Seguridad Práctica de Endpoints Empresariales

Anuncio
Presentado por
RESEÑA COMPARATIVA
Seguridad Práctica de Endpoints Empresariales
En esta Reseña
•ESET Smart Security 4 Business
Edition
•Kaspersky Business Space Security
6.0 R2 (Administration Kit 8.0)
•McAfee Total Protection for
Endpoint v 8.7i (ePO 4.5)
•Sophos Endpoint Security and
Control 8
•Symantec Endpoint Protection
11.0
•Trend Micro Worry-Free Business
Security 6.0 Standard Edition
El mercado de la seguridad de
“endpoints” está cambiando a un ritmo
sorprendentemente rápido, especialmente
cuando se considera cuán relativamente
maduro éste es. Mientras que las marcas
establecidas pueden proveer una
tranquilidad subjetiva, los compradores
que buscan más allá de ellas y hacia
las capacidades cuantitativas de los
productos pueden descubrir opciones
menos conocidas que son mejores para
ajustarse a sus empresas.
En nuestra continua evaluación de
productos de seguridad, Cascadia Labs
ha encontrado diferencias significativas
en qué tan bien los productos cubren las
metas corporativas en cuanto a paquetes de
seguridad, desde la efectividad al bloquear
amenazas hasta el desempeño al integrarse
a la infraestructura de la empresa.
Con el fin de evaluar las capacidades
reales de los paquetes de seguridad para
“endpoints”, pusimos a seis de ellas a prueba
en nuestro laboratorio de seguridad.
Recopilamos información cuantitativa y
cualitativa a detalle sobre sus capacidades
en diferentes áreas importantes para
empresas pequeñas y medianas.
Comenzamos por observar la experiencia
del “endpoint” con algunas medidas
cuantitativas de efectividad y desempeño
–un producto necesita proteger a
los usuarios contra las amenazas en
Internet y mantenerlos alejados de ellas
en la medida de lo posible. Después
cambiamos los puntos de ventaja para
el administrador de IT y exploramos la
forma en que el producto se integra con
Active Directory y Windows 2008 Server,
así como el manejo y uso del producto.
Continuamos creyendo que los productos
que son fáciles de manejar y que ofrecen
visibilidad sobre su trabajo serán los que
a fin de cuentas contribuyan a una mejor
política de seguridad.
Resumen
Encontramos que los productos son más
diferentes que similares –conduciendo a la
conclusión de que las compañías deberían
considerar cuidadosamente la elección
que hacen.
CALIFICACIONES GENERALES
ESET Smart
Security 4
Business Edition
Categoría
Instalación & Configuración
Políticas & Manejo
Visibilidad & reportes
Desempeño
Efectividad
Key:
– Pobre
McAfee Total
Protection for
Endpoint 8.7i
(ePO 4.5)
Sophos Endpoint
Security and
Control 8
Symantec
Endpoint
Protection 11.0
Un producto muy
limpio y bien
diseñado con
configuraciones
por default que
hacen poco por
bloquear las
amenazas de la red.
Los reportes
necesitan algo de
trabajo.
Un producto sólido
con buen manejo y
buenos reportes,
pero con fuertes
problemas para
combatir nuestras
amenazas de la red.
½
EN GENERAL
Resumen Rápido
Kaspersky
Business Space
Security 6.0 R2
(Administration
Kit 8.0)
Un producto
rápido ideal para
compañías
pequeñas dada su
poca integración
AD, su falta de
tablero y su poco
pulimiento en
relación con otros
productos en esta
reseña
– Regular
– Bueno
½
Buena elección
para compañías de
todos los tamaños
dada su gran
velocidad de
integración AD, su
excelente
protección contra
amenazas de la red
y un manejo
sólido. Los reportes
y la documentación
pueden mejorarse.
Un producto
complejo más
apropiado para
organizaciones
grandes que
pueden manejar
su complejidad.
Encontramos un
desempeño
lento a lo largo de
las pruebas.
– Muy Bueno
1
– Excelente
Trend Micro
Worry-Free
Business Security
6.0 Standard
Edition
½
Una buena elección
para compañías
pequeñas, ofrece
protección contra
amenazas de la red.
Su desempeño
puede ser una
molestia.
