Realizada por ANÁLISE COMPARATIVA Segurança Prática de Endpoint Empresariais que observarem, além das marcas, as capacidades quantitativas dos produtos, poderão descobrir opções menos conhecidas que podem ser úteis para suas empresas. Nesta Análise •ESET Smart Security 4 Business Edition •Kaspersky Business Space Security 6.0 R2 (Administration Kit 8.0) •McAfee Total Protection for Endpoint v 8.7i (ePO 4.5) •Sophos Endpoint Security and Control 8 •Symantec Endpoint Protection 11.0 •Trend Micro Worry-Free Business Security 6.0 Standard Edition Em nossos testes contínuos de produtos de segurança, a Cascadia Labs descobriu diferenças significativas na forma como os produtos atingem as diversas metas corporativas estabelecidas para seus conjuntos de segurança, da eficiência do bloqueio de ameaças ao desempenho da integração com a infraestrutura empresarial. Para avaliar os recursos reais dos conjuntos de segurança de terminais, nós testamos seis deles no nosso laboratório de segurança empresarial. Nós reunimos dados quantitativos e qualitativos detalhados sobre seus recursos em várias áreas importantes para empresas de pequeno e médio porte. O mercado de segurança de endpoint empresariais está mudando com uma velocidade surpreendentemente grande, especialmente se considerarmos que ele é relativamente recente. As marcas estabelecidas podem inspirar uma confiança subjetiva,mas os compradores Nós começamos examinando a experiência do usuário através de algumas medidas quantitativas de eficiência e desempenho — um produto precisa proteger os usuários contra ameaças da Web e incomodá-los o mínimo possível. Em seguida, nós trocamos de posição com o administrador de TI e exploramos a integração do produto com o Active Directory e o Windows 2008 Server, e como é seu desempenho em termos de gerenciamento e utilização. Nós continuamos a acreditar que os produtos fáceis de gerenciar e que oferecem uma excelente visibilidade de seu trabalho contribuirão, em última instância, para uma política de segurança melhor. Resumo Nós descobrimos que os produtos eram mais diferentes que semelhantes, o que levou à conclusão de que as empresas devem considerar com cuidado as escolhas que fazem. CLASSIFICAÇÕES GERAIS Categoria Instalação e Configuração Políticas e Gerenciamento Visibilidade e Relatórios Desempenho Eficiência Legenda: Sophos Endpoint Security and Control 8 Symantec Endpoint Protection 11.0 Produto muito limpo e bem-projetado, com configurações padrão que pouco bloqueiam as ameaças da Web. Os relatórios precisam ser trabalhados. Um produto sólido, com bom gerenciamento e ótimos relatórios, mas com alguns problemas de fato em relação às nossas ameaças da Web ao vivo. ½ Um produto rápido, mais adequado para empresas menores devido à sua fraca integração com o AD, a falta de um painel e detalhes em relação aos outros produtos nesta análise. – Fraco McAfee Total Protection for Endpoint 8.7i (ePO 4.5) ½ TOTAL Resumo Kaspersky Business Space Security 6.0 R2 (Administration Kit 8.0) ESET Smart Security 4 Business Edition – Regular Boa opção para empresas de todos os portes, devido à sua ótima integração com o AD, velocidade, proteção excelente contra ameaças da Web, além de um gerenciamento sólido. Relatórios e documentação podem ser aprimorados. – Bom Um produto complexo, mais adequado a grandes organizações, que possam lidar com sua complexidade. Foi observado um desempenho lento durante todos os nossos testes. – Muito Bom 1 – Excelente Trend Micro Worry-Free Business Security 6.0 Standard Edition ½ Uma boa opção para empresas pequenas, oferece proteção sólida contra as ameaças da Web. O desempenho pode ser um fator de lentidão. INSTALAÇÃO E CONFIGURAÇÃO RELATÓRIO RESUMIDO Etapas e Tempo de Produto Classificação Conclusão Vantagens Desvantagens ESET Smart Security 131 etapas, 3-4 horas • Muito bem documentado: fácil de seguir, incluindo alterações de GPO • Integração com o Active Directory fraca • Usa um banco de dados do Microsoft Access por padrão (não documentado no assistente) Kaspersky Lab Business Space Security 78 etapas, 3 horas • Nenhuma alteração de GPO manual necessária • Alterações manuais do firewall documentadas claramente • Fornece uma lista abrangente de remoções de produtos • Instala automaticamente o banco de dados para o servidor de gerenciamento • A documentação de instalação poderia ser mais clara McAfee Total Protection for Endpoint 166 etapas, 4-6 horas • Boa detecção de clientes do Active Directory e de outros domínios na rede • A tarefa de sincronização com o AD é fácil de executar e de usar posteriormente • O processo é complexo • O produto exigiu um número comparativamente grande de downloads e teve uma integração fraca • Documentação pobre, com tópicos desestruturados Sophos Endpoint Security and Control 183 etapas, 3-4 horas • Ótima integração com o Active Directory: a importação da estrutura do AD é fácil de localizar e executar • Exige a pré-instalação do SQL Server 2005/2008 • Exige