آنتی ویروس تحت شبکه یک لایه مهم در محافظت از شبکه های سازمانی در برابر تهدیدات سایبری است. همانطور که حملات پیچیده تر می شوند، سازمان ها به آنتی ویروس سازمانی نیاز دارند که بتواند بدافزارهای پیشرفته، باج افزارها، تلاش های فیشینگ و موارد دیگر را مسدود کند.
آزمایشگاه SE Labs در آخرین ارزیابی خود از آنتی ویروس های تحت شبکه برای سازمان های بزرگ (بیش از 1000 اندپوینت)، 10 محصول پیشرو را در مورد اثربخشی آنها در مدیریت حملات عمومی و هدفمند آزمایش کردند. ما در سایسک این گزارش را تجزیه و تحلیل کردیم تا بهترین راه حل های امنیتی نقطه پایانی را برای متوقف کردن تهدیدات مدرن بررسی کنیم.
چرا نقاط پایانی(اندپوینت) اهمیت دارند؟
نقاط پایانی مانند رایانههای رومیزی، لپتاپها و دستگاههای تلفن همراه، یک دامنه وسیع از حملات سایبری برای شرکتها هستند. اگر بدافزار یک نقطه پایانی مانند یک لپ تاپ را آلوده کند، می تواند به طور مخفیانه در شبکه حرکت کند تا داده ها و اعتبارنامه ها را بدزدد. بنابراین نقاط پایانی به چند دلیل آسیب پذیر هستند:
- کاربران یک عضو ضعیف امنیتی هستند – از طریق فیشینگ، سوء استفاده ها و مهندسی اجتماعی، مهاجمان می توانند کاربران را فریب دهند تا نقاط پایانی را به خطر بیندازند. یک نقطه پایانی ایمن از رخنه های ناشی از اشتباهات کاربر جلوگیری می کند.
- مشکلات وصله – وصله یا پچ دیرهنگام منجر به آسیب پذیری نقاط پایانی در برابر تکنیک های جدید هک و سواستفاده می شود. امنیت نقطه پایانی می تواند این حملات ناشناخته را شناسایی و مسدود کند.
- کنترل های دسترسی ناکافی – دسترسی بیش از حد مجاز، در صورت به خطر افتادن اعتبار کاربر، نقاط پایانی را در معرض دید قرار می دهد. نقاط پایانی همچنین ممکن است حاوی آسیبپذیریهایی باشند که مهاجمان میتوانند از آنها برای بالا بردن سطح دسترسی ممتاز استفاده کنند.
- عدم دید – تیمهای IT و امنیتی اغلب نمیتوانند نفوذها یا حرکت مشکوک را هنگامی که دستگاه در معرض خطر قرار میگیرد ببینند. نقاط پایانی امن شده توسط بهترین آنتی ویروسهای تحت شبکه از طریق هشدارها و نظارت، دید را برای تیم فناوری اطلاعات فراهم می کنند.
نقاط پایانی مدرن با تهدیدهای پیچیده و پنهانی روبرو هستند که برای فرار از شناسایی طراحی شده اند. برای متوقف کردن هکرها در مسیر خود، امنیت نقطه پایانی به تجزیه و تحلیل بدافزار پیشرفته، تشخیص رفتار، پیشگیری از سوء استفاده و موارد دیگر نیاز دارد.
چگونه SE Labs آنتی ویروس های تحت شبکه را آزمایش می کند
آزمایشگاه SE Labs یک سازمان مستقل تست امنیت فناوری اطلاعات است که در بریتانیا مستقر است. آنها آنتی ویروس های تحت شبکه و سازمانی را با استفاده از یک مدل واقع بینانه از نحوه گسترش حملات ارزیابی می کنند. این مدل شامل:
- حملات چند مرحله ای – هر حمله از یک نقطه دسترسی اولیه واقع گرایانه، مانند ایمیل فیشینگ یا سایت در معرض خطر، شروع شد و در چندین مرحله پیش می رود. این به طور کامل توانایی های تشخیص و پاسخ محصول را در هر مرحله آزمایش می کند.
- تهدیدات دنیای واقعی – علاوه بر حملات چند مرحلهای، محصولات در برابر تهدیدات دنیای واقعی که از بدافزارهای زنده، کیتهای فیشینگ و وبسایتهای آلوده مورد تهدید قرار می گیرند تا اثربخشی آنتی ویروس تحت شبکه را بررسی نماید.
- حملات هدفمند – حملات هدفمند پیچیده تکنیک های پیشرفته ای مانند سرقت اعتبار، حرکت جانبی، استخراج داده ها و استقرار باج افزار را تکرار می کنند.
- سیستمهای آزمایشی متنوع – اینکه چه میزان آنتی ویروس های سازمانی از طیف وسیعی از سیستمهای آزمایشی ویندوز 10 محافظت میکنند تا از اثربخشی ثابت در پیکربندیهای سازمانی متداول اطمینان حاصل کنند.
- تست امنیت – آنتی ویروس های تحت شبکه تست شده، برای مسدود کردن و شناسایی تهدیدات امتیاز کسب کردند بنابراین اگر بدافزار سیستم را به خطر بیندازد امتیاز از دست میدهد. شناسایی تهدیدهای اشتباه همچنان جریمه هایی را در پی داشته است.
