Обзор Sophos Endpoint Security and Control 8



Sophos Endpoint Security and Control - полностью интегрированное, масштабируемое решение для обеспечения безопасности конечных точек сети. Этот программный комплекс упрощает защиту рабочих станций, портативных устройств и файловых серверов от известных и неизвестных угроз. Благодаря данному решению администратор может получать доступ к клиентским компьютерам, оценивать степень риска для тех из них, защита которых не соответствует принятой политике, а также контролировать запуск установленных на них приложений.

Сертификат AM Test Lab

Номер сертификата: 62

Дата выдачи: 02.07.2009

Срок действия: 02.07.2014

Реестр сертифицированных продуктов »

 

1. Введение

2. Ключевые технологии

3. Системные требования

4. Установка

5. Тестирование

6. Выводы

 

1. Введение

Sophos Endpoint Security and Control 8 состоит из следующих компонентов:

  1. Sophos Anti-Virus. Предназначен для защиты корпоративных сетей от вредоносных программ. Помимо сигнатурного анализа антивирус опирается также на встроенную проактивную защиту, которая позволяет обнаруживать неизвестные угрозы. Эта замечательная возможность существует благодаря двум технологиям - Sophos Behavioral Genotype и Sophos HIPS.
  2. Sophos Application Control. Специальная технология, при помощи которой можно ввести запрет на использование легальных, но часто нежелательных в корпоративной среде приложений: программ для обмена мгновенными сообщениями, игр, файлообменных клиентов и др.
  3. Sophos Enterprise Console. Предоставляет администратору возможность развертывания всех компонентов решения на компьютерах в сети и последующего управления ими.
  4. Sophos Client Firewall. Персональный сетевой экран, предназначенный для контроля сетевой активности клиентских компьютеров.
  5. Агент Sophos NAC. Агент предназначен для обеспечения единой политики доступа к сетевым ресурсам и основан на технологии Network Access Control, поддерживающей Cisco Network Admission Control, Microsoft NAP и аналоги. Для управления им необходимо будет дополнительно установить сервер управления Sophos NAC.

По умолчанию на всю сеть развертывается только антивирус, однако можно дополнительно установить:

2. Ключевые технологии

  • Genotype technology - проактивная защита от так называемых угроз «нулевого дня» (zero day).Обеспечивает распознавание вирусов или целых семейств вредоносных программ по нечетким сигнатурам.
  • Behavioral Genotype Protection - модуль защиты, способный блокировать вредоносные программы еще до того, как они будут запущены.
  • Built-in host intrusion-prevention technologies - это модуль предвыполнения подозрительного файла или процесса. Он позволяет обнаруживать атаки с использованием переполнения буфера.
  • Decision Caching ускоряет работу антивирусной программы за счет кэширования и проверки только новых и измененных файлов.
  • Sophos NAC - система управления политиками безопасности, благодаря которой клиентские (в особенности мобильные) компьютеры допускаются к сетевым ресурсам только в случае полного соответствия установленной политике безопасности.
  • Способ управления drag&drop позволяет быстро выполнять рутинные операции, что облегчает каждодневную работу с консолью управления.

3. Системные требования

Консоль администрирования

Поддерживаемые клиентские платформы:

  • Windows Vista/2003/XP/2000
  • Windows Me/98/NT4
  • Mac OS X (10.2/10.3/10.4)
  • Linux

Аппаратная часть: процессор Pentium 2.0 GHz или эквивалентный

Сервер управления:

  • Windows 2003 Server
  • Windows 2000 Server
  • Windows 2003 Server 64-bit
  • VMWare ESX 3.0
  • VMWare Workstation 5.0
  • VMWare Server 1.0

Сервер управления Sophos NAC: Windows 2003 Server

Удаленная консоль

  • Windows 2003
  • Windows XP Professional
  • Windows 2000 Professional или Server
  • VMWare ESX 3.0
  • VMWare Workstation 5.0
  • VMWare Server 1.0

Инструменты администрирования для Helpdesk-консоли и консоли только для чтения

  • Windows 2003 Server
  • Windows 2000 Server
  • Windows 2003 Server 64-bit
  • VMWare ESX 3.0
  • VMWare Workstation 5.0
  • VMWare Server 1.0

Дисковое пространство: не менее 150 Мб и 2 Гб для базы данных (не менее 4 Гб, если планируется запускать Sophos NAC Manager)
Оперативная память: не менее 512 Мб (2 Гб, если требуется Sophos NAC Manager)

Sophos NAC

Поддерживаемые платформы: Windows 2000/XP/Vista
Пространство на жестком диске: 20 Мб
Рекомендованная оперативная память: не менее 512 Мб