RESUMEN DEL INFORME DE INSTALACIÓN & CONFIGURACIÓN
Pasos y
Tiempo
Producto
Calificación
para Terminar
Pros
Cons
ESET Smart Security
131 pasos
3-4 horas
• Muy bien documentado: fácil de seguir,
incluyendo cambio de GPO
• Pobre integración con el Active Directory
• Usa la base de datos de Microsoft Access automáticamente (sin documentación en el asistente de instalación)
Kaspersky Lab Business
Space Security
78 pasos
3 horas
• No se necesitan cambio de GPO
• Cambios manuales en el firewall
claramente documentados
• Provee una lista extensiva de las
renovaciones del producto
• Automáticamente instala bases de
datos para el servidor de administración
• La documentación de la instalación podría ser
más clara
McAfee Total
Protection for Endpoint
166 pasos
4-6 horas
• Buena detección de clientes del Active
Directory y otros dominios de la red
• Tarea AD sync es fácil de ejecutar y usar
posteriormente
• El proceso es complejo
• El producto requirió un número grande de
descargas y estuvo pobremente integrado
• Documentación pobre, con temas desvinculados
Sophos Endpoint
Security and Control
183 pasos
3-4 horas
• Magnífica integración con el Active
Directory; al importar la estructura AD
es fácil de encontrar y ejecutar
• Requiere una pre-instalación de SQL Server
2005/2008
• Requiere que el servidor se reinicie después de
deshabilitar UAC, forzando el reinicio del asistente
de instalación desde el inicio
• Instalación personalizada al componente
"SQL Server" es confusa
Symantec Endpoint
Protection
123 pasos
3-4 horas
steps,
• Documentación muy detallada, fácil
de seguir
• Auto-instalación de bases de datos para
el servidor administrador
• AD sync bien documentado y fácil
de ejecutar
• La configuración manual del GPO o la del
cliente requirió abrir la red para instalar el agente
Trend Micro WorryFree Business Security
72 pasos
3 horas
• Menos número de pasos durante
la instalación
• Auto-instala una base de datos para
el servidor administrador
• Requiere una configuración manual del GPO para
empujar al cliente
• No se documentan los componentes específicos del IIS
hasta después de que se terminó la instalación inicial del IIS
Kaspersky, Symantec y Trend Micro
Worry-Free hicieron la configuración
de la instalación sencilla, de los cuales
Kaspersky superó a los otros gracias a su
integración con el Active Directory. Estos
mismos productos y Sophos proveyeron
las mejores políticas y la mejor experiencia
de manejo; McAfee quedó relegada por
su complejidad y ESET necesita una mejor
integración con el Active Directory para
poder considerarle como proveedor de
grandes empresas.
Symantec y McAfee tuvieron la mejor
visibilidad y reportes, con muchas opciones
para hacer que el administrador y el oficial
de cumplimiento estén contentos. En
cuanto al desempeño, Kaspersky, Sophos
y ESET tuvieron buenas calificaciones;
McAfee y Trend Micro disminuían la
velocidad de la experiencia del usuario. Por
lo que a la efectividad se refiere, Kaspersky
y Trend Micro Worry-Free obtuvieron
las mejores calificaciones, mientras que
Symantec y Sophos no bloquean las
amenazas en Internet suficientemente en
sus configuraciones por default.
Al final, las compañías necesitarán
hacer una elección con base en los
requisitos individuales y configurarlos
apropiadamente, para que valga la
pena tomar en cuenta las calificaciones
individuales y reseñas y no sólo las
calificaciones generales de los productos.
Calificando los Productos
Las calificaciones están determinadas con
base en las pruebas realizadas en nuestros
laboratorios con los puntos a favor y en
contra resaltados en nuestros resúmenes
de los reportes. Se pretende que las
calificaciones comparen los productos y
no deben usarse como medidas absolutas
de las capacidades de los productos en
un área dada. Si un producto resalta
2
en verdad en comparación con otros
productos, puede recibir 5 triángulos.
Instalamos cada producto en nuestra red
de pruebas en máquinas con Windows
Server 2008 , Windows XP y Windows 7,
lo configuramos y luego probamos su
desempeño y efectividad contra un grupo
de amenazas en internet para probar
las respuestas del producto que puedan
incluir detección basada en firmas, filtro
de contenido de URL e internet, bloqueo
conductual, firewall y otras habilidades
de protección. Del mismo modo
llevamos a cabo tareas administrativas
representativas tales como añadir
nuevas máquinas a la red, permitiendo
excepciones para aplicaciones particulares
que se ejecutan en máquinas individuales,
así también evaluamos las capacidades de
alerta y reportes. Le dimos entonces una
calificación a cada producto siguiendo las
siguientes cinco categorías.