- نرمافزارهای قانونی – آنتی ویروس های تحت شبکه ای که نرمافزارها و وبسایتهای قانونی را مسدود یا به اشتباه طبقهبندی میکردند، جریمه میشدند تا به کاذب های مثبت پاداش ندهند.
این روش تست دقیق، توانایی هر محصول را برای شناسایی، مسدود کردن، و پاسخ به حملات واقعی مختلف، در حالی که فعالیت های قانونی را به درستی تشخیص می دهد، ارزیابی می کند.
رتبه بندی برترین آنتی ویروس های تحت شبکه سال 2023 (برای سازمان های بزرگ)
بر اساس تست های امنیتی آرمایشگاه SE Labs از آوریل تا ژوئن 2023، این آنتی ویروس های سازمانی بیشترین کارایی را داشتند:
1. Sophos Intercept X
انتی ویروس تحت شبکه سوفوس به نام Sophos Intercept X رتبه برتر را برای محافظت بی عیب و نقص و دقت در سراسر آزمایش کسب کرده است. این آنتی ویروس سازمانی به درستی تمام نرم افزارهای قانونی را بدون هیچ گونه تعاملی طبقه بندی کرد. سوفوس 100% حملات بدافزار و شبکه را مسدود کرد و در عین حال به ترافیک و برنامههای کاربردی بیخطر مجوز فعالیت داد.
آنتی ویروس سوفوس تجزیه و تحلیل بدافزار با استفاده از یادگیری عمیق را با پیشگیری از سوء استفاده و ویژگی های خاص ضد باج افزار ترکیب می کند. Sophos Intercept X یک راه حل نقطه پایانی ایده آل برای توقف حملات مدرن و ایمن سازی فعالیت های تجاری روزمره است.
2. ESET Endpoint Security
مطابق با نتایج عالی Sophos آنتی ویروس تحت شبکه ESET Endpoint Security تمامی حملات آزمایشی را بدون هیچ گونه مصالحه یا مثبت کاذب مسدود کرد. آنتی ویروس سازمانی ESET دارای سپرهای باج افزار قوی و اسکنر UEFI برای جلوگیری از تهدیدات مداوم پیشرفته است.
ESET در تشخیص فعال با الگوریتمهای یادگیری ماشینی که رفتار کد مشکوک را تحلیل میکنند، از رقبای خود برتری دارد. این آنتی ویروس سازمانی سبک وزن تأثیر کمی بر منابع سیستم نقطه پایانی دارد.
3. Trellix Endpoint Security
آنتی ویروس تحت شبکه McAfee Endpoint Security که به Trellix تغییر نام داده است، محافظت بی عیب و نقصی را در آزمایش SE Labs ارائه کرد. Trellix از تجزیه و تحلیل رفتاری بلادرنگ برای شناسایی بدافزارهای روز صفر و تهدیدات داخلی استفاده می کند.
قابلیتهای XDR آن، بررسی و پاسخ را با دید متمرکز و شکار تهدید در نقاط پایانی و شبکهها سرعت میبخشد. Trellix نقطه پایانی مناسبی برای سازمانهایی است که نگران خطرات حمله داخلی هستند.
4. Kaspersky Endpoint Security
آنتی ویروس تحت شبکه کسپرسکی Kaspersky Endpoint Security فقط یک تهدید را از دست داد، اما بقیه را مسدود کرد و در عین حال امتیاز نرم افزاری معتبر را حفظ کرد. ویژگیهای قابل توجه شامل جداسازی مبتنی بر مجازیسازی، تشخیص و پاسخ نقطه پایانی (EDR) و تشخیص خودکار حملات در خارج از شبکه است.
نسخه سازمانی کسپرسکی حفاظت نقطه پایانی قوی و پیشرفته ای را برای شرکت هایی که با دشمنان فنی پیچیده سروکار دارند ارائه می دهد.
5. Microsoft Defender for Endpoint
مشابه آنتی ویروس تحت شبکه کسپرسکی، مایکروسافت دیفندر نیز همه حملات به جز یک حمله را مسدود کرد و در عین حال از مثبت کاذب اجتناب کرد. این محصول به خوبی با مایکروسافت 365 که روی Azure اجرا می شوند، ادغام می شود.
مدلهای یادگیری ماشینی مبتنی بر رفتار به سرعت ناهنجاریها و فعالیتهای مشکوک را نشان میدهند. Microsoft Defender یک آنتی ویروس تحت شبکه عالی برای شرکت هایی است که از اکوسیستم های مایکروسافت استفاده می کنند.
6. Broadcom Endpoint Security Enterprise Edition
مجموعه امنیتی Broadcom Endpoint از برترین محصولات امنیتی با امتیاز حفاظتی 100٪ است. این آنتی ویروس تحت شبکه فناوریهای Symantec و CA Technologies را پس از خریداری توسط Broadcom ترکیب میکند.
