- A hozzászóláshoz be kell jelentkezni
- 51 megtekintés
Hozzászólások
Hello, pár dolog, ami ide nem fér ki és esetleg a landing oldalon nem derül ki, akkor sem, ha elolvassák :)
Első és legfontosabb: igen, jelenleg(!) cask Windows rendszer támogat az EMSISoft. Mivel a KKV és kisvállalati kategóriára optimalizált mind featureben, mind árazásban. A legtöbb KKV és már kisvállalat is Linuxot leginkább maximum egy Synologn lát és minden a felhőben található, mint szolgáltatás. Ott is általában kis helyi szolgáltatók termékeivel,az M365 árazását nem a magyar valóságra találták ki.
Akkor most nézzük a szoftver előnyeit részletesen itt is, ha valaki nem szeretné a landing oldal :
- Igen, teljes EDR és viselkedés analízis van benne, ezen az áron, ami kint van az oldal tetején (a gyártónál nyilvánosak árak, így ezt most kiraktuk). Ezt még egy KKV és kis önkormányzat is megengedheti magának, de még egy iskola is. És nem csak jól árazott, de még valós védelmet is ad.
- Baromi egyszerű és átlátható a menedzsment, egy KKV rendszergazda - vagy őket kiszolgáló MSP - igényeire és idejére van szabva. Egy nagyon(!) reszponzív és alapos gyártói támogatással a felületbe integrálva.
- Komolyabb teszteken is részt vesz, nem csak a VB100-on, hanem például az AVLab lengyel labor hosszú távú és összetett elemzését is kitünő eredménnyel vette (az AVLab a Anti-Malware Testing Standards Organization tagja).
- Az offline is működő viselkedés elemzést - Behaviour AI - már körülbelül 2.5 millió jó és rossz esemény naplóján okosították fel, (2 millióval indultak), mivel az eszköz és "elkövetés módja" változik a támadóknál, de mindig ugyanazt akarják elérni és ugyanazokat a dolgokat kell elérniük, hogy uralják a rendszert.
- Tényleg nagyon nagyon kicsi a fals pozitív aránya - nyilván nulla a cél, de egyedi, csak Magyarországra jellemző, kis felhasználószámú programoknál tanítani kell esetleg. Ez nagy részben már megvalósult, önkormányzati alkalmazások illetve olyan államilag előírt alkalmazásoknál, ami digitális aláírást, titkosítást is végez, de nem ismert a nagyvilágban, így összekverhető egy ransomware támadással.
- Apropó, ransomware: a rollback motor az saját, nem VSS-en alapul, mivel azt szokták első körben még támadni, ne lehessen rollback. Van aki - joggal - megkérdőjelezi kell-e rollback, az a gép elveszett, de lehet egy olyan állományra szükséged van, amiről még nincs mentés, akkor jó kiszedni vagy még nagyon új a támadás, de megfogta a rendszer az első pár darab titkosított állománynál.
- MITRE ATT&CK TTP monitoring a része, ahogy a timeline feltüntetése is.
- Integrálható más rendszerekkel, webhookon és syslog kimeneten is (SIEM, loggyűjtő, bármi), legyen az felhős vagy helyi (beállítások természetesen szükségesek lehetnek a másik oldalon is, honnan engedünk be és mit)
- 30 napig a teljes - raw - napló is megtalálható a felhőben, de mint fentebb írtuk, átküldhető naplógyűjtőbe és SIEM-be is
- a raw data kereshető OSQuery-vel, ami be van építve - igen, a legtöbb másik eszköz is ezt használja, maxium nem mondják
- a Threat Hunting modullal olyan események is lekérdezhetők, mint például - de nem kizárólag -, hogy milyen állapotban van a BitLocker a gépen, vannak-e olyan DDL-ek betöltve amik nem a megszokott helyen vannak vagy furnak-e vagy futottak-e olyan folyamatok, amelynek nincs binárisa a háttértárolón.
- Még alapvető alkalmazás leltár is megtalálható benne, sőt, az eltávolítást is engedi/lehetővé teszi.
- És még a szokásos lokális gyorsítótár funkció, hogy egy gépről töltse a többi helyi gép a frissítéseket, onnan is lehessen telepíteni, Active Directory integráció is van.
És, akkor legyen egy kis olyan is, mi nincs benne és miért:
- Igen, nincs benne felhős sandbox, ami amúgy jó feature szokott lenni, de a sandbox elkerülési technikákkal mindig versenyfutás van, és erőforrás igényes, így tud kedvezű árú lenni, az alapos, hosszú távú és akár céges gold imagen alapuló védelem nem két fillér, sőt, nagyon sokba kerül a valódi, hosszú távú sandbox elemzés
- Igen, valóban "csak" 6 kategória van a webszűrőben, ezek azok melyek károsak vagy feleslegesek és az üzemeltetés letiltja, a többi 50-60 kategóriával meg nem foglalkozik.... A kategóriák: Malicious hosts (malware terjesztő és phising oldalak), szerencsejáték, pornó, scam oldalak valamint social media és olyan programok oldalai amelyek PUP (potentially unwanted program) lehetnek.
- Valóban nincs benne patch menedzsment és egy kattintásos CVE szám alapján sérülékenység elemző,erre szoktuk ajánlani a NinjaOne-t, csomagban, amiben teljes körű patch menedzsment van OS és 3rd party alkalmazásokra is, AI elemzéssel, hogy okozott-e már máshol problémát és ez alapján lehet dönteni, valamint teljes monitoring és menedzsment, automatizáció és igen, egy kattintásos sérülékenység kimutatás. Ezzel jóval többet ad, mint amit a konkurensek must-have funkció miatt beépítenek. A legtöbb KKV viszont még mindig kézimunkázik sajnos, a szűkösebb pénzügyi lehetőségek miatt a konkurens termékből is azt veszi, amiben ezek nincsenek benne még kisebb hatásfokkal,kevesebb funkcióval sem. Viszont azért az árért itt már teljes EPP+EDR-t tud kapni, és még a kiegészítővel is olcsóbb, mint a teljes csomag (nyilván nem a mi és a viszonteladók szép szeméért döntenek az EMSI vagy ESMSI+NinjaOne mellett).
Hol használják már itthon:
- kisvállakozások (5-30 gép/főig)
- kis önkormányzat(ok)
- olyan kisebb gyártó illetve élelmiszeripari cégek, akik NIS2 kötelezettek és szerettek volna - vagy előírták nekik... - egy olyan EDR-t és komolyabb elemzést is lehetővé tesz és nem megy rá ingük gatyájuk, de működik is, nem csak olcsó
- iskola (nem teljes tankerület, intézmény, itt egy nagyobb intézmény is bevezeti várhatóan, amint a másik megoldás előfizetése lejár)
És igen, keresünk viszonteladókat :)
- A hozzászóláshoz be kell jelentkezni