Pozwólcie, że nie będziemy przedstawiać firmy ESET, która tak bardzo zakorzeniła się w Polsce, że trudno wyobrazić sobie, aby ktoś, kto obraca się w kręgach IT, nie kojarzył antywirusów słowackiego producenta. To, że ESET ma w kieszeni prawdopodobnie największą część polskiego rynku, to niezaprzeczalny fakt. Niezaprzeczalnym faktem jest też to, że firma ma trzynaście centrów badawczo-rozwojowych (w tym jedno w Polsce) oraz że zabezpiecza dużych klientów korporacyjnych, takich jak Honda, T-Mobile, Canon, czy Greenpeace. Nie będziemy dywagować nad retorycznym pytaniem, czy ESET zasłużył sobie na globalną popularność. Wieloletnie doświadczenie firmy, pozytywne komentarze i rozwijanie produktów dopasowujących się do zapotrzebowania klientów, to znak rozpoznawczy firmy ESET. I właśnie dlatego niniejsza recenzja ma za zadanie przybliżyć nową konsolę w chmurze ESET Cloud Administrator. Jest to produkt skierowany dla organizacji, które chcą zabezpieczyć do 250 urządzeń. Zanim jednak przejdziemy do konsoli, trzeba wygenerować do niej dostęp w portalu ESET Business Account.

Przyjrzyjmy się zatemn, co nowe rozwiązanie oferuje z perspektywy administratora, zarządzania zagrożeniami, domyślnych ustawień ochrony, uprawnień urządzeń i użytkowników oraz raportowania.

Konto ESET Business Account

Nie da się tak po prostu przejść do konkretnego adresu URL i zalogować do konsoli. Obcowanie z ESET Cloud Administrator musi być poprzedzone obowiązkowym założeniem konta w portalu https://eba.eset.com (ESET Business Account, EBA). Portal jest podstawowym narzędziem dla wszystkich pozostałych usług, które są podpięte do konta firmowego. Logowanie do portalu ESET Business Account odbywa się poprzez tradycyjny login i hasło. Znajdują się tu wszystkie techniczne informacje o serwerach, urządzeniach końcowych i adresacji sieci, dlatego warto skonfigurować uwierzytelnianie dwuskładnikowe. Przy kolejnym logowaniu zostanie wyświetlony monit o zainstalowanie aplikacji ESET Security Authentication, która generuje hasła jednorazowe, zapewniając dodatkową warstwę zabezpieczeń. Na adres e-mail system logowania wyśle kilkanaście zapasowych kodów — tak na wypadek, gdyby dostęp do telefonu z aplikacją nie był możliwy.

ESET Business Account
Przy logowaniu z użyciem drugiego czynnika należy wpisać kod wygenerowany w aplikacji ESET Security Authentication lub kod z puli zapasowej, który był dostarczony na e-mail (tzw. backup code).

Z poziomu portalu ESET Business Account administrator ma dostęp do panelu kontrolnego zawierającego zakładkę do konsoli ESET Cloud Administrator oraz do pozostałych rozwiązań firmy ESET. Są tu informacje o alertach ze wszystkich oddziałów firmy, na które należy zwrócić uwagę, jak i możliwość zarządzania dodatkowymi kontami administratorów, które przypisujemy do poszczególnych filii. Z konta ESET Business Account możemy z całej puli licencji (np. 100 urządzeń) oddelegować dowolną ilość do poszczególnych oddziałów firmy, które są rozproszone po Polsce. Czyli jednostka może mieć przypisanego swojego administratora oraz określoną ilość licencji na ochronę urządzeń w sieci lokalnej. Dodatkowo w nowej wersji rozwiązania ESET istnieje możliwość zwalniania slotów licencyjnych z nieaktywnych urządzeń. Przykładowo po 30 dniach nieaktywnego komputera licencja trafi do ogólnej puli i może być przypisana na inne urządzenie.

Konto ESET Business Account
Konto ESET Business Account.

Z poziomu ESET Business Account generuje się dostęp do konsoli ESET Cloud Administrator. Trwa to około kilku minut i podczas tego procesu nie trzeba podawać żadnych dodatkowych informacji o firmie. Z dostępnych lokalizacji centrum danych jest do wyboru USA oraz Irlandia. W jednym z tych państw będą znajdować się informacje o całej firmie, dlatego z punktu prawnego ochrony danych ten wybór ma znaczenie. Później nie możliwości przeniesienia danych do innego data center.

