможные уловки, от цифровой маскировки до социальной инженерии. По этой причине критически важно провести комплексную проверку перед выбором решения для защиты конечных точек. Чтобы помочь с этим, в этом обзоре представлены десять лучших игроков в области защиты конечных точек. Сначала мы изучаем возможности развертывания и управления с точки зрения ИТ-специалиста, а затем выполняем набор из четырех тестов обнаружения, чтобы увидеть, насколько эти инструменты сочетаются друг с другом.

Как мы тестируем решения для защиты размещенных конечных точек

Поскольку угрозы и меры противодействия постоянно развиваются, тестирование защиты конечных точек стало непростой задачей. Алгоритмы машинного обучения, которые, как мы видели, были развернуты поставщиками, отлично подходят для выявления известных проблем, что делает использование известных пакетов вредоносных программ чем-то вроде маркерного жеста. Все к этому готовы, так насколько же он может быть эффективным? Что ж, это, безусловно, необходимый тест для определения базового уровня компетентности для каждого поставщика, но это также хороший повод для применения многостороннего подхода к тестированию этих решений.

Как правило, Самым слабым звеном в цепи защиты любой организации всегда будут люди, которые там работают. Итак, PCMag Labs начинает с тестирования обнаружения фишинга. Иногда самый быстрый способ остановить атаку — просто запретить пользователям передавать свои учетные данные, даже если они делают это невинно. Для этого мы используем веб-сайт PhishTank, который публикует постоянно растущий список проверенных фишинговых веб-сайтов. Мы случайным образом выбираем 10 сайтов, которые все еще активны, и используем их в качестве барометра, чтобы проверить, насколько хорошо работает обнаружение фишинга в нашем тестовом кандидате. Мы просто переходим на все десять сайтов с помощью тестовой машины, на которой запущено программное обеспечение кандидата, и записываем, что происходит..

Еще один очень популярный вектор атаки — обманом заставить пользователей загрузить, казалось бы, законное приложение, которое затем используется в гнусных целях или даже просто ждет какое-то время, ведет себя нормально, а затем запускает какой-то вредоносный компонент. Возможность заглянуть под капот приложений, которые могут содержать мошеннический код, должна быть важной областью для любого успешного решения для защиты конечных точек. Мы сосредотачиваемся на том, как каждый кандидат выполняет такой анализ, как сообщаются эти результаты, какие контрмеры можно предпринять и насколько легко их можно победить.

Мы также следим за тем, чтобы каждый кандидат знаком с текущим ландшафтом угроз. Мы делаем это, добавляя новую базу данных известных вредоносных программ к нашей тестовой системе, в которой запущен клиент защиты кандидата. До сих пор мы не тестировали систему, которая не улавливает по крайней мере 80 процентов, а обычно гораздо больше, этих известных вариантов вредоносного ПО. Однако иногда может возникнуть задержка, пока система не сможет работать на максимальном уровне, что важно для потенциальных покупателей. Кроме того, некоторые системы полагаются на ожидание выполнения вредоносного ПО, прежде чем пометить его, а затем просто стремятся очистить беспорядок после этого. Третьи полагаются на чистые алгоритмы обнаружения на основе сигнатур и машинное обучение, чтобы выявить общие черты. Каждый из этих подходов или даже разумное сочетание означает разный уровень успеха, и покупатели всегда хотят, чтобы процент обнаруженных и очищенных объектов был как можно более высоким и как можно раньше.

Наше более продвинутое тестирование пытается выяснить, можно ли проникнуть в систему с помощью браузера или эксплойтов Microsoft Windows, а также насколько легко может быть активный злоумышленник взломать систему. Мы выполняем первую часть, отбрасывая вредоносные исполняемые файлы непосредственно в нашу тестовую систему, чтобы увидеть, как отреагирует программное обеспечение защиты конечных точек. Мы также активируем фиктивный веб-сайт со специальным (и эффективным) эксплойтом на основе браузера, а также запускаем его в нашей тестовой системе.

Мы используем пароль протокола удаленного рабочего стола (RDP) тестовой системы и предполагаем, что он был скомпрометирован путем перебора. Затем загрузите в систему самые разные образцы вредоносного ПО через RDP. Эта процедура в значительной степени зависит от инфраструктуры Metasploit и Veil 3.1 для генерации и кодирования атак. Важнейшим показателем здесь является то, насколько быстро система обнаружения обнаруживает, поскольку в реальных условиях такие атаки могут оставаться незамеченными в течение некоторого времени. Хотя мы обнаружили, что большинство систем улавливают их при выполнении, некоторые позволяют процессу сохраняться в течение вызывающего беспокойство промежутка времени. Мы оцениваем количество повреждений, которые могут быть нанесены при взломе системы. Мы также пытаемся удалить документы, изменить системные файлы и даже удалить или отключить антивирусный пакет.

