Pozwólcie, że nie będziemy przedstawiać firmy ESET, która tak bardzo zakorzeniła się w Polsce, że trudno wyobrazić sobie, aby ktoś, kto obraca się w kręgach IT, nie kojarzył antywirusów słowackiego producenta. To, że ESET ma w kieszeni prawdopodobnie największą część polskiego rynku, to niezaprzeczalny fakt. Niezaprzeczalnym faktem jest też to, że firma ma trzynaście centrów badawczo-rozwojowych (w tym jedno w Polsce) oraz że zabezpiecza dużych klientów korporacyjnych, takich jak Honda, T-Mobile, Canon, czy Greenpeace. Nie będziemy dywagować nad retorycznym pytaniem, czy ESET zasłużył sobie na globalną popularność. Wieloletnie doświadczenie firmy, pozytywne komentarze i rozwijanie produktów dopasowujących się do zapotrzebowania klientów, to znak rozpoznawczy firmy ESET. I właśnie dlatego niniejsza recenzja ma za zadanie przybliżyć nową konsolę w chmurze ESET Cloud Administrator. Jest to produkt skierowany dla organizacji, które chcą zabezpieczyć do 250 urządzeń. Zanim jednak przejdziemy do konsoli, trzeba wygenerować do niej dostęp w portalu ESET Business Account.
Przyjrzyjmy się zatemn, co nowe rozwiązanie oferuje z perspektywy administratora, zarządzania zagrożeniami, domyślnych ustawień ochrony, uprawnień urządzeń i użytkowników oraz raportowania.
Konto ESET Business Account
Nie da się tak po prostu przejść do konkretnego adresu URL i zalogować do konsoli. Obcowanie z ESET Cloud Administrator musi być poprzedzone obowiązkowym założeniem konta w portalu https://eba.eset.com (ESET Business Account, EBA). Portal jest podstawowym narzędziem dla wszystkich pozostałych usług, które są podpięte do konta firmowego. Logowanie do portalu ESET Business Account odbywa się poprzez tradycyjny login i hasło. Znajdują się tu wszystkie techniczne informacje o serwerach, urządzeniach końcowych i adresacji sieci, dlatego warto skonfigurować uwierzytelnianie dwuskładnikowe. Przy kolejnym logowaniu zostanie wyświetlony monit o zainstalowanie aplikacji ESET Security Authentication, która generuje hasła jednorazowe, zapewniając dodatkową warstwę zabezpieczeń. Na adres e-mail system logowania wyśle kilkanaście zapasowych kodów — tak na wypadek, gdyby dostęp do telefonu z aplikacją nie był możliwy.
Z poziomu portalu ESET Business Account administrator ma dostęp do panelu kontrolnego zawierającego zakładkę do konsoli ESET Cloud Administrator oraz do pozostałych rozwiązań firmy ESET. Są tu informacje o alertach ze wszystkich oddziałów firmy, na które należy zwrócić uwagę, jak i możliwość zarządzania dodatkowymi kontami administratorów, które przypisujemy do poszczególnych filii. Z konta ESET Business Account możemy z całej puli licencji (np. 100 urządzeń) oddelegować dowolną ilość do poszczególnych oddziałów firmy, które są rozproszone po Polsce. Czyli jednostka może mieć przypisanego swojego administratora oraz określoną ilość licencji na ochronę urządzeń w sieci lokalnej. Dodatkowo w nowej wersji rozwiązania ESET istnieje możliwość zwalniania slotów licencyjnych z nieaktywnych urządzeń. Przykładowo po 30 dniach nieaktywnego komputera licencja trafi do ogólnej puli i może być przypisana na inne urządzenie.
Z poziomu ESET Business Account generuje się dostęp do konsoli ESET Cloud Administrator. Trwa to około kilku minut i podczas tego procesu nie trzeba podawać żadnych dodatkowych informacji o firmie. Z dostępnych lokalizacji centrum danych jest do wyboru USA oraz Irlandia. W jednym z tych państw będą znajdować się informacje o całej firmie, dlatego z punktu prawnego ochrony danych ten wybór ma znaczenie. Później nie możliwości przeniesienia danych do innego data center.
