Realizada por
ANÁLISE COMPARATIVA
Segurança Prática de Endpoint Empresariais
que observarem, além das marcas, as
capacidades quantitativas dos produtos,
poderão descobrir opções menos
conhecidas que podem ser úteis para suas
empresas.
Nesta Análise
•ESET Smart Security 4 Business
Edition
•Kaspersky Business Space Security
6.0 R2 (Administration Kit 8.0)
•McAfee Total Protection for
Endpoint v 8.7i (ePO 4.5)
•Sophos Endpoint Security and
Control 8
•Symantec Endpoint Protection
11.0
•Trend Micro Worry-Free Business
Security 6.0 Standard Edition
Em nossos testes contínuos de produtos
de segurança, a Cascadia Labs descobriu
diferenças significativas na forma como
os produtos atingem as diversas metas
corporativas estabelecidas para seus
conjuntos de segurança, da eficiência do
bloqueio de ameaças ao desempenho
da integração com a infraestrutura
empresarial.
Para avaliar os recursos reais dos conjuntos
de segurança de terminais, nós testamos
seis deles no nosso laboratório de
segurança empresarial. Nós reunimos
dados quantitativos e qualitativos
detalhados sobre seus recursos em várias
áreas importantes para empresas de
pequeno e médio porte.
O mercado de segurança de endpoint
empresariais está mudando com uma
velocidade surpreendentemente grande,
especialmente se considerarmos que
ele é relativamente recente. As marcas
estabelecidas podem inspirar uma
confiança subjetiva,mas os compradores
Nós começamos examinando a
experiência do usuário através de algumas
medidas quantitativas de eficiência e
desempenho — um produto
precisa proteger os usuários contra
ameaças da Web e incomodá-los
o mínimo possível. Em seguida,
nós trocamos de posição com o
administrador de TI e exploramos a
integração do produto com o Active
Directory e o Windows 2008 Server, e
como é seu desempenho em termos
de gerenciamento e utilização. Nós
continuamos a acreditar que os produtos
fáceis de gerenciar e que oferecem uma
excelente visibilidade de seu trabalho
contribuirão, em última instância, para
uma política de segurança melhor.
Resumo
Nós descobrimos que os produtos eram
mais diferentes que semelhantes, o que
levou à conclusão de que as empresas
devem considerar com cuidado as escolhas
que fazem.
CLASSIFICAÇÕES GERAIS
Categoria
Instalação e Configuração
Políticas e Gerenciamento
Visibilidade e Relatórios
Desempenho
Eficiência
Legenda:
Sophos Endpoint
Security and
Control 8
Symantec
Endpoint
Protection 11.0
Produto muito
limpo e
bem-projetado,
com configurações
padrão que pouco
bloqueiam as
ameaças da Web.
Os relatórios
precisam ser
trabalhados.
Um produto sólido,
com bom
gerenciamento e
ótimos relatórios,
mas com alguns
problemas de fato
em relação às
nossas ameaças da
Web ao vivo.
½
Um produto
rápido, mais
adequado para
empresas menores
devido à sua fraca
integração com o
AD, a falta de um
painel e detalhes
em relação aos
outros produtos
nesta análise.
– Fraco
McAfee Total
Protection for
Endpoint 8.7i
(ePO 4.5)
½
TOTAL
Resumo
Kaspersky
Business Space
Security 6.0 R2
(Administration
Kit 8.0)
ESET Smart
Security 4
Business Edition
– Regular
Boa opção para
empresas de todos
os portes, devido à
sua ótima
integração com o
AD, velocidade,
proteção excelente
contra ameaças da
Web, além de um
gerenciamento
sólido. Relatórios e
documentação
podem ser
aprimorados.
– Bom
Um produto
complexo, mais
adequado a
grandes
organizações, que
possam lidar com
sua complexidade.
Foi observado um
desempenho lento
durante todos os
nossos testes.
– Muito Bom
1
– Excelente
Trend Micro
Worry-Free
Business Security
6.0 Standard
Edition
½
Uma boa opção
para empresas
pequenas, oferece
proteção sólida
contra as ameaças
da Web. O
desempenho pode
ser um fator de
lentidão.
