Endpoint Security dla przedsiębiorstw.

Bezpieczeństwo korporacyjnych sieci komputerowych ulega ciągłej ewolucji wraz z definiowaniem kolejnych wrażliwych miejsc na mapie infrastruktury sieciowej. Bezpieczeństwo to już nie tylko oprogramowanie antywirusowe, firewall i HIPS – wraz z rozpoczęciem nowej dekady zaczęto zwracać większą uwagę na kontrolę korporacyjnych danych. Firmy obawiają się wycieków ważnych informacji np. numerów kart kredytowych czy baz danych klientów – niezależnie od intencji pracowników.

Dostawcy oprogramowania zabezpieczającego starają się wyjść naprzeciw tym oczekiwaniom na wiele sposobów. Wielu dostawców za pomocą kupowania lub łączenia się z innymi firmami, rozszerzyło swoją bazę produktów o rozwiązania do ochrony danych. Wiele mniejszych firm również stara się dostarczyć rozwiązania do ochrony danych i urządzeń. Rozwiązania te mogą być złożone i uciążliwe dla użytkowników. Zarządzanie wieloma produktami w korporacyjnym środowisku nie jest prostym zadaniem. Firmy po wybraniu dostawcy oprogramowania chcą mieć ochronę najwyżej jakości i być pewnym bezpieczeństwa swoich sieci.

Standardy bezpieczeństwa wymagają, aby firmy w pełni kontrolowały przepływ danych w przedsiębiorstwie.

W tym porównaniu wykorzystano:

Podsumowanie rankingu:

Szybkie podsumowanie:

McAfee Total Protection for Endpoint to produkt złożony w instalacji i użytkowaniu. Pomimo rozbudowanych raportów i polityki zarządzania, umożliwia jedynie podstawową kontrolę urządzeń. Dodatkowo program otrzymał niskie noty w testach wydajności

Sophos Endpoint Security and Data Protection 9.0 to połączenie prostoty użytkowania z wydajnością oraz dobrym wsparciem technicznym. To jedyny produkt w grupie, który w pełni integruje funkcję ochrony przed utratą danych. Domyślne ustawienia zapory ogniowej mogłyby być bardziej restrykcyjne.

Symantec Endpoint Protection 11.0 to stabilny produkt z dobrym zarządzaniem polityką bezpieczeństwa i rozbudowanymi raportami. Niestety jakość pomocy technicznej była niezadowalająca.

Trend Micro OfficeScan Client-Server Suite Advanced 10 (Service Pack 1) ma zbyt wiele mylących komponentów, które sprawiają że instalacja, konfiguracja oraz zarządzanie produktem są uciążliwe. Szybkość skanowania była dobra, jednak wbudowane raporty nie oferowały zbyt wielu funkcji. Jakość pomocy technicznej również w tym przypadku była niezadowalająca.

Aktualnie, kilku producentów oferuje podstawowe funkcji tej ochrony w swoich flagowych produktach. Ich możliwości zostaną porównane z kompletnym rozwiązaniem ochrony stacji końcowych.

Naturalnie wzięto pod uwagę również podstawową funkcjonalność rozwiązań przeznaczonych do ochrony korporacyjnych sieci: stopień ochrony stacji końcowych, laptopów, serwerów, łatwość wdrożenia i instalacji rozwiązania. Nowością jest wprowadzanie przez niektórych dostawców oprogramowania nowych funkcji bezpośrednio do flagowych produktów ochrony sieci, dzięki czemu tradycyjne rozwiązania antywirusowe stają się potężnymi narzędziami umożliwiającymi kompleksowe zabezpieczenie sieci.

Czego szukać

Wybór produktu do kompleksowej ochrony wszystkich komputerów może być skomplikowany, nie tylko ze względu na stopień skomplikowania struktury przedsiębiorstwa, ale przede wszystkim ze względu na ilość czynników, które muszą zostać rozważone. Idealne rozwiązanie bezpieczeństwa powinno posiadać następujące cechy:

Na szczycie listy priorytetów powinna być łatwość wdrożenia oraz ilość czasu potrzebna na codzienne zarządzanie. Przedstawione porównanie jest szczegółowym podsumowaniem każdego z testowanych produktów w powyższych kategoriach.

Wydajność jest jednym z najważniejszych kryteriów doboru oprogramowania antywirusowego. Produkty, które działają wolno, spowalniają pracę użytkowników, co nie pozostaje bez wpływu na ich codzienną produktywność. Przeprowadzone testy pokazują drastyczną różnicę w działaniu poszczególnych produktów, np. Sophos uzyskał najwyższe noty w tej kategorii, Symantec i Tend Micro osiągnęły dobre rezultaty, a McAfee okazał się wyjątkowo powolnym programem.

Naszym pierwszym testem było sprawdzenie wydajności w najbardziej optymalnych warunkach, na stacji końcowej posiadające 2 GB pamięci RAM, bez uruchomionych dodatkowych aplikacji. Następnie, aby zasymulować bardziej obciążone stacje, uruchomiono tyle aplikacji, aby oprogramowanie antywirusowe miało do dyspozycji tylko 256 MB RAM. Trend Micro oraz Sophos odnotowały najniższy spadek wydajności w związku z zmniejszoną ilością pamięci, tak jak zostało to przedstawione na poniższym wykresie.

Zbadaliśmy również wpływ zainstalowanego oprogramowania antywirusowego na czas ponownego uruchomienia systemu operacyjnego. Generalnie, zainstalowanie oprogramowania dodawało to tego czasu od 20 do 60 sekund. Te wyniki nie zostały przedstawiony na wykresie, ze względu na odkrycie niespójności we wpływie tych programów na czas restartu systemu.