RESUMEN DEL INFORME DE POLÍTICAS & MANEJO
Producto
Calificación
Pros
Cons
ESET Smart Security
• El editor de políticas incluye un botón único de
default para establecer cualquier valor por default
• No hay integración con el Active Directory No maneja bien
los grupos; la vista default regresa a la vista sin grupos
cuando se reinicia
Kaspersky Business
Space Security
• Interface clara y fácil de usar
• Permite políticas en cada grupo de estaciones
de trabajo, servidores y dispositivos móviles
• Usa una política por grupo
• La interface MMC es más fácil y rápida que
las interfaces con base en internet
• Sólo se permitió una política activa en cada contenedor
McAfee Total
Protection for Endpoint
• Provee un control muy a detalle sobre políticas y
lo que el usuario ve
• Es complejo: usa 11 políticas antivirus por separado, además
de una más para el agente
• La instalación por default deja a los clientes sin protección;
las actualizaciones no están habilitadas
• La instalación por default del firewall deshabilita toda
la conexión de la red
Sophos Endpoint
Security and Control
• Interface buena y clara; todo lo que se
necesita está en una sola ventana
• Usa cinco políticas (agente, antivirus, control de la aplicación,
firewall y NAC) haciendo, creando y ejecutando políticas de
manera torpe y lenta
Symantec Endpoint
Protection
• La interface es sencilla y clara
• Las políticas por default tienen configuraciones que
la mayoría de los administradores querrían
• El firewall funciona con las aplicaciones de la empresa
sin modificación
• La multiplicidad de políticas hacen que la administración
del cliente sea más compleja que los productos con una
sola política
Trend Micro WorryFree Business Security
• Interface simple y limpia
• Todos los cambios a las políticas pueden
hacerse en una pestaña
• Es fácil determinar qué políticas aplican a cada grupo
para crear nuevas políticas o grupos
• La configuración por default deja la consola para entrar
a internet con un error de certificado de la seguridad
La categoría de Instalación &
Configuración evalúa la experiencia de
instalación del software del servidor y de
la consola de administración, así como
la ejecución del software de seguridad
para el “endpoint” en las máquinas
del cliente y del servidor en la red. Les
dimos preferencia a productos realmente
integrados, aquéllos con asistentes
de instalación claros y a aquéllos que
descubrían de manera automática a
“endpoints” a través de una completa
integración con el Active Directory,
NetBIOS o direcciones IP. Muchos de
RESUMEN DEL INFORME DE VISIBILIDAD & REPORTES
Producto
Calificación
Pros
estos productos requieren de una base
de datos y de un servidor de internet. El
mejor hace la vida del administrador más
sencilla al instalar automáticamente los
pre-requisitos necesarios.
Cons
ESET Smart Security
• Muchos reportes predefinidos
• Sin tablero
• Los reportes y alertas personalizados son difíciles de instalar
• No hay opción de reportes en PDF
Kaspersky Business
Space Security
• Excelente tablero extensible
• Sistema flexible para reportes predefinidos y
personalizados y alertas
• Fácil de enviar por correo electrónico
alertas y reportes
• Puede tardar un tiempo encontrar el reporte
que se esté buscando
• Los reportes "personalizados" están limitados
a búsquedas predefinidas
McAfee Total
Protection for Endpoint
• Juegos grandes de reportes predefinidos
y alertas
• Buen tablero, con un gran número de opciones
de gráficos que pueden ser mostrados en tantas
pestañas como se quiera
• Proceso complejo para crear reportes
• Se debe navegar a través de varias secciones
de la interface
Sophos Endpoint
Security and Control
• Interface limpia para tableros y reportes
• La Configuración de alertas por correo
electrónico es rápida y fácil
• La función de reporte está limitada a algunas categorías
• No hay forma de generar reportes semanales
Symantec Endpoint
Protection
• Tablero informativo bien organizado
• El proceso de envío de alertas es sencillo y claro
• El sistema de alertas es completo y fácil de
usar con dampers
• La consola de administración puede terminar
usando demasiado los niveles en el servidor
• Se limita a los reportes de HTML
Trend Micro WorryFree Business Security
• El tablero está bien organizado y se puede personalizar • Los reportes canned son un poco incómodosde usar
• Los reportes están limitados a periodos
• Las alertas y los reportes son fáciles de
predefinidos de 14 días
programar y enviar por correo electrónico
3
La de Políticas & Manejo cubre tanto
a la configuración inicial de políticas
como al manejo de políticas actuales.
Incluimos tareas administrativas como
configurar una política de “endpoint” por
default, añadiendo un escritorio nuevo,
programando escaneos, ejecutando un
escaneo bajo demanda y configurando
un firewall. Asimismo otorgamos
calificaciones altas a los productos con
características orientadas a la empresa
como la integración con el Active
Directory y consciencia de ubicación.
Todos los productos soportan algún tipo
de empuje a la instalación para clientes en
un dominio, así como heredan políticas
de contenedores padres a sus hijos.
Preferimos pocas políticas a manejar y los
productos que pudieran manejar políticas
de laptops, desktops y servidores de
manera sensible.
La Visibilidad & Reportes examina las
capacidades del tablero, los reportes
y las alertas ofrecidas por el producto.
Consideramos como un beneficio
mayor que la disponibilidad de un
tablero que provee una visión clara de
comprender del estado de protección
del cliente, de eventos recientes y que
las actividades basadas en tareas. No
obstante, un tablero debe aumentarse por
herramientas de reportes y alertas que
identifiquen información crítica tal como
malware detectado, firmas fuera de fecha
y computadoras carentes de protección
para el “endpoint” a través de cientos o
incluso miles de “endpoints”.
El Desempeño mide qué tan bien se
minimiza el impacto en los usuarios
mientras llevan a cabo tareas comunes
tales como escaneos por acceso, escaneos
del sistema completo y al abrir archivos
pesados. Una solución de seguridad
para “endpoints” no debería aletargar de
manera significativa a los usuarios. Los
mejores añadirán una mínima carga a las
computadoras de los clientes en escaneos
por acceso o bajo demanda.
Resultados de Desempeño
Los productos de Sophos y Kaspersky
fueron los más rápidos que evaluamos.