Konsola w chmurze ESET Cloud Administrator
Instalowana na lokalnych zasobach konsola ESET Remote Administrator została zastąpiona rozwiązaniem ESET Security Management Center. Oczekuje się, że ERA zostanie wycofany na rzecz nowego ESET Security Management Center i prędzej czy później migracja nikogo nie ominie. A już na pewno nie ominie firmy, które już teraz chciałyby przejść z konsoli on-premise na nowy model zarządzania do chmury, gdzie dostępność konsoli z zewnątrz nie jest ograniczona technicznie (to znaczy nie ma potrzeby przekierowywania portów na zaporze sieciowej, ani opłacania publicznego adresu IP). Każde rozwiązanie ma swoje plusy i minusy, i na szczęście to klient końcowy ma ostatnie zdanie. Bardzo dobre porównanie nowej konsoli on-premise ESET Security Management Center oraz konsoli w chmurze ESET Cloud Administrator znajduje się na tej stronie.
Rozwiązanie firmy ESET charakteryzuje się nowoczesnym podejściem nie tyle do ochrony, ile do zarządzania bezpieczeństwem. Od takich ogólników jak ustawienia polityki postaramy się trzymać na dystans, ale o niektórych opcjach naprawdę warto wspomnieć. Niedopuszczalne są przypadki, kiedy sprzęt lub oprogramowanie do wspomagania procesów podejmowania decyzji zawodzi. W konsoli da się dostrzec ładne panele i widżety, ale najciekawsze funkcjonalności są ukryte pod drzewem ustawień.
Przede wszystkim nowa konsola nie potrzebuje lokalnych zasobów do zbierania logów ze wszystkich urządzeń firmowych, więc nadaje się wszędzie tam, gdzie docenia się wygodę i łatwość obsługiwania. ESET Cloud Administrator nie nakłada ograniczenia na zasoby sprzętowe, dlatego jednocześnie może być obsługiwana z wielu małych oddziałów tej samej firmy. Jest to dodatkowy atut dla mniejszych przedsiębiorstw, które w Polsce stanowią znaczną większość. Dla zwolenników privacy-first ESET oferuje podobne rozwiązanie, czyli ESET Security Management Center instalowane w środowisku lokalnym klienta.
Nowa konsola w intuicyjny sposób dzieli dostępne zakładki z graficznymi informacjami na podsekcje. Na pierwszy plan wysuwają się podstawowe dane o statusie urządzeń, a także ostatnio zidentyfikowane zagrożenia. Przejście do podglądu o incydentach pokazuje, co niedobrego działo się w organizacji w ostatnim tygodniu.
Zagrożenia zostały podzielone na jeszcze bardziej szczegółowe statystyki, które mogą co nieco zasugerować. Na przykład, które urządzenie jest najczęściej atakowane, albo które zostało zainfekowane w tak poważny sposób, że wymaga interwencja administratora. Wykryte potencjalne próby infekcji ujawniają konkretne typy mogące zagrozić przedsiębiorstwu. W kontekście analizowania trendów w zagrożeniach i atakach na organizację są to informacje ważne, ponieważ kiedy podzielimy je na bardziej szczegółowe IoC, to mogą wnieść sporo do tematu ochrony realizowanej przez ludzi, technologie, procesy i procedury w ramach Security Operations Center (wyspecjalizowane centrum monitorowania bezpieczeństwa na podstawie ludzkich doświadczeń, wskaźników zagrożeń i ataków przy korelacji z dostępnymi technologiami).
Spośród tych drobiazgowych danych osoby odpowiedzialne za bezpieczeństwa mogą podjąć odpowiednie kroki usprawniające prewencyjną ochronę, np. zablokować dostęp do określonych zasobów lub wykorzystać dodatkowe uwierzytelnienie. Co więcej, pewne czynności da się zautomatyzować. W zakładce „Zadania” ESET podpowiada, co można zrobić, aby wykonać audyt, na przykład: uruchomić polecenia na chronionych urządzeniach oraz utworzyć szczegółowe raporty.
Mając świadomość, że należy prewencyjnie podchodzić do tworzenia polityki bezpieczeństwa, można stworzyć np. zadania kontrolowanej aktualizacji systemów Windows lub agentów antywirusowych, i jeśli będzie to konieczne, pozwolić na ponownie uruchomienie urządzenia o wybranej porze dnia lub nocy. Tak naprawdę wszystkie zadania zostały podzielone na te dla: systemu operacyjnego, agenta antywirusowego oraz konsoli administracyjnej. Z prostego kreatora da się utworzyć zadanie np. uruchomienia dowolnego polecenia na stacji roboczej z uprawnieniami administratora, wykonania skanowania na żądanie lub przesłania szczegółowych logów z Windows do konsoli.