Kolejnym testem było dodanie testowego wirusa EICAR do folderu autostart. Sophos i Symantec wykryły i zablokowały go jeszcze w czasie uruchamiania się systemu. McAfee oraz Trend Micro nie wykryły go i pozwoliły na jego uruchomienie. Zaobserwowano, że Trend Micro oraz McAfee uruchamiają swoje systemy skanowania w czasie rzeczywistym dopiero po zakończeniu procesu uruchamiania, co umożliwia szybsze rozpoczęcie pracy użytkownikom, ale może mieć ujemny wpływ na stopień ochrony systemu. To badanie również nie zostało uwzględnione na wykresach, ze względu na trudność w precyzyjnym ustaleniu kiedy uruchamianie systemu zostało zakończone.

Jakie aplikacje zostały poddane testom

Testom zostały poddane najnowsze wersje czterech wiodących aplikacji do ochrony korporacyjnych sieci, wymienionych w raporcie Gartner 2009. Aplikację pochodzą od następujących producentów:  McAfee, Sophos, Symantec, oraz

Trend Micro, którzy specjalizują się w rynku średnich i dużych przedsiębiorstw.

McAfee Total Protection for Endpoint 8.7i (ePO 4.5) został stworzony dla osób, które chcą mieć pełen wgląd do wszystkich opcji związanych z bezpieczeństwem. Jego zasadniczą wadą jest stopień skomplikowania procesu wdrożenia oraz zarządzania politykami. Dodatkowo aplikacja kliencka działa wolno na stacjach końcowych.

Sophos Endpoint Security and Data Protection 9.0 jest aplikacją która za pomocą jednego pakietu daje pewną ochronę systemom oraz chroni dane. Produkt uzyskał wysokie noty w wszystkich kategoriach. Jego głównymi atutami są łatwość instalacji, szybkość działania, rozbudowana ochrona urządzeń oraz funkcje ochrony przed wyciekiem danych. Niektórzy administratorzy mogliby sobie życzyć obszerniejszych raportów, a firewall wymaga drobnej konfiguracji przed wdrożeniem.

Symantec Endpoint Protection 11.0 to solidny produkt z dobrymi ocenami w większości kategorii. Jego wadą jest brak wbudowanej ochrony przed wyciekiem danych oraz niska jakość pomocy technicznej.

Trend Micro OfficeScan Client-Server Suite Advanced 10 Service Pack 1 to w obecnej formie skomplikowany zbiór produktów. Centralny moduł sprawował się bardzo dobrze, jednakże po dodaniu komponentów do raportów, ochrony serwera i kilku innych funkcji, OfficeScan stał się bardzo trudny w codziennym zarządzaniu.

Wnioski

Aby sprawdzić, który z produktów najlepiej spełnia nasze założenia, poddaliśmy je testom w 6 kategoriach: instalacja i konfiguracja, polityka i zarządzanie, ochrona danych, widoczność zagrożeń oraz zarządzanie nimi, wydajność oraz wsparcie technicznie. Instalacja i konfiguracja mogą wydawać się krótkotrwałymi operacjami, jednakże doświadczenie pokazuje, że ma ono duży wpływ na relację z produktem. Zauważyliśmy, że produkty, które ciężko wdrożyć, zazwyczaj w późniejszym okresie są trudne i uciążliwe w zarządzaniu. Sophos Endpoint Security and Data Protection 9.0 uzyskał najlepsze noty w kategorii szybkość wdrożenia. Symantec również dobrze sobie poradził w tej kategorii. Porównując Symantec i Sophos do McAfee Total Protection, udowodniliśmy, że McAfee jest bardziej skomplikowany oraz wymaga poświęcenia dużo więcej czasu na wdrożenie. Trend Micro’s Office­-Scan jest wyjątkowo trudny we wdrożeniu, mimo, że bazowy produkt nie jest zbyt zaawansowanym narzędziem. Pomoc techniczna Trend Micro miała problem z udzieleniem nam jasnej odpowiedzi na temat ochrony serwerów oraz prewencyjnej konfiguracji firewall.

Polityka i zarządzanie produktem to najważniejsza część systemu ochrony antywirusowej. Sophos oraz Symantec były przyjemne w użyciu i zarządzaniu, mają prosty i logiczny interfejs, który pozwala szybko wykonywać zadania. McAfee ma dużo opcji, które często są ukryte w mało przejrzystym interfejsie. Zarządzanie politykami Trend Micro OfficeScan jest stosunkowo proste, jednak produkt okazał się być mniej elastyczny niż inne aplikacje. Jego zasadniczą wadą jest brak centralnego zarządzania dla modułów do ochrony serwerów.

Ochrona danych jest bezpośrednio związana z ochroną urządzeń oraz funkcjami do ochrony przed wyciekiem danych. Sophos okazał się być jedynym produktem w naszym porównaniu, który zawiera prawdziwe monitorowanie danych w czasie rzeczywistym. Ta funkcja umożliwia administratorom konfigurację polityk w taki sposób, aby zidentyfikować wrażliwe dane wymieniane przez pracowników. Symantec, McAfee oraz Trend Micro również mają wbudowane funkcje do ochrony danych, jednakże muszą one zostać kupione dodatkowo oraz muszą zostać wdrożone i zainstalowane jako osobne aplikacje. Wszystkie produkty posiadają możliwość kontroli urządzeń, jednak różnią się one stopniem zaawansowania. McAfee jako jedyny nie włącza kontroli urządzeń do podstawowego scenariusza pełnej ochrony korporacyjnej sieci.

