目次:
ビデオ: Webinar - Webroot (Business Endpoint Protection) (10月 2024)
Webroot SecureAnywhere Business Endpoint Protection(5つのエンドポイントで年間150ドルから開始)は、独立して所有および管理される数少ないクラウドホスト型エンドポイント保護サービスの1つです。 Webroot社は、Microsoft Windows PCとサーバー、およびApple OS Xを使用するコンピューターを保護する必要があるITプロフェッショナル向けの完全なWebベースのソリューションを提供します。このソフトウェアは、ウイルス対策、デバイス検索、デバイスなどの機能を提供するモバイルデバイスコンポーネントも提供しますこれらの機能は、AppleがiOSに組み込む制限のため、主にAndroidプラットフォームを対象としています。 Webroot SecureAnywhere Business Endpoint Protectionは、Webサイトで利用可能な30日間の試用版を使用して自分で評価できます。 全体的に、私はこの製品が非常に好きでしたが、スクリプトベースの攻撃を検出できないため、現在のエディターズチョイスの受賞者であるBitdefender GravityZone Eliteの背後に十分にあります。
ユーザーインターフェース
Webroot SecureAnywhere Business Endpoint Protectionで気に入った点の1つは、セットアップが非常に簡単であることです。 クライアントアプリケーションは、Webコンソールからダウンロードした後、最小限の手間で展開およびインストールできます。 唯一のプロンプトは、オンラインアカウントまでのクライアントと一致するアクティベーションキーの入力です。 その時点で、Webroot SecureAnywhere Business Endpoint Protectionは、既存の脅威についてシステムをスキャンし、それ自体を有効にします。 クライアント側では、Webroot SecureAnywhere Business Endpoint Protectionは、スキャン、手動ブロック、ログチェックなどのいくつかの重要なタスクを実行できる、小型で合理化されたユーザーインターフェイス(UI)を提供します。
Webコンソールは、Avast for Business Premium Endpoint Securityとは異なり、単純すぎないという単純なタブ付きUIです。 ここでITコンサルタントにとって良い点は、Webroot SecureAnywhere Business Endpoint Protectionが1つのコンソールから複数の組織を管理できることです。 それぞれにドリルダウンして、特定のエンドポイント保護モジュールを見つけることができます。 そこから、ポリシー、デバイスのグループの管理、レポートの実行、すべてのデバイスに適用できるグローバル設定の変更が可能です。
管理者は、管理コンソールに登録されたデバイスを制御することに関して、広範囲かつ深い範囲を持ちます。 システムの再起動、ファイルの復元、スキャンの設定、コマンドラインツールの実行など、システムアクションの全範囲がクリックするだけです。 ただし、一部の機能は私が望むよりも少し複雑です。 たとえば、ファイルを復元するには、そのメッセージダイジェストアルゴリズム5(MD5)ハッシュを知る必要があります。 これはログファイルで追跡できますが、不必要に関与しているようです。 確かに、これはプロセスが潜在的に悪意のあることを行っていることをシステムが認識する場合にのみ有効です。
試験結果
111個のマルウェアバリアントのサンプルをデスクトップに抽出し始めたとき、Webroot SecureAnywhere Business Endpoint Protectionはすぐにクライアントシステムに迅速かつ明白な方法で介入しました。 検疫されたアイテムを示すダイアログが表示され、それらを削除するように提案されました。 同様に、既知のマルウェアを含むWebサイトはすぐにブロックされました。 しかし、私のカスタムランサムウェアシミュレーションはすぐにブロックされず、機密データのフォルダーに暗号を適用することができました。 幸いなことに、Webroot SecureAnywhere Business Endpoint Protectionは変更を監視し、アプリを手動でブロックすると、変更はすぐに元に戻りました。
有害なWebサイトに対する保護をテストするために、既知のフィッシングWebサイトと疑われるフィッシングWebサイトを報告するオープンコミュニティであるPhishTankから新たに報告された10のWebサイトからランダムに選択しました。 使用しようとしたすべてのUniform Resource Locator(URL)の結果、ブラウザに「有害なWebサイトがブロックされました」というメッセージが表示されました。
2つのブラウザベースのエクスプロイトに直面したとき、Webroot SecureAnywhere Business Endpoint Protectionは非常にうまく機能しました。 最初のテストではJava 1.7の欠陥を利用し、それ以下では、特定のURLがクリックされた場合に攻撃者がプログラムをリモートで実行できます。 Webroot SecureAnywhere Business Endpoint Protectionはプロセスをすぐにシャットダウンし、ダッシュボードで脅威を報告しました。 同様に、リモートコードの実行を許可するFlashベースのエクスプロイトもブロックされ、排除されました。 さらに、Webroot SecureAnywhere Business Endpoint Protectionは、マシンへの永続的な接続を許可するMetasploitペイロードに感染したいくつかのPDFファイルを正常に検出して削除しました。