Sophos Anti-Virus

Поддерживаемые платформы:

  • Windows Vista*/2003*/XP*/2000
  • Windows Me/98/NT4/Mobile
  • Windows 2003 Server 64-bit
  • Linux
  • UNIX (Solaris, HP-UX, IBM-AIX и другие)
  • Novell Netware
  • NetApp Storage Systems
  • OpenVMS
  • VMware ESX 3.0
  • VMware Workstation 5.0
  • VMware Server 1.0

Дисковое пространство:

  • Windows 2003/XP/2000 - 120 Мб
  • Windows Me/98/95/NT4 - 90 Мб

Минимальная оперативная память:

  • Windows 2003/XP/2000 - 256 Мб
  • Windows Me/98/95 - 64 Мб
  • Windows NT4 - 256 Мб

 

Sophos Client Firewall

 

Платформы:

  • Windows Vista
  • Windows 2000 Professional
  • Windows XP Professional
  • Windows XP Home

Свободное пространство на жестком диске: не менее 20 Мб
Оперативная память: не менее 256 Мб
Процессор: класса Pentium 300 МГц и выше

Sophos Anti-Virus for Mac OS X

Поддерживаемые платформы: Mac OS X 10.2 или выше
Дисковое пространство: не менее 90 Мб
Оперативная память: не менее 128 Мб
Процессор: Intel или PowerPC

4. Установка

Для установки консоли управления требуется процессор мощностью 2 ГГц, 512 Мб оперативной памяти и не менее 2 Гб на жестком диске (сам продукт занимает около 100 Мб, остальное место необходимо для базы данных). Также обязательным требованием является подключение к Интернету.
После скачивания дистрибутива и запуска сетевого инсталлятора на сервере первой установится Sophos EM Library - система управления антивирусными обновлениями и дистрибутивами компонентов защиты.

 

Рисунок 4.1. Sophos EM Library - система управления антивирусными обновлениями и дистрибутивами компонентов защиты

Sophos EM Library - система управления антивирусными обновлениями и дистрибутивами компонентов защиты

 

Система EM Library позволяет управлять обновлением всех антивирусов Sophos на всех поддерживаемых платформах. В рамках одной сети можно иметь несколько серверов EM Library, разделив их на главные и подчиненные. Обычно один такой сервер размещают в демилитаризованной зоне, а еще один можно разместить, например, в «зоне лечения» (remediation zone), используемой для обновления состояния защиты компьютеров, не прошедших авторизацию в Sophos NAC и не допущенных в общую сеть.

Кроме этого, возможность создания иерархии серверов EM Library может быть очень полезной, если сеть предприятия состоит из нескольких сегментов, разнесенных географически. В этом случае для каждого сегмента может быть установлен свой сервер обновлений, что существенно снижает трафик.

После системы EM Library устанавливается сервер управления Sophos и консоль управления Sophos Enterprise Console.

 

Установка сервера управления Sophos и консоли управления Sophos Enterprise Console

 

После установки этих компонентов перезагрузка не требуется (исключение — Windows 2000).

 

Установка сервера управления Sophos и консоли управления Sophos Enterprise Console

 

Для удобства дальнейшего развертывания решения и управления им в консоли предусмотрено создание групп компьютеров. Группы требуются, прежде всего, для того, чтобы одновременно установить и настроить антивирусное решение на компьютерах, предполагающих одинаковые настройки системы безопасности. Например, компьютеры, расположенные в бухгалтерии, имеют одни параметры, а ноутбуки менеджеров, которые часто бывают вне корпоративной сети и могут принести извне новый вирус, - другие.

Другой полезный инструмент позволяет найти соответствующие машины в локальной сети по диапазону IP-адресов или с помощью Active Directory. Sophos способен также синхронизировать группы компьютеров, заданные в консоли, и группы, сформированные в Active Directory, избавляя тем самым администратора безопасности от выполнения такой работы вручную.

 

Поиск компьютеров в локальной сети по диапазону IP-адресов или с помощью Active Directory

 

Следующий шаг — обеспечение защиты найденных компьютеров. Справиться с этой задачей помогает специальный мастер - Protect computers wizard.

 

Мастер - Protect computers wizard

 

Антивирус инсталлируется на клиентскую машину за считанные минуты. Вместе с антивирусом будет установлена и система управления приложениями Application Control. Также, если это необходимо, можно отдельно установить сетевой экран Sophos и агент Sophos NAC.

 

Окно установки сетевого экран Sophos и агента Sophos NAC

 

После развертывания выполнить обновление антивируса может как сам пользователь с клиентского компьютера, так и администратор через консоль управления.