Konsola w chmurze ESET Cloud Administrator

Instalowana na lokalnych zasobach konsola ESET Remote Administrator została zastąpiona rozwiązaniem ESET Security Management Center. Oczekuje się, że ERA zostanie wycofany na rzecz nowego ESET Security Management Center i prędzej czy później migracja nikogo nie ominie. A już na pewno nie ominie firmy, które już teraz chciałyby przejść z konsoli on-premise na nowy model zarządzania do chmury, gdzie dostępność konsoli z zewnątrz nie jest ograniczona technicznie (to znaczy nie ma potrzeby przekierowywania portów na zaporze sieciowej, ani opłacania publicznego adresu IP). Każde rozwiązanie ma swoje plusy i minusy, i na szczęście to klient końcowy ma ostatnie zdanie. Bardzo dobre porównanie nowej konsoli on-premise ESET Security Management Center oraz konsoli w chmurze ESET Cloud Administrator znajduje się na tej stronie.

Rozwiązanie firmy ESET charakteryzuje się nowoczesnym podejściem nie tyle do ochrony, ile do zarządzania bezpieczeństwem. Od takich ogólników jak ustawienia polityki postaramy się trzymać na dystans, ale o niektórych opcjach naprawdę warto wspomnieć. Niedopuszczalne są przypadki, kiedy sprzęt lub oprogramowanie do wspomagania procesów podejmowania decyzji zawodzi. W konsoli da się dostrzec ładne panele i widżety, ale najciekawsze funkcjonalności są ukryte pod drzewem ustawień.

ESET Cloud Administrator
Główny panel kontrolny w konsoli ESET Cloud Administrator.

Przede wszystkim nowa konsola nie potrzebuje lokalnych zasobów do zbierania logów ze wszystkich urządzeń firmowych, więc nadaje się wszędzie tam, gdzie docenia się wygodę i łatwość obsługiwania. ESET Cloud Administrator nie nakłada ograniczenia na zasoby sprzętowe, dlatego jednocześnie może być obsługiwana z wielu małych oddziałów tej samej firmy. Jest to dodatkowy atut dla mniejszych przedsiębiorstw, które w Polsce stanowią znaczną większość. Dla zwolenników privacy-first ESET oferuje podobne rozwiązanie, czyli ESET Security Management Center instalowane w środowisku lokalnym klienta.

Nowa konsola w intuicyjny sposób dzieli dostępne zakładki z graficznymi informacjami na podsekcje. Na pierwszy plan wysuwają się podstawowe dane o statusie urządzeń, a także ostatnio zidentyfikowane zagrożenia. Przejście do podglądu o incydentach pokazuje, co niedobrego działo się w organizacji w ostatnim tygodniu.

Przegląd incydentów z ostatnich 7 dni
Przegląd incydentów z ostatnich 7 dni.

Zagrożenia zostały podzielone na jeszcze bardziej szczegółowe statystyki, które mogą co nieco zasugerować. Na przykład, które urządzenie jest najczęściej atakowane, albo które zostało zainfekowane w tak poważny sposób, że wymaga interwencja administratora. Wykryte potencjalne próby infekcji ujawniają konkretne typy mogące zagrozić przedsiębiorstwu. W kontekście analizowania trendów w zagrożeniach i atakach na organizację są to informacje ważne, ponieważ kiedy podzielimy je na bardziej szczegółowe IoC, to mogą wnieść sporo do tematu ochrony realizowanej przez ludzi, technologie, procesy i procedury w ramach Security Operations Center (wyspecjalizowane centrum monitorowania bezpieczeństwa na podstawie ludzkich doświadczeń, wskaźników zagrożeń i ataków przy korelacji z dostępnymi technologiami).

Zebrane dane o zagrożeniach antywirusowych w jednym miejscu
Zebrane dane o zagrożeniach antywirusowych w jednym miejscu.

Spośród tych drobiazgowych danych osoby odpowiedzialne za bezpieczeństwa mogą podjąć odpowiednie kroki usprawniające prewencyjną ochronę, np. zablokować dostęp do określonych zasobów lub wykorzystać dodatkowe uwierzytelnienie. Co więcej, pewne czynności da się zautomatyzować. W zakładce „Zadania” ESET podpowiada, co można zrobić, aby wykonać audyt, na przykład: uruchomić polecenia na chronionych urządzeniach oraz utworzyć szczegółowe raporty.

ESET Cloud Administrator ustawienia
Każde zadanie może być uruchomione o określonej godzinie i na wyznaczonych komputerach lub grupach urządzeń.