Minimizan la carga en los escaneos
por acceso y mostraron por mucho
los tiempos más cortos para ejecutar
escaneos de todo el sistema bajo
demanda. Por otro lado, los productos
McAfee y Tren Micro
imponen un impacto
significativo en las
actividades diarias –
necesitaron más del
doble de tiempo para
copiar carpetas y abrir
un archivo pesado
de PowerPoint como
un sistema de base
de referencia (sin un
producto de seguridad
“endpoint”). A Symantec
y Trend Micro les tomó
el mayor tiempo en
ejecutar escaneos bajo
demanda.
Además, realizamos
un segundo escaneo
bajo demanda para
determinar el beneficio
potencial máximo de
los mecanismos de
almacenamiento. El
producto de Kaspersky
mostró una mejora
mucho mayor frente a
los otros productos –sin
embargo es importante
recalcar que esta
prueba muestra que
el beneficio máximo
posible, en condiciones
donde ningún archivo
ha cambiado y donde
ninguna actualización de
firmas que interviniera se
llevó a cabo. Dado que
este segundo escaneo
bajo demanda es tan
poco representativo del
uso real, no lo incluimos
en nuestros cálculos
de las calificaciones del
desempeño.
Resultados de
Efectividad
Time to Perform On Access Scan
0:00
5:00
10:00
15:00
20:00
Baseline
ESET
Kaspersky
McAfee
Sophos
Symantec
Trend Micro
Time to Perform On Demand Scan
0:00
5:00
10:00
15:00
20:00
25:00
30:00
Baseline
ESET
Kaspersky
McAfee
Sophos
Symantec
Trend Micro
Time to Open Large PowerPoint File
0:00
0:05
0:10
0:15
0:20
1:30
2:00
Baseline
ESET
Kaspersky
McAfee
Sophos
Symantec
Trend Micro
Time to Reboot
0:00
0:30
1:00
Baseline
ESET
Kaspersky
McAfee
Sophos
Symantec
Trend Micro
Time to Perform Second On Demand Scan
Los productos mostraron
una amplia variación
en la efectividad al
bloquear los efectos de
las descargas drive-by y
los exploits browserborne,
una forma dominante de
obtener amenazas hoy
en día. Kaspersky superó
a Trend Micro por un
4
0:00
Baseline
ESET
Kaspersky
McAfee
Sophos
Symantec
Trend Micro
5:00
10:00
15:00
20:00
25:00
30:00
Mientras que el
producto de ESET
ofreció buenos
números en su
desempeño y la
instalación fue
aceptablemente clara
–aunque con una
pobre integración con
el Active Directoryinevitablemente le falta
Symantec Trend Micro
una interface al tablero
y otros aspectos
deseables para compañías. Asimismo el
paquete tiene características limitadas de
manejo de políticas y fue una molestia
generar reportes personalizados y alertas.
Web Threat Blocking Effect iveness
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
ESET
Kaspersky
McAfee
Sophos
resultado mejor, cada uno bloqueando
completamente 80 por ciento o más
de las campañas de exploit con las que
evaluamos. En el caso de Trend Micro,
el producto alcanzó su efectividad a
través de bloqueos con base en la URL,
reportando haber prevenido numerosos
URLs malignos por descargas. El
producto de Kaspersky usó una variedad
de técnicas, incluyendo identificación
heurísticas de iframes malignos incluidos
en la HTML de una página web que en la
mayoría de los casos detuvieron exploits.
Incluso en los casos en que Kaspersky no
bloqueó el exploit por completo, al menos
reportó que había detectado troyanos.
ESET y McAfee estuvieron en segundo
lugar, cada uno bloqueando la mitad
de los exploits y en un caso adicional
ESET bloqueó todo excepto por alguna
actividad de archivos de sistema. Siguió
Symantec y Sophos en último lugar,
bloqueando por completo sólo 20 por
ciento de los exploits. La capacidad HIPS
de Sophos reportó frecuentemente un
comportamiento sospechoso y resultó en
un bloqueo parcial pero incompleto de
la actividad maliciosa. La calificación de
protección incompleta –donde un proceso
maligno estaba todavía ejecutándose en
el sistema comprometido- es una “falta”.
ESET Smart Security 4 Business
Edition RESUMEN
ESET no ofrece gráficas bonitas, pero sí provee
visibilidad sobre el estatus de todos los clientes
instalados así como la habilidad para reducir la
búsqueda de sistemas específicos rápidamente.
El producto de ESET ofrece una interface limpia y
simple con todo en una sola ventana y la mayoría
de las opciones administrativas quedan ocultas
para el “endpoint”.
Como Kaspersky Business Space Security,
el producto de ESET no requiere de un
administrador para instalar manualmente
ya sea una base de datos o un servidor
de internet previo a la instalación y
ejecución del agente. No obstante, antes
de ejecutar el agente, se necesitan hacer
varias modificaciones a la configuración
de firewall de Windows en el GPO. Uno
de los retos cuando se intenta localizar los
componentes de seguridad apropiados
para descargarlos de la lista extensa, con
multi-lenguajes multiplataforma que
usa abreviaturas en lugar de nombres
de productos. Este proceso podría
simplificarse al separar el lenguaje y
la opción de la plataforma en listas
separadas con mejores denominaciones.