O ustawieniach polityk bezpieczeństwa miało być krótko, dlatego chcieliśmy zwrócić uwagę na komponenty, które wymagają odnotowania:
- W ustawieniach agenta znajduje się funkcja ESET RMM (ESET Remote Monitoring and Management) pozwalająca uzyskać zdalny dostęp do urządzenia za pomocą oprogramowania firm trzecich: Kaseya, Labtech, Autotask, Max Focus i Solarwinds N-able.
- Tworząc niestandardową politykę, warto upewnić się, że jest włączone skanowanie dysków wymiennych i sieciowych, które są częstym źródłem przynoszenia do pracy złośliwego oprogramowania.
- ESET posiada funkcję blokującą zagrożenia, które próbują aktywować się i atakować użytkownika zaraz po włączeniu komputera, zanim jeszcze uruchomi się system operacyjny (skaner UEFI).
- System HIPS, skaner pamięci oraz blokowanie exploitów to ustawienia bardzo ważne, jeśli zabezpieczenie urządzenia przed współczesnymi zagrożeniami ma być skuteczne.
- Integracja z programami pocztowymi i ochrona przed phishingiem to opcja obowiązkowa do przejrzenia i skonfigurowania.
- Nowe agenty antywirusowe ESET mają funkcję wykrywającą dodatkowego Adware w instalatorach programów. Zagrożenia te nie są szkodliwe, ale mogą utrudnić pracę i zapoczątkować poważniejszą infekcję, wyświetlając reklamy kierujące do dziwnych stron, nierzadko zainfekowanych.
Pozostałe ustawienia są znane użytkownikom antywirusów ESET. A więc znajdują się tu suwaki do włączania/wyłączania poszczególnych składników. Są to m.in. ustawienia zabezpieczeń w chmurze, monitorowanie wykonywania poleceń w interpreterach Windows (np. Powershell), reagowanie na zagrożenia 0-day bądź makrowirusy ukrywające się w dokumentach Microsoft Office. Nie zabrakło też konfigurowania Windows Update dla aktualizacji bezpieczeństwa systemu operacyjnego, ustawień dla interfejsu (np. pracownikom można całkowicie wyłączyć komunikaty antywirusa oraz zablokować dostęp do edycji ustawień). W organizacjach podstawą komunikacji jest ciągle e-mail, dlatego ustawienia odpowiadające za skanowanie załączników oraz ochronę przed phishingiem, jak najbardziej są dostępne.
Ostatnią nowością w konsoli ESET Cloud Administrator jest wgląd w posiadanie wszystkich produktów i usługi ESET, co pozwala sprawdzać informacje na temat sprzętu, np. zainstalowanego systemu operacyjnego czy rodzaju kart graficznych na stacjach roboczych. Tak naprawdę moduł ten może posłużyć za utworzenie zbiorczego raportu o zainstalowanym oprogramowaniu i posiadanym sprzęcie.
Aktualizacja ze starszej konsoli ESET Remote Administrator do konsoli w chmurze ESET Cloud Administrator, a także aktualizacja do nowej konsoli lokalnej ESET Security Management Center, nie obejdzie się bez ingerencji administratorów. Producent przygotował szczegółowy proces migracji i przeniesienia bazy danych. Procedura jest inna dla konsoli zainstalowanej w systemie Windows i inna dla konsoli zainstalowanej jako obraz maszyny wirtualnej.
Test bezpieczeństwa ESET Endpoint Security
Test skuteczności zabezpieczeń przeprowadziliśmy na ustawieniach rekomendowanych, tj. na polityce „Ochrona antywirusowa — Maksymalne bezpieczeństwo — zalecane”. Badanie od 24 listopada do 3 grudnia trwało nieprzerwanie. W tym czasie do testu wykorzystaliśmy 1963 próbek szkodliwego oprogramowania, które zebraliśmy z naszej sieci honeypotów.
Test polegał na sprawdzeniu ochrony przed najnowszymi zagrożeniami w czasie rzeczywistym. Nasza metodyka oraz algorytm postępowania zostały wyjaśnione przy okazji większych testów porównawczych. Dokładne algorytmy oraz sposób postępowania są bardzo złożone, dlatego po dokładne szczegóły odsyłamy do tego testu.
W dniach od 24 listopada do 3 grudnia 2018 roku oprogramowanie ESET Endpoint Security zidentyfikowało i zatrzymało:
- 1962 próbek złośliwego oprogramowania na poziomie skanera w przeglądarce.
- 1 próbkę po uruchomieniu w systemie operacyjnym zablokowały składniki proaktywne.