INSTALAÇÃO E CONFIGURAÇÃO RELATÓRIO RESUMIDO
Etapas e
Tempo de
Produto
Classificação
Conclusão
Vantagens
Desvantagens
ESET Smart Security
131 etapas,
3-4 horas
• Muito bem documentado: fácil de
seguir, incluindo alterações de GPO
• Integração com o Active Directory fraca
• Usa um banco de dados do Microsoft Access por
padrão (não documentado no assistente)
Kaspersky Lab Business
Space Security
78 etapas,
3 horas
• Nenhuma alteração de GPO manual necessária
• Alterações manuais do firewall
documentadas claramente
• Fornece uma lista abrangente de
remoções de produtos
• Instala automaticamente o banco de
dados para o servidor de gerenciamento
• A documentação de instalação poderia ser mais clara
McAfee Total
Protection for Endpoint
166 etapas,
4-6 horas
• Boa detecção de clientes do Active Directory
e de outros domínios na rede
• A tarefa de sincronização com o AD é fácil
de executar e de usar posteriormente
• O processo é complexo
• O produto exigiu um número comparativamente
grande de downloads e teve uma integração fraca
• Documentação pobre, com tópicos desestruturados
Sophos Endpoint
Security and Control
183 etapas,
3-4 horas
• Ótima integração com o Active Directory:
a importação da estrutura do AD é fácil
de localizar e executar
• Exige a pré-instalação do SQL Server 2005/2008
• Exige a reinicialização do servidor depois de desativar
o UAC, impondo começar o assistente desde o início
• Instalação personalizada do componente
"SQL Server" é confusa
Symantec Endpoint
Protection
123 etapas,
3-4 horas
• Documentação bastante completa e fácil
de seguir
• Instala automaticamente o banco de dados
para o servidor de gerenciamento
• Sincronização com o AD bem documentada
e fácil de executar
• Configuração manual de GPO ou cliente necessária
para abrir a rede para a instalação de agentes
Trend Micro WorryFree Business Security
72 etapas,
3 horas
• Menor número de etapas durante a instalação
• Instala automaticamente o banco de dados
para o servidor de gerenciamento
• Exige a configuração manual do GPO para o
push do cliente
• Componentes específicos do IIS não documentados
até a conclusão da instalação inicial do IIS
Kaspersky, Symantec e Trend Micro WorryFree tiveram instalação e configuração
fáceis, sendo que o Kaspersky se destacou
dos outros devido à sua integração com o
Active Directory. Esses mesmos produtos,
além do Sophos, fornecerem as melhores
políticas e experiência de gerenciamento;
o McAfee ficou para trás devido à sua
complexidade, e o ESET precisa melhorar
a integração com o Active Directory
para tornar-se um concorrente capaz de
sobreviver em empresas maiores.
Symantec e McAfee apresentaram
a melhor visibilidade e os melhores
relatórios, com várias opções para agradar
ao administrador e ao responsável
pela conformidade. Em termos de
desempenho, Kaspersky, Sophos e ESET
tiveram bons resultados; o McAfee e o
Trend Micro tornaram a experiência do
usuário significativamente mais lenta. Em
termos de eficiência, o Kaspersky e o Trend
Micro Worry-Free tiveram as melhores
pontuações; o Symantec e o Sophos não
bloquearam totalmente ameaças da
Web suficientes com suas configurações
padrão.
No final, as empresas devem fazer
uma escolha de acordo com seus
requisitos específicos e configurá-los
adequadamente; assim, vale a pena
examinar as classificações e análises
individuais, e não apenas as pontuações
gerais dos produtos.
Classificação dos Produtos
As classificações são determinadas com
base nos testes executados em nossos
laboratórios, com os destaques mostrados
como vantagens e desvantagens
nos nossos relatórios resumidos. As
classificações se destinam ao uso na
comparação dos produtos e não devem
ser usadas como medidas absolutas
dos das capacidades dos mesmos em
uma determinada área. Se um produto
2
realmente se destacar em relação aos
outros, ele pode receber 5 triângulos.
Nós instalamos cada produto em nossa
rede de teste com o Windows Server 2008
e em computadores com o Windows XP
e o Windows 7, os configuramos e, sem
seguidas, testamos seu desempenho e
sua eficiência contra um conjunto de
ameaças da Web, de forma a exercitar as
ações corretivas do produto, que podem
incluir detecção baseada em assinaturas,
filtragem de URLs e de conteúdo da Web,
bloqueio comportamental, firewalls e
outros recursos de proteção. Também
realizamos tarefas administrativas de
representação, como a adição de novos
computadores à rede, a atribuição de
exceções a aplicativos específicos em
execução em computadores individuais e
o teste de recursos de alerta e relatórios.
Então, pontuamos cada produto nas cinco
categorias a seguir.
POLÍTICAS E GERENCIAMENTO RELATÓRIO RESUMIDO
Produto
Classificação
Vantagens
Desvantagens
ESET Smart Security
• Editor de políticas inclui exclusivo botão "padrão"
para definir qualquer valor novamente com o padrão
• Sem integração com o Active Directory Não lida bem
com grupos; quando reiniciado, a exibição padrão retorna
para a exibição sem grupos
Kaspersky Business
Space Security
• Interface clara e fácil de usar
• Permite políticas separadas para estações de trabalho,
servidores e dispositivos móveis em cada grupo
• Usa uma política por grupo
• A interface do MMC é mais fácil e rápida que as
interfaces baseadas na Web
• Apenas uma política ativa de cada tipo é permitida em
cada contêiner
McAfee Total
Protection for Endpoint
• Oferece controle bastante detalhado de políticas
e do que é visto pelos usuários
• Complexo: usa 11 políticas antivírus separadas, mais uma
para o agente
• A instalação deixa os clientes desprotegidos e as atualizações
não ativadas
• Instalação padrão do firewall desativa toda a conectividade
da rede
Sophos Endpoint
Security and Control
• Interface ótima e clara; tudo o que é necessário
está em uma janela
• Usa cinco políticas (Agente, Antivírus, Controle de
Aplicativos, Firewall e NAC), tornando trabalhosa a criação
e a implementação de políticas
Symantec Endpoint
Protection
• Interface simples e direta
• As políticas padrão têm configurações desejadas pela
maioria dos administradores
• O firewall funciona com aplicativos empresariais
sem modificações
• Várias políticas tornam a administração do clientes mais
complexa que produtos com uma única política
Trend Micro WorryFree Business Security
• Interface clara e simples
• Todas as alterações de políticas podem ser feitas
em uma guia
• É fácil determinar qual política se aplica a qualquer
grupo, criar novas políticas ou grupos
• Com a configuração padrão, o console de logon na Web
apresenta um erro no certificado de segurança
Instalação e Configuração classifica
a experiência da instalação do
software de servidor e do console de
gerenciamento, e da implementação
do software de segurança de terminais
em computadores cliente e servidor
da rede. Nós favorecemos os produtos
VISIBILIDADE E RELATÓRIOS RELATÓRIO RESUMIDO
Produto
Classificação
realmente integrados, aqueles com
assistentes de instalação diretos e aqueles
com descoberta automática de terminais
através da total integração com o Active
Directory, NetBIOS ou endereços IP. Vários
desses produtos exigem um banco de
dados e um servidor Web. Os melhores
Vantagens
facilitam as vidas dos administradores
através da instalação automática dos prérequisitos necessários.
