端点安全产品测试报告(二)

日期: 2007-12-19 来源:TechTarget中国

Cisco

        Cisco这次提交了两款产品,一款是Cisco Clean Access(CCA)服务器,这是一款在线设备,它与安装在客户端电脑上的Ciso Trust Agent软件配合使用可实现端点安全策略一致性功能。

        另外一款产品是Cisco Secure Agent(CSA),CSA包含了管理服务器软件和客户一侧的代码,以主机为中心的代理技术可以监视系统的恶意活动。

        安装CCA非常复杂。我们让在线设备以桥接模式运行——仅仅是通过流量而不做任何NAT。相关产品设置的文档内容令人感觉非常含糊不清,设置要求管理服务器处于不同的子网。我们叫来了技术支持帮助解决这些架构方面的问题。

        对于我们的策略强制检查,CCA可以正确识别防病毒特征码,其中包括可以识别主要3种病毒的默认属性、没有打补丁的操作系统。通过我们定义好的策略可以控制网络流量。当一个端点设备上线时,从CCA应用服务启动的Nessus可以扫描操作系统的安全设置。
 
        自定义的检查设置,允许你监测注册码、文件和进程,自定义检查可以通过CCA管理控制太设置。总体来看,自定义检查非常易于设置。

        策略检查测试的其中一项是:确定端点是否运行了定义好的个人防火墙程序。在大部分产品中,这项功能实现的原理通常是确定某项应用是否在系统上运行。对于CSA 代理程序来说,Cisco支持策略检查和不确定某些参数值策略的编写。在CCA中也可利用自定义检查把其他的个人防火墙加到策略强制中。然而,Cisco的策略检查还是需要改善的,它需要更加详细的脚本引擎。

        Cisco的端点安全系统也可以识别出间谍软件、控制USB驱动接入、强迫执行更多的应用、注册码和进程安全,当端点进入或者离开网络时,Cisco都可以提供保护。

        CCA也可以非常便利的当作VPN终端点来使用。未来发布的版本将会和Cisco VPN集中器整合得更加紧密。

        一致性是由定义好的策略强制实行的,定义的策略在CCA中驻留。利用CCA管理界面,基于网络状态你可以设置很多数量的补救行为或者强制策略。例如你可以基于认证的用户、未通过认证的用户、在扫描结果中易受攻击的用户和没有通过一致性检查的用户进行设置。

        假如一个用户将要访问网络而没有通过CCA的认证,你就可以限制他仅仅只能访问一个特别的区域。通过认证的用户则可以经受更多的检查,通过检查后,则会授予用户更广泛的网络访问资源权限。CTA软件位于每台端点系统上,并且提供对于主机访问的权限。假如CCA识别出了问题,不符合策略的系统会有一个安装文件上传至CCA,然后会收到消息或者一个URL。

        终端用户必须手工安装初始化软件,安装的软件可以保证端点用户的安全策略保持一致。当端点电脑在等待被验证安全策略一致性的时刻,除了一些指定的Windows升级连接外,服务器会阻塞所有的网络流量。

        在CCA和CSA中,报告功能还应该有所改善。就CCA来说,你可以观看服务器上关键事件的系统日志,但是却不能对整个系统生成报告。你可以观看每个端点系统的扫描结果和一致性检查结果。扫描失败的事件会被发送到CCA事件日志中,但是你却不能对所有在线电脑、历史的当前状态生成报告来显示。

Citadel

        Citadel提交了软件产品来参加我们的测试,Citadel会把Hercules代理软件安装在端点电脑上,利用ConnectGuard模块探测端点是否是易受攻击的,ConnectGuard模块包含有客户和服务器端组件来强迫端点进行补救行为。Hercules代理程序在每一个端点系统上运行,基于自己收集来的扫描结果来分析端点是否易受攻击。策略检查包括识别端点是否安装了防病毒软件、间谍软件、错过打补丁和检查操作系统的安全设置。

        Hercules安装非常顺利,没有碰到任何问题。文档撰写也不错,管理界面易于使用并可凭直觉使用。

        我们所测试产品的版本,Citadel可以探测千余种知名网络病毒的攻击,当然你也可以自定义病毒攻击检查和在管理界面中自定义补救所采取的行为。

        对于不符合策略一致性的系统,ConnectGuard模块提供了强制机制,利用运行在端点的Citadel客户端可以阻塞不符合策略一致性系统的向外流量,直到符合策略一致性要求为止。在我们所测试的版本中,补救系统行为在策略一致性检查时就会发生。在Hercules 4.0版本中,管理员可以有选择的接收到系统策略一致性报告和补救系统的任务计划。