ESET no hace nada importante con el
Active Directory. Usa una estructura plana
inicial y todas las estaciones de trabajo y
servidores se importan a un solo grupo con
una sola política por default –depende de
usted descifrar las cosas. No es necesario
agregar que en una gran organización esto
representa una gran desventaja.
5
El crear reportes personalizados y alertas
es complejo debido a una interface
casi impenetrable, aunque el producto
sí ofrece 17 reportes útiles y alertas
concordantes.
Al final ESET ofrece resultados de
escaneo rápidos, pero al producto le
llevó más tiempo hacer escaneos del
sistema completo que a los productos
más rápidos. Su efectividad contra las
amenazas de internet fue mediana.
Kaspersky Business Space
Security 6.0 R2 RESUMEN
El paquete de Kaspersky Endpoint
Security superó en nuestras pruebas de
desempeño y efectividad y fue muy fácil
de instalar. Su ejecución estuvo entre
las que menos pasos requirió de los
productos que evaluamos, además de
proveer un manejo flexible y capacidades
de reportes.
El producto usa varios asistentes de
instalación para simplificar la instalación
de los servidores y los componentes de
administración, con la opción para ejecutar
el agente de seguridad vía un objeto de
Windows Group Policy (GPO) o vía un
archivo push once y se abren los puertos
de impresión compartida. Fue el único
producto que revisamos que permite que
un administrador ejecute silenciosamente
a los agentes vía un GPO creado
automáticamente y estuvo entre los menos
complicados y más rápidos en ejecutar en
un ambiente de Active Directory.
El paquete de Kaspersky no requiere de
instalación desde un servidor de internet
y a diferencia de Sophos y McAfee, no
requiere de un manual de instalación
de bases de datos. Nuestra única queja:
algunas secciones de la guía de ejecución
de la documentación y administrador
podrían organizarse mejor y presentarse
de manera más clara.
Kaspersky ofrece una estructura en forma de
árbol fácil de entender que refleja la arquitectura
de su Active Directory así como acceso rápido a
todas las herramientas que usted necesita.
Kaspersky Business Space Security
permite tres políticas activas por grupo
–estaciones de trabajo, servidor y
móviles- mientras que otros productos
que revisamos generalmente requerían
de grupos separados para servidores,
estaciones de trabajo y sistemas móviles
en cada grupo geográfico o funcional.
La configuración de la política por
default del producto es muy efectiva
y generalmente es justo lo que el
administrador querría: su configuración
por default media provee un balance
entre la más alta seguridad y el menor
impacto en el desempeño. Otro punto
a favor es que la configuración de la
para implementar parches es complicado;
no hay manera de crear una tarea como
plantilla y aplicarla más tarde.
El tablero principal de McAfee ofrece acceso
a tutoriales, una vista de los archivos de
actualización más recientes de firmas y motores,
y el nivel de amenaza para todos los sistemas
administrados.
entre las más complejas y tardadas de
los productos que probamos. Esto se
debe, principalmente, a que el producto
requiere de la instalación manual de una
base de datos, así como de la descarga y
de la revisión manual de los componentes
anti-virus y antispyware. También nos
encontramos con problemas con el
agente de implementación debido a la
falta de documentación clara en la cual
los puertos requerían ser abiertos en el
firewall de Windows.
El producto de Kaspersky es directo y fácil de
navegar, con pocas opciones.
estación de trabajo y el servidor para todos
los aspectos del escaneo antivirus de archivo
y aplicación, importación de internet y
firewall son una sola política, mientras
que los productos de McAfee, Symantec
y Sophos requieren la configuración de
múltiples políticas por separado.
El producto usa el Microsoft Management
Console (MMC) para administrar el servidor,
en lugar de una aplicación de internet,
haciendo que las tareas sean más fáciles
y rápidas de ejecutar. La primera vez que
la consola de administración es iniciada,
información AD ocupa el sistema, pero las
computadoras tuvieron que seleccionarse
manualmente y ser agregadas antes de
que pudieran ser administradas.
McAfee Total Protection for
Endpoint 8.7i RESUMEN
El producto de McAfee trae consigo
un complejo proceso de instalación,
y obtuvo en nuestras pruebas uno de
los resultados más pobres en cuanto
a desempeño. Mientras que ofrece
características de reporte poderosas y
flexibles, éstas pueden ser difíciles de
utilizar. Encontramos que la instalación
e implementación de McAfee están
Por default, el cliente de McAfee da al usuario
final un acceso completo a todas las opciones y
detalles de configuración a través de una
variedad de ventanas.
Otro inconveniente es que los clientes no
están listos para descargar actualizaciones
por default de manera automática; esto
tiene que ser manualmente configurado.