Políticas e Gerenciamento aborda a
configuração inicial e o gerenciamento
contínuo de políticas. Foram incluídas
Desvantagens
ESET Smart Security
• Muitos relatórios predefinidos
• Sem painel
• Os relatórios e alertas personalizados são difíceis de configurar
• Sem opção de formato PDF para os relatórios
Kaspersky Business
Space Security
• Painel estensível excelente
• Sistema flexível de relatórios e alertas predefinidos
e personalizados
• Fácil enviar alertas e relatórios por email
• A localização do relatório que você procura pode demorar
• Relatórios "personalizados" limitados às
consultas predefinidas
McAfee Total
Protection for Endpoint
• Grande conjunto de relatórios e alertas predefinidos
• Ótimo painel, com um grande número de elementos
gráficos opcionais que podem ser exibidos nas
diferentes guias, conforme desejado
• Processo de criação de relatórios complexo
• É necessário navegar por várias seções da interface
Sophos Endpoint
Security and Control
• Interface clara para paineis e relatórios
• A configuração de alertas por email é rápida e fácil
• Funcionalidade de relatórios se limita a algumas categorias
• Não é possível gerar relatórios semanais automaticamente
Symantec Endpoint
Protection
• Painel informativo e bem organizado
• O console de administração pode exibir um nível de
• O processo de envio de relatórios e alertas é simples e direto utilização do servidor muito alto
• O sistema de alertas é completo e fácil de usar
• Limitado a relatórios HTML
com restrições
Trend Micro WorryFree Business Security
• Painel bem organizado e personalizável
• Alertas e relatórios simples de programar e enviar
por email
3
• O uso dos relatórios prontos é pouco prático
• Limitados a 14 relatórios predefinidos
tarefas administrativas, como a
configuração da política de terminais
padrão, a adição de um novo desktop, a
programação de verificações, a execução
de uma verificação por demanda e a
configuração de um firewall. Também
concedemos pontuações maiores para
os produtos com recursos direcionados à
empresa, como a integração com o Active
Directory, e reconhecimento de locais.
Todos os produtos dão suporte a algum
tipo de instalação push em clientes de
um domínio, assim como à herança de
políticas de um contêiner pai para seus
filhos. Foi dada preferência a um menor
número de políticas para gerenciar e
produtos que conseguiam lidar com
políticas de laptops, desktops e servidores
de forma sensível.
Visibilidade e Relatórios examina
os recursos do painel, de relatórios e
alertas oferecidos pelo produto. Nós
consideramos a disponibilidade de um
painel que oferecesse uma visão geral com
fácil compreensão do status de proteção
do cliente, eventos recentes e atividades
baseadas e tarefas como principal
vantagem. No entanto, o painel deve ser
melhorado através de ferramentas de
relatórios e alertas a fim de identificar
informações críticas, como malwares
detectados, assinaturas desatualizadas e
computadores sem proteção de terminal
em centenas ou até mesmo milhares de
terminais.
Desempenho mede o alcance de cada
produto ao minimizar o impacto sobre os
usuários na execução de tarefas comuns,
como verificações ao acessar, verificações
completas do sistema e abertura de
arquivos grandes. Uma solução de
segurança de terminais não deve tornar
os usuários finais mais lentos de forma
perceptível. Os melhores acrescentarão
apenas uma sobrecarga mínima sobre os
computadores cliente nas verificações ao
acessar e por demanda.
Eficiência classifica a capacidade dos
produtos de bloquear as ameaças
baseadas na Web. Para que houvesse
condições imparciais, realizamos os
testes usando amostras de nossa própria
coleção criada de forma independente,
sem entradas dos fornecedores. Nós
definimos configurações básicas e
testamos os produtos com seus padrões,
permitindo que eles usassem seu conjunto
completo de medidas
contra as ameaças. Nós
observamos a capacidade
dos produtos de bloquear
as ameaças antes que
iniciassem processos
ou modificassem o
computador.
