Sophos Endpoint Security and Data Protection: Guida … · • Quanto è facile installare il prodotto e distribuirlo attraverso l'azienda? È possibile utilizzare active Directory

1

Sophos Endpoint Security and Data Protection: Guida alla valutazione

SoPhoS EnDPoint SEcurity anD Data ProtEction guiDa alla valutazionE

2

3

Benvenuti

Benvenuti nella guida alla valutazione di Sophos Endpoint Security and Data Protection, la soluzione Sophos per la sicurezza dei computer endpoint totalmente integrata e scalabile. Questo documento introduce gli elementi software essenziali di Sophos Endpoint Security and Data Protection: console di gestione, antivirus, client firewall, controllo dati, controllo dispositivi, controllo applicazioni, cifratura e controllo dell'accesso alla rete.

la guida fornisce una panoramica delle eccellenti funzioni di Sophos Endpoint Security and Data Protection. Dopo averla letta, avrete una conoscenza più approfondita del modo in cui Sophos Endpoint Security and Data Protection assicura alle organizzazioni la protezione più conveniente e affidabile contro le minacce note e ignote alla sicurezza informatica e fornisce protezione contro la perdita di dati. tale protezione consente di concentrarsi su altre operazioni importanti non relative alla sicurezza, garantendo continuità del business ed efficienza del sistema migliori.

Per informazioni sui prezzi e sull'acquisto di Sophos Endpoint Security and Data Protection, contattate il vostro rappresentante Sophos locale. Per scoprire come acquistare nella propria zona, visitare:

www.sophos.it/companyinfo/contacting

Se desiderate richiedere una valutazione, visitate:

www.sophos.com/products/enterprise/free-trials/

Se desiderate leggere la documentazione relativa all'installazione, visitate:

www.sophos.com/support/docs/

1 ProtEzionE comPlEta PEr l'EnDPoint guiDa alla valutazionE


4

Sommario

1 ProteZione ComPLeta Per L'enDPoint 5 Panoramica di Sophos Endpoint Security and Data Protection

2 uniCa ConSoLe CentraLe automatiZZata 8 Panoramica di Sophos Enterprise console

3 ProteZione Dei ComPuter WinDoWS 24 Panoramica di Sophos Endpoint Security and control, Sophos client Firewall, Sophos nac e Safeguard Disk Encryption

4 ProteZione Dei ComPuter non WinDoWS 30 Panoramica di Sophos anti-virus su mac oS X, linux e uniX

aPPenDiCi

i vaLutaZione Di enDPoint SeCurity anD Data ProteCtion 33 rete di test consigliata

ii iL "viruS" Di teSt eiCar 36

iii aLtri ProDotti e ServiZi SoPhoS 37

5

SophoS Endpoint SEcurity and data protEction

1 ProteZione ComPLeta Per L'enDPoint

PanoramiCa Di enDPoint SeCurity anD Data ProteCtion

Sophos semplifica le operazioni per la protezione di desktop, portatili, dispositivi mobili e file server da minacce note e ignote, nonché la protezione dell'organizzazione contro la perdita di dati accidentale.

Protezione completa

l'agente antivirus singolo unificato Sophos elimina la necessità di possedere numerosi prodotti per fermare minacce diversificate. con un'unica scansione, potete proteggere la vostra organizzazione da virus, spyware, adware, rootkit e applicazioni potenzialmente indesiderate (Pua). È possibile controllare simultaneamente l'installazione e l'uso di software non autorizzato tipo voiP, messaggistica istantanea e file sharing peer-to-peer (P2P), controllare l'uso dei dispositivi di archiviazione rimovibili e i protocolli di rete wireless, oltre a monitorare il trasferimento di informazioni sensibili. È anche possibile proteggere i dati da perdite grazie alla cifratura del disco completa per i propri computer e la cifratura di informazioni per dispositivi di archiviazione rimovibili, oltre che per lo scambio protetto di dati con terze parti.

Console semplificata e automatizzata

Enterprise console, la console automatica di Sophos, offre un punto singolo da cui distribuire, aggiornare e creare report sulla protezione degli endpoint attraverso l'intero ambiente. la nostra console è in grado di gestire decine di migliaia di computer Windows, mac, linux e uniX. Semplificando e automatizzando la protezione ridurrete i costi, velocizzerete le diverse operazioni e otterrete una migliore visibilità dell'intera rete. in aggiunta, grazie all'amministrazione basata sul ruolo sarà possibile condividere attività con altri utenti per ridurre il carico di lavoro, mantenendo nel contempo il controllo complessivo dei criteri di sicurezza attraverso l'intero ambiente.

una soluzione per tutte le piattaforme

acquistando una licenza Endpoint Security and Data Protection potete accedere a un software che protegge oltre 25 piattaforme (la più ampia gamma fra tutti i produttori), tra cui Windows, mac oS X, linux, uniX, netWare, netapp Storage Systems e Windows mobile.



6

Protezione completa dei dati

la combinazione di una serie di diverse tecnologie garantisce la protezione dei dati contro la perdita accidentale. la scansione di contenuti DlP integrati in un singolo agente endpoint consente il monitoraggio del trasferimento di dati sensibili in dispositivi di archiviazione rimovibili e applicazioni internet quali e-mail, browser Web e messaggistica istantanea. il controllo granulare dei dispositivi di memorizzazione rimovibili permette di consentire l'uso di dispositivi specifici, implementare l'uso di dispositivi cifrati o consentire semplicemente l'accesso di sola lettura. inoltre, la cifratura completa del disco protegge i dati dei computer mobili, impedendo che le informazioni cadano nelle mani sbagliate in caso di smarrimento dei dispositivi portatili.

Competenza integrata

la competenza di Sophoslabs™ in tema di malware, spam e Web assicura la protezione più veloce e migliore del mercato. tecnologie uniche, come Behavioral genotype® Protection, unite ai rapidi aggiornamenti delle firme digitali in genere di piccole dimensioni, dirette a fermare il malware noto e sconosciuto, permettono a Sophos di superare regolarmente Symantec e mcafee nei test indipendenti.

Conformità dell'endpoint

Sophos Endpoint Security and Data Protection garantisce la conformità dell'endpoint utilizzando Sophos nac per valutare e controllare tutti i computer endpoint. Sophos nac verifica se gli antivirus ed altre eventuali applicazioni di sicurezza sono attive e aggiornate e se ai sistemi operativi sono state applicate patch aggiornate. Questo riduce il rischio di infezioni da malware mediante la messa in quarantena e la riparazione di computer vulnerabili prima che venga concesso l'accesso alla rete. Sophos nac continua a proteggere la sessione dell'utente con controlli di valutazione periodici.

Motivi Vantaggi di Sophos

Produttore affidabile con più di 20 anni di esperienza nella protezione di aziende da minacce conosciute e sconosciute, rispondiamo rapidamente alle minacce emergenti, indipendentemente dalla loro complessità.

approccio più semplice e più intelligente

Sophos Enterprise console assicura una gestione intuitiva economica e centralizzata tra più piattaforme, offrendo una visibilità e un controllo senza pari attraverso l'intera rete.

rapidità delle risposte

Sophoslabs controlla ininterrottamente le nuove minacce, mentre gli esperti analizzano il nuovo malware indipendentemente dal fuso orario e offrendo gli aggiornamenti più veloci e più leggeri.

assistenza eccezionale

il supporto tecnico viene offerto da un team globale di esperti Sophos 24 ore su 24, tutti i giorni della settimana e per tutto l'anno, offrendo un'esperienza pratica e dettagliata, che ha portato ai più alti livelli di soddisfazione dei clienti nell'intero settore.

licenza semplice una licenza basata su una semplice sottoscrizione offre aggiornamenti costanti e automatici per tutte le nuove versioni, oltre a un supporto tecnico interno 24 ore su 24 e per tutti i giorni della settimana senza costi nascosti.

massima attenzione per l'azienda

Sophos vende solo a clienti aziendali, garantendo che la tecnologia, l'assistenza e la ricerca nella loro totalità siano concentrate sulle esigenze delle organizzazioni e non condivise con la necessità di assistere i singoli consumatori.