Widoczność oraz zarządzanie zagrożeniami to panel zarządzania, raporty, narzędzia do generowania powiadomień oraz  zachowanie aplikacji w przypadku wykrycia zagrożenia na stacji klienckiej. Dotychczas nie było żadnego produktu, który zapewniałby 100% ochronę w blokowaniu zagrożeń, więc wiele firm posiada obraz każdego komputera w przedsiębiorstwie, który jest przywracany w przypadku wykrycia zachowań niezgodnych z polityką bezpieczeństwa. W naszych analizach skupiamy się więc nie tylko na statystykach wykrywania danych zagrożeń, ale również na tym w jaki sposób produkty umożliwiają usunięcie zagrożenia i jaki to ma wpływ na resztę sieci.

McAfee, Sophos oraz Symantec dobrze radzą sobie w tej kategorii.  Główny panel zarządzania McAfee jest bardzo przejrzysty, umożliwia dostosowanie go do swoich potrzeb oraz w nienatarczywy sposób informuje administratora o wszystkich zdarzeniach, wraz z propozycją co zrobić w danym przypadku. Sophos również posiada przejrzysty panel zarządzania oraz umożliwia lepszy wgląd w ochronę urządzeń oraz mechanizmy ochrony przed wyciekiem danych. Dodatkowo umożliwia szybkie odnalezienie np. niezaktualizowanych stacji, więc nie ma potrzeby ciągłego generowania raportów, ponieważ wszystko można zobaczyć w czasie rzeczywistym. Symantec oferuje monitorowanie i raporty oraz bardzo szczegółowe logi, które są przydatne w przypadku niestandardowych zagrożeń, w przeciwieństwie do TrendMicro, który nie oferuje pełnych raportów w swoim podstawowym pakiecie  OfficeScan i wymaga dodatkowego modułu Control Manager.

Wydajność jest ważnym kryterium oceny w naszym teście – praca użytkownika nie może być zakłócana przez oprogramowanie antywirusowe. Sophos był szybszy niż Symantec, McAfee oraz TrendMicro w scenariuszu z małą ilością dostępnej pamieci RAM. TrendMicro okazał się wydajnym programem, Symantec otrzymał przeciętny wynik, a McAfree był najwolniejszym z testowanych produktów.

Pomoc techniczna to również ważne kryterium oceny oprogramowania antywirusowego – na rynku korporacyjnym, w dużych, heterogenicznych środowiskach często pojawiają się nietypowe problemy, które trzeba szybko rozwiązać. Wszystkie testowane produkty oferują pomoc telefoniczną, pomoc e-mail oraz wsparcie Web, 24 godziny na dobę, 7 dni w tygodniu, w podstawowym pakiecie pomocy. Pomoc techniczna oferowana przez Sophos była najlepsza – szybko udzielała prawidłowych odpowiedzi w większości przypadków. Wsparcie techniczne McAfee również było dobre. Na odpowiedź Symantec oraz Trend Micro czekaliśmy dłużej, a wskazówki nie zawsze okazywały się pomocne.

Podsumowanie

Podsumowując, każdy badany produkt miał wady i zalety. Jedynym rozwiązaniem, które dostarczało solidnej ochrony w każdym kryterium, był Sophos Endpoint Security and Data Protection 9.0. Sophos udało się najszybciej wdrożyć i skonfigurować, zarządzanie nim jest łatwe, nie spowalnia pracy komputera nawet w przypadku małej ilości pamięci, a wsparcie techniczne jest wysokiej jakości. Kombinacja tych wszystkich cech sprawia, że Sophos Endpoint Security and Data Protection 9.0 to potężny produkt, dobrej jakości, umożliwiający wykonywanie codziennych zadań administracyjnych w prosty sposób. Symantec Endpoint Protection łatwo wdrożyć, jest prosty w zarządzaniu oraz umożliwia tworzenie dobrych raportów. Niestety, problemem jest niska wydajność oraz jakość pomocy technicznej. McAfee ma problemy z wydajnością, oraz ma mało funkcji związanych z ochroną danych. Trend Micro ma słabe raportowanie, a zarządzanie nim jest trudne, ze względu na ilość dodatkowych komponentów.

Mniejsze liczba jest lepsza – oznacza ilość kroków do wykonania zadania; liczba kroków oznacza, że serwer e-mail został skonfigurowany. * - oznacza ilość kroków do skonfigurowania klienta stacji końcowej, ale nie instalacji ochrony ServerProtect na serwerze,  †— Jeśli produkt ma ochronę urządzeń, ale wymagana opcja nie jest dostępna.

McAfee Total Protection for Endpoint 8.7i (ePO 4.5)

Najnowsza wersja McAfee, podobnie jak starsze wersje, ma problem z złożonością oraz skalowaniem. Administratorzy, którzy chcą intensywnej kontroli wszystkich szczegółów polityki bezpieczeństwa, mogą preferować takie rozwiązania, ale większość produktów umożliwia szybkie skonfigurowanie polityk za pomocą domyślnych reguł, które są najczęściej wykorzystywane przez klientów biznesowych.

Wdrożenie rozwiązania McAfee zajęło najwięcej czasu – około 5 godzin. Panel zarządzania McAfee umożliwia szczegółową konfigurację każdej z funkcji, przez co skonfigurowanie prostych, podstawowych reguł trwa dużo czasu. Ten produkt okazał się najwolniejszym we wszystkich testach wydajności. Zaletą tego programu jest możliwość stworzenia praktycznie dowolnej, bardzo szczegółowej polityki. Główny panel zarządzania może zostać dostosowany według preferencji, co umożliwia szybsze wykonywanie codziennych czynności administracyjnych w przyszłości.