Resultados de
Desempenho
Tempo de Execução da Verificação ao Acessar
0:00
5:00
10:00
15:00
20:00
Baseline
ESET
Kaspersky
McAfee
Sophos
Symantec
Trend Micro
Os produtos Sophos
e Kaspersky foram os
mais rápidos testados.
Eles minimizaram
a sobrecarga das
verificações ao acessar
e tiveram de longe os
menores tempos de
verificação completa do
sistema por demanda.
Por outro lado, os
produtos McAfee e
Trend Micro tiveram um
impacto significativo
sobre as atividades
do dia-a-dia; o tempo
necessário para copiar
pastas e abrir um arquivo
grande do PowerPoint foi
duas vezes maior que a
linha de referência (sem
nenhum produto de
segurança “endpoint”). O
Symantec e o Trend Micro
levaram mais tempo para
realizar verificações por
demanda.
Além disso, realizamos
uma segunda verificação
por demanda para
determinar o benefício
potencial máximo
dos mecanismos de
cache dos produtos.
O produto Kaspersky
mostrou um avanço
muito maior que o dos
outros produtos; porém,
é importante observar
que esse teste mostra
o máximo benefício
possível, quando nenhum
arquivo foi modificado e
nenhuma atualização de
assinaturas foi realizada.
Por essa segunda
verificação por demanda
não ser representativa do
4
Tempo de Execução da Verificação por Demanda
0:00
5:00
10:00
15:00
20:00
25:00
30:00
Baseline
ESET
Kaspersky
McAfee
Sophos
Symantec
Trend Micro
Tempo para Abrir Arquivo Grande do PowerPoint
0:00
0:05
0:00
0:30
0:10
0:15
0:20
Baseline
ESET
Kaspersky
McAfee
Sophos
Symantec
Trend Micro
Tempo de Reinicialização
1:00
1:30
2:00
Baseline
ESET
Kaspersky
McAfee
Sophos
Symantec
Trend Micro
Tempo de Execução da Segunda Verificação por Demanda
0:00
Baseline
ESET
Kaspersky
McAfee
Sophos
Symantec
Trend Micro
5:00
10:00
15:00
20:00
25:00
30:00
20% das explorações.
O recurso HIPS do
Sophos relatou
com frequência
comportamentos
suspeitos, resultando
no bloqueio parcial,
mas incompleto, da
atividade maliciosa. A
proteção incompleta
foi pontuada — quando
Symantec Trend Micro
qualquer processo
anômalo ainda é
executado no sistema
comprometido — como uma “falha”.
Eficiência de Bloqueio de Ameaças da Web
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
ESET
Kaspersky
McAfee
Sophos
uso no mundo real, ela não foi incluída
nos nossos cálculos da classificação de
desempenho dos produtos.
Resultados de Eficiência
Os produtos mostraram uma ampla
variação em eficiência do bloqueio dos
efeitos de explorações originadas pelo
navegador e realizadas por downloads,
uma modalidade de distribuição de
ameaças dominante atualmente. O
Kaspersky ultrapassou o Trend Micro no
melhor resultado; os dois bloquearam
completamente 80% ou mais das
campanhas de explorações testadas.
No caso do Trend Micro, o produto
alcançou essa eficiência através do
bloqueio baseado em URLs, relatando que
impedia completamente o download de
numerosos URLs maliciosos. O produto
Kaspersky usou diversas técnicas, incluindo
a identificação heurística de iframes
maliciosos incorporados no HTML de
páginas da Web, o que, na maioria dos
casos frustrou as explorações. Mesmos
quando o Kaspersky não bloqueou
totalmente a exploração, pelo menos ele
relatou a detecção de cavalos de Troia.
O ESET e o McAfee ficaram no segundo
nível, cada um bloqueando metade das
explorações; o ESET também bloqueou
tudo, menos alguma atividade do sistema
de arquivos em um caso adicional. O
Symantec veio em seguida, com o Sophos
em último, bloqueando totalmente apenas
O ESET não oferece gráficos bonitos, mas
fornece visibilidade do status de todos os
clientes instalados, além da capacidade de
detalhar rapidamente uma pesquisa de sistemas
específicos.
ESET Smart Security 4 Business
Edition SÍNTESE
idioma e plataforma em listas suspensas
separadas, com nomes mais amigáveis.
O ESET não se relaciona facilmente com
o Active Directory. Ele usa uma estrutura
inicial simples, e todas as estações de
trabalho e todos os servidores são
importados em um único grupo, com
uma política padrão — depende de você
resolver isso. Não é necessário dizer que,
em uma organização grande, essa é uma
enorme desvantagem.
A criação de relatórios e alertas
personalizados é complexa, devida a uma
interface quase impenetrável, apesar
de o produto oferecer 17 relatórios
prontos bastante úteis e os alertas
correspondentes.
O ESET apresentou rápida verificação
por demanda, mas o produto levou
mais tempo para executar verificações
completas do sistema que os produtos
mais rápidos. Sua eficiência contra as
ameaças da Web foi mediana.