Tabella 1 - Perché i clienti si affidano a Sophos

7

test delle caratteristiche principali

Prima di eseguire i test, ecco alcuni aspetti da tenere in considerazione e da usare per fare il confronto con i prodotti della concorrenza:

• riuscite a gestire tutte le vostre piattaforme da una singola console di gestione?

• Quante distribuzioni sono necessarie per fornire una copertura di protezione degli endpoint uniforme, ovvero antivirus, antispyware, firewall, hiPS, controllo delle applicazioni, controllo dei dispositivi, controllo dei dati e controllo dell'accesso alla rete?

• Quanto è facile installare il prodotto e distribuirlo attraverso l'azienda? È possibile utilizzare active Directory (aD) per velocizzare questo processo?

• Potete eseguire la sincronizzazione con aD e distribuire automaticamente la protezione in un nuovo computer appena esso viene aggiunto alla rete?

• Qual è il livello di facilità con il quale potete verificare e controllare l'accesso alla rete per i computer gestiti e non gestiti?

• la console di gestione fornisce una visualizzazione in tempo reale dello stato e degli avvisi sul pannello di controllo?

• Quanto è facile gestire il prodotto? in particolare, quanti passaggi e quanto tempo è necessario per effettuare attività di gestione comuni quali modifica e applicazione di criteri ai gruppi?

• Quanto sono efficaci le tecnologie di rilevamento proattivo/hiPS e quale livello di configurazione è necessario raggiungere per attivare e gestire una protezione efficace?

• il monitor dell'agente endpoint è in grado di trasferire dati sensibili in dispositivi di archiviazione rimovibili o applicazioni attivate via internet quali e-mail, browser Web e messaggistica istantanea?

• Quanto è facile controllare l'uso di dispositivi di archiviazione rimovibili e quali opzioni di attuazione diverse sono disponibili?

• Quanto è facile impedire a un utente di scaricare e installare applicazioni legittime quali software di messaggistica istantanea, peer-to-peer, voiP e giochi, il cui utilizzo sulla rete aziendale non è consentito? Quanto lavoro è necessario per mantenere aggiornato con le nuove versioni l'elenco di applicazioni?

• Quanta memoria viene consumata dal client e con quale frequenza vengono effettuati e che dimensioni hanno gli aggiornamenti della protezione?

• avete la possibilità di comunicare con addetti all'assistenza tecnica ben formati e con una sede in loco 24 ore su 24, 7 giorni su 7, senza ulteriori costi?



8

SophoS EntErpriSE conSolE

2 uniCa ConSoLe CentraLe automatiZZata

PanoramiCa Di SoPhoS enterPriSe ConSoLe

Sophos Enterprise console offre una gestione della propria protezione endpoint più intelligente e più semplice basata sui criteri. consente di gestire

migliaia di utenti Windows, mac, linux e uniX da una singola console.

la gestione semplificata attraverso la console, il facile controllo dei criteri nell'intera rete, la scalabilità e la disinfezione centralizzata e mirata

riducono significativamente le spese di gestione ricorrenti.

molte soluzioni per la sicurezza sono progettate in modo complicato e possono gravare sugli utenti con sistemi sempre più complessi. Enterprise console è stata progettata per offrire un approccio semplice e integrato che vi consente di intraprendere un'azione rapida contro problemi emergenti e potenziali. in questa sezione vengono esposte le funzioni principali di

Enterprise console e descritti in dettaglio i vantaggi che ne derivano.

diStribuzionE Singola

Protezione endpoint e rimozione di terze parti

Endpoint Security and Data Protection consente di distribuire e gestire antivirus, client firewall e i componenti di controllo della conformità (nac)

alla rete su computer endpoint, da un'unica console.

oltre a semplificare il passaggio dalla vostra soluzione esistente ad Endpoint Security and Data Protection, vi diamo la possibilità di rimuovere il software di protezione di terze parti durante la distribuzione.

Figura 1 - Installazione unica

9

2 unica conSolE cEntralE automatizzata SoPhoS EntErPriSE conSolE

intEgrazionE E SincronizzazionE con activE dirEctory

Distribuzione più rapida e protezione automatica

Sophos Endpoint Security and Data Protection semplifica l'individuazione dei computer nella rete replicando la struttura di client e gruppi di active Directory in Enterprise console.

Dopo la replica, è possibile sincronizzare active Directory con Enterprise console, in modo che qualsiasi modifica in active Directory venga automaticamente riflessa in Enterprise console, garantendo la protezione automatica dei nuovi client appena entrano in rete. Enterprise console controllerà automaticamente le modifiche in active Directory ogni ora, per

impostazione predefinita.

Se non utilizzate active Directory, sono disponibili due metodi alternativi per identificare rapidamente i computer:

• con la funzione di ricerca in rete incorporata

• tramite intervallo di sottorete/iP.

pannEllo di controllo

maggiore visibilità e allarmi automatici

Quando viene rilevato un qualsiasi virus, spyware, adware, elemento sospetto o un'applicazione potenzialmente indesiderata, viene generato automaticamente un allarme che verrà visualizzato sul pannello di controllo.

il pannello di controllo di Enterprise console mostra i livelli di rischio sull'intera rete, raccogliendo tutti gli allarmi dai computer con sistema operativo Windows, mac, linux e uniX e visualizzando lo stato con i colori blu (oK), giallo (avviso) e rosso (critico).

Figura 2 - Ricerca rapida dei nuovi computer


10

Facendo clic con il mouse, siete in grado di:

• filtrare la visualizzazione per evidenziare i computer che non dispongono di protezione aggiornata o presentano allarmi malware, verificando immediatamente le aree della rete che richiedono attenzione;

• regolare i livelli del pannello di controllo che comportano il cambiamento dei colori relativi allo stato;

• abilitare l'invio di allarmi e-mail automatici quando si stanno per raggiungere i livelli di sicurezza specificati dall'utente.

grazie a queste funzioni, non dovete effettuare l'accesso alla console per essere avvisati di potenziali problemi legati alla sicurezza.

Per impostazione predefinita, gli allarmi malware vengono visualizzati anche sul desktop di tutti i computer in cui sono stati individuati malware, Pua o applicazioni non autorizzate. allarmi e-mail e SnmP possono anche essere inviati ad utenti specifici qualora virus, Pua o messaggi di errore vengano trovati in un qualsiasi computer di un gruppo. tutti i virus rilevati sul computer verranno visualizzati come collegamenti ipertestuali che conducono alla voce correlata nella libreria dei virus del sito web di Sophos.

tenere traccia di eventi critici

Quando si verifica un evento di controllo applicazione, firewall, controllo dati o controllo dispositivo su un computer endpoint, ad esempio se un'applicazione è stata bloccata dal firewall, l'evento verrà inviato a

Enterprise console e potrà essere visualizzato nel visualizzatore eventi relativo.

utilizzando i visualizzatori degli eventi, potete facilmente e rapidamente investigare sugli eventi verificatisi sulla rete. Potete inoltre generare un elenco di eventi basati su un filtro da configurare, ad esempio un elenco di tutti gli eventi di controllo dati dell'ultima settimana generati da un dato utente.

il numero di computer con eventi che hanno superato una determinata soglia entro gli ultimi 7 giorni viene visualizzato nel pannello di controllo. È inoltre possibile impostare allarmi da inviare a destinatari prescelti ogni qual volta si verifichi un dato evento.