La importación de la estructura del Active
Directory con McAfee Total Protection for
Endpoint fue más complicada que con
la mayoría de los otros. El sistema separa
las tareas y las políticas, y requiere de
que usted cree una tarea para descargar
actualizaciones a servidores y otra tarea
para incluir nuevas firmas para los clientes
–McAfee no provee una manera de
ejecutar una tarea automatizada más de
una vez al día. Además, crear una tarea
6
El paquete más fuerte del producto fue el
de sus poderosas herramientas de reporte
y de alertas, que incluye 14 consolas de
tableros pre-diseñados y la capacidad
de diseñar los suyos. De cualquier modo,
mientras que las características eran
poderosas, los administradores pueden
tener problemas con la complejidad
de tener que configurar numerosos
escenarios en diferentes menús para
completar una sola tarea. Prepárese para
consultar el manual más frecuentemente
que con otros productos. En cuanto
al desempeño, McAfee no tiene una
velocidad demoníaca, posicionándose
en el último lugar en nuestra prueba
de tiempo de escaneo por acceso y
regresando en un lugar medio dentro del
grupo en los resultados de escaneo bajo
demanda. Su efectividad también obtuvo
un lugar medio en el grupo en contra de
las amenazas de la Web.
Sophos Endpoint Security and
Control 8 RESUMEN
Armado con un desempeño estelar,
configuración relativamente simple, e
interface de administración muy bien
diseñada, Sophos Endpoint Security and
Control obtuvo buenos resultados en
el lado del software de seguridad. Su
desempeño fue de primera clase pero su
efectividad contra las amenazas de la Web
no fue tan buena. El producto Sophos fue
el único paquete revisado que permitió
la creación de grupos dentro de su
interface y la habilidad de sincronizarlos
de regreso en el Active Directory. Esto
le permite a una empresa mantener la
misma estructura de directorio en AD
y en la aplicación Sophos –lo cual, con
Sophos le da un agradable panorama gráfico de
las amenazas detectadas junto con una visión
organizada de la estructura y las políticas del
directorio.
las configuraciones correctas, puede ser
extremadamente útil para mantener una
estructura consistente.
El paquete de Endpoint Security and
Control estuvo entre los productos más
fáciles de instalar. Desafortunadamente,
los administradores necesitan instalar
manualmente una base de datos si desean
El desempeño fue sobresaliente: Sophos
dio los resultados más rápidos en casi
todas nuestras pruebas, a pesar de que
tuvo un resultado pobre en el tiempo de
reinicio, sumando 40 segundos a nuestros
sistemas de prueba. La efectividad no
fue impresionante –a pesar de que el
producto de Sophos nos advertiría en
ocasiones de contenido sospechoso, la
mayoría de las hazañas fueron al menos
parcialmente exitosas en iniciar procesos
de rogue (maliciosos).
Symantec Endpoint
Protection 11.0 RESUMEN
Sophos provee herramientas de administración
de clientes separadas para las aplicaciones de
Anti-Virus y de Firewall.
instalar el servidor y la consola en el
Servidor de Windows 2008. Un reinicio
adicional del servidor es requerido si se
está ejecutando el UAC. Una vez que esos
obstáculos son superados, los múltiples
asistentes de Sophos hacen el proceso de
instalación rápido y fácil de navegar.
También incluye un asistente de
sincronización con el Active Directory que
simplifica enormemente la localización de
clientes en un ambiente AD. En general,
Sophos tuvo una interface limpia; como
la de Kaspersky Business Space Security,
utiliza el Windows MMC. Encontramos la
instalación de grupos y políticas simple y
transparente. Sumado a esto, el producto
utiliza cinco políticas haciendo que la
creación e implementación de políticas
sea un poco más complicada.
El tablero del producto tiene gráficas
de barras fáciles de leer, y permite
la configuración útil de límites para
advertencias y umbrales críticos. Las
alertas de correo electrónico pueden ser
configuradas directamente desde la ventana
de la plantilla de configuración. Pero no
hay mecanismo para enviar reportes a un
intervalo regular, como por ejemplo una
vez por semana –el sistema sólo envía
alertas cuando el umbral ha sido excedido.
Además, la funcionalidad del reporte está
muy limitada a pesar de que provee control
sobre el periodo del reporte.
Los resultados contradictorios en el
desempeño del producto de Symantec
y la falta de efectividad contra las
amenazas de la Web fueron compensados
por características de reporte y alerta,
generalmente buenas y una robusta
administración de políticas. Antes
de instalar la consola y el servidor
de administración Symantec, los
administradores deben instalar un
El tablero de Symantec da una imagen clara del
nivel de amenazas de virus actuales junto con
el estatus de archivos de firma recientemente
implementados y el estatus de los clientes.
servidor Web. Los dos retos primarios
que encontramos durante la instalación
fue localizar la documentación listando
los puertos abiertos necesarios para que
la implementación de agentes triunfara
así como para identificar adecuadamente
a nuestros clientes usando el asistente
“Find Unmanaged Computers” (Encontrar
computadoras no administradas). Una
vez que el producto está instalado,
Symantec incluye uno de los asistentes
de sincronización AD más fáciles de usar.
Encontramos que la documentación de
Symantec es de gran ayuda y una de
las mejores estructuradas de todos los
productos. Symantec permite la creación
de políticas para controlar todo aspecto
del anti-virus, anti-spyware, firewall,
intrusión, prevención, aplicación y control
7
El producto de Symantec es simple y fácil de usar,
sin opciones innecesarias.
de dispositivo, LiveUpdate y excepción
de categorías, incluyendo qué días de la
semana y/o veces al día deben ejecutarse
los escaneos.
