Überprüfung von WatchGuard Panda Adaptive Defense 360

Обзор WatchGuard Panda Adaptive Defense 360 Best articles
Author Reading 11 min Views 97 Published by

Обзор WatchGuard Panda Adaptive Defense 360

VORTEILE

  • Eine umfassende Sicherheitsmodell ohne Überflüssiges
  • Angriffsindikatoren helfen dabei, Angriffe zu erkennen, bevor sie auftreten
  • Die Datenschutzfunktion hilft bei der Einhaltung gesetzlicher Anforderungen
  • Anpassbare Einbruchserkennung

NACHTEILE

  • Die Reporting-Funktionen sind begrenzt
  • Neigt zu falschen Alarmen
  • Weniger effektiv gegen skriptbasierte Angriffe

Obwohl Adaptive Defense 360 ​​vor Kurzem umbenannt wurde, als seine Muttergesellschaft Panda von WatchGuard Technologies erworben wurde, bleibt Adaptive Defense 360 ​​eine ausgezeichnete Lösung zum Schutz von Endpunkten. Es wird vollständig von der Cloud aus verwaltet und unterstützt Geräte mit Windows, macOS, Linux und Android. Obwohl iOS von Apple nicht berücksichtigt wird, ist dies ein verzeihlicher Fehler, da Apple nur sehr wenig Unterstützung für Drittanbieter-Entwickler bietet.

Das herausragende Merkmal von Adaptive Defense 360 ​​ist das “Zero-Trust”-Sicherheitsmodell. Während herkömmliche Endpunkt-Sicherheitsprodukte normalerweise das Ausführen einer regulären Anwendung erlauben, wenn sie nicht mit einer bekannten Signatur von Malware übereinstimmt, und sie erst in Quarantäne stellen, wenn sie anfängt, unangenehme Dinge zu tun, geht Watchguard davon aus, dass jede Anwendung standardmäßig verdächtig ist. Dies bedeutet, dass eine Anwendung nur ausgeführt wird, nachdem sie vollständig analysiert wurde (einschließlich möglicherweise einer Detonation in einer Sandbox, um zu sehen, was sie tut) und grünes Licht erhält.

Die Stärke von Adaptive Defense 360 ​​kann jedoch auch seine Achillesferse sein. Aufgrund der Zero-Trust-Richtlinie meldet es auch die höchste Anzahl von Fehlalarmen im Vergleich zu ähnlichen Produkten. Es ist auch etwas teuer, und all dies zusammen lässt es nur knapp hinter unseren “Editor’s Choice”-Gewinnern in diesem Bereich zurück, Bitdefender GravityZone Ultra, F-Secure Elements und Sophos Intercept X.

Contents
  1. Preise und Pläne von WatchGuard Panda Adaptive Defense 360
  2. Einstellungen
  3. Mehrere Sicherheitsebenen
  4. Bedrohungseffizienztest
  5. Großer Schutz, aber teuer

Preise und Pläne von WatchGuard Panda Adaptive Defense 360

Die Kosten für WatchGuard Adaptive Defense 360 ​​beginnen bei 69 US-Dollar pro Benutzer und Jahr. Dies bezieht sich jedoch nur auf das grundlegende Endpunkt-Feature-Set. Es gibt viele andere Add-Ons oder Preiskategorien, und leider nennt WatchGuard die meisten von ihnen nicht auf ihrer Website. Zum Beispiel ist Patch Management als Add-On zum Preis von 24 US-Dollar pro Lizenz verfügbar, und die vollständige Verschlüsselung ist zusätzlich für 18 US-Dollar pro Lizenz erhältlich. Darüber hinaus bündelt WatchGuard auch verschiedene Funktionen in verschiedenen Paketen, die auch unterschiedliche Preise haben. So können Sie zwar das Panda Patch Management zum oben genannten Preis erhalten, aber Sie können es auch als Teil von Panda Fusion 360 zusammen mit mehreren anderen IT-Sicherheitstools erhalten. Ihr Preis wird je nachdem, wie Sie es kaufen, variieren.