Instalacja oraz konfiguracja

Instalacja oraz konfiguracja McAfee Total Protection jest wyzwaniem. Pierwszą czynnością jaką należy wykonać jest wdrożenie Microsoft SQL Server, następnie należy zainstalować McAfee’s ePO (ePolicy Orches­trator). Kolejną czynnością jest instalacja indywidualnych paczek dla antywirusa, antyspyware, etc. Dokumentacja McAfee niestety nie jest pomocna, mimo, że dobrze opisuje cały proces, udostępniając wszystkie niezbędne informacje.

Polityki i zarządzanie

Zarządzanie politykami również jest skomplikowane. Trudność w przypadku McAfee polega na tym, iż administrowanie produktem jest zależne od zainstalowanych komponentów, co sprawia, że ciężko je posortować. Złożoność zarządzania politykami ma jedną zaletę – umożliwia administratorom szczegółową konfigurację każdej z dostępnych funkcji oraz dokładne zdefiniowanie jakie opcje będą dostępne dla użytkowników końcowych. McAfee oferuje również sensowne domyślne polityki bezpieczeństwa w niektórych przypadkach, np.  “Typical Corporate Environment” dla ustawień firewall.

Ochrona danych

McAfee Total Protection nie zawiera funkcjonalności ochrony danych, bez zakupu dodatkowej licencji. Domyślnie nie posiada funkcji zintegrowanej ochrony przed wyciekiem danych, a ochrona urządzeń jest trudna do skonfigurowania. McAfee nie oferuje kontroli aplikacji, umożliwiającej blokowanie niechcianych programów. Do kontroli urządzeń, McAfee ma wbudowaną, prostą funkcjonalność, umożliwiającą jedynie blokowanie automatycznego odtwarzania. Próba skonfigurowania tej ochrony dla dysków USB zajęła nam dużo czasu. Polityka blokowania zapisu na wskazanych dyskach okazała się prosta do obejścia – wystarczyło zmienić literę dysku.

Panel główny McAfee jest prosty do skonfigurowania, umożliwia kompleksowe monitorowanie aplikacji

W panelu McAfee 11 ciężko znaleźć określoną funkcję

Widoczność i zarządzanie zagrożeniami

Narzędzia McAfee do raportowania oraz alertów są rozbudowane, a główny panel jest estetyczny. Jednakże znów problemem może być złożoność. Przydatną funkcją w panelu są podpowiedzi, umożliwiające szybką reakcję na dane zagrożenie. Na przykład, jeśli któraś z stacji końcowych nie spełnia polityki bezpieczeństwa, można od razu wdrożyć nową aplikację lub sygnaturę aktualizacji. Panel główny oferuje również dużą ilość wykresów, które można konfigurować. Niestety, elastyczność ma swoją cenę: aby znaleźć konkretny wykres trzeba przejrzeć kilka podstron, które nie są pogrupowane w kategorie.  McAfee Total Protection może wysyłać raporty wybrane z grupy 100 predefiniowanych raportów. Istnieje również możliwość utworzenia własnych schematów raportów, które będą wysyłane co godzinę, raz dziennie/tygodniowo/miesięcznie. Do raportu można dodać około 200 zdarzeń związanych z zagrożeniami oraz nakładać filtry związane z grupami, użytkownikami oraz systemami operacyjnymi. Niestety, tworzenie raportów czasem sprawia problemy przez miejscami nie do końca przemyślany interfejs, np. żeby stworzyć szybki raport, a następnie dodać go do harmonogramu wysyłania, należy odwiedzić różne okna konfiguracyjne. Na stacji końcowej, klient McAfee jest uwierzytelniony certyfikatem, a funkcjonalność SiteAdvisor umożliwia blokowanie niechcianych stron Web, kategoryzowanych na podstawie przydzielonych punktów ryzyka. Podobnie jak Smart Protec­tion Network od Trend Micro, filtrowanie Web to dodatkowy poziom ochrony stacji końcowych.

Wydajność

Jeśli poszukiwany jest produkt, który nie spowalnia komputera to McAfee nie jest dobrym wyborem. McAfee otrzymał najsłabsze noty w teście wydajności z testowanych produktów. We wszystkich testach zajmował ostatnią pozycję, a wydajność w scenariuszu małej ilości pamięci RAM była wyjątkowo niska.

Wsparcie techniczne

Podczas testów McAfee, korzystaliśmy z dokumentacji znacznie częściej niż podczas pracy z innymi produktami. Podczas kontaktu z pomocą techniczną, musieliśmy długo czekać na rozmowę oraz przejść długi proces autoryzacji podczas każdego telefonu. Jednak mimo tych niedogodności, nasze doświadczenia są pozytywne – otrzymaliśmy odpowiedź na każde z zadanych pytań.

Podsumowanie

Instalacja i nauczenie się zarządzania McAfee Total Protection zajmuje dużo czasu, ale administratorzy, którzy opanują tę umiejętność, będą mogli dowolnie dostosować produkt do swoich potrzeb. Oba produkty, Sophos oraz Symantec są łatwiejsze do nauczenia się, a codzienne czynności administracyjne są tam wykonywane w sposób spójny i logiczny.

Sophos Endpoint Security and Data Protection 9.0

Instalacja 9 wersji najnowszego produktu Sophos trwała zdecydowanie mniej czasu niż innych produktów. Również codzienne czynności administracyjne oraz widoczność zagrożeń były lepsze niż w analogicznych programach. W kategorii ochrona danych, Sophos skupił się na wszechstronnym, prostym i kompleksowo zintegrowanym mechanizmie ochrony przed wyciekiem danych. Te wszystkie zalety, wraz z wysoką wydajnością aplikacji na stacjach klienckich oraz doskonałą pomocą techniczną sprawiają, że Sophos Endpoint Security and Data Protection to wybór dla każdej firmy.