a reinicialização do servidor depois de desativar o UAC, impondo começar o assistente desde o início • Instalação personalizada do componente "SQL Server" é confusa Symantec Endpoint Protection 123 etapas, 3-4 horas • Documentação bastante completa e fácil de seguir • Instala automaticamente o banco de dados para o servidor de gerenciamento • Sincronização com o AD bem documentada e fácil de executar • Configuração manual de GPO ou cliente necessária para abrir a rede para a instalação de agentes Trend Micro WorryFree Business Security 72 etapas, 3 horas • Menor número de etapas durante a instalação • Instala automaticamente o banco de dados para o servidor de gerenciamento • Exige a configuração manual do GPO para o push do cliente • Componentes específicos do IIS não documentados até a conclusão da instalação inicial do IIS Kaspersky, Symantec e Trend Micro WorryFree tiveram instalação e configuração fáceis, sendo que o Kaspersky se destacou dos outros devido à sua integração com o Active Directory. Esses mesmos produtos, além do Sophos, fornecerem as melhores políticas e experiência de gerenciamento; o McAfee ficou para trás devido à sua complexidade, e o ESET precisa melhorar a integração com o Active Directory para tornar-se um concorrente capaz de sobreviver em empresas maiores. Symantec e McAfee apresentaram a melhor visibilidade e os melhores relatórios, com várias opções para agradar ao administrador e ao responsável pela conformidade. Em termos de desempenho, Kaspersky, Sophos e ESET tiveram bons resultados; o McAfee e o Trend Micro tornaram a experiência do usuário significativamente mais lenta. Em termos de eficiência, o Kaspersky e o Trend Micro Worry-Free tiveram as melhores pontuações; o Symantec e o Sophos não bloquearam totalmente ameaças da Web suficientes com suas configurações padrão. No final, as empresas devem fazer uma escolha de acordo com seus requisitos específicos e configurá-los adequadamente; assim, vale a pena examinar as classificações e análises individuais, e não apenas as pontuações gerais dos produtos. Classificação dos Produtos As classificações são determinadas com base nos testes executados em nossos laboratórios, com os destaques mostrados como vantagens e desvantagens nos nossos relatórios resumidos. As classificações se destinam ao uso na comparação dos produtos e não devem ser usadas como medidas absolutas dos das capacidades dos mesmos em uma determinada área. Se um produto 2 realmente se destacar em relação aos outros, ele pode receber 5 triângulos. Nós instalamos cada produto em nossa rede de teste com o Windows Server 2008 e em computadores com o Windows XP e o Windows 7, os configuramos e, sem seguidas, testamos seu desempenho e sua eficiência contra um conjunto de ameaças da Web, de forma a exercitar as ações corretivas do produto, que podem incluir detecção baseada em assinaturas, filtragem de URLs e de conteúdo da Web, bloqueio comportamental, firewalls e outros recursos de proteção. Também realizamos tarefas administrativas de representação, como a adição de novos computadores à rede, a atribuição de exceções a aplicativos específicos em execução em computadores individuais e o teste de recursos de alerta e relatórios. Então, pontuamos cada produto nas cinco categorias a seguir. POLÍTICAS E GERENCIAMENTO RELATÓRIO RESUMIDO Produto Classificação Vantagens Desvantagens ESET Smart Security • Editor de políticas inclui exclusivo botão "padrão" para definir qualquer valor novamente com o padrão • Sem integração com o Active Directory Não lida bem com grupos; quando reiniciado, a exibição padrão retorna para a exibição sem grupos Kaspersky Business Space Security • Interface clara e fácil de usar • Permite políticas separadas para estações de trabalho, servidores e dispositivos móveis em cada grupo • Usa uma política por grupo • A interface do MMC é mais fácil e rápida que as interfaces baseadas na Web • Apenas uma política ativa de cada tipo é permitida em cada contêiner McAfee Total Protection for Endpoint • Oferece controle bastante detalhado de políticas e do que é visto pelos usuários • Complexo: usa 11 políticas antivírus separadas, mais uma para o agente • A instalação deixa os clientes desprotegidos e as atualizações não ativadas • Instalação padrão do firewall desativa toda a conectividade da rede Sophos Endpoint Security and Control • Interface ótima e clara; tudo o que é necessário está em uma janela • Usa cinco políticas (Agente, Antivírus, Controle de Aplicativos, Firewall e NAC), tornando trabalhosa a criação e a implementação de políticas Symantec Endpoint Protection • Interface simples e direta • As políticas padrão têm configurações desejadas pela maioria dos administradores • O firewall funciona com aplicativos empresariais sem modificações • Várias políticas tornam a administração do clientes mais complexa que produtos com uma única política Trend Micro WorryFree Business Security • Interface clara e simples • Todas as alterações