Image default
ReviewsSoftware

Análisis Sophos Intercept X Endpoint Protection Antivirus

Elegir la mejor solución antivirus para su computadora puede ser una tarea abrumadora debido a la cantidad de criterios que se deben considerar. Es posible que desee una solución de seguridad básica para su PC o computadora portátil o un sistema de protección muy avanzado para toda la familia, capaz de proteger sus dispositivos contra virus, ataques de piratas informáticos y fraude.

Sophos es una conocida empresa de ciberseguridad que ofrece software de seguridad para empresas. Sin embargo, también proporciona software antivirus para consumidores en general, prometiendo «seguridad cibernética de nivel empresarial» para uso doméstico.

Durante mis pruebas, quedé muy impresionado con las capacidades de escaneo de Sophos  : el antivirus bloqueó y eliminó casi todas las muestras de malware que descargué, incluidos spyware, ransomware, troyanos, rootkits y virus.

Ejemplo de bloqueo de sitio web según política de seguridad

También probé todas las funciones adicionales de Sophos, incluidas:

  • Protección web.
  • Controles parentales.
  • Gestión remota de dispositivos.

Una de mis cosas favoritas de Sophos es que puede administrar sus funciones de forma remota en hasta 10 dispositivos. Esto es ideal si necesita una manera fácil de cambiar la configuración de seguridad, ejecutar escaneos de malware y administrar la configuración de control parental en varios dispositivos a la vez.

Especificaciones Sophos Intercept X Endpoint Protection

Vacuna contra ransomware Si
Versión Linux Si
Sitio web malicioso y defensa antiphishing Si
Control de dispositivos externos Si
Cortafuegos Si
Reversión/descifrado de archivos de ransomware Si
Análisis forense de ataques gráficos Si
Objetivo de políticas Dispositivo
Administrar por grupo Si
Administrar por etiqueta Si
Cliente Linux Si
Cliente macOS de Apple Si
Cliente Windows Si
Registro de auditoría completo Si
Gestión de dispositivos móviles Si
Agente móvil para Android Si
Agente móvil para iOS v
Gestión de cifrado nativo Si
VPN incluido No
Gestión de parches Si
Análisis de raíz de la causa Si
Detección y respuesta de punto final (EDR) Si

Experiencia de Uso

Sophos Central

El panel de control de Sophos Central es donde sucede toda la magia. Una vez que inicie sesión, verá una descripción general de alto nivel de las alertas activas, su gravedad y la cantidad de dispositivos afectados. Se puede hacer clic en casi todo y lo llevará al módulo relacionado.

Debajo de esta sección del tablero hay un resumen de uso que muestra qué dispositivos están protegidos y cuáles han estado inactivos. Si un dispositivo se cae del mapa por un tiempo, podría ser motivo de preocupación, por lo que esta es una buena información para tener de un vistazo. Si utiliza Sophos Email Security, también obtendrá un resumen de la actividad de las amenazas por correo electrónico. 

Para comenzar rápidamente, puede saltar a la sección Proteger dispositivos. Desde allí, puede hacer clic en el enlace de descarga apropiado para su sistema. Una vez que se instala el agente, lo que lleva solo uno o dos minutos, su dispositivo está protegido.

Si está utilizando un dispositivo móvil, hay un asistente de inscripción móvil en la misma página. Agregar usuarios es igualmente fácil en la sección Personas. Puede agregar usuarios de uno en uno o importarlos desde archivos CSV.

Más abajo en el tablero está el panel Alertas. Aquí es donde se catalogan y muestran todas las amenazas a medida que se descubren. A medida que se resuelven, puede verificarlos y marcarlos de la lista. Si una amenaza en particular se cita más de una vez, puede agrupar las instancias con un simple interruptor de palanca. Si alguna amenaza requiere una limpieza manual o actividad adicional, puede hacer clic en el hipervínculo de la amenaza y ver cuáles son los siguientes pasos. La mayoría de las veces, todo lo que necesitará es reiniciar para solucionar el problema.

La sección Dispositivos también es fácil de usar. Para ver los detalles de un dispositivo específico, puede hacer clic para obtener un resumen rápido de los productos instalados, los eventos recientes, el estado actual del sistema y las políticas. Security Health en la pestaña Estado es bastante detallado y puede brindarle un resumen rápido si algo anda mal, como un software desactualizado o una amenaza activa. También puede ver de un vistazo qué políticas se aplican a ese dispositivo.

Policies y EDR

Si hay una desventaja de Sophos, es la abrumadora cantidad de opciones para la configuración de políticas. La buena noticia es que todas las políticas predeterminadas tienen las funciones esenciales incluidas, por lo que no hay mucho que hacer aquí, a menos que quiera ser astuto o si tiene requisitos específicos para el control web o de dispositivos.

Hay siete categorías de políticas que puede agregar, que van desde Control de aplicaciones hasta Control web y cada una tiene su propio conjunto único de configuraciones para modificar. Cada política puede aplicarse a usuarios o dispositivos, por lo que hay mucha flexibilidad.

Cada política puede aplicarse a usuarios o dispositivos, por lo que hay mucha flexibilidad.