Im Vergleich zu anderen Wettbewerbern in dieser Überprüfung kann dieses menübasierte Preisgestaltungsmodell WatchGuard zu einer teuren Wahl machen. Da der Grundpreis bereits fast 70 US-Dollar pro Endpunkt pro Jahr beträgt, bringt es WatchGuard keinen Mehrwert in Bezug auf Preis-Leistungs-Verhältnis, die erforderlichen Add-Ons als zusätzliche Optionen zu haben, insbesondere Patch-Management, Verschlüsselung und erweiterte Berichterstattung. Dies ist besonders der Fall, wenn man es mit den Gewinnern des “Editor’s Choice”-Wettbewerbs wie Bitdefender vergleicht, der einen vollständigen Satz von Funktionen einschließlich Verschlüsselung und Berichterstattung für nur 57 US-Dollar pro Benutzer pro Jahr bieten kann. Ebenso bietet Sophos Intercept X vergleichbare Funktionen, wird jedoch zu einem Preis zwischen 20 und 40 US-Dollar pro Benutzer pro Jahr verkauft.

Einstellungen

Das erste, was Sie sehen, wenn Sie sich anmelden, ist das WatchGuard Cloud-Dashboard. Von hier aus können Sie alle Ihre WatchGuard-Services verwalten, Lizenzen aktivieren und zwischen Produkten wechseln. Wenn Sie zu Endpoint Protection wechseln, beginnt sie mit dem “Sicherheits”-Tab und zeigt ein Dashboard mit detaillierten Informationen zu den wichtigsten Elementen Ihres Schutzstatus an. Die Infografiken zur Infektionsrate sind nach den Kategorien “Viren und Spyware”, “Hacker-Tools”, “Phishing-Versuche”, “Verdächtige Elemente” und “Sonstiges” gruppiert. Oben gibt es auch einen praktischen Satz von Indikatoren, die anzeigen, welche Computer in letzter Zeit nicht mit der Cloud verbunden waren und möglicherweise mit veralteten Schutzmaßnahmen arbeiten. Dank der zusätzlichen Möglichkeiten zur Detaillierung der Grafiken haben wir festgestellt, dass Adaptive Defense 360 ​​eine gute Balance zwischen Ästhetik und Funktionalität bietet.

Die nächste Option unten links ist “Webzugriff”. In diesem Abschnitt werden die Arten von Websites ausführlich beschrieben, die Ihre Benutzer besuchen, und ob diese Websites blockiert wurden. Für Unternehmen, die gerade erst damit beginnen, den Webzugriff zu kontrollieren, ist dies eine bequeme Möglichkeit zu verstehen, auf welche Kategorien bei der Konfiguration von Richtlinien geachtet werden sollte.

Als nächstes kommt die Seite “Angriffsindikatoren”. Dies ist eine neue Funktion, die über einfaches Scannen auf Viren und Malware hinausgeht. Es verwendet Daten von Ihren Endpunkten, um zu versuchen, festzustellen, ob eine Person oder ein Programm Handlungen ausführt, die auf einen Angriff hinweisen können. Obwohl das System diese potenziellen Bedrohungen nicht automatisch bewältigt, ist es hilfreich, diese Seite im Auge zu behalten, um verdächtige Aktivitäten zu überwachen und zu entscheiden, ob weitere Untersuchungen erforderlich sind. Jeder Indikator ist in eine MITRE-Matrix unterteilt, die den gesamten Angriffsprozess vom initialen Zugriff bis zur endgültigen Auswirkung darstellt.

Es ist nicht im Hauptprodukt enthalten, aber es sei darauf hingewiesen, dass das Patch-Management sehr benutzerfreundlich ist. Im Benutzerinterface wird ein Diagramm der überwachten Windows-Computer sowie die Anzahl verfügbarer Patches angezeigt. Wenn Sie auf “Verfügbare Patches” klicken, können Sie auswählen, welche für jedes System angewendet werden sollen, und sie entweder sofort installieren oder für später planen. Außerdem können Sie durch Klicken auf “Anzeigen” für aktuelle Schwachstellen ein umfassenderes Bild der Angriffsfläche erhalten, die Ihre unpatched Software bietet. Obwohl das Patch-Management leider zusätzliche Kosten verursacht, ist dies nichts Ungewöhnliches. Auch das Patch-Management von Avast Business Pro Plus ist ein Add-On, aber es ist auch kostengünstiger.