Instalacja i konfiguracja

Instalacja oraz konfiguracja Sophos są prostymi, w pełni zautomatyzowanymi operacjami trwającymi niewiele czasu. Domyślna konfiguracja firewall wymaga dostosowania przed wdrożeniem jej na stacjach końcowych. W heterogenicznych środowiskach na pewno zostanie doceniona współpraca Sophos z systemami Windows, Mac, Unix oraz Linux, w ramach standardowej licencji. Sophos automatycznie instaluję bazę danych wymaganą do działania konsoli zarządzania oraz udostępnia kreatory, ułatwiające wdrożenie aplikacji – np. import struktury Active Directory za pomocą jednego kliknięcia. Jeśli aplikacja jest wdrażana w środowisku, w którym jest inne rozwiązanie antywirusowe, jest ono automatycznie odinstalowywane i zastępowane.

Jedynym problemem, który napotkaliśmy podczas wdrożenia, jest domyślna konfiguracja zapory sieciowej. Domyślnie zapora sieciowa blokuje powszechne aplikacje, jak np. Internet Explorer czy RDP. Aby uniknąć tych problemów, trzeba uruchomić go w trybie interaktywnym na testowej stacji końcowej i dostosować do wymagań firmy.

Interfejs Sophos jest prosty i przejrzysty, więc administratorzy nie powinni mieć potrzeby korzystania z dostarczonej dokumentacji.

W przypadku potencjalnie skomplikowanych zadań, jak np. pierwsza instalacja, aktualizacje czy usuwanie konkurencyjnych produktów, Sophos oferuje dokumentację PDF, która jest dobrze zorganizowana i umożliwia szybkie dotarcie do szukanych informacji.

Polityka i zarządzanie

Interfejs Sophos w zakresie ustawień grup oraz polityk jest prosty i transparentny. Sophos grupuje polityki w 5 kategorii, w przeciwieństwie do McAfee 11, który ma kilka kategorii oraz po kilka zakładek w każdej grupie. Wszystkie ustawienia dokonywane są w tym samym oknie, inaczej niż w Trend Micro czy McAfee, gdzie należy klikać w kilku miejscach, aby trafić do poszukiwanego menu. Unikalną funkcją jest możliwość przydzielania polityk do grup za pomocą „drag and drop”, co przyspiesza wdrożenie.

Kontrola aplikacji wygląda zupełnie inaczej niż w innych produktach. Technicy z SophosLabs przygotowali dużą listę aplikacji pogrupowanych w przejrzyste kategorie, które są automatycznie aktualizowane. Dzięki takiemu podejściu, blokowanie aplikacji działa nawet jeśli pojawi się nowa wersja blokowanego programu lub zostanie zmieniona jego ścieżka instalacji/uruchomienia. Znacznie ułatwia to zarządzanie, ponieważ zwalnia administratora z obowiązku obserwowania, kontrolowania i aktualizowania aplikacji uruchamianych przez użytkowników. Wadą tego rozwiązania jest przypadek, gdy danej aplikacji nie ma na liście – nie można dodać jej samodzielnie i należy kontaktować się z technikami z Sophos.

Ochrona danych

Ochrona danych w Sophos, to niekwestionowana zaleta jego rozwiązań w tym porównaniu, włączając w to ochroną przed wyciekiem danych. Ochrona przed wyciekiem danych umożliwia administratorom stworzenie polityki identyfikującej kopiowanie wrażliwych danych na przenośne dyski USB, wysyłanie e-mailem lub transferowanie w inny sposób. Sam proces konfiguracji jest prosty, dzięki możliwości skorzystania z predefiniowanych reguł, umożliwiających identyfikację numerów ubezpieczeń, numerów kart kredytowych, listy e-maili oraz innych danych. Dodatkowo istnieje możliwość stworzenia własnych kryteriów wyszukiwania, które mogą zostać wykorzystane do ochrony firmowych dokumentów. Niestety istnieje kilka ograniczeń związanych z tymi funkcjonalnościami, np. aplikacja monitoruje jedynie dane kopiowane na dyski USB za pomocą Windows Explorer, w przypadku kopiowania w inny sposób kopiowanie jest przerywane. Jeśli ta funkcjonalność jest wdrożona i włączona, produkt może blokować transfer, poprosić użytkownika o potwierdzenie, lub umożliwić transfer jednocześnie logując informację o pliku, czasie próby i użytkowniku. Administrator może szybko sprawdzić logi za pomocą managera wyszukiwania i jeśli stwierdzi, że zablokowane działanie powinno zostać odblokowane, może zaktualizować regułę o wyjątek za pomocą jednego kliknięcia.

Sophos umożliwia także ochronę urządzeń, z możliwością szczegółowych definicji dotyczących każdego urządzenia, włączając w to logowanie działalności oraz dodawanie wyjątków. Dodatkowo, produkt umożliwia blokowanie dostępu do stron umożliwiających przechowywanie danych (np. Mozy), dostępu do usług zdalnego zarządzania (np. GotoMyPC) oraz usług synchronizacji (np. ActiveSync).