de políticas podem ser feitas em uma guia • É fácil determinar qual política se aplica a qualquer grupo, criar novas políticas ou grupos • Com a configuração padrão, o console de logon na Web apresenta um erro no certificado de segurança Instalação e Configuração classifica a experiência da instalação do software de servidor e do console de gerenciamento, e da implementação do software de segurança de terminais em computadores cliente e servidor da rede. Nós favorecemos os produtos VISIBILIDADE E RELATÓRIOS RELATÓRIO RESUMIDO Produto Classificação realmente integrados, aqueles com assistentes de instalação diretos e aqueles com descoberta automática de terminais através da total integração com o Active Directory, NetBIOS ou endereços IP. Vários desses produtos exigem um banco de dados e um servidor Web. Os melhores Vantagens facilitam as vidas dos administradores através da instalação automática dos prérequisitos necessários. Políticas e Gerenciamento aborda a configuração inicial e o gerenciamento contínuo de políticas. Foram incluídas Desvantagens ESET Smart Security • Muitos relatórios predefinidos • Sem painel • Os relatórios e alertas personalizados são difíceis de configurar • Sem opção de formato PDF para os relatórios Kaspersky Business Space Security • Painel estensível excelente • Sistema flexível de relatórios e alertas predefinidos e personalizados • Fácil enviar alertas e relatórios por email • A localização do relatório que você procura pode demorar • Relatórios "personalizados" limitados às consultas predefinidas McAfee Total Protection for Endpoint • Grande conjunto de relatórios e alertas predefinidos • Ótimo painel, com um grande número de elementos gráficos opcionais que podem ser exibidos nas diferentes guias, conforme desejado • Processo de criação de relatórios complexo • É necessário navegar por várias seções da interface Sophos Endpoint Security and Control • Interface clara para paineis e relatórios • A configuração de alertas por email é rápida e fácil • Funcionalidade de relatórios se limita a algumas categorias • Não é possível gerar relatórios semanais automaticamente Symantec Endpoint Protection • Painel informativo e bem organizado • O console de administração pode exibir um nível de • O processo de envio de relatórios e alertas é simples e direto utilização do servidor muito alto • O sistema de alertas é completo e fácil de usar • Limitado a relatórios HTML com restrições Trend Micro WorryFree Business Security • Painel bem organizado e personalizável • Alertas e relatórios simples de programar e enviar por email 3 • O uso dos relatórios prontos é pouco prático • Limitados a 14 relatórios predefinidos tarefas administrativas, como a configuração da política de terminais padrão, a adição de um novo desktop, a programação de verificações, a execução de uma verificação por demanda e a configuração de um firewall. Também concedemos pontuações maiores para os produtos com recursos direcionados à empresa, como a integração com o Active Directory, e reconhecimento de locais. Todos os produtos dão suporte a algum tipo de instalação push em clientes de um domínio, assim como à herança de políticas de um contêiner pai para seus filhos. Foi dada preferência a um menor número de políticas para gerenciar e produtos que conseguiam lidar com políticas de laptops, desktops e servidores de forma sensível. Visibilidade e Relatórios examina os recursos do painel, de relatórios e alertas oferecidos pelo produto. Nós consideramos a disponibilidade de um painel que oferecesse uma visão geral com fácil compreensão do status de proteção do cliente, eventos recentes e atividades baseadas e tarefas como principal vantagem. No entanto, o painel deve ser melhorado através de ferramentas de relatórios e alertas a fim de identificar informações críticas, como malwares detectados, assinaturas desatualizadas e computadores sem proteção de terminal em centenas ou até mesmo milhares de terminais. Desempenho mede o alcance de cada produto ao minimizar o impacto sobre os usuários na execução de tarefas comuns, como verificações ao acessar, verificações completas do sistema e abertura de arquivos grandes. Uma solução de segurança de terminais não deve tornar os usuários finais mais lentos de forma perceptível. Os melhores acrescentarão apenas uma sobrecarga mínima sobre os computadores cliente nas verificações ao acessar e por demanda. Eficiência classifica a capacidade dos produtos de bloquear as ameaças baseadas na Web. Para que houvesse condições imparciais, realizamos os testes usando amostras de nossa própria coleção criada de forma independente, sem entradas dos fornecedores. Nós definimos configurações básicas e testamos os produtos com seus padrões, permitindo que eles usassem seu conjunto completo de medidas contra as ameaças. Nós observamos a capacidade dos produtos de bloquear as ameaças antes que iniciassem processos ou modificassem o computador. Resultados de Desempenho Tempo de