ویژگی های پیشرفته شامل جداسازی برنامه، پیشگیری از سوء استفاده از حافظه و تشخیص حمله مبتنی بر اسکریپت است. Broadcom یک آنتی ویروس تحت شبکه قدرتمند است که بیشترین تعداد مشتری را در بین شرکت های Fortune 1000 دارد.
دیگر محصولات برتر امنیتی
در حالی که این آنتی ویروس های تحت شبکه اندکی از رتبه های برتر فاصله داشتند، ولی نتایج درخشانی را نشان دادند:
- VIPRE Endpoint Security – با 99% حفاظت و دقت، VIPRE هنوز یک انتخاب عالی است. مثبت کاذب نادر است و همه تهدیدات رایج را مسدود می کند.
- CrowdStrike Falcon – فالکون یک حمله هدفمند را از دست داد اما همچنان به 98% حفاظت و 100% امتیاز نرم افزاری قانونی دست یافت. EDR هوشمند آن در پاسخ سریع به تهدید برتری دارد.
- SentinelOne Singularity – Singularity اجازه یک حمله هدفمند بیشتر از CrowdStrike را داد، اما همچنان یک رقیب قدرتمند با محافظت 99٪ است. دارای XDR پیشرو و قابلیت های پاسخ خودکار است.
- Fortinet FortiEDR – اگرچه تهدیدات رایج بیشتری را نسبت به سایر محصولات از دست داد، اما FortiEDR تمامی حملات هدفمند را با نرخ حفاظت قابل احترام 97% مسدود کرد.
معیارهای کلیدی برای ارزیابی امنیت نقطه پایانی سازمان های بزرگ
بر اساس نتایج صدها ساعت آزمایش عملی، اینها مهمترین معیارها برای انتخاب راه حل امنیتی نقطه پایانی سازمانی هستند:
پیشگیری از تهدید
بهترین آنتی ویروی های تحت شبکه باید اکثریت قریب به اتفاق بدافزارها، سوء استفاده ها، باج افزارها و حملات هدفمند را مسدود کنند. اجازه دادن فقط به یک تهدید می تواند منجر به رویداد فاجعه آمیزی شود.
قابلیتهای تشخیص
از آنجایی که مهاجمان مصمم ممکن است از شناسایی اولیه فرار کنند، محصول باید رفتار مخرب را پس از وقوع رویداد و آلودگی شناسایی کند تا از از دست رفتن دادهها یا کنترل سیستم جلوگیری کند.
موارد مثبت کاذب کم
تشخیص بدافزارهای نادرست کاربران و تیم های فناوری اطلاعات را ناامید می کند. دقت با چند پرچم نادرست اعتماد به نرم افزار را القا می کند.
تاثیر روی سیستم
نرم افزار آنتی ویروس سازمانی که سرعت سیستم ها را کند می کند، تجربه کاربری ضعیفی ایجاد می کند. محصولات باید سبک و بهینه باشند.
پاسخ سریع به تهدید
هنگامی که پیشگیری با شکست مواجه می شود، هر ثانیه در خنثی کردن حملات فعال اهمیت دارد. شتاب پاسخ خودکار بسیار مهم و حیاتی است.
ادغام با شبکه
ادغام با سایر لایههای امنیتی مانند فایروالها، دید را بهبود میبخشد و امکان پاسخگویی هماهنگ به حادثه را فراهم میکند.
برای پیدا کردن قوی ترین آنتی ویروس شبکه، راهحلهایی را اولویتبندی کنید که تستهای مستقلی را بر روی این معیارها گذرانده و در عین حال الزامات امنیتی خاص سازمان را برآورده میکنند.
خلاصه بهترین آنتی ویروس تحت شبکه سازمان های بزرگ
در آزمایش فشرده SE Labs، راهحلهایی مانندKaspersky Endpoint Security, Sophos Intercept X، ESET Endpoint Security، و Trellix Endpoint Security نشان دادند که چرا آنها انتخابهای برتر شرکتهای متمرکز بر امنیت هستند. مهاجمان بی وقفه نقاط پایانی را با مهندسی اجتماعی، بدافزارها و اکسپلویت ها هدف قرار می دهند.
فقط امنیت سازمانی قوی و چند لایه می تواند از دارایی ها در برابر مهاجمان محافظت کند. به عنوان آخرین خط دفاعی در نقاط پایانی، آنتی ویروس های تحت شبکه بالا، تشخیص تهدید مبتنی بر ناهنجاری، فناوریهای ضد سواستفاده، تحلیل رفتاری و موارد دیگر را ترکیب میکنند. با حداقل نتایج کاذب، آنها کارمندان را قادر می سازند تا به طور مؤثر از نقاط پایانی بدون دخالت بی مورد استفاده کنند.
برای متوقف کردن قاطع مهاجمان مدرن در مسیر خود، این آنتی ویروس های سازمانی پیشرو در ارزیابی بیطرفانه و واقعی آزمایشگاه SE Labs قرار گرفتند. سازمانهایی که یکی از این راهحلهای معتبر را انتخاب میکنند، آرامش خاطر پیدا میکنند که نقاط پایانی موجود در سازمان آنها در برابر حملات پیچیدهای که نهایتا از دفاعهای محیطی عبور میکنند، مسدود می شوند.