Kaspersky Business Space
Security 6.0 R2 SÍNTESE
Por padrão, o cliente McAfee oferece ao usuário
final acesso completo a todas as opções e
detalhes de configuração através de diversas
janelas.
O produto ESET mostrou boa quantificação
de desempenho e a instalação foi bastante
direta — apesar da fraca integração com
o Active Directory — é notável a falta nele
de uma interface com painel e outros
aspectos desejáveis para as empresas.
O pacote também tem recursos de
gerenciamento de políticas de certa forma
limitados e foi complicado gerar relatórios
e alertas personalizados.
Da mesma forma que o Kaspersky
Business Space Security, o produto ESET
não exige que um administrador instale
manualmente um banco de dados ou
um servidor Web antes da instalação
e da implementação do agente. No
entanto, antes de implementar o agente,
é necessário fazer várias modificações nas
configurações do Firewall do Windows
no GPO. Foi um desafio tentar localizar os
componente de segurança apropriados
para baixar da ampla lista com vários
idiomas e plataformas da ESET, na qual
são usadas abreviações em vez dos nomes
dos produtos. Esse processo poderia
ser simplificado dividindo as opções de
5
O Kaspersky Endpoint Security Suite
foi excelente nos nossos testes de
desempenho e eficiência, e facílimo de
instalar. Sua implementação exigiu menos
etapas dentre os produtos testados,
fornecendo recursos de gerenciamento e
relatório flexíveis.
O produto usa diversos assistentes para
simplificar a instalação dos componentes
de servidor e de gerenciamento, e dá aos
administradores a opção de implementar
o agente de segurança através de um
objeto GPO (Group Policy Object) do
Windows ou através de push remoto,
desde que as portas de compartilhamento
de arquivos e impressão estejam abertas.
Foi o único produto analisado que permite
ao administrador implementar agentes
O Kaspersky oferece uma estrutura em árvore
fácil de seguir que espelha a arquitetura do
Active Directory, juntamente com o acesso rápido
a todas as ferramentas necessárias.
de forma silenciosa através de um GPO
criado automaticamente, e esteve entre
os produtos menos complicados e mais
fáceis de implementar em um ambiente
do Active Directory.
do Windows. Uma outra desvantagem
é que os clientes não são definidos por
padrão para baixar automaticamente
as atualizações ; é necessário fazer essa
configuração manualmente.
O conjunto Kaspersky não exige
a instalação de um servidor Web
e, diferentemente do Sophos e do
McAfee, também não exige a instalação
manual de um banco de dados. Nossa
única reclamação: algumas seções da
documentação de implementação e o
manual do administrador poderiam ser
melhor organizados e apresentados de
forma mais clara.
A importação da estrutura do Active
Directory com o McAfee Total Protection
for Endpoint foi mais trabalhosa que
na maioria. O sistema separa tarefas e
políticas, e exige que você crie uma tarefa
para baixar atualizações para os servidores
e outra tarefa para fazer o push de novas
assinaturas para os clientes — o McAfee
não fornece uma forma de executar uma
tarefa automatizada mais que uma vez por
dia. Além disso, a criação de uma tarefa
para implementar patches é trabalhosa;
não há uma maneira de criar uma tarefa
como modelo e aplicá-la posteriormente.
O painel principal do McAfee oferece acesso
a tutoriais, uma exibição dos arquivos mais
recentes de atualização de assinaturas e do
mecanismo, e o nível de ameaças em todos os
sistemas gerenciados.
é executado, as informações do AD
são preenchidas no sistema, mas os
computadores devem ser selecionados
e adicionados manualmente para que
possam ser gerenciados.
McAfee Total Protection for
Endpoint 8.7i SÍNTESE
O cliente Kaspersky é direto e fácil de navegar,
com poucas opções.
O Kaspersky Business Space Security aceita
três políticas ativas por grupo — estações
de trabalho, servidores e dispositivos
móveis — enquanto, em geral, os outros
produtos examinados exigem grupos
separados para servidores, estações de
trabalhos e sistemas móveis em cada
grupo geográfico ou funcional.
As configurações de política padrão
do produto são muito eficientes e, em
geral, são tudo o que um administrador
deseja: suas configurações médias padrão
fornecem um equilíbrio entre a melhor
segurança e o menor impacto sobre o
desempenho. Uma outra vantagem é que
as configurações da estação de trabalho
ou do servidor em todos os aspectos da
verificação antivírus, de arquivos e de
aplicativos, navegação na Web e firewall
se encontram em uma única política,
enquanto os produtos McAfee, Symantec
e Sophos exigem a configuração de várias
políticas separadas.
O produto usa o Console de
Gerenciamento da Microsoft (MMC)
para gerenciar o servidor, em vez de um
aplicativo Web, tornando a execução de
tarefas mais fácil e rápida. Da primeira
vez que o console de administração
O produto McAfee foi prejudicado por
um processo de instalação complicado e
seus resultados de desempenho estiveram
entre os piores dos nossos testes. Ele
oferece recursos de relatório sofisticados
e flexíveis, porém, eles podem ser difíceis
de usar.