Mając świadomość, że należy prewencyjnie podchodzić do tworzenia polityki bezpieczeństwa, można stworzyć np. zadania kontrolowanej aktualizacji systemów Windows lub agentów antywirusowych, i jeśli będzie to konieczne, pozwolić na ponownie uruchomienie urządzenia o wybranej porze dnia lub nocy. Tak naprawdę wszystkie zadania zostały podzielone na te dla: systemu operacyjnego, agenta antywirusowego oraz konsoli administracyjnej. Z prostego kreatora da się utworzyć zadanie np. uruchomienia dowolnego polecenia na stacji roboczej z uprawnieniami administratora, wykonania skanowania na żądanie lub przesłania szczegółowych logów z Windows do konsoli.

Eset cloud administrator konsola
Domyślne ustawienia polityki zostały opracowane dla różnych systemów operacyjnych.

O ustawieniach polityk bezpieczeństwa miało być krótko, dlatego chcieliśmy zwrócić uwagę na komponenty, które wymagają odnotowania:

  • W ustawieniach agenta znajduje się funkcja ESET RMM (ESET Remote Monitoring and Management) pozwalająca uzyskać zdalny dostęp do urządzenia za pomocą oprogramowania firm trzecich: Kaseya, Labtech, Autotask, Max Focus i Solarwinds N-able.
  • Tworząc niestandardową politykę, warto upewnić się, że jest włączone skanowanie dysków wymiennych i sieciowych, które są częstym źródłem przynoszenia do pracy złośliwego oprogramowania.
  • ESET posiada funkcję blokującą zagrożenia, które próbują aktywować się i atakować użytkownika zaraz po włączeniu komputera, zanim jeszcze uruchomi się system operacyjny (skaner UEFI).
  • System HIPS, skaner pamięci oraz blokowanie exploitów to ustawienia bardzo ważne, jeśli zabezpieczenie urządzenia przed współczesnymi zagrożeniami ma być skuteczne.
  • Integracja z programami pocztowymi i ochrona przed phishingiem to opcja obowiązkowa do przejrzenia i skonfigurowania.
  • Nowe agenty antywirusowe ESET mają funkcję wykrywającą dodatkowego Adware w instalatorach programów. Zagrożenia te nie są szkodliwe, ale mogą utrudnić pracę i zapoczątkować poważniejszą infekcję, wyświetlając reklamy kierujące do dziwnych stron, nierzadko zainfekowanych.

Pozostałe ustawienia są znane użytkownikom antywirusów ESET. A więc znajdują się tu suwaki do włączania/wyłączania poszczególnych składników. Są to m.in. ustawienia zabezpieczeń w chmurze, monitorowanie wykonywania poleceń w interpreterach Windows (np. Powershell), reagowanie na zagrożenia 0-day bądź makrowirusy ukrywające się w dokumentach Microsoft Office. Nie zabrakło też konfigurowania Windows Update dla aktualizacji bezpieczeństwa systemu operacyjnego, ustawień dla interfejsu (np. pracownikom można całkowicie wyłączyć komunikaty antywirusa oraz zablokować dostęp do edycji ustawień). W organizacjach podstawą komunikacji jest ciągle e-mail, dlatego ustawienia odpowiadające za skanowanie załączników oraz ochronę przed phishingiem, jak najbardziej są dostępne.  

Ostatnią nowością w konsoli ESET Cloud Administrator jest wgląd w posiadanie wszystkich produktów i usługi ESET, co pozwala sprawdzać informacje na temat sprzętu, np. zainstalowanego systemu operacyjnego czy rodzaju kart graficznych na stacjach roboczych. Tak naprawdę moduł ten może posłużyć za utworzenie zbiorczego raportu o zainstalowanym oprogramowaniu i posiadanym sprzęcie.

Inwentaryzacja sprzętu
Inwentaryzacja sprzętu.

Aktualizacja ze starszej konsoli ESET Remote Administrator do konsoli w chmurze ESET Cloud Administrator, a także aktualizacja do nowej konsoli lokalnej ESET Security Management Center, nie obejdzie się bez ingerencji administratorów. Producent przygotował szczegółowy proces migracji i przeniesienia bazy danych. Procedura jest inna dla konsoli zainstalowanej w systemie Windowsinna dla konsoli zainstalowanej jako obraz maszyny wirtualnej.