Figura 3 - Pannello di controllo di Sophos Enterprise Console

Pannello di controllo riepilogativo

la possibilità di visualizzare un riepilogo delle aree con problemi rappresenta uno dei vantaggi principali, oltre all'invio di allarmi e-mail automatici non appena vengono raggiunti i livelli di sicurezza.

11

Smart viEwS Disinfezione mirata

la disinfezione di una rete grande dopo un attacco può essere estremamente costosa e richiedere molto tempo. Enterprise console permette la disinfezione remota e centralizzata di file, voci di registro e processi in esecuzione. Smart views fornisce una panoramica completa dello stato della protezione di tutti i computer nella rete da una sola console, consentendo di visualizzare i computer che richiedono un intervento (ad esempio quelli con protezione non aggiornata o quelli non conformi ai criteri) e di porvi rimedio.

SophoS updatE managEr aggiornamenti rapidi, gestiti da un singolo punto

Sophos update manager assicura la protezione continua della rete grazie ad aggiornamenti automatici del software di sicurezza Sophos. Dopo l'installazione, Sophos update manager verrà gestito da Enterprise console.

una volta configurato Sophos update manager, sarà possibile:

• Effettuare la connessione alla frequenza pianificata a un warehouse di distribuzione dati presso Sophos o sulla propria rete.

• Effettuare il download degli aggiornamenti relativi al software di sicurezza al quale ha effettuato la sottoscrizione l'amministratore.

• Posizionare il software aggiornato su una o più condivisioni di rete per l'installazione su computer endpoint.

gli endpoint verranno quindi aggiornati automaticamente dalle condivisioni di rete, in linea con i criteri di aggiornamento configurati.

Figura 4 - Smart Views



12

activEpoliciES

impostazione e applicazione semplificate dei criteri di sicurezza

utilizzando Sophos activePolicies™, è possibile creare e distribuire rapidamente e in modo intuitivo i criteri su tutta la rete, indipendentemente dai gruppi, consentendo di distribuire un criterio in più gruppi contemporaneamente. activePolicies semplifica l'applicazione dei criteri in sette aree principali.

Criteri di aggiornamento

Enterprise console consente di mantenere aggiornati i computer con l'ultima protezione. Potete configurare l'ora in cui diverse parti degli aggiornamenti di rete e i computer della sede effettueranno la connessione ai rispettivi aggiornamenti. Questa funzione è utile in particolar modo se la vostra organizzazione utilizza grandi reti che coprono diversi fusi orari, oppure nel caso di personale che lavora al computer in orari differenti o di portatili remoti collegati alla rete. il controllo delle impostazioni di aggiornamento automatico consente inoltre di ridurre al minimo l'impatto degli aggiornamenti sulle prestazioni della rete.

la configurazione delle impostazioni di sottoscrizione del software consente inoltre di specificare quali versioni del software endpoint verranno scaricate da Sophos per ciascuna piattaforma. la sottoscrizione predefinita include l'ultimo software per Windows 2000 e versioni successive.

Potete inoltre regolare la larghezza di banda per impedire ai computer di utilizzarla tutta per l'aggiornamento, nel caso sia necessaria anche per altre operazioni, come lo scaricamento della posta elettronica.

Figura 5 - ActivePolicies

13

Criteri antivirus e HIPS: virus, spyware, PUA, prevenzione delle intrusioni

l'implementazione della nostra protezione antivirus vi offre un sistema completo di prevenzione delle intrusioni host (hiPS, host intrusion prevention system) senza la necessità di installazioni e configurazioni complesse. abilita l'analisi dei file durante l'esecuzione e la protezione da buffer overflow prima dell'esecuzione, rilevando tempestivamente il malware nonché i file e i comportamenti sospetti.

i criteri permettono di configurare un'ampia gamma di opzioni di scansione per l'intera rete. È possibile specificare i requisiti per la scansione in accesso, pianificata e su richiesta, nonché decidere di escludere tipi di file particolari che non rappresentano alcuna minaccia. Per impostazione predefinita, i computer useranno i seguenti criteri standard:

• scansione di tutti i file vulnerabili al malware.

• accesso negato a qualsiasi file che contenga virus, spyware e così via.

• visualizzazione di un avviso sul desktop di tutti i computer in cui vengono individuati virus o Pua.

Figura 6 - Configurazione dei criteri antivirus e HIPS



14

Figura 8 - Application Control: controllo semplice del software non autorizzato

Criteri di controllo delle applicazioni

le applicazioni come voiP, im e P2P sono sempre più causa di problemi di sicurezza, legalità e produttività per le attività aziendali; pertanto, ai reparti it viene richiesto di controllarne l'installazione e l'uso non autorizzati. Sophos integra il rilevamento di tali applicazioni controllate con quello di malware e Pua, consentendo il controllo senza dover acquistare, installare e gestire separatamente prodotti specifici.

tutte le applicazioni controllate sono autorizzate per impostazione predefinita, ma potete usare Enterprise console per configurare criteri per gruppi di computer endpoint in modo che siano conformi ai requisiti di sicurezza per sedi e reparti specifici. ad esempio, le applicazioni voiP possono essere bloccate per i computer desktop aziendali e autorizzate per quelli remoti. Per bloccare un'applicazione, potete semplicemente spostare l'applicazione di destinazione sulla colonna bloccata.

l'elenco di applicazioni controllate è fornito da Sophos e aggiornato regolarmente. non è possibile aggiungere nuove applicazioni all'elenco, ma è possibile inoltrare una richiesta a Sophos per includere una nuova applicazione legittima che si desidera controllare sulla rete.

Per un elenco completo delle applicazioni che è possibile controllare, vedere il sito Web all'indirizzo: http://www.sophos.com/security/analyses/controlled-applications/

Le applicazioni controllabili includono:

•VoIP

•Messaggisticaistantanea

•Softwarepeer-to-peer

•Progettidicalcolodistribuiti

•Barredeglistrumentideimotori di ricerca

•Lettorimultimediali

•BrowserInternet

•Giochi(giochiWindowsemultigiocatore)

•Applicazionidivirtualizzazione

•Strumentidigestioneremota

•Applicazionipermappe

•Cliente-mail

Servizio di archiviazione in linea

Strumenti di cifratura

Figura 7 - Application Control: controllo semplice del software non autorizzato

15

Criteri di controllo dei dispositivi

il controllo dei dispositivi può aiutare a ridurre in modo significativo l'esposizione alla perdita accidentale di dati e limitare la capacità degli utenti di introdurre software e malware esterno all'ambiente della propria rete.

integrato all'interno dell'agente endpoint di Sophos, consente di controllare tre tipi di dispositivi:

• archiviazione: dispositivi di archiviazione rimovibili (unità flash uSB, lettori di Pc card e unità disco fisso esterne); unità di supporto ottico (unità cD-rom/DvD/Blu-ray); unità floppy disk; dispositivi di archiviazione rimovibili protetti

• rete: modem; wireless (interfacce Wi-Fi, standard 802.11)

• corto raggio: interfacce Bluetooth; infrarossi (interfacce a infrarossi irDa)

Per impostazione predefinita, il controllo del dispositivo è disattivato e sono consentiti tutti i dispositivi. Se si desidera abilitare il controllo dei dispositivi per la prima volta, Sophos consiglia di attenersi alle istruzioni seguenti:

• Selezionare i tipi di dispositivo da controllare.