Другие ключевые функции

Чистый защитный потенциал, безусловно, является ключевым показателем покупателя. для решения для защиты конечных точек, но есть и другие функции, которые следует учитывать. Во-первых, поддержка мобильных устройств была ключевой функцией, даже когда мы тестировали решения для защиты конечных точек в прошлом году, мы определенно обнаружили, что эта тенденция сохраняется и в этом году. Обеспечение того, чтобы выбранный вами пакет защиты мог защитить все устройства в вашей организации, может означать разницу между необходимостью изучать и оплачивать несколько инструментов и возможностью видеть состояние безопасности конечных точек вашей компании из единой панели управления. Мобильные функции, на которые следует обратить внимание, включают не только агентов, которые можно установить на Google Android и Apple iOS, но и базовые возможности управления мобильными устройствами (MDM), такие как автоматическая регистрация устройств, применение политики удаленного шифрования и удаленная очистка устройства.

Управление внесением исправлений — еще один важный компонент в этой серии средств защиты. Многие проблемы, возникающие из-за вредоносных программ, возникают из-за того, что вредоносное программное обеспечение использовало ошибку, оставшуюся в незащищенной системе. Microsoft Windows, вероятно, является наиболее часто упоминаемым здесь виновником, но на самом деле эксплойты исправлений случаются во всех типах систем, и ваше решение для защиты конечных точек должно решать эту проблему. Это особенно верно сейчас, когда Microsoft по большей части заставляет пользователей автоматически обновлять свои исправления. Это породило ложное чувство безопасности среди пользователей, которые считают, что пока обновления Windows устанавливаются автоматически, они в безопасности. Но на самом деле бесчисленное множество других приложений часто не обновляются, и злоумышленники часто используют одно или несколько из них, чтобы добиться такого же хаоса.

Простое знание того, что исправление существует, является первым шагом в сообщении опасность для владельцев бизнеса и возможность процесса исправления, который должен включать не только загрузку исправления, но и сначала тестирование, а только затем его развертывание. Возможность развертывания и отката этих исправлений с веб-консоли — это то, без чего не должен обходиться ни один бизнес, независимо от того, получаете ли вы ее как часть решения для конечной точки или как отдельный инструмент управления исправлениями.

Еще одна ключевая возможность , и одна из них, которой мы уделяли большое внимание при тестировании, — это управление политиками. Возможность устанавливать индивидуальные политики для больших или малых групп пользователей или устройств — это не только полезный инструмент, но и практически необходимость в эпоху, когда пользователи обычно используют несколько устройств, даже свои собственные, для выполнения работы. Опытным пользователям и разработчикам может потребоваться немного больше свободы действий, в то время как стандартные конечные пользователи могут быть заблокированы немного более жестко. Чистый способ сделать это — не только радость для руководства, но и зачастую единственный способ избежать серьезных кошмаров в будущем.

Оценивайте в своей среде

Наконец, хотя мы считаем нашу методологию тестирования надежной, нам нравится сравнивать результаты с результатами сторонних ресурсов. В этом году это были в первую очередь AV Comparatives и результаты их тестирования в 2019 году.. Сравнение наших результатов с результатами AV Comparatives позволяет нам добавить дополнительную точку сравнения, чтобы лучше представить продукты с разных точек зрения. Это также независимая проверка наших результатов по таким факторам, как удобство использования, точность обнаружения, ложные срабатывания, производительность и т. Д.

Все это составляет отличное руководство по покупке для предприятий, которым требуется новое или обновленное решение для защиты конечных точек. Однако чтение этого руководства не должно быть концом вашего исследования. После того, как вы сузили круг возможных вариантов, выяснить наверняка, что лучше всего для вашей компании, означает оценить решение в вашей собственной среде. Это означает, что рекомендуется всегда искать продукты, которые предоставляют возможность инициировать период оценки, будь то после разговора с продавцом или просто с помощью бесплатной ссылки для загрузки на веб-сайте поставщика.

(Примечание редактора: Vipre принадлежит j2 Global, материнской компании издателя PCMag, Зиффа Дэвиса.)

---

---

Защитите то, что важно