しかし、奇妙なことに、同様のエクスプロイトが埋め込まれたMicrosoft Wordファイルを検出しませんでした。 ユーザーが感染した電子メールを開くフィッシングスタイルの攻撃を展開した後、Webroot SecureAnywhere Business Endpoint Protectionは侵害を検出しませんでした。 この時点から、特権を管理ステータスに昇格させ、競合他社のほとんど、さらにはWindows Defenderからの応答をすぐに引き起こすいくつかの活動に従事することができました。 順序:ハッシュ化されたすべてのパスワードのリストを取得し、イベントログをクリアし、Windowsレジストリにアイテムを追加し、ファイルをアップロードおよびダウンロードし、ファイルを暗号化し、URLを解決先に関連付けるWindowsホストファイルを変更し、インストールできますキーロガー。
興味深いことに、HTTPSトラフィックを参照するときにキーロガーがインストールされていました。 Webroot SecureAnywhere Business Endpoint Protectionは、出力を正常にジャムしました。 キーストロークが空白として表示されるか、改行文字のみが表示されました。 ここまで到達できるかどうかはまだ不安でしたが、Webroot SecureAnywhere Business Endpoint Protectionは少なくとも詐欺の試みをブロックしようとしていました。
ただし、最終的なテストでは、ユーザーの介入なしにWebroot SecureAnywhere Business Endpoint Protectionをシャットダウンしようとしました。 テスト環境のユーザーはローカル管理者のグループに属しているため、特権をシステムレベルにエスカレートできます。 Webroot SecureAnywhere Business Endpoint Protectionは、アクティブなプロセスを強制終了することをほぼ不可能にします。 システム保護ゾンビの無限の大群のように再起動し続けるだけです。 最終的に、アンインストールスイッチをWebroot SecureAnywhere Business Endpoint Protectionアプリに渡すだけで、この保護を無効にすることができました。 それは静かに消え、私に完全なコントロールを与えました。 これを防ぐために、アンインストールパスワードを設定できますが、デフォルトでは設定されません。
Webroot SecureAnywhere Business Endpoint Protectionでは、独立したラボの結果を得るのは困難です。 ただし、MRG Effitasは2016年にWebroot SecureAnywhere Business Endpoint Protectionに対してMRG Effitasオンラインバンキング/ブラウザセキュリティ賞を授与しましたが、これは容易なことではありません。 テストの観点から、私はそれが堅実な製品だと思います。 ただし、他の分野、特にEditors 'Choice Bitdefender GravityZone EliteやF-Secure Protection Service for Businessなどの主要製品については、スクリプトの悪用防止対策に取り組む必要があります。
攻撃応答
Webroot SecureAnywhere Business Endpoint Protectionは、感染してから数分以内に設定したアラートをトリガーし、ダッシュボードに見やすい赤いインジケーターが表示されました。 ただし、クライアントマシンは、ユーザーへの警告に関しては比較的静かでした。 タスクアイコンは一瞬感嘆符に変わりましたが、すべてのアクションはダッシュボードで行われました。 これにより、エンドユーザーではなく、企業のIT管理者が対応の責任を負うことになります。 IT担当者はダッシュボードをじっと見つめるよりも走り回っていることが多いため、応答が遅れることを意味し、デスクにいないときにITプロフェッショナルに届く可能性のある電子メールやその他の通知の設定に注意を払う必要があります。 この哲学には賛否両論がありますが、設計どおりに機能します。
Webroot SecureAnywhere Business Endpoint Protectionが感染を逃した場合、キーロガーがそのデータをWebにダンプするのを防ぐための保護がありますが、これは不完全なソリューションになる傾向があります。 マルウェアがローカルネットワークパスワードを収集するのをブロックしないため、ユーザーは一般に複数の場所で同じパスワードを使用するため、重要な機会があります。 ただし、設計されたシナリオでは、十分に機能しました。
Webroot SecureAnywhere Business Endpoint Protectionは決して悪いエンドポイント保護製品ではありませんが、新しい攻撃方法のいくつかに対処することはできません。 その主なアクションモードは、スクリプト攻撃ではなくネイティブ攻撃を防ぐことです。 Webroot SecureAnywhere Business Endpoint Protectionの防御では、これによりほとんどの攻撃がキャプチャされます。 ただし、Equifax以降の時代では、これらの穴に対処する更新を待つだけで十分です。 また、ファイルが疑いを持たない従業員のシステムに侵入されたときの直接攻撃の圧力にさらされました。 人類は常に最も弱いリンクであるため、これは多くの場合避けられないものです。 それでも、いくつかのマイナーパッチを使用すると、Webroot SecureAnywhere Business Endpoint Protectionはネットワークを防御する上で優れた味方になる可能性があります。