La página principal del producto es un
tablero muy bien organizado, que puede
mostrar la actividad de las últimas 12 ó
24 horas. Los administradores pueden
configurar la plantilla para autoactualizarse cada 3, 5 10, ó 15 minutos
así como establecer umbrales para las
alertas (a pesar de que el producto no
permite umbrales que no sean número de
eventos en un tiempo dado). Symantec
Endpoint Protection provee un rango muy
amplio de reportes predefinidos, con fina
granularidad en periodos de tiempo (del
último día al último mes) y filtrando por
OS, protocolo, dirección (de entrada o
de salida), severidad y otras métricas. El
inconveniente es que sólo provee reportes
en formato HTML.
Mientras que Symantec demostró
velocidad razonable en nuestras pruebas
de escaneo por acceso y de descarga de
archivos pesados, fue uno de los productos
más lentos en el escaneo bajo demanda,
posicionándose bastante atrás de
Kaspesrky y Sophos. Su falta de efectividad
en contra de las amenazas de la Web fue
sorprendente basada en pruebas previas
que hemos hecho en el producto para el
consumidor de Symantec.
Trend Micro Worry-Free Business
Security 6.0 Standard Edition
RESUMEN
Trend Micto puede presumir de una
muy buena efectividad en contra de las
amenazas de la Web y de una interface
simple y útil. Fue, sin embargo, el
producto más lento de todos los que
examinamos, y sus capacidades de reporte
son limitadas. Al igual que el producto
de Symantec, Trend Micro Worry-
están limitadas a 24 eventos-la mayoría
con umbrales, incluyendo estatus de
clientes y virus detectados.
Trend Micro simplifica la identificación de clientes
desprotegidos, la implementación del software
anti-virus, y la administración del proceso general
de protección de PCs en una organización.
Free Business Security requiere que el
administrador instale un servidor Web, tal
como IIS o Apache, previo a la instalación
del producto. El asistente de instalación
automáticamente instala una base de
datos ya sea en el Servidor de Windows
2003 ó 2008. La documentación de Trend
Micro relacionada con la implementación
del agente de seguridad fue ligeramente
confusa; listaba los requerimientos
específicos para las estaciones de trabajo
de Windows Vista pero no los pasos para
El diseño de reportes por medio de las
plantillas de Trend Micro es muy simple,
y utiliza los mismas disparadores de los
24 eventos como alertas. Los reportes
pueden ser ejecutados diariamente,
semanalmente en cualquier día, o
mensualmente en cualquier día del
mes. Pero las características del reporte
de producto carecen ligeramente de
sentido. Primero, la carpeta de reportes
está inicialmente vacía: usted tiene que
crear un nuevo reporte utilizando una de
las 14 plantillas, las cuales no pueden ser
modificadas, para ejecutar un reporte.
En cierto modo esto es lo peor de los
dos mundos, en que Trend Micro no
provee nada que usted pueda ejecutar
para empezar, pero ninguna manera
de personalizar lo que ha creado. Por
ejemplo, el producto no tiene manera de
generar un reporte mostrando terminales
que estén fuera del límite de fecha.
Finalmente, Trend Micro terminó en o
cerca del final de nuestras pruebas de
desempeño. Se tardó el mayor tiempo
en completar el escaneo bajo demanda
–casi el doble que los dos paquetes más
veloces, Kaspersky y Sophos. El producto
de Trend Micro también incrementó
sustancialmente al tiempo de reinicio.
Cómo Examinamos el
Desempeño
El software de cliente de Trend provee una
buena interface básica para comenzar los
escaneos y otras tareas básicas.
las estaciones de trabajo de Windows
XP. Ver y crear políticas funcionó bien
y fue fácil de hacer. Trend Micro provee
una manera sencilla de empezar con
una plantilla y de modificarla fácilmente
para cualquier grupo, así como para
determinar de manera simple qué política
aplica a un grupo en específico.
El tablero Live Status del producto provee
estatus de amenaza para todos los clientes
junto con muchos otros indicadores de
seguridad-salud, así como un estatus
de sistema de servidor mostrando
escaneo inteligente, actualizaciones de
componentes, eventos inusuales del
sistema, y estatus de la licencia. Las alertas
Para las pruebas de rendimiento,
configuramos las políticas para hacer los
informes comparables entre productos.
Para los escaneos bajo demanda
del sistema completo, escaneamos
únicamente el disco duro local y
posibilitamos el escaneo dentro de
archivos comprimidos y archivos que
contienen otros archivos. Nuestras
pruebas por acceso no incluyeron archivos
comprimidos o históricos. Posibilitamos
excepciones para nuestras herramientas
de automatización y dejamos otras
configuraciones en su estado por default.
Ejecutamos cada prueba individual por
lo menos tres veces, recomenzando
desde una instalación limpia cada
vez, y promediando los resultados.
Computamos el puntaje del desempeño
general totalizando los resultados de cada
producto en nuestras pruebas de escaneo
por acceso, escaneo bajo demanda,
archivo Power Point abierto, y pruebas de
tiempo de reinicio.