A melhor característica do produto foi
suas poderosas ferramentas de relatórios
e alertas, que incluem 14 consoles de
painel pré-criados e o recurso para criar
o seu próprio. No entanto, apesar desses
poderosos recursos, os administradores
podem se debater com a complexidade de
ter de definir inúmeras configurações em
menus diferentes para concluir uma única
tarefa. Esteja preparado para consultar
o manual com mais frequência que com
outros produtos.
Em relação ao desempenho, o McAfee não
teve uma velocidade muito boa, ficando
no último lugar no nosso teste de tempo
de verificação ao acessar e na média nos
resultados da verificação por demanda.
Sua eficiência contra as ameaças da Web
ficou na média.
Sophos Endpoint Security and
Control 8 SÍNTESE
Por default, el cliente de McAfee da al usuario
final un acceso completo a todas las opciones y
detalles de configuración a través de una
variedad de ventanas.
A instalação e implementação do McAfee
estiveram entre as mais complexas
e demoradas dentre os produtos
testados. Isso ocorreu principalmente
porque o produto exige a instalação
manual de um banco de dados, além
de ser necessário baixar e registrar
manualmente os componentes antivírus e
antispyware. Também tivemos problemas
na implementação do agente devido à
falta de documentação clara sobre quais
portas devem ser abertas no Firewall
6
Com um desempenho notável, uma
configuração relativamente simples e uma
inteface de gerenciamento com um design
O Sophos oferece uma atraente visão geral
gráfica das ameaças detectadas, juntamente
com uma exibição organizada da estrutura de
diretórios e das políticas.
atraente, o Sophos Endpoint Security and
Control teve uma boa pontuação como
software de segurança. Seu desempenho
foi excelente, mas sua eficiência contra
ameaças da Web não foi boa.
O produto Sophos foi o único pacote
analisado que permitiu a criação de
grupos na sua interface e a capacidade
de sincronizá-los de volta para o Active
configurados diretamente na janela de
configuração do painel. Porém, não há
um mecanismo para enviar relatórios
periodicamente, como uma vez por
semana. O sistema envia alertas somente
quando um limite é excedido. Além disso,
a funcionalidade de relatórios é bastante
limitada, apesar permitir controlar o
período dos relatórios.
O desempenho foi um destaque: o Sophos
mostrou os resultados mais rápidos em
quase todos os nossos testes, apesar
de ter uma pontuação baixa no tempo
de reinicialização, com 40 segundos a
mais que os nossos sistemas de teste. A
eficiência não impressionou, embora às
vezes o produto Sophos tenha nos avisado
de conteúdo suspeito, a maioria das
explorações foi pelo menos parcialmente
bem-sucedida na execução de processos
anômalos.
O Sophos fornece ferramentas de gerenciamento
de clientes separadas para os aplicativos de
antivírus e firewall.
Directory. Assim, a empresa pode manter
a mesma estrutura de diretórios no AD
e no aplicativo Sophos — o que, com
as configurações corretas, pode ser
extremamente útil para a manutenção de
uma estrutura consistente.
O conjunto Endpoint Security and
Control foi um dos mais fáceis de instalar.
Infelizmente, os administradores precisam
instalar manualmente um banco de dados,
se pretenderem instalar o servidor e o
console no Windows Server 2008. Também
é necessária uma reinicialização adicional
do servidor, se o UAC estiver em execução.
Depois de vencer esses obstáculos, os
diversos assistentes do Sophos tornam o
processo de instalação e implementação
rápido e de fácil navegação. Ele também
apresenta um Assistente de sincronização
do Active Directory que simplifica bastante
a localização de clientes em um amebiente
do AD.
Em geral, o Sophos apresentou uma
interface limpa; como o Kaspersky
Business Space Security, ele usa o MMC
do Windows. A configuração de grupos e
políticas foi simples e transparente. Além
disso, o produto usa cinco políticas, o que
torna a criação e a implementação de
políticas um pouco mais trabalhosas.
O painel do produto tem gráficos de
barras fáceis de ler e permite a útil
configuração de limites críticos e para
avisos. Os alertas por email podem ser
O painel do Symantec fornece uma imagem clara
do nível atual de ameaças de vírus, juntamente com
o status dos arquivos de assinaturas implementados
recentemente e o status dos clientes.
Symantec Endpoint
Protection 11.0 SÍNTESE
Os resultados de desempenho duvidosos
e a falta de eficiência contra ameaças
da Web do produto Symantec foram
compensados pelos ótimos recursos
de relatórios e alertas e pelo robusto
gerenciamento de políticas.
Antes de instalar o servidor e o console
de gerenciamento Symantec, os
administradores devem instalar um
servidor Web. Os dois principais desafios
encontrados durante a instalação foram
localizar a documentação com a lista
de portas abertas necessárias para o
êxito da implementação do agente,
além da identificação correta de nossos
clientes usando o assistente para
localizar computadores não gerenciados.
Depois que o produto é instalado, o
Symantec inclui um dos assistentes de
7
O cliente Sumantec é simples e fácil de usar, sem
opções desnecessárias.
sincronização com o AD mais fáceis de
usar. A documentação da Symantec foi de
grande ajuda, sendo uma das melhores
estruturadas de todos os produtos.