• rilevare i dispositivi senza bloccarli.

• utilizzare gli eventi di controllo dei dispositivi per decidere quali tipi di dispositivi bloccare e quali, eventualmente, esentare.

• rilevare e bloccare i dispositivi oppure consentire un accesso di sola lettura ai dispositivi di archiviazione.

ciascun tipo di dispositivo supporta sia eccezioni di modello che di istanza di dispositivo. ciò significa che una chiave uSB che appartiene al reparto it può essere esentata dai criteri di blocco dei dispositivi di archiviazione rimovibili.

le eccezioni sono gestibili in modo semplice utilizzando il visualizzatore degli eventi di controllo dei dispositivi all'interno di Sophos Enterprise console. Questo consente di filtrare e rivedere in modo rapido gli eventi generati dai criteri di controllo dei dispositivi, oltre ad autorizzare i dispositivi tramite l'esenzione dei criteri.

Figura 8 - Controllo dei dispositivi: controllo granulare dei dispositivi di archiviazione rimovibili



16

È anche possibile ridurre in modo significativo il rischio di bridging di rete tra una rete aziendale e una rete non aziendale. la modalità di blocco del bridging è disponibile sia per i tipi di dispositivi wireless che per i modem. la modalità funziona disattivando le schede di rete wireless o modem quando viene connesso un endpoint a una rete fisica (in genere attraverso una connessione Ethernet). una volta che l'endpoint viene disconnesso dalla rete fisica, le schede di rete wireless o modem vengono riattivate in

piena integrazione.

Criteri di controllo dei dati

la distribuzione di una soluzione DlP autonoma per la protezione dalla perdita accidentale di dati sensibili può richiedere molto tempo e denaro, e può avere un impatto significativo sulle prestazioni del sistema dei propri endpoint. Sophos evita questi problemi integrando la scansione di informazioni sensibili nell'agente endpoint, semplificandone la configurazione, la distribuzione e la gestione.

È possibile monitorare e controllare il trasferimento di file verso dispositivi di archiviazione specifici (es. dispositivi di archiviazione rimovibili o unità ottiche) o per applicazioni internet specifiche (es. client e-mail, browser Web o messaggistica istantanea) senza la necessità di distribuire una soluzione separata e un altro agente endpoint.

Sophos offre una serie di regole di controllo dati predefinite che spaziano dai numeri identificativi nazionali ai contrassegni di documento riservati. Potete utilizzare queste regole così come sono oppure adattarle alle vostre esigenze.

Figura 9 - Controllo dei dispositivi: impedimento del bridging della rete

17

Sono presenti due tipi di regole di controllo dei dati:

• regola di corrispondenza del file: specifica l'azione da intraprendere se l'utente effettua il tentativo di trasferire un file con il nome di file specificato oppure un tipo di file specifico (categoria di tipo di file reale, come ad esempio un foglio di calcolo) alla destinazione specificata, ad esempio bloccare il trasferimento di database a dispositivi di archiviazione rimovibili

• regola di contenuto: contiene una o più definizioni dati e specifica l'azione da intraprendere se l'utente effettua il tentativo di trasferire alla destinazione specificata dati corrispondenti alle definizioni della regola.

Per semplificare la creazione dei criteri, Sophoslabs gestisce una libreria di definizioni di dati sensibili globali (elenchi di controllo dei contenuti) che riguarda informazioni che consentono di identificare una persona (Pii) come nel caso di numeri di carte di credito, numeri di previdenza sociale, indirizzi postali o indirizzi e-mail.

Queste definizioni utilizzano un'ampia gamma di tecniche che assicurano un rilevamento preciso. Queste vengono perfezionate continuamente da Sophoslabs e nuove definizioni vengono aggiunte come parte degli aggiornamenti mensili dei dati endpoint.

Potete creare i vostri elenchi specifici per la vostra organizzazione come nel caso di numeri di riferimento clienti o contrassegni di documento riservati specifici.

Figura 11 - Controllo dati: elenchi di controllo dei contenuti

Figura 10 - Controllo dati: regole di criteri predefiniti



18

Quando viene soddisfatta una regola di controllo dati, è possibile intraprendere una serie di azioni:

• consentire un trasferimento di file e un evento di registro

• consentire il trasferimento all'accettazione dell'utente e di un evento di registro

• Bloccare il trasferimento e l'evento di registro

Per impostazione predefinita, quando viene soddisfatta una regola e il trasferimento file viene bloccato o è richiesta la conferma dell'utente, verrà visualizzato un messaggio sul computer desktop dell'endpoint. Potete facilmente aggiungere i vostri messaggi personalizzati ai messaggi standard per la conferma utente del trasferimento file e per il trasferimento file bloccato.

l'azione di autorizzazione del trasferimento all'accettazione dell'utente può essere utilizzata per informare gli utenti del fatto che i dati in corso

di trasferimento possono contravvenire ai criteri dell'azienda, senza però impedire in pratica all'utente di effettuare il proprio lavoro. la decisione degli utenti finali verrà tenuta sotto controllo e potrà essere rivista successivamente.

Quando si verifica un evento di controllo dati, per esempio se si esegue copia di un file contenente dati sensibili in un'unità uSB flash, l'evento viene inviato a Enterprise console e può essere visualizzato nel visualizzatore degli eventi di controllo dati. il numero di computer con eventi di controllo dati che hanno superato una determinata soglia entro gli ultimi 7 giorni viene visualizzato nel pannello di controllo.

Criteri firewall

Per impostazione predefinita, Sophos client Firewall è abilitato per tutti i computer di ogni gruppo e blocca tutto il traffico superfluo. viene distribuito con un set di criteri predefiniti e sicuri, che potete modificare in base alle vostre esigenze aziendali. ogni aspetto della configurazione del firewall può essere gestito a livello centrale (per ulteriori informazioni su Sophos client Firewall, vedere la sezione 3).

la modalità di solo allarme consente di distribuire il firewall attraverso l'ambiente per raccogliere informazioni su tutte le applicazioni utilizzate sulla rete. Queste informazioni verranno quindi restituite alla console e sarà possibile utilizzarle per creare criteri che non influiranno sulla produttività degli utenti, prima di distribuire criteri “live”.

Figura 12 - Controllo dati: notifica di autorizzazione dell'utente finale

19

Potete configurare diversi criteri di sicurezza basati sulla topologia della rete per assicurare la protezione di computer mobili, sia dentro che fuori dall'ufficio. la sede del computer mobile viene rilevata utilizzando l'indirizzo DnS oppure l'indirizzo mac del gateway.

Controllo dell'accesso alla rete

i criteri nac sono controllati attraverso nac manager, che viene avviato dal pulsante del menu nac nella parte superiore della console, oppure facendo doppio clic su un criterio nac.

Endpoint Security and Data Protection è preconfigurato con i criteri per i computer gestiti e non gestiti. nac manager offre ulteriori funzionalità di modifica dei criteri, reportistica, allarmi, controllo dell'accesso e configurazione del sistema, ed è suddiviso in quattro principali aree funzionali di navigazione: gestione, applicazione, reportistica e configurazione del sistema.