        对于报告来说,Hercules利用了以Web界面为基础的报告引擎,所以你可以输出为很多的文件格式。产品包含了相当强大的报告模块,包括了全部的补救行为历史和不符合策略一致性要求系统的状态。额外地报告功能已经被包含进了4.0版本中。Hercules不提供警报机制。

Check Point

        CheckPoint的Integrity 6.0以软件完成了功能实现,它提供了个人防火墙、策略检查和强制实施的机制。

        安装还是非常顺利的。对于客户端我们新建了一个默认安装包并且生成了自己的安全策略和强制检查。在默认设置下,Integrity就包括了主要的防病毒软件检查。

        你也可以在管理界面中新建策略强制检查,检查包括注册码、破坏文件或者是不允许的进程。没打补丁和操作系统升级在默认状态下是不受检查的,但是你可以定义检查这些选项。

        通过标准的防火墙规则和应用控制机制你可以控制应用访问。利用Check Point的SmartDefense程序的Adivisor服务可以警告间谍软件的使用。不支持USB驱动器接入检查。

        所有支持的策略测试都非常成功。
 
        当没有连接到总部网络时,完整性检查提供了系统保护。

        不符合策略一致性的系统可以被发现、警告或者是限制连接。管理员可以提供到关键文件的链接或者是上传文件到系统上以便用户下载进行补救行为。在这些功能特点的测试中,我们可以被重定向到策略中事先定义好的站点中。例如,当系统探测到Windows没有打升级补丁时,我们被重定向到Windows升级站点中。

        完整性报告功能还需要改善。基础报告通过Wen界面进行观看,但是报告却不能被输出。你可以得到不符合安全策略一致性系统的报告,但却没有系统总体的报告。完整性检查没有提供警报功能。

InfoExpress

        InfoExpress CyberGatekeeper服务器坐镇网络中央,它提供策略到端点系统上的CyberGatekeeper代理程序上并且可以通过Web界面生成报告。通过产品所支持的某一类型模块,服务器可以处理策略强制,产品支持局域网(可以使交换机的某个端口处于一个补救VLAN中)网桥(根据定义好的策略阻止/允许流量)、RADIUS协议。

        为了新建和修改策略,管理员要使用策略管理器,策略管理器运行在一台电脑上并和服务器分离。管理员发布策略到中央服务器上并分发到客户端上。对于我们的测试,我们利用局域网上的某台服务器和网桥一致性模式。我们根据匹配这个产品的升级文档进行设置,设置工作非常简单易行,但是在文档中仍然有一些重大问题。

        CyberGatekeeper的主要关注点是审计和策略一致性检查,不像我们测试的其他产品,它的代理软件没有一个内置的防火墙,虽然没有防火墙,但是它的设计却富有弹性并可以适应测试,所以你可以在环境中运行任何你想要的防病毒软件或者以主机为基础的安全保护。

        强制策略也可以在VPN连接中进行设置工作。当没有连接到网络时,策略强制是不能工作的。策略管理者提供了很多地弹性,但是设置却比较复杂,尤其是许多设置屏幕需要上载新的策略到服务器上。

        一旦不符合策略一致性的系统被识别出来,在终端用户上就会显示出一条消息,终端用户可以被重新定向到一个URL上,或者系统可以被置于不同的VLAN中,而所被划到的VLAN依赖于你运行的强制策略模块。用户被重定向的URL地址可以下载没安装的软件,但是安装过程却是手工的。

        报告功能也需要改善。一些基础的报告是以Web形式输出的,但是也可以输出为CSV文件格式进行离线观看。补救历史报告并不实用。你可以得到系统状态报告,在状态报告中可看到一个系统为什么处于策略拒绝状态,但是阅读起来有些困难。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 如何利用基于云的沙箱来分析恶意软件?

    为了加强端点安全和入侵防御系统,有些企业转向基于云的沙箱技术,他们现有安全提供商通常提供沙箱技术作为高级模块……

  • 《2017年IT优先级调查》:重点考虑云、网络、端点安全

    在TechTarget《2017年IT优先级调查报告》中,显示了企业和信息技术专业人员投入时间和资源较多的一些重要的IT安全趋势。不例外的是,保护网络和企业中大量的端点被认为是2017年最重要的安全优先事项之一……

  • 赛门铁克最新SEP 14端点安全方案:人工智能是亮点

    新的SEP 14带来端点安全的创新和突破,基于端点和云端的人工智能,SEP 14将基本的端点技术、高级机器学习和记忆漏洞缓解措施集成至单一代理,帮助企业用户实现多层防护,从而有效抵御针对端点的高级威胁。

  • 崛起中的“无文件式”恶意软件攻击

    攻击者保持不被发现的时间越长,他们就越有可能实现自己的目标。攻击者早就知道在攻击过程中删除自己的工具,而恶意软件作者也开始删除在攻击中使用的文件,这被称为无文件(fileless)恶意软件……