Test bezpieczeństwa ESET Endpoint Security

Test skuteczności zabezpieczeń przeprowadziliśmy na ustawieniach rekomendowanych, tj. na polityce „Ochrona antywirusowa — Maksymalne bezpieczeństwo — zalecane”. Badanie od 24 listopada do 3 grudnia trwało nieprzerwanie. W tym czasie do testu wykorzystaliśmy 1963 próbek szkodliwego oprogramowania, które zebraliśmy z naszej sieci honeypotów.

Test polegał na sprawdzeniu ochrony przed najnowszymi zagrożeniami w czasie rzeczywistym. Nasza metodyka oraz algorytm postępowania zostały wyjaśnione przy okazji większych testów porównawczych. Dokładne algorytmy oraz sposób postępowania są bardzo złożone, dlatego po dokładne szczegóły odsyłamy do tego testu.

Informacje w konsoli o zablokowanych zagrożeniach
Informacje w konsoli o zablokowanych zagrożeniach.

W dniach od 24 listopada do 3 grudnia 2018 roku oprogramowanie ESET Endpoint Security zidentyfikowało i zatrzymało:

  • 1962 próbek złośliwego oprogramowania na poziomie skanera w przeglądarce.
  • 1 próbkę po uruchomieniu w systemie operacyjnym zablokowały składniki proaktywne.
  • 2 zagrożenia nie zostały wykryte lub zatrzymane po uruchomieniu. Metodyka testów zakłada, że od uruchomienia złośliwego pliku obserwujemy cały system operacyjny przez 15 minut. W tym czasie komponentami heurystycznymi na podstawie zabranych logów nie wykryliśmy prób podjęcia akcji leczenia, przenoszenia do kwarantanny albo zablokowania wirusa w inny sposób.

Wszystkie szczegóły dotyczące zagrożeń przekazaliśmy  firmie ESET. Dwie próbki, które w dniu testów nie były wykrywane, zostały przeanalizowane przez ekspertów z krakowskiego centrum badawczego i dodane do bazy oprogramowania antywirusowego.

Co jeszcze ESET oferuje dla firm? ESET Dynamic Threat Defense w konsoli on-premise

Z naszego punktu widzenia najciekawszą nową funkcjonalnością w rozwiązaniach ESET jest usługa ESET Dynamic Threat Defense, która jest dostępna do podłączenia wyłącznie do konsoli on-premise ESET Security Management Center.

ESET Dynamic Threat Defense to usługa analizy podejrzanych plików w chmurze producenta. Nowa funkcjonalność jest dostępna odpłatnie. Rozbudowuje tradycyjną ochronę stacji roboczych i serwerów o odizolowane środowisko do sprawdzania zachowania oraz reputacji przesłanego pliku lub wiadomości. Przykładowo przesłana próbka analizowana jest w piaskownicy w chmurze, gdzie symuluje się zachowanie użytkownika, aby sprawdzić w wirusie zawartość technik mających na celu uniknięcie wykrycia. W kolejnym kroku sieci neuronowe porównują zachowanie badanych próbek z danymi archiwalnymi na temat zachowania plików. Na końcu próbkę analizuje najnowsza wersja silnika detekcji.

Funkcja ESET Dynamic Threat Defense pojawia się w ustawieniach polityki po zakupieniu licencji na ten produkt. A oto przykładowe raporty z działania analizowania plików w chmurze:

ESET Dynamic Threat Defence
Po analizie pliku administratorowi dostarczany jest w języku polskim szczegółowy raport z wyjaśnieniami.

Pełne raporty ze skanowania są dostępne do pobrania tutajtutaj.

Podsumowanie

Nowe rozwiązanie ESET Cloud Administrator właściwie nie ma wad, ale musimy przypomnieć, że dobór konkretnego produktu należy rozpatrzyć we własnym zakresie. Jest to produkt nowy, dlatego na opinię warto poczekać i podpytać administratorów, którzy z nową konsolą mają do czynienia od strony praktycznej.

W zależności od zapotrzebowania rozwiązanie może być dobrane do konkretnego przedsiębiorstwa. Jeśli firmie zależy na łatwej konfiguracji i wdrożeniu w ciągu kilku minut — proszę bardzo. ESET udostępnia konsolę ESET Cloud Administrator, która sprawdzi się w małych firmach, po większe, z rozproszoną strukturą, jednak nie większą niż 250 chronionych stacji. Nie ma tu potrzeby instalowania dodatkowego sprzętu lub oprogramowania, a zarządzanie całą organizacją da się podzielić na poszczególne oddziały (i z pojedynczego punktu zarządzać bezpieczeństwem sieci). Konsola jest w chmurze, dlatego zabezpieczenie logowania dwuskładnikowym uwierzytelnieniem jest obowiązkowe.