Execução da Verificação ao Acessar 0:00 5:00 10:00 15:00 20:00 Baseline ESET Kaspersky McAfee Sophos Symantec Trend Micro Os produtos Sophos e Kaspersky foram os mais rápidos testados. Eles minimizaram a sobrecarga das verificações ao acessar e tiveram de longe os menores tempos de verificação completa do sistema por demanda. Por outro lado, os produtos McAfee e Trend Micro tiveram um impacto significativo sobre as atividades do dia-a-dia; o tempo necessário para copiar pastas e abrir um arquivo grande do PowerPoint foi duas vezes maior que a linha de referência (sem nenhum produto de segurança “endpoint”). O Symantec e o Trend Micro levaram mais tempo para realizar verificações por demanda. Além disso, realizamos uma segunda verificação por demanda para determinar o benefício potencial máximo dos mecanismos de cache dos produtos. O produto Kaspersky mostrou um avanço muito maior que o dos outros produtos; porém, é importante observar que esse teste mostra o máximo benefício possível, quando nenhum arquivo foi modificado e nenhuma atualização de assinaturas foi realizada. Por essa segunda verificação por demanda não ser representativa do 4 Tempo de Execução da Verificação por Demanda 0:00 5:00 10:00 15:00 20:00 25:00 30:00 Baseline ESET Kaspersky McAfee Sophos Symantec Trend Micro Tempo para Abrir Arquivo Grande do PowerPoint 0:00 0:05 0:00 0:30 0:10 0:15 0:20 Baseline ESET Kaspersky McAfee Sophos Symantec Trend Micro Tempo de Reinicialização 1:00 1:30 2:00 Baseline ESET Kaspersky McAfee Sophos Symantec Trend Micro Tempo de Execução da Segunda Verificação por Demanda 0:00 Baseline ESET Kaspersky McAfee Sophos Symantec Trend Micro 5:00 10:00 15:00 20:00 25:00 30:00 20% das explorações. O recurso HIPS do Sophos relatou com frequência comportamentos suspeitos, resultando no bloqueio parcial, mas incompleto, da atividade maliciosa. A proteção incompleta foi pontuada — quando Symantec Trend Micro qualquer processo anômalo ainda é executado no sistema comprometido — como uma “falha”. Eficiência de Bloqueio de Ameaças da Web 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% ESET Kaspersky McAfee Sophos uso no mundo real, ela não foi incluída nos nossos cálculos da classificação de desempenho dos produtos. Resultados de Eficiência Os produtos mostraram uma ampla variação em eficiência do bloqueio dos efeitos de explorações originadas pelo navegador e realizadas por downloads, uma modalidade de distribuição de ameaças dominante atualmente. O Kaspersky ultrapassou o Trend Micro no melhor resultado; os dois bloquearam completamente 80% ou mais das campanhas de explorações testadas. No caso do Trend Micro, o produto alcançou essa eficiência através do bloqueio baseado em URLs, relatando que impedia completamente o download de numerosos URLs maliciosos. O produto Kaspersky usou diversas técnicas, incluindo a identificação heurística de iframes maliciosos incorporados no HTML de páginas da Web, o que, na maioria dos casos frustrou as explorações. Mesmos quando o Kaspersky não bloqueou totalmente a exploração, pelo menos ele relatou a detecção de cavalos de Troia. O ESET e o McAfee ficaram no segundo nível, cada um bloqueando metade das explorações; o ESET também bloqueou tudo, menos alguma atividade do sistema de arquivos em um caso adicional. O Symantec veio em seguida, com o Sophos em último, bloqueando totalmente apenas O ESET não oferece gráficos bonitos, mas fornece visibilidade do status de todos os clientes instalados, além da capacidade de detalhar rapidamente uma pesquisa de sistemas específicos. ESET Smart Security 4 Business Edition SÍNTESE idioma e plataforma em listas suspensas separadas, com nomes mais amigáveis. O ESET não se relaciona facilmente com o Active Directory. Ele usa uma estrutura inicial simples, e todas as estações de trabalho e todos os servidores são importados em um único grupo, com uma política padrão — depende de você resolver isso. Não é necessário dizer que, em uma organização grande, essa é uma enorme desvantagem. A criação de relatórios e alertas personalizados é complexa, devida a uma interface quase impenetrável, apesar de o produto oferecer 17 relatórios prontos bastante úteis e os alertas correspondentes. O ESET apresentou rápida verificação por demanda, mas o produto levou mais tempo para executar verificações completas do sistema que os produtos mais rápidos. Sua eficiência contra as ameaças da Web foi mediana. Kaspersky Business Space Security 6.0 R2 SÍNTESE Por padrão, o cliente McAfee oferece ao usuário final acesso completo a todas as opções e detalhes de configuração através de diversas janelas. O produto ESET mostrou boa quantificação de desempenho e a instalação foi bastante direta — apesar da fraca integração com o Active Directory — é notável a falta nele de uma interface com painel e outros aspectos desejáveis para as empresas. O pacote também tem recursos de gerenciamento de políticas de certa forma limitados e foi complicado gerar relatórios e alertas