 

Обновление антивируса

Консоль управления 

С помощью политик, предусмотренных в консоли, администратор может настраивать расписание выдачи обновлений для каждой группы компьютеров. Такое разведение этой операции во времени обычно используется в больших сетях для того, чтобы избежать слишком сильной нагрузки на сервер обновлений и сеть.

5. Тестирование

Пользовательский интерфейс и настройки

Консоль управления

Автоматизированная консоль управления дает возможность развертывания, обновления, а также последующего мониторинга работы антивируса, файервола и агентов NAC. Одна такая консоль может управлять десятками тысяч машин. Она позволяет администратору оценивать степень риска, следить за состоянием защиты компьютеров в сети.

В поле зрения администратора находится вся сеть - благодаря данному преимуществу удается в кратчайшие сроки защитить машины от вредоносного и нежелательного программного обеспечения. Кроме того, как мы уже отмечали, имеется возможность вести наблюдение за легальными, но нежелательными в организации программами — это клиенты передачи мгновенных сообщений, медиа-плееры, файлообменные клиенты, игры и т.п. В компании Sophos указывают на серьезную опасность использования неконтролируемых сетевых приложений на рабочих станциях, так как по генерируемому ими трафику корпоративная сеть может быть заражена. Кроме того, контроль таких приложений помогает избежать утечки конфиденциальной информации, например, через ICQ.

Для перехода с ранее установленного решения для безопасности на Endpoint Security and Control есть возможность автоматически удалить приложения третьей стороны во время развертывания, отметив соответствующий пункт:

 

 

Поиск компьютеров в локальной сети, диапазоне IP-адресов или в Active Directory осуществляется очень легко:

 

 

Поиск компьютеров в локальной сети

 

Поиск компьютеров в локальной сети

 

Уровни риска отображаются на приборной доске консоли. Как только вирус, потенциально опасное или неизвестное приложение будет обнаружено — администратор немедленно получит наглядное уведомление об этом инциденте посредством системы индикации консоли управления.

 

Система индикации консоли управления

 

Поступившие сигналы тревоги сопоставляются и получают один из трех статусов — синий («Все в порядке»), оранжевый («Предупреждение») и красный («Критическая ситуация»).

 

Система индикации консоли управления

 

Кликнув мышью на область Smart Views, администратор может:

  • Выбрать альтернативное представление, для того чтобы сосредоточиться только на машинах, чья защита устарела, либо на машинах, где обнаружены критические ситуации. Такая сортировка позволяет мгновенно оценить ситуацию на проблемных участках сети.
  • Изменить пороги присвоения каждого из трех статусов.

 

 

По умолчанию сведения о найденных вирусах выводятся на приборную доску. Также администратору может быть отправлено электронное письмо с предупреждением. На клиентском же компьютере появится всплывающее окно с названием вируса и ссылкой на сайт вирусной энциклопедии Sophos, где пользователь может ознакомиться с подробными сведениями об угрозе.

 

Информационное всплывающее окно

 

После вирусной атаки администратор при помощи консоли может централизованно удалять зараженные файлы, записи в реестре и запущенные процессы.

Элемент Smart Views дает полное представление о статусе безопасности всех машин в сети. Предусмотрена возможность переключить просмотр на проблемные участки сети или компьютеры, нуждающиеся в обновлении.

 

Статус безопасности компьютеров в сети

 

По сути, интерфейс консоли предоставляет список компьютеров, а администратор может с помощью разнообразных фильтров (например, посредством выбора групп компьютеров, использования Smart Views или приборной панели) проредить этот список в соответствии с той задачей, которую он в данный момент хочет решить. Например, если администратору понадобится развернуть клиентское ПО Sophos на новых компьютерах, то можно выбрать фильтр «Только управляемые, но не защищаемые компьютеры».

 

Фильтрация списка компьютеров

 

Технология настройки Sophos Active Policies позволяет создавать наборы правил для каждого компонента защиты от Sophos (например, настройка антивирусной защиты, системы обновления, Application Control и т.д.), а затем выдавать команды на использование этих правил в группах компьютеров посредством drag&drop. Таким образом, можно настраивать тысячи компьютеров в кратчайшие сроки. Кроме того, Active Policies позволяет создавать специальные правила «про запас», то есть те правила, которые в обычном режиме не используются, но могут быть активированы в случае обнаружения информационной атаки, например.