Figura 13 - Firewall basato sulla topologia

Figura 14 - L'interfaccia utente di NAC offre una visualizzazione immediata dello stato di conformità dei computer sulla rete



20

• gestione – fornisce i componenti per la modifica e la gestione dei criteri e dei computer.

• attuazione – offre il controllo dell'accesso alla rete mediante modelli di accesso ed esclusione.

• reportistica – offre una serie di report per la risoluzione dei problemi relativi alla conformità e all'accesso alla rete.

• configurazione – fornisce il controllo sui componenti necessari per la gestione e la configurazione del sistema e per le impostazioni del server.

Dopo aver effettuato l'accesso, viene fornita una vista immediata sulla conformità globale dell'organizzazione. il grafico di conformità corrente fornisce una vista istantanea sul numero di computer della rete conformi ai criteri di protezione e su quanti di essi sono parzialmente conformi e non conformi. un secondo grafico mostra la recente tendenza di conformità.

Criteri predefiniti per computer gestiti e non gestiti

i criteri consentono di controllare l'accesso di gruppi specifici alle risorse della rete in base alla valutazione della sicurezza del singolo computer di ciascun utente. inoltre, determinano lo stato di conformità del computer, i messaggi che vengono visualizzati, le azioni correttive eseguite e le iniziative di attuazione intraprese.

Figura 15 - I criteri preconfigurati consentono il controllo dei computer per conformità con la sicurezza

21

importante

Per valutare a pieno le funzionalità di Sophos nac, scaricate e installate il componente nac manager dal sito www.sophos.com/downloads/ (le credenziali di valutazione vi consentiranno di accedere a quest'area).

Esistono tre criteri nac predefiniti:

• Predefiniti - i criteri predefiniti sono studiati in modo tale da consentire la rapida assegnazione e il controllo dei client gestiti. tutti i nuovi gruppi di Enterprise console e qualsiasi nuovo client senza criteri assegnati, oppure che non sia in grado di trovare i criteri ad esso assegnati assumerà i criteri predefiniti. Questi criteri predefiniti sono già popolati con Sophos anti-virus, Sophos Safeguard Encryption, Sophos client Firewall, microsoft/Windows update e mS Windows Firewall XP SP2/vista.

• Gestiti - i criteri gestiti sono identici ai criteri predefiniti. Questo vi consente di apportare modifiche a uno di questi criteri e di testarlo prima di assegnarlo a tutti i sistemi.

• Non gestiti - i criteri non gestiti vengono applicati a quei computer che entrano in rete temporaneamente e che vengono valutati con l'agente dissolvibile basato su Java. Esso è preconfigurato per valutare una serie di prodotti di sicurezza di terze parti, tra cui antispyware, antivirus e applicazioni firewall di ampia diffusione, nonché Windows o microsoft update. i fornitori includono Sophos, microsoft, trend micro, mcafee, Symantec/norton, F-Secure, Panda, Spybot, ad-aware e altri.

mESSagE rElay

Scalabilità significativa

Sophos Endpoint Security and Data Protection è stato progettato per essere altamente scalabile e vi consente di gestire decine di migliaia di computer da una sola console. maggiore scalabilità viene inoltre raggiunta grazie alla funzione di message relay, che consente ai computer nella rete di fungere da relay verso Enterprise console. Questa funzione riduce il traffico di rete e il carico sul server di gestione, permettendo alle grandi organizzazioni di gestire decine di migliaia di computer.

rEport

Creazione di report personalizzati e pianificati

report a richiesta, integrati, riferiti a tutta la rete sono essenziali al mantenimento della sicurezza. Enterprise console offre una serie di informazioni testuali e grafiche di report relative a una serie di aspetti sullo stato della sicurezza della rete. Questi report possono essere utilizzati così come sono oppure possono essere facilmente configurati per adattarli alle vostre esigenze. i tipi di report standard includono:

• allarmi per nome di elemento;

• allarmi per percorso;

• allarmi per data e ora;

• cronologia allarmi;

• riepilogo allarmi;

• non conformità con i criteri degli endpoint;

• protezione degli endpoint gestita;

• gerarchia di aggiornamento;

• eventi per utente.



22

i report possono essere prodotti in formato tabella oltre che in formato grafico, inclusi i grafici a torta, e possono essere esportati in una serie di formati di file, e precisamente: PDF (acrobat), html, microsoft Excel, microsoft Word, rtF, cSv e Xml.

grazie a report manager è possibile creare rapidamente report basati su un modello esistente, modificare la configurazione di una porta esistente e pianificare l'esecuzione di report a un'ora specifica e con una frequenza di ripetizione, ovvero una sola esecuzione, ogni giorno, ogni settimana,

ogni mese, oltre a inviare automaticamente i risultati tramite e-mail a destinatari selezionati.

la generazione di report aggiuntivi consente di visualizzare informazioni sui singoli computer. Facendo doppio clic sul nome di un computer potete visualizzare una finestra di dialogo che visualizza dettagli quali indirizzo iP, nome utente e ultima data di scansione.

amminiStrazionE baSata Sul ruolo

Delegare la gestione per diminuire il carico di lavoro amministrativo

la combinazione di ruoli configurabili, diritti e sottoambienti in Endpoint Security and Data Protection permette una certa flessibilità nell'amministrazione della sicurezza attraverso l'intero ambiente.

grazie all'amministrazione basata su ruoli, potete configurare l'accesso a Enterprise console, consentendo di condividere la gestione con team o individui specifici e utilizzando i ruoli preconfigurati oppure creando propri ruoli personalizzati. ad esempio, un tecnico di help Desk potrebbe aggiornare o pulire i computer, ma non configurare i criteri, i quali sono di responsabilità dell'amministratore.

Per configurare l'accesso, è sufficiente impostare i ruoli richiesti, aggiungere diritti specifici e quindi assegnare utenti e gruppi di Windows ai ruoli relativi.

Figura 16 - Pianificazione dei report

23

Sono disponibili quattro ruoli predefiniti:

Amministratore di sistema — ruolo predefinito con diritti completi di gestione del software di sicurezza Sophos sulla rete e dei ruoli in Enterprise console. non è possibile modificare o eliminare il ruolo di amministratore di sistema.

Amministratore — ruolo predefinito con diritti di gestione del software di sicurezza Sophos sulla rete, ma che non può gestire i ruoli in Enterprise console. il ruolo di amministratore può essere ridenominato, modificato o eliminato.

Helpdesk — ruolo predefinito che dispone di soli diritti di correzione, ad esempio per pulire o aggiornare i computer. il ruolo di helpdesk può essere ridenominato, modificato o eliminato.

Ospite — ruolo predefinito che dispone di accesso di sola lettura a Enterprise console. il ruolo di ospite può essere ridenominato, modificato o eliminato.

Gestione del sottoambiente

con la suddivisione dell'ambiente it in sottoambienti, è anche possibile limitare i computer e i gruppi su cui gli utenti possono effettuare le proprie operazioni.

Potete inoltre controllare l'accesso ai sottoambienti assegnando loro utenti e gruppi Windows. un utente può visualizzare solo i gruppi e le macchine relativi ai propri sottoambienti.

i report sono anche specifici dei sottoambienti. Qualsiasi criterio sarà applicabile solo al sottoambiente in cui è stato creato, mentre un amministratore non può modificare i criteri applicabili all'esterno del proprio sottoambiente.