Mehrere Sicherheitsebenen

Es sind drei Betriebsmodi zu beachten, in denen WatchGuard arbeiten kann:

Der Audit-Modus beobachtet lediglich und macht Anmerkungen, ohne Schutzmaßnahmen zu ergreifen. Dies ist wirklich nur für Leistungstests nützlich, daher waren wir froh zu sehen, dass dies nicht mehr die Standardeinstellung ist.

Der Schutzmodus betrachtet jede außerhalb des Netzwerks erstellte ausführbare Datei als verdächtig. Die ausführbare Datei bleibt blockiert, bis sie von der Zero-Trust-Cloud-Service von WatchGuard als legitime Software markiert wird.

Der blockierte Modus geht über die Härtung hinaus. Jede ausführbare Datei, die unbekannt ist und der nicht vertraut wird, wird blockiert, bis ihre Wirksamkeit bewiesen ist. Die Verwendung dieses Modus versetzt WatchGuard in den am stärksten kampferprobten Zustand.

Sie können diese Betriebsmodi einstellen, indem Sie Richtlinien auf Server und Arbeitsstationen anwenden. In dieser Version wird standardmäßig der Verstärkungsmodus verwendet.

Obwohl WatchGuard behauptet, dass dank ihres Ansatzes Angriffe von Schadprogrammen der Vergangenheit angehören, definieren sie Schadsoftware auch recht eng als binäre ausführbare Dateien. Heutzutage kann Schadsoftware verschiedene Formen annehmen, einschließlich Skripte für verschiedene Skriptinterpreter. Das Problem hierbei ist, dass ein Skriptinterpreter als legitime Software klassifiziert werden kann, aber die von ihm ausgeführten Skripte bösartig sein können. Glücklicherweise hat Watchdog begonnen, Schutz vor Skript-basierten Angriffen in seinen Erkennungsmechanismus zu integrieren, wie unsere Tests zeigen.

Es lohnt sich auch, einige weitere Funktionen zu erwähnen. Wie die meisten Lösungen ermöglicht Adaptive Defense 360 die Isolierung infizierter Maschinen vom restlichen Netzwerk, um die Ausbreitung von Infektionen zu verhindern. Noch bemerkenswerter ist sein Daten­schutzmodul, das Dateien auf das Vorhandensein persönlicher Informationen wie Namen, Bank- und Kreditkartennummern, IP-Adressen, Passnummern usw. scannt, damit Sie kontrollieren können, wie diese Daten übertragen und gespeichert werden, und zwar mit Richtlinien. Dies kann Ihnen sehr helfen, die Datenschutzgesetze wie die Datenschutz-Grundverordnung der EU einzuhalten.

Und dann gibt es die Berichterstattung. Die Berichtsmöglichkeiten von Adaptive Defense 360 sind etwas eigenartig. Sie haben die Möglichkeit, Berichte zu erstellen und zu planen, aber es gibt nur zwei Arten. Die erste ist eine Liste von Geräten basierend auf einem Filter, der eine bestimmte Betriebssystemversion, einen bestimmten Teil der Software oder einen bestimmten Gerätetyp sein kann. Die andere ist ein „Executive-Bericht“, der eine Zusammenstellung aller Informations­panels und Indikatoren in Watchguard ist. Obwohl in beiden Berichten keine Details fehlen, gibt es keine Möglichkeit, zu den spezifischen Details zu gelangen, die Sie interessieren könnten. Wir hätten gerne gesehen, dass mehr Wert auf Berichterstattung gelegt wird.

Bedrohungseffizienztest

Um die Leistung von Adaptive Defense 360 zu messen, haben wir einen Standardtestsatz für Endpunkt­sicherheitsprodukte verwendet.

Zunächst haben wir einen Phishing-Angriff simuliert. Hierzu haben wir 10 überprüfte Phishing-Links von PhishTank getestet. Es war keine zusätzliche Einrichtung erforderlich, außer der Aktivierung der Webzugriffskontrolle in der Richtlinie, da für Adaptive Defense 360 kein Browser-Plugin erforderlich ist. Alle 10 Websites wurden von Watchguard blockiert.