Dla firm, które oczekują od rozwiązania najwyższego poziomu prywatności, ESET udostępnia taką samą konsolę, ale instalowaną na lokalnym serwerze. Dodatkowo ESET Security Management Center może być wyposażony kolejną warstwę zabezpieczeń, tj. ESET Dynamic Threat Defense — korzystając z piaskownicy w chmurze, możliwe jest wykrywanie nowych, nigdy wcześniej niewidywanych rodzajów zagrożeń. W prowadzeniu biznesu liczy się każda minuta, dlatego ESET Dynamic Threat Defense został zaprojektowany do analizowania większości próbek w czasie poniżej pięciu minut. Jeśli próbki były wcześniej analizowane, wszystkie urządzenia w organizacji będą chronione w ciągu kilku sekund.

Więcej szczegółów o rozwiązaniach firmy ESET przedstawią inżynierowie dystrybutora Dagma, który dostarczył licencję testową na potrzeby recenzji i testu. Dystrybutor przeprowadza webinaria, gdzie można zadać dodatkowe pytania dotyczące specyficznych wymagań. Wszystkie internetowe konferencje dostępne są pod tym adresem: https://www.eset.pl/biznes/wydarzenia

Podsumowanie

  • Producent programu:ESET
  • Nazwa:ESET Cloud Administrator
  • Strona:https://eset.pl
  • polecane

W zależności od zapotrzebowania rozwiązanie może być dobrane do konkretnego przedsiębiorstwa. Jeśli firmie zależy na łatwej konfiguracji i wdrożeniu w ciągu kilku minut — proszę bardzo. ESET udostępnia konsolę ESET Cloud Administrator, która sprawdzi się w małych firmach, po większe, z rozproszoną strukturą, jednak nie większą niż 250 chronionych stacji. Nie ma tu potrzeby instalowania dodatkowego sprzętu lub oprogramowania, a zarządzanie całą organizacją da się podzielić na poszczególne oddziały (i z pojedynczego punktu zarządzać bezpieczeństwem sieci). Konsola jest w chmurze, dlatego zabezpieczenie logowania dwuskładnikowym uwierzytelnieniem jest obowiązkowe.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Bartłomiej sob., 22-12-2018 - 10:10

Eseta mamy od 2 lat w prawie stuosobowej firmie. Nie zawiódł nas jak na razie i niech tak pozostanie. Prawdopodobnie przeduzymy ochronę, chociaż konkurencja jest silna i ma wyważone oferty.

j pon., 24-12-2018 - 12:33

Czy ECA potrafi w ramach inwentaryzacji sprzętu ostrzec o problemach z dyskiem w danej stacji roboczej np za pomocą alertów ze S.M.A.R.T'a ?

Adrian Ścibor pon., 24-12-2018 - 12:53

Nie widzę takiego rozpoznania stanu dysku w konsoli, więc prawdopodobnie nie.

Dodane przez j w odpowiedzi na

j pon., 24-12-2018 - 13:06

Czy istnieje jakiś mechanizm zdalnej instalacji/deinstalacji/ programów na stacji roboczej ?

PS. Ciekawe czy Arcabit planuje zrobić coś takiego. Ostatnio coś cicho o nich. Mam nadzieję że się ciągle rozwijają - kibicuję im.

Dodane przez Adrian Ścibor w odpowiedzi na

Adrian Ścibor pon., 24-12-2018 - 13:15

Można uruchamiać własne komendy przez konsolę lub zainstalować tradycyjnie przez AD. Bardziej szczegółówe pytania, na które nie ma odpowiedzi w recenzji, lepiej skierować do Dagmy. Nie chcę wprowadzić w błąd, jeśli czegoś nie będę wiedział na 100%.

Dodane przez j w odpowiedzi na

Roszada ndz., 30-12-2018 - 21:51

To oczywisty krok, lepiej późno niż wcale. Konsole w cloudzie ma w ofercie spora część konkurencji, a w USA nie da się walczyć mając tylko zarządzanie on-premise. W Polsce uważam, że on-premise nadal będzie dominował, acz wierzę że ESET ukształtuje nowe trendy i cloudowe konsole przestaną być tabu w polskim smb ;)

Dodaj komentarz