Per i report, gli amministratori possono solo configurare ed eseguire report applicabili al proprio sottoambiente. un amministratore del sistema completo può eseguire report attraverso l'intero ambiente it.

mEmorizzazionE ScalabilE dEllE informazioni

integrazione con microsoft SQL Server

Enterprise console si integra con mSDE (microsoft SQl Server Desktop Engine) per memorizzare informazioni sulla gestione. in un'organizzazione di grandi dimensioni è possibile utilizzare microsoft SQl Server, che dispone di funzionalità avanzate e maggiore scalabilità per le grandi reti.

Figura 17 - Gestione dell'amministrazione basata sul ruolo



24

SophoS Endpoint SEcurity and data protEction

3 ProteZione Dei ComPuter WinDoWS

Sophos Endpoint Security and Data Protection protegge la rete Windows grazie a Sophos Endpoint Security and control per Windows, Sophos nac, Safeguard Disk Encryption e Sophos client Firewall.

SoPhoS enDPoint SeCurity anD ControL Per WinDoWS

Progettato per le reti aziendali, Sophos fornisce più della semplice protezione contro il malware, in quanto incorpora il sistema di prevenzione delle intrusioni su host (hiPS) e il controllo di dispositivi di archiviazione rimovibili, di applicazioni non autorizzate e il trasferimento di dati sensibili.

l'agente endpoint singolo elimina la dipendenza verso prodotti autonomi separati, garantendo:

• antivirus e hiPS (blocco di virus, spyware, adware e Pua, oltre a file e comportamenti sospetti)

• controllo delle applicazioni (impedendo l'installazione e l'utilizzo di applicazioni non autorizzate)

• controllo dei dispositivi (gestione dell'uso dei dispositivi di archiviazione rimovibili e dei protocolli di rete wireless)

• controllo dei dati (scansione del trasferimento di dati sensibili dall'endpoint)

• Firewall client (protezione da hacker e comunicazioni non autorizzate delle applicazioni)

Figura 18 - Un agente endpoint singolo diminuisce in modo significativo l'impatto sulle prestazioni del sistema

25

Prevenzione delle intrusioni

Sophos Endpoint Security and control per Windows include la prevenzione completa delle intrusioni (hiPS), garantendovi una protezione tempestiva senza che dobbiate eseguire installazioni e configurazioni complesse di prodotti separati. la combinazione di diverse tecnologie per il rapido rilevamento fornisce alle reti la protezione contro le odierne minacce miste e mirate del giorno zero.

• la tecnologia Genotype® garantisce protezione del giorno zero, riconoscendo le famiglie e le varianti di virus noti, bloccandoli tempestivamente persino prima che sia disponibile il rilevamento specifico.

• Behavioral Genotype® Protection protegge automaticamente dalle minacce nuove e mirate tramite l'analisi del comportamento prima dell'esecuzione del codice.

• le tecnologie integrate sull'host per la prevenzione delle intrusioni (HIPS) includono il rilevamento dei file sospetti prima della loro esecuzione, l'analisi dei comportamenti sospetti durante l'esecuzione e la protezione da buffer overflow, combinati per rilevare malware e file e comportamenti sospetti.

Scansione più rapida con Decision Caching

Decision caching™, la tecnologia di scansione in accesso ad alte prestazioni offerta da Sophos Endpoint Security and control per Windows, ottimizza le prestazioni garantendo che la scansione per il rilevamento delle minacce venga eseguita solo sui file nuovi o modificati. inoltre, la tecnologia di riconoscimento intelligente dei file consente la scansione dei soli file in grado di contenere malware. gli utenti remoti possono eseguire su richiesta scansioni di singoli file o dell'intero computer prima di riconnettersi alla rete principale, fornendo così un livello aggiuntivo di protezione.

Gestore quarantena

il gestore quarantena vi consente di spostare o eliminare i file infetti, nonché di bloccare selettivamente Pua e applicazioni controllate.

Figura 19 - Gestore quarantena

3 ProtEzionE DEi comPutEr WinDoWS SoPhoS anti-viruS E SoPhoS cliEnt FirEWall


26

application Control

mentre alcune applicazioni fanno guadagnare in efficienza, altre possono distrarre gli utenti dal loro lavoro, facendo sprecare larghezza di banda e capacità di elaborazione preziose. inoltre, in seguito al rapido aumento degli attacchi malware tramite P2P e im e alle normative che rendono obbligatorio per legge mantenere e proteggere i dati, la necessità di prevenire l'installazione di applicazioni non autorizzate è sempre più importante.

Sophos integra il controllo delle applicazioni nell'agente endpoint, consentendovi di autorizzare o bloccare le applicazioni in modo selettivo, a livello di desktop o centralmente. Potete inoltre bloccare o autorizzare le applicazioni per differenti gruppi di computer utilizzando activePolicies in Sophos Enterprise console (v. capitolo 2). ad esempio, è possibile bloccare l'uso del voiP per i computer desktop in ufficio, ma autorizzarlo per i computer remoti.

Device Control

la nostra tecnologia di controllo dei dispositivi consente di ridurre il rischio della perdita di dati e le infezioni del malware, offrendo controllo su dispositivi di archiviazione rimovibili e protocolli di rete wireless.

Essendo incorporata sull'agente endpoint singolo, è indipendente dalla porta ovvero supporta qualsiasi porta utilizzata per collegare il dispositivo, incluse interfacce uSB, FireWire, Sata e Pcmia.

all'inizio i criteri di controllo del dispositivo possono essere impostati sulla modalità di sola notifica, consentendo di ottenere una panoramica dell'uso del dispositivo attraverso l'ambiente senza bloccare alcun dispositivo, prima di configurare e distribuire criteri di controllo ai gruppi relativi.

ciascun tipo di dispositivo può essere autorizzato (impostazione predefinita) o bloccato. i dispositivi di archiviazione possono anche essere impostati in modalità di “sola lettura”, il che significa che i dati possono essere letti dal dispositivo ma non possono essere scritti su di esso. ciò può essere particolarmente utile per i dischi flash uSB e le unità cD / DvD.

Per le interfacce di rete, la modalità di “blocco del bridging” impedisce il bridging della rete e disattiva l'interfaccia wireless del computer quando il computer è collegato fisicamente alla rete, es. tramite un cavo Ethernet. una volta scollegato il cavo, l'interfaccia di rete verrà attivata.

Controllo dei dati

Sophos è il primo fornitore che integra la scansione di contenuti DlP all'interno dell'agente endpoint, riducendo l'impatto sulle prestazioni del sistema con un singolo agente che effettua la scansione di dati sensibili, oltre al malware, semplificando la configurazione, la distribuzione e la gestione.

consente inoltre di monitorare il trasferimento di dati sensibili da parte degli utenti (come nel caso di informazioni che consentono di identificare una persona (Pii) o documenti riservati aziendali) verso dispositivi di archiviazione rimovibili o applicazioni internet, evitando la perdita accidentale di dati.

la configurazione dei criteri è facile, grazie a una serie di regole di controllo dei dati predefinite che potete utilizzare così come sono o modificare per adattarle alle vostre esigenze.

27

Sophoslabs gestisce anche una libreria di definizioni di dati sensibili globali (elenchi di controllo dei contenuti) che riguarda informazioni che consentono di identificare una persona (Pii) come nel caso di numeri di carte di credito, numeri di previdenza sociale, indirizzi postali o indirizzi e-mail, proteggendo in tal modo più velocemente i vostri dati sensibili.

Potete creare i vostri elenchi specifici per la vostra organizzazione come nel caso di numeri di riferimento clienti o contrassegni di documento riservati specifici.