personalizados. Da mesma forma que o Kaspersky Business Space Security, o produto ESET não exige que um administrador instale manualmente um banco de dados ou um servidor Web antes da instalação e da implementação do agente. No entanto, antes de implementar o agente, é necessário fazer várias modificações nas configurações do Firewall do Windows no GPO. Foi um desafio tentar localizar os componente de segurança apropriados para baixar da ampla lista com vários idiomas e plataformas da ESET, na qual são usadas abreviações em vez dos nomes dos produtos. Esse processo poderia ser simplificado dividindo as opções de 5 O Kaspersky Endpoint Security Suite foi excelente nos nossos testes de desempenho e eficiência, e facílimo de instalar. Sua implementação exigiu menos etapas dentre os produtos testados, fornecendo recursos de gerenciamento e relatório flexíveis. O produto usa diversos assistentes para simplificar a instalação dos componentes de servidor e de gerenciamento, e dá aos administradores a opção de implementar o agente de segurança através de um objeto GPO (Group Policy Object) do Windows ou através de push remoto, desde que as portas de compartilhamento de arquivos e impressão estejam abertas. Foi o único produto analisado que permite ao administrador implementar agentes O Kaspersky oferece uma estrutura em árvore fácil de seguir que espelha a arquitetura do Active Directory, juntamente com o acesso rápido a todas as ferramentas necessárias. de forma silenciosa através de um GPO criado automaticamente, e esteve entre os produtos menos complicados e mais fáceis de implementar em um ambiente do Active Directory. do Windows. Uma outra desvantagem é que os clientes não são definidos por padrão para baixar automaticamente as atualizações ; é necessário fazer essa configuração manualmente. O conjunto Kaspersky não exige a instalação de um servidor Web e, diferentemente do Sophos e do McAfee, também não exige a instalação manual de um banco de dados. Nossa única reclamação: algumas seções da documentação de implementação e o manual do administrador poderiam ser melhor organizados e apresentados de forma mais clara. A importação da estrutura do Active Directory com o McAfee Total Protection for Endpoint foi mais trabalhosa que na maioria. O sistema separa tarefas e políticas, e exige que você crie uma tarefa para baixar atualizações para os servidores e outra tarefa para fazer o push de novas assinaturas para os clientes — o McAfee não fornece uma forma de executar uma tarefa automatizada mais que uma vez por dia. Além disso, a criação de uma tarefa para implementar patches é trabalhosa; não há uma maneira de criar uma tarefa como modelo e aplicá-la posteriormente. O painel principal do McAfee oferece acesso a tutoriais, uma exibição dos arquivos mais recentes de atualização de assinaturas e do mecanismo, e o nível de ameaças em todos os sistemas gerenciados. é executado, as informações do AD são preenchidas no sistema, mas os computadores devem ser selecionados e adicionados manualmente para que possam ser gerenciados. McAfee Total Protection for Endpoint 8.7i SÍNTESE O cliente Kaspersky é direto e fácil de navegar, com poucas opções. O Kaspersky Business Space Security aceita três políticas ativas por grupo — estações de trabalho, servidores e dispositivos móveis — enquanto, em geral, os outros produtos examinados exigem grupos separados para servidores, estações de trabalhos e sistemas móveis em cada grupo geográfico ou funcional. As configurações de política padrão do produto são muito eficientes e, em geral, são tudo o que um administrador deseja: suas configurações médias padrão fornecem um equilíbrio entre a melhor segurança e o menor impacto sobre o desempenho. Uma outra vantagem é que as configurações da estação de trabalho ou do servidor em todos os aspectos da verificação antivírus, de arquivos e de aplicativos, navegação na Web e firewall se encontram em uma única política, enquanto os produtos McAfee, Symantec e Sophos exigem a configuração de várias políticas separadas. O produto usa o Console de Gerenciamento da Microsoft (MMC) para gerenciar o servidor, em vez de um aplicativo Web, tornando a execução de tarefas mais fácil e rápida. Da primeira vez que o console de administração O produto McAfee foi prejudicado por um processo de instalação complicado e seus resultados de desempenho estiveram entre os piores dos nossos testes. Ele oferece recursos de relatório sofisticados e flexíveis, porém, eles podem ser difíceis de usar. A melhor característica do produto foi suas poderosas ferramentas de relatórios e alertas, que incluem 14 consoles de painel pré-criados e o recurso para criar o seu próprio. No entanto, apesar desses poderosos recursos, os administradores podem se debater com a complexidade de ter de definir inúmeras configurações em menus diferentes para concluir uma única tarefa. Esteja preparado para consultar o manual com mais frequência que com outros produtos. Em relação