Widoczność oraz zarządzanie zagrożeniami

Konsola zarządzania Sophos została tak zaprojektowana, aby zminimalizować czas potrzebny na codzienne czynności administracyjne. W głównym oknie znajdują się wykresy, pokazujące np. złamanie polityk, niezaktualizowane komputery czy komputery, które wygenerowały alert. Podczas testów ataków na aplikacje internetowe, HIPS często przesyłał informację do konsoli, które wymagały odpowiedzi od administratorów. W nowej wersji aplikacji Sophos znacznie rozbudowano sekcję generowania raportów, umożliwiając jeszcze łatwiejsze ich tworzenie, umieszczanie w harmonogramie oraz konwersję do różnych formatów. Konfiguracja raportów jest łatwa i szybka. Jeśli na stacji końcowej został wykryty problem, Sophos dostarcza kreator w konsoli zarządzania, umożliwiający szybkie jego rozwiązanie.

Wydajność

Sophos uzyskał najlepsze noty we wszystkich testach wydajności.

W panelu głównym Sophos, administrator widzi wszystkie informacje, których potrzebuje

Wydajność Sophos Endpoint Security and Data Protection 9.0 była wysoka, nawet w scenariuszu z małą ilością pamięci RAM – skanowanie w czasie rzeczywistym potrzebowało tylko 3% więcej czasu, a skanowanie na żądanie było wolniejsze tylko o 19% w porównaniu do optymalnego scenariusza.

Wsparcie techniczne

Pomoc techniczna Sophos była bardzo dobra – otrzymała najwyższe noty w porównaniu. Czas oczekiwania był krótki, nie doświadczono problemów z autoryzacją licencji (w przeciwieństwie do innych testowanych produktów), a przedstawiona odpowiedź była prawidłowa.

Podsumowanie

Sophos Endpoint Security and Data Protection 9.0 to proste w obsłudze, szybkie i stabilne rozwiązanie posiadające wbudowaną ochronę przed wyciekiem danych oraz ich szyfrowanie bez dodatkowych opłat licencyjnych.

Symantec Endpoint Protection 11

Symantec Endpoint Protection 11 to stabilne i efektywne rozwiązanie do ochrony korporacyjnych sieci. Interfejs konsoli zarządzania jest schludny i przemyślany. Po prostej instalacji, w konsoli dostępne są sensowne domyślne ustawienia, umożliwiające szybką konfigurację polityk bezpieczeństwa. Symantec Endpoint Protection 11 zawiera wbudowany moduł do kontroli urządzeń, zawierający wiele pozycji i możliwości konfiguracji. Niestety jakość pomocy technicznej odbiega od średniej. Po dłuższym korzystaniu z konsoli zarządzania znaleziono kilka niewygodnych mechanizmów.

Instalacja i konfiguracja

Symantec Endpoint Protection 11 sprawia dobre wrażenie już od samego początku. Przeglądając dobrze napisaną dokumentację, można łatwo zaplanować wdrożenie i zrozumieć jak produkt działa. Bardziej odpowiedzialne decyzje można zostawić do późniejszej instalacji i wdrożyć jedynie podstawowy scenariusz. Symantec automatycznie instaluję bazę danych, jednakże wymagana jest ręczna instalacja Microsoft IIS. Synchronizacja z Active Directory jest łatwa, jednak nie tak prosta jak w przypadku Sophos. Wdrożenia przez AD można dokonać przy użyciu dużej ilości opcji, które służą do generowania paczek instalacyjnych oraz są wykorzystywane przez aplikację do zarządzania Symantec’s Altiris . Po instalacji klientów na komputerach końcowych pojawił się problem: wymagany jest plik konfiguracyjny klienta lub ręczne utworzenie polityki grup. Nie znaleziono tych informacji w dokumentacji – należało szukać jej w bazie wiedzy Symantec.

Polityka i zarządzanie

Interfejs konsoli zarządzania jest schludny i przemyślany. Symantec wybiera rozsądne domyślne polityki bezpieczeństwa, które zadowolą wielu administratorów. Dodatkowo, podobnie jak McAfee, dołącza wiele przykładowych polityk, z których można czerpać wiedzę i dostosowywać je do określonych potrzeb. Okna zarządzania politykami bezpieczeństwa są logiczne. Przydatną opcją jest lista ostatnich zmian w politykach. Aby skonfigurować politykę kontroli aplikacji, należy podać wyrażenie regularne opisujące nazwę procesu – jest to elastyczne rozwiązanie, niestety pochłania dużo czasu administratora i może sprawiać problemy, w przypadku nawet drobnych błędów w tworzeniu wyrażenia.

Główny panel okna administracyjnego, umożliwia szybki wgląd w najważniejsze opcje

W Symantec Endpoint Protection, podczas wyszukiwania niezarządzanych komputerów, należy podać nazwę oraz hasło administracyjne oraz zakres do skanowania.

Ochrona danych

Ochrona danych w Symantec obejmuje swoim zasięgiem szeroką gamę urządzeń zewnętrznych, włączając w to dyski USB, dyskietki, taśmy, płyty CD/DVD, drukarki oraz urządzenia Bluetooth. Zależnie od polityki urządzenia mogą być blokowane lub logowane.

Moduł ochrony danych w Symantec jest nastawiony zdecydowanie bardziej na logowanie zdarzeń niż na aktywną prewencję. Symantec loguje pliki kopiowane na zewnętrzne urządzenia, jednak nie potrafi podejrzeć ich zawartości i zapobiec operacji kopiowania. Istnieje możliwość zablokowania wszystkich zewnętrznych urządzeń lub udostępnienia ich tylko w trybie do odczytu. Fakt konfigurowania tej funkcji w panelu zarządzania kontrolą aplikacji, może być przykładem nie do końca przemyślanej ergonomii użytkowania.