O Symantec permite a criação de políticas
para controlar todos os aspectos das
categorias antivírus, antispyware, firewall,
prevenção de invasões, controle de
aplicativos e dispositivos, LiveUpdate e
exceções, incluindo os dias da semana
e/ou os horários do dia em que as
verificações devem ser executadas.
A página inicial do produto consiste em
um painel bem organizado, que pode
mostrar as atividades das últimas 12 ou
24 horas. Os administradores podem
configurar a atualização automática do
painel para cada 3, 5, 10 ou 15 minutos,
além de definir limites para alertas
(embora o produto não permita limites
diferentes do número de eventos de
um determinado tempo). O Symantec
Endpoint Protection fornece uma
variedade muito ampla de relatórios
predefinidos, com bastante detalhamento
do tempo (do último dia ao último mês)
e filtragem por sistema operacional,
protocolo, direção (de entrada ou de
saída), gravidade e outras medidas.
Como desvantagem, os relatórios são
apresentados somente em formato HTML.
Enquanto o Symantec demonstrou uma
velocidade razoável nos nossos testes
de verificação ao acessar e de carga de
arquivos grandes, ele foi um dos produtos
mais lentos na verificação por demanda,
ficando muito atrás do Kaspersky e do
Sophos. Sua falta de eficiência contra
as ameaças da Web foi surpreendente,
devido aos testes anteriores que fizemos
com o produto Symantec para o
consumidor.
maneira fácil de começar com um modelo
e modificá-lo para qualquer grupo
específico, além de determinar facilmente
qual política se aplica a um determinado
grupo.
Com a Trend Micro, é simples identificar clientes
não protegidos, implementar o software antivírus
e gerenciar o processo geral de proteção dos
computadores em uma organização.
Trend Micro Worry-Free Business
Security 6.0 Standard Edition
SÍNTESE
Trend Micro pode atingir uma ótima
eficiência contra ameaças da Web e possui
uma interface simples e fácil de usar. No
entanto, foi o produto mais lento dentre
todos os testados, e seus recursos de
relatório são limitados.
O software cliente Trend Micro fornece uma
interface básica para executar verificações e
outras tarefas básicas.
Da mesma forma que o produto
Symantec, o Trend Micro WorryFree Business Security exige que o
administrador instale um servidor
Web, como o IIS ou o Apache, antes da
instalação do produto. Um assistente
instala automaticamente um banco de
dados no Windows Server 2003 ou 2008.
A documentação do Trend Micro sobre a
implementação do agente de segurança
é um pouco confusa; havia uma lista dos
requisitos específicos para estações de
trabalho Windows Vista, sem as etapas
correspondentes para estações de trabalho
Windows XP.
A exibição e criação de políticas
funcionaram bem e foram fáceis de
realizar. O Trend Micro fornece uma
O painel Live Status do produto fornece
o status de todos os clientes, juntamente
com vários outros indicadores de
integridade da segurança, além do status
do sistema de servidores, mostrando a
verificação inteligente, atualizações de
componentes, eventos incomuns no
sistema e o status da licença.
Os alertas se limitam a 24 eventos, a maioria
com limites, incluindo o status dos clientes e
os vírus detectados. A criação de relatórios
usando os modelos do Trend Micro é
simples, e usa os mesmos 24 gatilhos de
eventos como alertas. Os relatórios podem
ser executados diariamente, semanalmente
em qualquer dia ou mensalmente, em
qualquer dia do mês.
Porém, os recursos de relatórios do
produto são um pouco restritos. Primeiro,
inicialmente a pasta de relatórios
está vazia: você precisa criar um novo
relatório usando um dos 14 modelos,
que não podem ser modificados, para
gerar um relatório. De certa forma, este
é o pior dos dois mundos, pois o Trend
Micro não fornece nada que você possa
simplesmente executar de início, e não há
uma maneira de personalizar o que você
cria. Por exemplo, falta no produto uma
forma de gerar um relatório mostrando os
terminais que estão desatualizados.
Finalmente, o Trend Micro ficou no último
ou nos últimos lugares em nossos testes
de desempenho. Ele demorou mais
para concluir a verificação por demanda
— quase duas vezes mais que os dois
pacotes mais rápidos, o Kaspersky e o
Sophos. O produto Trend Micro também
aumentou substancialmente o tempo de
reinicialização.
Como Testamos o Desempenho
Para os testes de desempenho,
configuramos políticas para que fosse
possível comparar os resultados dos vários
produtos. Nas verificações completas
do sistema por demanda, foi verificado
apenas o disco rígido local, com a
verificação de arquivos compactados
e comprimidos ativada. Nossos testes
de verificação ao acessar não incluíram
arquivos comprimidos ou compactados.
Foram ativadas exceções para nossas
8
ferramentas de automação e a maioria das
outras configurações padrão foi utilizada.
Nós executamos cada teste individual pelo
menos três vezes, reiniciando cada etapa a
partir de uma instalação limpa, e usamos
a média dos resultados. Foi calculada a
classificação de desempenho geral usando
o total dos resultados de cada produto nos
testes de verificação ao acessar, verificação
por demanda, abertura do arquivo do
PowerPoint e tempo de reinicialização.