SoPhoS naC

verifica e controllo di tutti gli endpoint Windows

la conformità dei computer che tentano di connettersi alla rete viene verificata da Sophos nac rispetto a criteri di sicurezza definiti. Questa funzionalità di conformità degli endpoint consente di essere certi che tutti i computer siano protetti in modo corretto:

• controllando che l'antivirus e altre applicazioni di sicurezza siano configurate e aggiornate correttamente;

• controllando che i service pack del sistema operativo microsoft Windows siano aggiornati;

• controllando che microsoft Windows e/o microsoft update sia attivo;

• includendo criteri separati configurabili per computer gestiti, di collaboratori esterni e ospiti;

opzioni di attuazione per il controllo dell'accesso alla rete

Sophos nac utilizza l'attuazione basata sull'agente per il controllo dei computer gestiti e interagisce direttamente con microsoft DhcP per impedire ai computer non gestiti/non autorizzati di accedere alla rete. la valutazione dell'endpoint viene effettuata:

• Da Sophos nac compliance Quarantine agent (residente sul client)

• Da Sophos nac compliance Dissolvable agent (componente Java scaricabile)

Sophos nac compliance Quarantine agent, distribuito dall'interno della Sophos Enterprise console, offre la valutazione e il controllo di computer gestiti, sia prima che durante una sessione di rete, all'intervallo che è possibile specificare. Questo agente fornisce un sistema di quarantena automatica per computer non conformi.

Sophos nac compliance Dissolvable agent fornisce la stessa valutazione prima dell'accesso alla rete per i computer non gestiti basati su lan. È progettato per utenti che non hanno o non possono avere un agente installato sull'endpoint, ma che devono comunque accedere a risorse di rete specifiche, come nel caso di collaboratori esterni o ospiti. Sophos nac offre piena integrazione con microsoft DhcP per proteggere la rete contro i computer collegati alla lan mediante un'infrastruttura aziendale microsoft DhcP già esistente, consentendo a Sophos nac di mettere in quarantena computer non conformi e non autorizzati.



28

SoPhoS CLient FireWaLL

Sophos client Firewall è integrato all'interno dell'agente, semplificando la distribuzione, la configurazione, l'aggiornamento e la gestione da parte di Enterprise console. Blocca preventivamente l'accesso ai computer, proteggendoli da minacce note e ignote, come i worm di internet, gli hacker e le comunicazioni delle applicazioni non autorizzate. Funzioni che prevengono la compromissione e la rappresentazione delle applicazioni garantiscono una migliore protezione da parte di Sophos client Firewall rispetto ai semplici firewall per il blocco delle porte offerti da altri produttori.

Protezione del giorno zero contro le minacce note e ignote.

Sophos client Firewall fornisce la protezione del giorno zero, ossia azzera il tempo che intercorre tra la comparsa di una nuova minaccia e l'installazione della protezione. in questo modo, protegge tutti i computer aziendali dalle minacce complesse che si diffondono rapidamente, impedendo lo svolgimento delle azioni dannose e salvaguardando la continuità del lavoro.

Blocco preventivo

Sophos client Firewall protegge dai worm in rete e su internet, dagli hacker e dal rischio rappresentato dai computer non protetti che si collegano alla rete, bloccando tempestivamente l'accesso sia dei computer in ufficio sia dei computer portatili che si connettono tramite hotspot wireless e connessioni a banda larga degli alberghi.

identificazione e blocco delle porte per eliminare le minacce

Sophos client Firewall blocca le minacce note e ignote, identificando le porte attive e chiudendo tutte quelle inattive, garantendo così il blocco degli hacker e dei worm di internet.

tecnologia stealth: prevenzione delle intrusioni degli hacker

i criminali informatici, come gli hacker, eseguono la scansione delle porte per identificare e colpire i computer con porte aperte. a tale scopo essi inviano tramite internet delle richieste di connessione. la tecnologia stealth di Sophos impedisce ai computer di rispondere a tali richieste, nascondendoli e facendoli apparire inattivi all'esterno. in questo modo viene aggiunto un ulteriore livello di protezione, garantendo la riservatezza ed eliminando l'opportunità che gli hacker possano identificare e colpire i computer vulnerabili.

Figura 20 - Protezione del giorno zero

29

assicurare la protezione con la topologia della rete

Sophos client Firewall consente di configurare diversi criteri per sedi diverse in base alla postazione dei computer, ad esempio in ufficio (sulla rete) e fuori dall'ufficio. Enterprise console applicherà quindi diverse impostazioni del firewall ai computer in base al fatto che siano sulla rete o meno. Questa configurazione a doppia postazione risulta particolarmente importante per i computer mobili quali i computer portatili.

Prevenzione della compromissione e rappresentazione delle applicazioni

il filtraggio a livello di applicazione serve a monitorare il comportamento delle applicazioni, permettendo l'accesso a internet o alla rete solo alle applicazioni che soddisfano le vostre specifiche. Sophos client Firewall previene la compromissione e rappresentazione delle applicazioni attraverso il monitoraggio di applicazioni e richieste di sistema non appropriate e dei tentativi di avvio di processi nascosti. utilizza inoltre il metodo del checksum per contrastare i tentativi di spyware e altri malware di camuffarsi come applicazioni legittime, prevenendo pertanto il furto di dati riservati tramite internet.

ispezione di stato per la scansione di pacchetti di dati in entrata e in uscita

Sophos client Firewall utilizza l'ispezione di stato per migliorare la sicurezza, tenendo traccia dei pacchetti e assicurando che siano consentiti solo i pacchetti legittimi. viene tenuta traccia dei pacchetti in modo da consentire una comunicazione a risposta limitata. ad esempio, se viene inviato un pacchetto in uscita, sarà consentito il passaggio attraverso il firewall dei soli pacchetti in ingresso derivanti dal computer con cui è stata stabilita la comunicazione (dalla porta appropriata).

reportistica e registrazione centralizzati

il firewall offre un report centrale alla console di gestione. ciò include applicazioni sconosciute e traffico, processi nascosti ed eventi di memoria modificati. in questo modo viene offerta una modalità semplice per comprendere aree potenziali di preoccupazione per la sicurezza. inoltre, il visualizzatore del log del firewall consente di visualizzare, filtrare e salvare i dettagli delle connessioni permesse o bloccate dal firewall stesso.

modalità solo monitor

il firewall può essere distribuito attraverso l'intero ambiente in modalità solo allarme. verranno scoperte tutte le applicazioni utilizzate sulla rete (prendendo in considerazione eventuali impostazioni lan effettuate). i risultati verranno riportati in Enterprise console. ciò vi consente di raccogliere informazioni sul traffico sconosciuto e quindi di perfezionare di conseguenza i criteri del firewall senza influire sulla produttività dell'utente.

operatività interattiva

Potete eseguire il firewall in modalità di apprendimento (interattiva), con la richiesta all'utente su come trattare il traffico rilevato. Se questa modalità è attiva, il firewall visualizzerà una finestra popup sul computer endpoint ogni volta che un'applicazione o un servizio sconosciuto richiede l'accesso alla rete. la finestra di dialogo di apprendimento richiede all'utente se consentire o bloccare il traffico, oppure se creare una regola per quel tipo di traffico.



30

SophoS anti-viruS pEr mac oS x, linux E unix

4 ProteZione Dei ComPuter non WinDoWS

La neCeSSità Di ProteGGere i ComPuter non WinDoWS

È diventato sempre più importante proteggere i computer con sistema operativo mac, linux, uniX e altri. la capacità dei computer con sistema operativo diverso da Windows di ospitare e diffondere virus specifici di Windows, la comparsa occasionale di virus mirati per mac e linux, nonché gli obblighi legali di protezione per tutti i computer rappresentano ormai un peso sempre più grande per gli utenti.