ao desempenho, o McAfee não teve uma velocidade muito boa, ficando no último lugar no nosso teste de tempo de verificação ao acessar e na média nos resultados da verificação por demanda. Sua eficiência contra as ameaças da Web ficou na média. Sophos Endpoint Security and Control 8 SÍNTESE Por default, el cliente de McAfee da al usuario final un acceso completo a todas las opciones y detalles de configuración a través de una variedad de ventanas. A instalação e implementação do McAfee estiveram entre as mais complexas e demoradas dentre os produtos testados. Isso ocorreu principalmente porque o produto exige a instalação manual de um banco de dados, além de ser necessário baixar e registrar manualmente os componentes antivírus e antispyware. Também tivemos problemas na implementação do agente devido à falta de documentação clara sobre quais portas devem ser abertas no Firewall 6 Com um desempenho notável, uma configuração relativamente simples e uma inteface de gerenciamento com um design O Sophos oferece uma atraente visão geral gráfica das ameaças detectadas, juntamente com uma exibição organizada da estrutura de diretórios e das políticas. atraente, o Sophos Endpoint Security and Control teve uma boa pontuação como software de segurança. Seu desempenho foi excelente, mas sua eficiência contra ameaças da Web não foi boa. O produto Sophos foi o único pacote analisado que permitiu a criação de grupos na sua interface e a capacidade de sincronizá-los de volta para o Active configurados diretamente na janela de configuração do painel. Porém, não há um mecanismo para enviar relatórios periodicamente, como uma vez por semana. O sistema envia alertas somente quando um limite é excedido. Além disso, a funcionalidade de relatórios é bastante limitada, apesar permitir controlar o período dos relatórios. O desempenho foi um destaque: o Sophos mostrou os resultados mais rápidos em quase todos os nossos testes, apesar de ter uma pontuação baixa no tempo de reinicialização, com 40 segundos a mais que os nossos sistemas de teste. A eficiência não impressionou, embora às vezes o produto Sophos tenha nos avisado de conteúdo suspeito, a maioria das explorações foi pelo menos parcialmente bem-sucedida na execução de processos anômalos. O Sophos fornece ferramentas de gerenciamento de clientes separadas para os aplicativos de antivírus e firewall. Directory. Assim, a empresa pode manter a mesma estrutura de diretórios no AD e no aplicativo Sophos — o que, com as configurações corretas, pode ser extremamente útil para a manutenção de uma estrutura consistente. O conjunto Endpoint Security and Control foi um dos mais fáceis de instalar. Infelizmente, os administradores precisam instalar manualmente um banco de dados, se pretenderem instalar o servidor e o console no Windows Server 2008. Também é necessária uma reinicialização adicional do servidor, se o UAC estiver em execução. Depois de vencer esses obstáculos, os diversos assistentes do Sophos tornam o processo de instalação e implementação rápido e de fácil navegação. Ele também apresenta um Assistente de sincronização do Active Directory que simplifica bastante a localização de clientes em um amebiente do AD. Em geral, o Sophos apresentou uma interface limpa; como o Kaspersky Business Space Security, ele usa o MMC do Windows. A configuração de grupos e políticas foi simples e transparente. Além disso, o produto usa cinco políticas, o que torna a criação e a implementação de políticas um pouco mais trabalhosas. O painel do produto tem gráficos de barras fáceis de ler e permite a útil configuração de limites críticos e para avisos. Os alertas por email podem ser O painel do Symantec fornece uma imagem clara do nível atual de ameaças de vírus, juntamente com o status dos arquivos de assinaturas implementados recentemente e o status dos clientes. Symantec Endpoint Protection 11.0 SÍNTESE Os resultados de desempenho duvidosos e a falta de eficiência contra ameaças da Web do produto Symantec foram compensados pelos ótimos recursos de relatórios e alertas e pelo robusto gerenciamento de políticas. Antes de instalar o servidor e o console de gerenciamento Symantec, os administradores devem instalar um servidor Web. Os dois principais desafios encontrados durante a instalação foram localizar a documentação com a lista de portas abertas necessárias para o êxito da implementação do agente, além da identificação correta de nossos clientes usando o assistente para localizar computadores não gerenciados. Depois que o produto é instalado, o Symantec inclui um dos assistentes de 7 O cliente Sumantec é simples e fácil de usar, sem opções desnecessárias. sincronização com o AD mais fáceis de usar. A documentação da Symantec foi de grande ajuda, sendo uma das melhores estruturadas de todos os produtos. O Symantec permite a criação de políticas para controlar todos os aspectos das categorias antivírus, antispyware, firewall, prevenção de invasões, controle de aplicativos e