Verificação ao Acessar: tempo para
copiar e colar uma pasta bastante grande
de tipos de arquivos não comprimidos,
incluindo arquivos do sistema Windows,
documentos, planilhas, imagens, PDFs,
arquivos de filmes e música.
Verificação por Demanda: tempo para
concluir uma verificação completa do
sistema de um computador não infectado
com as configurações padrão, mas
configurando todos os produtos para
verificar todos os arquivos e os arquivos
comprimidos.
Abertura de um Arquivo Grande
do PowerPoint: tempo para abrir um
arquivo do PowerPoint (álbum de fotos do
PowerPoint com 8.7 MB), demonstrando o
impacto dos componentes de verificação
ao acessar.
Tempo de reinicialização: o tempo
necessário para reiniciar, da especificação
de uma solicitação de reinicialização ao
ligar o computador até o início completo
da área de trabalho do Windows, com a
CPU ociosa.
Segunda Verificação por Demanda:
tempo para concluir uma verificação
completa do sistema subsequente de
um computador não infectado com as
configurações de verificação padrão. Este
teste mostra o máximo benefício que
pode ser obtido pelos recursos de cache
do produto e não foi computado na
classificação geral.
Para esses testes de desempenho,
a Cascadia Labs usou um conjunto
de computadores desktop Dell com
processadores Intel Core 2 Duo E4500
2.2 GHz, 2 GB de RAM, 160 GB de
disco rígido e o Microsoft Windows XP
Professional Service Pack 2 configurados
de forma idêntica. As tarefas dos testes
foram automatizadas para maximizar a
possibilidade de repetição.
Como Testamos a Eficiência
Os testes de eficiência refletem a
efetividade dos produtos contra ameaças
realistas ao vivo usando o conjunto
completo de recursos dos produtos,
incluindo reconhecimento da Web,
mecanismos de antivírus e antimalware
e recursos de proteção comportamental,
entre outros. A Cascadia Labs acredita
que esses testes são uma forma muito
mais apropriada de medir a eficiência dos
produtos que simplesmente apontar os
mecanismos de assinaturas dos produtos
contra um grande número de binários
maliciosos. No entanto, essa abordagem
também requer que os leitores considerem
os três fatores a seguir ao interpretar seus
resultados.
Configuração do Produto: os produtos
de terminais empresariais fornecem
várias opções de configuração, tanto em
relação aos componentes de proteção
que oferecem quanto às configurações
escolhidas para cada componente. As
empresas podem selecionar configurações
diferentes de acordo com a rigidez de
suas políticas de segurança, seu nível
de experiência ou outras considerações
específicas. Para esses testes, nós usamos
os produtos com suas configurações
padrão.
Amostras Escolhidas: as ameaças podem
ter origens diversas. Nesses testes, nós
nos concentramos nas ameaças da Web,
particularmente aquelas advindas de
downloads, pois acreditamos que elas
representam a maior e mais presente
ameaça para as empresas atuais. A
Cascadia Labs captura centenas de
ameaças por dia; em vez de escolher uma
amostra aleatória de ameaças da Web, o
que resultaria em testes com um grande
número de ataques subjacentes muito
semelhantes, escolhemos uma única
amostra de dez campanhas diferentes com
mecanismos de exploração distintos, de
forma a obter uma diversidade maior de
ameaças.
Mecanismo de Pontuação: definir
uma detecção bem-sucedida e criar um
algoritmo de pontuação justo é mais
difícil do que pode parecer. A maioria
de nós concordaria que bloquear uma
ameaça antes que ela possa explorar um
computador, inserir arquivos ou executar
processos é o melhor.
No entanto, será que os produtos que
impedem a execução da ameaça —
mesmo que permitam uma exploração
e alguns arquivos adicionados — não
devem ter uma pontuação melhor que um
produto que nem detecta a ameaça? Para
este relatório, os produtos que bloqueiam
completamente uma ameaça foram
pontuados como um bloqueio completo
e aqueles que impedem a execução da
ameaça tiveram metade da pontuação.
Nós usamos nossa tecnologia proprietária
de captura e reprodução de explorações
para assegurar que cada produto fosse
testado contra ameaças idênticas. Para
cada exploração, registramos a atividade
do sistema e concedemos as maiores
pontuações aos produtos que impediram
que elas executassem novos processos
ou inserissem arquivos no sistema;
tiveram crédito parcial os produtos
que bloquearam todos os processos
indesejados e não foram atribuídos pontos
aos produtos que deixaram o ataque ter
êxito, total ou parcialmente, através da
execução bem-sucedida de processos
anômalos nos nossos sistemas de teste.
Avaliações independentes
de tecnologia
Independent
evaluationsde
ofprodutos
technology
products
Contato: [email protected]
www.cascadialabs.com
Esta análise comparativa, realizada de forma independente pela Cascadia Labs em novembro de 2009, foi patrocinada pela Kaspersky Lab. A meta da
Cascadia Labs é fornecer análises objetivas e imparciais de cada produto com base em testes práticos realizados em seu laboratório de segurança.
9
Download

Segurança Prática de Endpoint Empresariais