8
Escaneo Por Acceso: El tiempo para
copiar y pegar una carpeta muy grande
de archivos que no sean del tipo de
archivos que contienen otros archivos,
incluyendo archivos de sistema de
Windows, documentos, hojas de cálculo,
imágenes, PDFs, películas, y archivos
de música.
Escaneo Bajo Demanda: El tiempo
para completar un escaneo del sistema
completo en una computadora no
infectada con las configuraciones de
escaneo establecidas por default,
pero en todos los casos configurando
los productos para escanear todos los
archivos y escanear archivos comprimidos.
Abrir Archivo Grande de Power Point:
El tiempo para abrir un archivo de Power
Point (álbum de fotos de Power Point de
8.7 MB), demostrando el impacto de los
componentes de escaneo por acceso.
Tiempo de Reinicio: El tiempo de
reinicio, desde la especificación de
una petición de reinicio hasta que la
computadora pasa de encenderse a tener
un escritorio completamente reiniciado de
Windows con un CPU parado.
Segundo Escaneo Bajo Demanda:
El tiempo para completar un escaneo
de sistema subsecuente completo
de una computadora no infectada
con configuraciones establecidas por
default. Esta prueba muestra el máximo
beneficio que puede ser alcanzado por las
capacidades de almacenamiento de caché,
y no contribuyó a la clasificación final.
Para estas pruebas de desempeño,
Cascadia Labs utilizó un set de desktop
PCs Dell idénticamente configuradas con
Intel Core 2 Duo E4500 procesadores
2.2-GHz, 2GB de memoria RAM, 160 GB
de disco duro, y Microsoft Windows XP
profesional Service Pack 2. Las tareas de
las pruebas fueron automatizadas para
máxima repetición.
Cómo Examinamos la Efectividad
Estas pruebas reflejan la efectividad de
los productos contra amenazas realistas,
vivas, utilizando el conjunto completo
de características de los productos
-incluyendo la reputación de la Web,
motores anti-virus y anti-malware, y
capacidades de protección conductual,
entre otros. Cascadia Labs cree que estas
pruebas son una manera mucho más
apropiada de medir la efectividad de un
producto que la de situar a los motores
de firma del producto contra un gran
número de binarios maliciosos.
De cualquier modo, este acercamiento
también requiere que los lectores
consideren los siguientes tres factores al
interpretar los resultados.
Configuración del Producto:
Los productos para terminales de
negocio proveen muchas opciones de
configuración, tanto en los componentes
de protección que ofrecen como en
las configuraciones elegidas para cada
componente. Las compañías pueden
elegir diferentes configuraciones
basándose en la rigurosidad de su política
de seguridad, su nivel de experiencia, u
otras consideraciones específicas. Para
estas pruebas, utilizamos los productos
con las configuraciones que tenían
establecidas por default.
Muestras Elegidas: Las amenazas
pueden venir de muchos lugares. Para
estas pruebas, nos concentramos en las
amenazas de la Web, específicamente,
descargas drive-by, ya que creemos que
representan la mayor y más prevalente
amenaza para las compañías hoy en
día. Cascadia Labs captura cientos de
amenazas por día; en vez de escoger
aleatoriamente una muestra de amenazas
en la Web, que guíen a pruebas con un
gran número de ataques subyacentes
muy similares, Cascadia Labs escogió una
sola muestra de 10 campañas diferentes
con mecanismos diferenciados de explotis
para proveer más diversidad de amenazas.
Mecanismo de Puntuación: Definir una
detección exitosa y crear un algoritmo
de puntuación justo es más difícil de lo
que puede parecer. La mayoría está de
acuerdo en que lo mejor es detener una
amenaza antes de que explote a una
computadora, desaparezca archivos, y
ejecute procesos. De cualquier modo,
¿acaso no los productos que detienen
la amenaza antes de que se ejecute –
aunque permitan una hazaña y algunos
archivos desaparecidos- tienen mejor
puntuación que un producto que no
detecta la amenaza? Para este reporte,
los productos que detienen una amenaza
completamente obtienen la puntuación
de bloqueo completo y aquéllos que
detienen la ejecución de la amenaza
obtienen la puntuación de mitad de un
bloqueo. Utilizamos la tecnología de
captura y reproducción de exploits de
nuestra propiedad para asegurar que
cada producto fuera examinado en contra
de amenazas idénticas. Para cada hazaña,
registramos la actividad del sistema y
dimos los resultados más altos a los
productos que bloquearon las amenazas
sin permitirles comenzar nuevos
procesos o borrar archivos en el sistema;
crédito parcial a aquellos productos
que bloquearon todos los procesos no
deseados; y no dimos puntos a aquellos
productos que permitieron que el ataque
triunfara, completa o parcialmente,
iniciando exitosamente procesos rogue en
nuestros sistemas de prueba.
Evaluaciones
independientes
de technology
productos deproducts
tecnología
Independent
evaluations of
Contacto: [email protected]
www.cascadialabs.com
Esta reseña comparativa, conducida independientemente por Cascadia Labs en Noviembre de 2009, fue patrocinada por Kaspersky Lab.
Cascadia Labs pretende proveer análisis objetivo, imparcial de cada producto basado en pruebas manuales en su laboratorio de seguridad.
9
Descargar