dispositivos, LiveUpdate e exceções, incluindo os dias da semana e/ou os horários do dia em que as verificações devem ser executadas. A página inicial do produto consiste em um painel bem organizado, que pode mostrar as atividades das últimas 12 ou 24 horas. Os administradores podem configurar a atualização automática do painel para cada 3, 5, 10 ou 15 minutos, além de definir limites para alertas (embora o produto não permita limites diferentes do número de eventos de um determinado tempo). O Symantec Endpoint Protection fornece uma variedade muito ampla de relatórios predefinidos, com bastante detalhamento do tempo (do último dia ao último mês) e filtragem por sistema operacional, protocolo, direção (de entrada ou de saída), gravidade e outras medidas. Como desvantagem, os relatórios são apresentados somente em formato HTML. Enquanto o Symantec demonstrou uma velocidade razoável nos nossos testes de verificação ao acessar e de carga de arquivos grandes, ele foi um dos produtos mais lentos na verificação por demanda, ficando muito atrás do Kaspersky e do Sophos. Sua falta de eficiência contra as ameaças da Web foi surpreendente, devido aos testes anteriores que fizemos com o produto Symantec para o consumidor. maneira fácil de começar com um modelo e modificá-lo para qualquer grupo específico, além de determinar facilmente qual política se aplica a um determinado grupo. Com a Trend Micro, é simples identificar clientes não protegidos, implementar o software antivírus e gerenciar o processo geral de proteção dos computadores em uma organização. Trend Micro Worry-Free Business Security 6.0 Standard Edition SÍNTESE Trend Micro pode atingir uma ótima eficiência contra ameaças da Web e possui uma interface simples e fácil de usar. No entanto, foi o produto mais lento dentre todos os testados, e seus recursos de relatório são limitados. O software cliente Trend Micro fornece uma interface básica para executar verificações e outras tarefas básicas. Da mesma forma que o produto Symantec, o Trend Micro WorryFree Business Security exige que o administrador instale um servidor Web, como o IIS ou o Apache, antes da instalação do produto. Um assistente instala automaticamente um banco de dados no Windows Server 2003 ou 2008. A documentação do Trend Micro sobre a implementação do agente de segurança é um pouco confusa; havia uma lista dos requisitos específicos para estações de trabalho Windows Vista, sem as etapas correspondentes para estações de trabalho Windows XP. A exibição e criação de políticas funcionaram bem e foram fáceis de realizar. O Trend Micro fornece uma O painel Live Status do produto fornece o status de todos os clientes, juntamente com vários outros indicadores de integridade da segurança, além do status do sistema de servidores, mostrando a verificação inteligente, atualizações de componentes, eventos incomuns no sistema e o status da licença. Os alertas se limitam a 24 eventos, a maioria com limites, incluindo o status dos clientes e os vírus detectados. A criação de relatórios usando os modelos do Trend Micro é simples, e usa os mesmos 24 gatilhos de eventos como alertas. Os relatórios podem ser executados diariamente, semanalmente em qualquer dia ou mensalmente, em qualquer dia do mês. Porém, os recursos de relatórios do produto são um pouco restritos. Primeiro, inicialmente a pasta de relatórios está vazia: você precisa criar um novo relatório usando um dos 14 modelos, que não podem ser modificados, para gerar um relatório. De certa forma, este é o pior dos dois mundos, pois o Trend Micro não fornece nada que você possa simplesmente executar de início, e não há uma maneira de personalizar o que você cria. Por exemplo, falta no produto uma forma de gerar um relatório mostrando os terminais que estão desatualizados. Finalmente, o Trend Micro ficou no último ou nos últimos lugares em nossos testes de desempenho. Ele demorou mais para concluir a verificação por demanda — quase duas vezes mais que os dois pacotes mais rápidos, o Kaspersky e o Sophos. O produto Trend Micro também aumentou substancialmente o tempo de reinicialização. Como Testamos o Desempenho Para os testes de desempenho, configuramos políticas para que fosse possível comparar os resultados dos vários produtos. Nas verificações completas do sistema por demanda, foi verificado apenas o disco rígido local, com a verificação de arquivos compactados e comprimidos ativada. Nossos testes de verificação ao acessar não incluíram arquivos comprimidos ou compactados. Foram ativadas exceções para nossas 8 ferramentas de automação e a maioria das outras configurações padrão foi utilizada. Nós executamos cada teste individual pelo menos três vezes, reiniciando cada etapa a partir de uma instalação limpa, e usamos a média dos resultados. Foi calculada a classificação de desempenho geral usando o total dos resultados de cada produto nos testes de verificação ao acessar, verificação por demanda, abertura do arquivo do PowerPoint e tempo de