Anschließend führten wir browserbasierte Angriffe mit der Autopwn 2 Metasploit-Funktion und einer bekannten verwundbaren Version von Chrome mit Java 1.7-Laufzeitumgebung durch. Das Ziel dieser Angriffe war der Remote-Zugriff auf die Shell, was eines der schwerwiegendsten Exploits ist. Glücklicherweise gelang es niemandem.

Unser dritter Angriff umfasste eine kompromittierte Windows Calculator-Binärdatei mit einem Standard-Meterpreter-Binärfile darin. Wir hatten vor, es auszuführen, aber die aggressive Zero-Trust-Richtlinie von Adaptive Defense 360 ​​ließ uns nicht einmal zu, es auf den Desktop zu kopieren. Das Gleiche gilt für einen Satz von Meterpreter-Binärdateien, die mit Veil 3.0 codiert waren, darunter PowerShell, Auto-IT, Python und Ruby. Unsere Versuche, sie auszuführen, wurden vereitelt, noch bevor wir sie überhaupt auf das Testsystem laden konnten.

In unserem letzten Test haben wir die Netzwerkverbindung auf unserer virtuellen Maschine getrennt, einen Satz bekannter bösartiger ausführbarer Dateien namens TheZoo extrahiert und versucht, sie auszuführen. Obwohl WatchGuard alle blockiert hat, bevor sie ausgeführt werden konnten, mussten wir sie dennoch extrahieren, bevor WatchGuard die Malware erkannte. Im Rahmen dieses Tests haben wir auch die Maschine isoliert und versucht, mehrere Versionen des Ransomware-Programms CryptoLocker auszuführen. Wir waren erfreut festzustellen, dass alle Varianten entweder während oder vor der Ausführung blockiert wurden.

In Dritt­anbieter-Tests hat AV-Comparatives Panda im September 2021 getestet, und die Ergebnisse waren akzeptabel, aber etwas nervenaufreibend. Pandas Erkennungsrate im Standalone-Modus beträgt nur 50,3% kombiniert mit einer Gesamterkennungsrate von 83,5%, was darauf hinweist, dass es nicht das Beste darin ist, Bedrohungen zu erkennen, bevor sie aktiv werden. Der Gesamtschutzlevel betrug jedoch 99,93%. Dies liegt daran, dass Adaptive Defense 360 ​​eigentlich sehr gut darin ist, bösartiges Verhalten zu blockieren und Malware nach ihrer Ausführung zu beseitigen, sodass sie nie die Möglichkeit hat, echten Schaden anzurichten. Mit diesem Ansatz müssen Sie Ihren eigenen Komfortlevel bewerten.

Das System litt auch unter einer ungewöhnlich hohen Anzahl von Fehlalarmen. Um fair zu sein, entspricht die Vorsicht vollständig dem Konzept des Zero-Trust, aber es kann bedeuten, dass Sie mehr Zeit damit verbringen, Programme manuell zu autorisieren, als bei einem anderen Produkt.

Großer Schutz, aber teuer

WatchGuard Panda Adaptive Defense 360 ​​ist ein einzigartiges Produkt, das eine neue Philosophie des Endpunktschutzes vorantreibt. Obwohl es eine gute Arbeit leistet, um zerstörerische Malware zu blockieren, kann sein Ansatz Sie nervös machen, wenn Sie es bevorzugen, dass Malware erkannt wird, bevor sie ausgeführt wird. Sie laufen auch Gefahr, falsche Positivmeldungen aufgrund der Zero-Trust-Umgebung zu erhalten. Wenn Adaptive Defense 360 ​​jedoch bereits seit einiger Zeit auf Ihrem Radar steht, enthält die neueste Version viele Verbesserungen in der Fähigkeit zur Erkennung von Skript-basierten Angriffen und eine einfache Benutzeroberfläche zur Anwendungsautorisierung. Wenn Sie die strengsten Sicherheitsstufen benötigen, könnte dieses Produkt das Richtige für Sie sein. Andererseits, wenn Sie einen traditionelleren Ansatz zur Endpunktsicherheit bevorzugen, sollten Sie die drei Editors’ Choice-Gewinner in Betracht ziehen.

Rate article
Add a comment

© 2025 Das Interessanteste aus der Welt der IT