- 2 zagrożenia nie zostały wykryte lub zatrzymane po uruchomieniu. Metodyka testów zakłada, że od uruchomienia złośliwego pliku obserwujemy cały system operacyjny przez 15 minut. W tym czasie komponentami heurystycznymi na podstawie zabranych logów nie wykryliśmy prób podjęcia akcji leczenia, przenoszenia do kwarantanny albo zablokowania wirusa w inny sposób.
Wszystkie szczegóły dotyczące zagrożeń przekazaliśmy firmie ESET. Dwie próbki, które w dniu testów nie były wykrywane, zostały przeanalizowane przez ekspertów z krakowskiego centrum badawczego i dodane do bazy oprogramowania antywirusowego.
Co jeszcze ESET oferuje dla firm? ESET Dynamic Threat Defense w konsoli on-premise
Z naszego punktu widzenia najciekawszą nową funkcjonalnością w rozwiązaniach ESET jest usługa ESET Dynamic Threat Defense, która jest dostępna do podłączenia wyłącznie do konsoli on-premise ESET Security Management Center.
ESET Dynamic Threat Defense to usługa analizy podejrzanych plików w chmurze producenta. Nowa funkcjonalność jest dostępna odpłatnie. Rozbudowuje tradycyjną ochronę stacji roboczych i serwerów o odizolowane środowisko do sprawdzania zachowania oraz reputacji przesłanego pliku lub wiadomości. Przykładowo przesłana próbka analizowana jest w piaskownicy w chmurze, gdzie symuluje się zachowanie użytkownika, aby sprawdzić w wirusie zawartość technik mających na celu uniknięcie wykrycia. W kolejnym kroku sieci neuronowe porównują zachowanie badanych próbek z danymi archiwalnymi na temat zachowania plików. Na końcu próbkę analizuje najnowsza wersja silnika detekcji.
Funkcja ESET Dynamic Threat Defense pojawia się w ustawieniach polityki po zakupieniu licencji na ten produkt. A oto przykładowe raporty z działania analizowania plików w chmurze:
Pełne raporty ze skanowania są dostępne do pobrania tutaj i tutaj.
Podsumowanie
Nowe rozwiązanie ESET Cloud Administrator właściwie nie ma wad, ale musimy przypomnieć, że dobór konkretnego produktu należy rozpatrzyć we własnym zakresie. Jest to produkt nowy, dlatego na opinię warto poczekać i podpytać administratorów, którzy z nową konsolą mają do czynienia od strony praktycznej.
W zależności od zapotrzebowania rozwiązanie może być dobrane do konkretnego przedsiębiorstwa. Jeśli firmie zależy na łatwej konfiguracji i wdrożeniu w ciągu kilku minut — proszę bardzo. ESET udostępnia konsolę ESET Cloud Administrator, która sprawdzi się w małych firmach, po większe, z rozproszoną strukturą, jednak nie większą niż 250 chronionych stacji. Nie ma tu potrzeby instalowania dodatkowego sprzętu lub oprogramowania, a zarządzanie całą organizacją da się podzielić na poszczególne oddziały (i z pojedynczego punktu zarządzać bezpieczeństwem sieci). Konsola jest w chmurze, dlatego zabezpieczenie logowania dwuskładnikowym uwierzytelnieniem jest obowiązkowe.
Dla firm, które oczekują od rozwiązania najwyższego poziomu prywatności, ESET udostępnia taką samą konsolę, ale instalowaną na lokalnym serwerze. Dodatkowo ESET Security Management Center może być wyposażony kolejną warstwę zabezpieczeń, tj. ESET Dynamic Threat Defense — korzystając z piaskownicy w chmurze, możliwe jest wykrywanie nowych, nigdy wcześniej niewidywanych rodzajów zagrożeń. W prowadzeniu biznesu liczy się każda minuta, dlatego ESET Dynamic Threat Defense został zaprojektowany do analizowania większości próbek w czasie poniżej pięciu minut. Jeśli próbki były wcześniej analizowane, wszystkie urządzenia w organizacji będą chronione w ciągu kilku sekund.
Więcej szczegółów o rozwiązaniach firmy ESET przedstawią inżynierowie dystrybutora Dagma, który dostarczył licencję testową na potrzeby recenzji i testu. Dystrybutor przeprowadza webinaria, gdzie można zadać dodatkowe pytania dotyczące specyficznych wymagań. Wszystkie internetowe konferencje dostępne są pod tym adresem: https://www.eset.pl/biznes/wydarzenia