Widoczność i zarządzanie zagrożeniami

Główny panel Symantec jest estetyczny i logiczny, łatwo rozpocząć za jego pomocą ochronę stacji końcowych lub rozeznać się w stanie bezpieczeństwa sieci. Jeśli występują problemy lub wymagana jest interakcja z administratorem, pokazywany jest duży czerwony znak „X”, jeśli wszystko jest w porządku pojawia się zielony napis. Dodatkowo, w przypadku problemów można skorzystać z linków wyjaśniających szczegóły, jednak nie są one tak dokładne jak w przypadku McAfee czy Sophos. Raporty znajdują się w zakładce „Raports” - nie trzeba ich szukać, a po wejściu w tę zakładkę można skorzystać z wielu predefiniowanych schematów, umożliwiających uzyskanie szczegółowych informacji dotyczących systemów operacyjnych, protokołów, nazw, domen i wielu innych.

Wykrywanie zagrożeń i raportowanie to silna cecha Symantec. Niestety, nie jest ona pozbawiona wad, np. nie umożliwia blokowania zagrożeń na poziomie url, więc nie może zapobiec wejściu na stronę o złej reputacji. Po pobraniu złośliwego kodu, jest on natychmiast przenoszony, więc potencjalny atak  nie będzie miał miejsca. W przypadku wykrycia nieznanego kodu, można w prosty sposób wysłać raport, generowany w html. Symantec oferuje wiele różnych alertów oraz metod filtrowania. Stworzenie własnego raportu również nie powinno sprawiać problemów.

Wydajność

W aktualnej wersji Symantec dokonano kilku zmian, które poprawiły jego statystyki wydajności, jednakże nadal jest ona daleka od doskonałości. Skanowanie w czasie rzeczywistym jest stosunkowo szybkie w przypadku otwierania plików oraz podczas kopiowania dużych plików, jednak nie sprawdza się w scenariuszu z małą ilością dostępnej pamięci RAM.

Wsparcie techniczne

Korzystanie z pomocy technicznej Symantec jest frustrujące i nie spełnia standardów administratorów, którzy chcieliby szybko otrzymać techniczną odpowiedź. Pierwszą przeszkodą jest uciążliwa autoryzacja. W końcu gdy udało się połączyć z konsultantem, okazało się, że nie dysponuje on żadną wiedzą techniczną i znów trzeba było czekać na przełączenie do kolejnej osoby. Poszukiwanie odpowiedzi na stronie Web może sprawiać trudności, ze względu na rozbudowaną sekcję korporacyjną na stronach Symantec.

Podsumowanie

Ogólnie Symantec Endpoint Security 11.00 to dobry i stabilny produkt, który na pewno zadowoli wielu klientów biznesowych, jednakże przed zakupem należy rozważyć kwestię wydajności oraz pomocy technicznej.

Trend Micro OfficeScan Client – Server Suite Advanced 10 SP1

Trend Micro OfficeScan w najprostszej postaci umożliwia proste zarządzanie stacjami końcowymi. Po instalacji dodatkowych modułów, staje się złożoną siecią zależności, w której trudno cokolwiek odnaleźć.

Klient The Office Scan jest stosunkowo szybki, a sieć Trend Micro’s Smart Protection pomaga w codziennym zarządzaniu, m.in. przez aktualizacje adresów Web, dzięki czemu zagrożenie może zostać zatrzymane już na poziomie adresu URL, uniemożliwiając użytkownikom wejście na stronę o złej reputacji. Aby zapewnić dodatkową ochronę, należy zainstalować dodatkowe moduły – komponent zapory sieciowej, ochrony behawioralnej, raportów oraz komponent ochrony serwera.

Webowa konsola zarządzania Trend Micro pokazuje wiele informacji

Instalacja i konfiguracja

Pełna instalacja produktu OfficeScan, wraz ze wszystkimi komponentami, to długi i skomplikowany proces, wymagający więcej czynności niż tylko klikanie „Dalej” oraz adekwatnej ilości czasu. Dzięki takiemu podejściu można dostosować instalację konkretnie do swoich potrzeb, jednak jest ona złożona i czasochłonna. Dodatkowo, niektóre komponenty trzeba instalować osobno, jak np. ServerProtect. Nawet moduł do generowania raportów musi być instalowany osobno. Aby jeszcze bardziej zwiększyć złożoność, Trend Micro postanowiło zmienić strategię zapory sieciowej i włączyć ją do Intrusion Defence Firewall – zupełnie nowego produktu. Nawet pomoc techniczna Trend Micro miała problem z odpowiedzią na konkretne pytanie związane z powiązaniami zapory sieciowej.

Polityka i zarządzanie

Zarządzanie politykami w Trend Micro sprawia wrażenie niedopracowanego. Polityka zarządzania jest wdrażana przez domeny OfficeScans (które zazwyczaj są odzwierciedleniem domen w Active Directory), gdzie każda domena to jedna wtyczka – bez żadnej hierarchii, więc administrator może mieć problem z rozpoznaniem komputerów. Zarządzanie komponentami jest skomplikowane, ze względu na ich ilość. Moduł Intrusion Defense Firewall musi być zarządzany osobno. Do ochrony serwera Trend Micro dostarcza produkt ServerProtect, który nie jest zarządzany z OfficeScan.

Ochrona danych

Trend Micro zawiera kontrolę urządzeń, jednak nie posiada mechanizmów chroniących przed wyciekiem danych. Ustawienie tej funkcjonalności jest proste i nie wymaga wielu zabiegów – należy wybrać interesujące opcje z listy. Trend  Micro wspiera mniej urządzeń niż inne testowane produkty, ale zamiast tego posiada możliwość stosowania danej polityki dla każdej klasy urządzeń.