Las características anti-ransomware ofrecen mucho con lo que trabajar. Intercept X trae una excelente combinación de aprendizaje profundo y detección de exploits a la mesa, por lo que puede determinar rápida y fácilmente si una pieza de software está tramando una travesura. También emplea una característica llamada CryptoGuard para recuperar automáticamente cualquier archivo dañado y proteger contra intentos de encriptación de ransomware. Además, la función de análisis de causa raíz puede rastrear lo que sucede a medida que se ejecuta un programa, por lo que cualquier cosa que haga se puede revertir más tarde, si es necesario. Combinado con un firewall que sabe cómo buscar varios tipos de tráfico hostil, Sophos Intercept X es un ganador.

Nuevo en el producto es la detección y respuesta de Endpoint (EDR), que toma la forma de un Centro de análisis de amenazas. Puede eliminar las amenazas directamente desde este módulo y también puede aislar los dispositivos afectados mientras descubre de dónde proviene la amenaza. Le brinda un resumen útil, que incluye si los datos comerciales estaban involucrados cuando se produjo la amenaza y cuál fue la causa principal. Con esta información, puede idear estrategias para evitar ataques similares en el futuro. Bitdefender GravityZone Ultra también tiene capacidades EDR integradas con su Panel de riesgos, pero esta es un área donde Sophos Intercept X funciona mejor.

Análisis de Causa Raiz

Además de la respuesta automática, una de las funciones más útiles que ofrece Sophos Intercept X es el análisis de causa raíz. Una cosa es decir que sus sistemas están protegidos, pero a menudo es más útil saber cómo y por qué ocurrió un ataque. Esto puede ayudar no solo a proteger sus sistemas en el futuro, sino también a educar a los usuarios sobre lo que deben o no deben hacer. Por ejemplo, si un empleado descarga una aplicación no autorizada que tiene un ransomware, ese incidente puede salir a la luz en la próxima reunión de seguridad. En líneas generales, Sophos agrupa estos componentes en tres partes: descripción general, artefactos y visualización.

La descripción general describe la amenaza y le brinda un resumen de dónde se encontró y cuándo. Artifacts le informa sobre los cambios que la amenaza intentó realizar en el sistema. Visualize le muestra un diagrama que muestra la ruta de infección y cómo el malware intentó interactuar con el resto del sistema. Además de ser uno de los tres únicos productos en este resumen que tienen este tipo de análisis disponible, creemos que Sophos Intercept X hace el mejor trabajo al presentar los datos porque no solo es claro, también es muy fácil de aprender y con un mínimo de complicaciones técnicas.

Rendimiento

Cuando ejecutamos Sophos Intercept X en nuestro conjunto de pruebas de detección de amenazas para terminales, obtuvo las mejores calificaciones. La primera prueba involucró sus capacidades anti-phishing. No se requieren complementos de navegador para esta funcionalidad, pero nos aseguramos de que el descifrado de HTTPS estuviera habilitado para los sitios de phishing que usaban SSL. Seleccionamos diez páginas de phishing conocidas de PhishTank, una colección de sitios web de phishing sospechosos y verificados. Sophos detectó y bloqueó los diez.

Luego, usamos la función AutoPwn 2 de Metasploit para lanzar un ataque basado en navegador contra el sistema usando una versión vulnerable conocida de Chrome con el tiempo de ejecución Java 1.7 instalado. Los ataques lanzados fueron diseñados para permitir el acceso remoto de shell, pero ninguno tuvo éxito.

Luego simulamos la ejecución de un binario estándar de Meterpreter que se agregó al final de la Calculadora de Windows. El ejecutable se detuvo inmediatamente al iniciarse y se eliminó del escritorio. También probamos un conjunto de ejecutables Meterpreter codificados con Veil 3.0, que incluían PowerShell, Auto-IT, Python y Ruby. Todos ellos fueron detectados y no pudimos continuar con más pruebas de acceso.

Por último, probamos un conjunto de ejecutables de malware conocido llamado TheZoo e intentamos ejecutarlos con la conexión de red desactivada. Cada uno de ellos se puso en cuarentena antes de que tuviera la oportunidad de ejecutarse, lo que confirma que la detección basada en firmas de Sophos funciona bien. No hubo demoras notables desde que se implementó el malware hasta que se puso en cuarentena.

Palabras Finales

Sophos Intercept X combina a la perfección la protección con la facilidad de uso y las herramientas para poner a las empresas en una postura más proactiva. El precio es correcto y tiene herramientas para el profesional de seguridad experimentado sin sacrificar la capacidad de instalación y administración de una persona común. Es una excelente opción para cualquier persona o empresa que busque mantener su red protegida sin gastar mucho tiempo y dinero para hacerlo.

Es una excelente opción para cualquier persona o empresa que busque mantener su red protegida sin gastar mucho tiempo y dinero para hacerlo

Posts relacionados

Desde Bancos a Aerolíneas, falla informática de Crowdstrike afecta a millones de equipos Windows en todo el Mundo

Mario Rübke

La IA avanza en Chile con nuevas normas ¿El hardware está preparado?

Mario Rübke

TEAMGROUP presenta la tarjeta de memoria cifrada segura MicroSD D500R para su línea industrial

Mario Rübke