  • Если пользователь на рабочей станции имеет доступ к изменению настроек компонентов защиты и произвел перенастройку, администратор получит об этом нотификацию с помощью консоли управления

 

Консоль управления

 

Антивирус также обеспечивает защиту, используя встроенную систему обнаружения вторжений (HIPS). Технология позволяет анализировать запущенные процессы, предотвращать переполнение буфера и проактивно обнаруживать вредоносный программный код при его попытке выполнить недопустимую операцию (например, просканировать жесткий диск с целью найти электронные адреса и отправить найденное «хозяину» вируса, собирающему базу для будущей рассылки спама). Систему HIPS в решении Sophos отличает несложная настройка.

 

Встроенная система обнаружения вторжений (HIPS)

Политика позволяет задавать широкий диапазон опций для сканирования всей сети. По умолчанию применяются следующие настройки:

  • сканирование всех файлов на уязвимости и наличие вредоносного кода;
  • запрет доступа к любому вредоносному объекту;
  • информирование о проблеме безопасности с помощью всплывающего окна.

Приложения для мгновенного обмена сообщениями, голосовой связи, файлообменные клиенты и другие подобные легальные программы могут представлять угрозу информационной безопасности фирмы. Sophos Anti-Virus может детектировать такие приложения наряду с вредоносными и сообщать о попытке их использования администратору. По умолчанию все эти приложения разрешены к использованию. Сконфигурировать список можно в меню Application control консоли управления.

Настройка NAC (управление политикой доступа к сети на основе технологий Cisco Network Admission Control, Microsoft NAP  и других) осуществляется посредством NAC Manager, который запускается двойным кликом на пункте NAC policy. NAC Manager обеспечивает дополнительные отчеты, уведомления, параметры редактирования политики. Он разделен на четыре области:

  • Manage –обеспечивает редактирование политик управления;
  • Enforce – контролирует доступ приложений к сети, основываясь на шаблонах и разрешающих правилах;
  • Report – предлагает набор отчетов для решения проблем, относящихся к сетевому доступу;
  • Configure – обеспечивает контроль состояния компонентов, необходимых для управления системой, параметрами и настройками.

На клиентской машине пользователю доступны сканирование, различные настройки, и управление собственным каратином (Quarantine Manager). Интерфейс клиентской части сильно упрощен для удобства неподготовленных сотрудников.

 

 

 

В Quarantine Manager помещаются инфицированные файлы, которые были удалены. Компонент позволяет выборочно блокировать потенциально опасные и нежелательные приложения.



 

Поддержка

Компания Sophos осуществляет техническую поддержку своих продуктов круглосуточно семь дней в неделю. Опытные консультанты предоставляют полный пакет услуг и помогают оптимизировать защиту компании. Поддержку на русском языке обеспечивает компания «ДиалогНаука».

6. Выводы

Sophos Endpoint Security and Control является прекрасным кроссплатформенным средством для обеспечения безопасности больших организаций. Продукт включает в себя все необходимое администратору — обнаружение вредоносного ПО, защиту от сетевых атак и интуитивно понятную консоль управления всей антивирусной безопасностью предприятия.

Администратор в режиме реального времени получает информацию о текущем состоянии защиты и соответствии компьютеров сети установленным политикам безопасности. Данный продукт, Sophos является полноценным интегрированным решением для корпораций. Он не только обеспечивает защиту от вредоносных программ, но и позволяет контролировать работу пользовательских приложений

При покупке лицензии на Sophos Endpoint Security and Control, администратор получает постоянно обновляемое программное обеспечение, возможность беспрепятственно скачивать и устанавливать новый релиз решения без дополнительных затрат.

Кроме того, неоспоримым преимуществом Sophos Endpoint Security and Control является его поддержка свыше 25 различных платформ, среди которых различные версии Windows, Mac OS X, Linux, UNIX, NetWare, NetApp Storage Systems и Windows Mobile. При этом лицензия не привязана к какой-либо платформе, что позволяет менять операционные системы на серверах и рабочих станциях без дополнительных затрат на обновление лицензии антивируса. Однако, продление лицензии осуществляется без скидки, что существенно увеличивает стоимость владения продуктом в расчете на несколько лет.

Плюсы:

  • кроссплатформенность;
  • простота и наглядность;
  • автоматическая защита компьютеров;
  • защита от угроз «нулевого дня»;
  • низкая нагрузка на компьютеры и сети;
  • возможность контроля установленных приложений:
  • поддержка Cisco NAC.

Минусы:

  • отсутствие русскоязычного интерфейса;
  • недостаточно гибкая для крупных компаний система отчетов;
  • необходимость обязательного подключения к Интернету для установки решения;
  • возможность отключения антивируса при наличии прав локального администратора у пользователя.

 

 

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.