Widoczność i zarządzanie

Trend Micro ma użyteczny i dobrze zorganizowany główny panel w konsoli zarządzania – dobrze widać status aktualizacji oraz sygnatury plików. Niestety ilość powiadomień jest niska – możliwe ustawienia to: wykrycie wirusa, wykrycie wirusa i problemy z jego usunięciem, oraz epidemia. Interfejs produktu został zaprojektowany raczej aby informować o zdarzeniach, niż im przeciwdziałać: nie udało się nam ustawić widoku, w którym byłby jednoznacznie pokazany status ochrony. Jeśli administrator chce wygenerować raport, musi zainstalować dodatkowy produkt, Trend Micro Control Manager na oddzielnym serwerze. Po przejściu przez ten dodatkowy proces instalacji byliśmy rozczarowani – okazał się być rozbudowanym analizatorem logów.

Mocną stroną Trend Micro jest korzystanie z funkcjonalności blokowania adresów URL w systemie antywirusowym na stacji klienckiej. Podczas korzystania z internetu, OfficeScan kontaktuje się z bazą reputacji adresów Trend Micro Smart Protection Web i sprawdza wszystkie adresy, z których korzysta użytkownik. Dodatkowo w Trend Micro Office Scan Service Pack 1 dodano skanowanie i klasyfikowanie aplikacji na podstawie jej zachowania.

Wydajność

Trend Micro ciężko poddać rzetelnej ocenie – był szybszy niż McAfee, ale nie tak dobry jak lider zestawienia, Sophos. Wydajność skanowania w czasie rzeczywistym Trend Micro w teście z małą ilością dostępnej pamięci RAM była wyjątkowo niska. Zdecydowanie lepiej wypadł podczas testu z dużą ilością pamięci.

Wsparcie techniczne

Doświadczenia z pomocą techniczną Trend Micro były przeciętne. Długi czas oczekiwania na rozmowę z konsultantem został wynagrodzony szybką i skuteczną pomocą. Niestety, w przypadku pytań o zaporę sieciową (czy powinniśmy skorzystać z Intru­sion Defense Firewall czy ServerProtect), otrzymaliśmy sprzeczne informacje o rekomendowanym rozwiązaniu.

Podsumowanie

Złożoność i słaba integracja produktów Trend Micro, wraz z ubogimi raportami i niespójną pomocą techniczną, sprawiły, że nie jest to rozwiązanie poszukiwane przez większość przedsiębiorstw. Firmy, które mają cierpliwość i czas na naukę administracji tym rozwiązaniem, szukające aplikacji mającej dobrą wydajność oraz funkcjonalność blokowania zagrożeń na podstawie adresów URL mogą być zadowolone z tego produktu.

Jak testowaliśmy

Cascadia Labs testuje produkty w sensownych, porównywalnych oraz odtwarzalnych warunkach. W przypadku pomocy technicznej, starano się obiektywnie i sprawiedliwie uzyskać pomoc z wszystkich możliwych źródeł. Podczas naszych testów, firmy rozpoczynały wdrożenia Windows Server 2008 R2 oraz Windows 7, więc odstąpiliśmy od testowania produktów na tych systemach. Wszystkie rozwiązania, były testowane na systemach Windows Server 2008 oraz  Microsoft Windows XP SP2.

Instalacja, konfiguracja i zadania administracyjne

Aby ocenić stopień złożoności instalacji posłużono się liczbą kroków, które musi wykonać administrator dysponujący odpowiednią wiedzą dla danego produktu, potrzebnych do przeprowadzenia kompletnej instalacji w specyficznych scenariuszach. Poszczególne kroki były zliczane według następujących warunków:

Wydajność

Dla testów wydajności, zautomatyzowaliśmy pewne zadania tak, aby warunki były powtarzalne. Polityki w poszczególnych produktach zostały skonfigurowane możliwie podobnie. Oznacza to, że zostały stworzone wyjątki dla narzędzi CascadiaLabs, a reszta ustawień pozostała domyślna. Każdy z testów był powtarzany trzykrotnie, a wynik końcowy był średnią z wyników. Ogólna wydajność to podsumowanie wydajności z testów skanowania w czasie rzeczywistym, skanowania na żądanie, otwarcia pliku PowerPoint, oraz testów restartu komputera.

Każdy test został powtórzony w warunkach niewielkiej ilości dostępnej pamięci RAM, równej 256 MB. Celem tego testu była symulacja obciążonego systemu stacji końcowej. Również w tym przypadku test został wykonany trzykrotnie, a wynik jest średnią z uzyskanych wyników.

Do powyższych testów wykorzystano komputer DELL PC z procesorem Intel Core 2 Duo E4500 2.2-GHz, 2 GB RAM, z dyskiem twardym o pojemności 160 GB, oraz systemem operacyjnym Microsoft Windows XP Professional Service Pack 2.

Wsparcie techniczne

Podczas testów wykonano kilka telefonów do pomocy technicznej każdej z firm, z problemami dotyczącymi przeprowadzanego wdrożenia. Odtwarzano rolę przykładowego pracownika działu IT, z przeciętną wiedzą na temat rozwiązań antywirusowych. Zbadano długość czasu oczekiwania na rozmowę: jak dużo czasu zajęło uzyskanie konkretnej odpowiedzi od wykonania połączenia. Sprawdzono również jak pomoc techniczna danej firmy radzi sobie w przypadku trudniejszych pytań oraz czy pierwsza osoba, z którą udało się skontaktować, jest w stanie odpowiedzieć na zadawane pytania o różnym poziomie trudności.

Wersja oryginalna:

• Zobacz raport w wersji anglojęzycznej.