reinicialização. Verificação ao Acessar: tempo para copiar e colar uma pasta bastante grande de tipos de arquivos não comprimidos, incluindo arquivos do sistema Windows, documentos, planilhas, imagens, PDFs, arquivos de filmes e música. Verificação por Demanda: tempo para concluir uma verificação completa do sistema de um computador não infectado com as configurações padrão, mas configurando todos os produtos para verificar todos os arquivos e os arquivos comprimidos. Abertura de um Arquivo Grande do PowerPoint: tempo para abrir um arquivo do PowerPoint (álbum de fotos do PowerPoint com 8.7 MB), demonstrando o impacto dos componentes de verificação ao acessar. Tempo de reinicialização: o tempo necessário para reiniciar, da especificação de uma solicitação de reinicialização ao ligar o computador até o início completo da área de trabalho do Windows, com a CPU ociosa. Segunda Verificação por Demanda: tempo para concluir uma verificação completa do sistema subsequente de um computador não infectado com as configurações de verificação padrão. Este teste mostra o máximo benefício que pode ser obtido pelos recursos de cache do produto e não foi computado na classificação geral. Para esses testes de desempenho, a Cascadia Labs usou um conjunto de computadores desktop Dell com processadores Intel Core 2 Duo E4500 2.2 GHz, 2 GB de RAM, 160 GB de disco rígido e o Microsoft Windows XP Professional Service Pack 2 configurados de forma idêntica. As tarefas dos testes foram automatizadas para maximizar a possibilidade de repetição. Como Testamos a Eficiência Os testes de eficiência refletem a efetividade dos produtos contra ameaças realistas ao vivo usando o conjunto completo de recursos dos produtos, incluindo reconhecimento da Web, mecanismos de antivírus e antimalware e recursos de proteção comportamental, entre outros. A Cascadia Labs acredita que esses testes são uma forma muito mais apropriada de medir a eficiência dos produtos que simplesmente apontar os mecanismos de assinaturas dos produtos contra um grande número de binários maliciosos. No entanto, essa abordagem também requer que os leitores considerem os três fatores a seguir ao interpretar seus resultados. Configuração do Produto: os produtos de terminais empresariais fornecem várias opções de configuração, tanto em relação aos componentes de proteção que oferecem quanto às configurações escolhidas para cada componente. As empresas podem selecionar configurações diferentes de acordo com a rigidez de suas políticas de segurança, seu nível de experiência ou outras considerações específicas. Para esses testes, nós usamos os produtos com suas configurações padrão. Amostras Escolhidas: as ameaças podem ter origens diversas. Nesses testes, nós nos concentramos nas ameaças da Web, particularmente aquelas advindas de downloads, pois acreditamos que elas representam a maior e mais presente ameaça para as empresas atuais. A Cascadia Labs captura centenas de ameaças por dia; em vez de escolher uma amostra aleatória de ameaças da Web, o que resultaria em testes com um grande número de ataques subjacentes muito semelhantes, escolhemos uma única amostra de dez campanhas diferentes com mecanismos de exploração distintos, de forma a obter uma diversidade maior de ameaças. Mecanismo de Pontuação: definir uma detecção bem-sucedida e criar um algoritmo de pontuação justo é mais difícil do que pode parecer. A maioria de nós concordaria que bloquear uma ameaça antes que ela possa explorar um computador, inserir arquivos ou executar processos é o melhor. No entanto, será que os produtos que impedem a execução da ameaça — mesmo que permitam uma exploração e alguns arquivos adicionados — não devem ter uma pontuação melhor que um produto que nem detecta a ameaça? Para este relatório, os produtos que bloqueiam completamente uma ameaça foram pontuados como um bloqueio completo e aqueles que impedem a execução da ameaça tiveram metade da pontuação. Nós usamos nossa tecnologia proprietária de captura e reprodução de explorações para assegurar que cada produto fosse testado contra ameaças idênticas. Para cada exploração, registramos a atividade do sistema e concedemos as maiores pontuações aos produtos que impediram que elas executassem novos processos ou inserissem arquivos no sistema; tiveram crédito parcial os produtos que bloquearam todos os processos indesejados e não foram atribuídos pontos aos produtos que deixaram o ataque ter êxito, total ou parcialmente, através da execução bem-sucedida de processos anômalos nos nossos sistemas de teste. Avaliações independentes de tecnologia Independent evaluationsde ofprodutos technology products Contato: [email protected] www.cascadialabs.com Esta análise comparativa, realizada de forma independente pela Cascadia Labs em novembro de 2009, foi patrocinada pela Kaspersky Lab. A meta da Cascadia Labs é fornecer análises objetivas e imparciais de cada produto com base em testes práticos realizados em seu laboratório de segurança. 9