Sophos anti-virus per mac oS X, Sophos anti-virus per linux e Sophos anti-virus per uniX offrono una soluzione potente e intuitiva progettata per server, desktop e portatili aziendali.

SoPhoS anti-viruS Per maC oS X

Sophos anti-virus per mac oS X rileva virus, spyware, trojan e worm in tempo reale e su richiesta, rimuovendo automaticamente il malware sia concepito per Windows che per mac. Sophos anti-virus per mac oS X rileva inoltre i virus negli allegati compressi, inclusi gli archivi ricorsivi.

Controllo della gestione dalla piattaforma mac o Windows

Sophos anti-virus per mac può essere gestito utilizzando Sophos update manager per mac o Sophos Enterprise console (Windows). non è necessario eseguire entrambe queste interfacce di amministrazione per assicurarsi che Sophos anti-virus per mac oS X venga mantenuto aggiornato

Gestione centralizzata

Enterprise console vi consente di configurare e gestire la protezione antimalware per computer con sistema operativo Windows, mac, linux e uniX su tutta la rete da una postazione centrale. Enterprise console richiede la disponibilità di un computer Windows e offre una funzionalità di gestione migliorata.

Se operate in una rete solo mac, Sophos update manager per mac consente l'aggiornamento e la configurazione da un singolo computer mac. ciò permette di impostare l'aggiornamento automatico e di scegliere la modalità di ricezione delle notifiche tramite e-mail. inoltre consente di definire le modalità di scansione da implementare su desktop e portatili mac, nonché di abilitare la configurazione completa e centralizzata delle impostazioni dei desktop.

aggiornamento automatico da SophosLabs

Potete utilizzare Sophos Enterprise console o Sophos update manager per mac oS X per gestire l'aggiornamento del software e della protezione.

Basta specificare indirizzo, nome utente e password necessari per l'aggiornamento dei computer con i file di identità dei virus (iDE) più recenti provenienti da Sophoslabs. in alternativa, potete impostare i computer perché si aggiornino tramite la directory di installazione centrale (ciD), configurata sulla rete durante la procedura di installazione.

31

Potete inoltre abilitare all'aggiornamento tramite la rete o internet gli utenti remoti e mobili dal luogo in cui si trovano, per mezzo del server principale, mediante backup o direttamente da Sophos.

report automatici sulla presenza di virus

il pannello di controllo di Enterprise console mostra i dati sui rischi di infezione, mentre allarmi e-mail vengono spediti automaticamente in caso di infezioni, consentendovi di intervenire prontamente.

utilizzando Sophos update manager per mac, potete anche impostare opzioni di allarme basate sulla scansione immediata e sui risultati della scansione all'accesso. Potete inoltre ovviamente selezionare il destinatario del messaggio. Se il mittente non è collegato, gli allarmi vengono memorizzati e inoltrati quando il mittente si riconnette alla rete, in modo che non vadano persi.

riduzione al minimo dell'uso delle risorse durante la scansione

Sophos anti-virus esamina i file in accesso e su richiesta, riconoscendo in modo intelligente i tipi di file che non possono essere infettati e risparmiando così le risorse del sistema.

in Sophos update manager è possibile impostare diverse opzioni di scansione, come ad esempio l'esclusione di determinati file dalla scansione, nonché impostare le azioni preferite nel caso venga individuata una minaccia, ad esempio la disinfezione o l'eliminazione.

SoPhoS anti-viruS Per LinuX

Sophos anti-virus per linux fornisce una scansione in accesso di qualità superiore per i desktop, i portatili e i server linux, con prestazioni, stabilità e affidabilità eccellenti, assieme a un supporto immediato per la più vasta gamma di distribuzioni linux.

Gestione centralizzata

i computer linux sono gestibili da Enterprise console. il pannello di controllo mostra i dati sui rischi di infezione, mentre e-mail di allarme vengono inviate automaticamente quando i livelli di sicurezza impostati risultano minacciati. ogni infezione è segnalata automaticamente, rendendo più facile la gestione quotidiana.

Distribuzione rapida su reti formate solo da computer Linux

red hat Package manager può essere usato per la distribuzione in ambienti solo linux e la configurazione e l'aggiornamento sono eseguibili sia attraverso una gui basata sul web sia attraverso la riga di comando.

Prestazioni elevate, stabilità e affidabilità

talpa, l'esclusivo modulo di intercettazione dei file di Sophos, fornisce una protezione superiore, permettendo la scansione in accesso, su richiesta e pianificata per hard disk locali, unità multimediali, sistemi di condivisione di file (come nFS e Samba) e file system distribuiti. il più vasto insieme di kernel di linux è immediatamente supportato, incluse le più recenti versioni a 64 bit. Questo rende possibile modificare, effettuare l'upgrade e compilare le versioni quando necessario, assicurando la massima protezione.

4 ProtEzionE DEi comPutEr non WinDoWS SoPhoS anti-viruS PEr mac oS X, linuX E uniX


32

aggiornamenti automatici

gli aggiornamenti sono scaricati e distribuiti automaticamente attraverso Enterprise console, server web in cascata o direttamente da Sophos, per assicurare che tutti i computer nella rete, inclusi i portatili remoti, siano completamente protetti.

SoPhoS anti-viruS Per uniX

Sophos anti-virus per uniX rileva i virus in modo integrato e multipiattaforma su server, computer desktop e portatili uniX. il potente motore di rilevamento esamina tutti i possibili punti d'ingresso per una protezione completa della rete.

opzioni di gestione semplici

Sophos anti-virus per uniX può essere gestito dalla riga di comando o attraverso Enterprise console per Solaris 9 e 10 su SParc e intel (i386), oltre a hP-uX su itanium 2, fornendo la flessibilità necessaria.

Scansione ad alte prestazioni

la scansione e la disinfezione possono essere eseguite su richiesta e automaticamente a orari prestabiliti, con un impatto minimo sulle prestazioni dei sistemi. la tecnologia Decision cachingtm esegue una seconda scansione solamente dei file che sono stati modificati, garantendo una procedura più rapida con impatto minimo sulle prestazioni dei sistemi.

rilevamento delle minacce del giorno zero prima della loro esecuzione

l'esclusiva tecnologia Behavioral genotype® Protection salvaguarda automaticamente dalle minacce ignote tramite l'analisi del comportamento prima dell'esecuzione del codice, garantendo i vantaggi di un sistema di prevenzione delle intrusioni su host (hiPS).

reportistica automatizzata e personalizzata

ogni infezione è segnalata automaticamente all'amministratore, rendendo la gestione quotidiana ancora più facile.

33

appEndicE i

vaLutaZione DeLLa SiCureZZa enDPoint e ProteZione Dati

Desideriamo dimostrarvi che Sophos Endpoint Security and Data Protection protegge le reti e offre assistenza meglio di qualsiasi altro prodotto per la sicurezza. Questa appendice fornisce i dettagli sulla documentazione necessaria per valutare il nostro software, consiglia una rete di test e offre una checklist completa per poter considerare ogni aspetto del software e dell'assistenza offerta.

Guida di avvio e manuali utente

Prima di valutare Sophos Endpoint Security and Data Protection, è necessario scaricare la guida di avvio per la rete. a tale scopo, andate all'indirizzo:

http://www.sophos.com/support/docs/Endpoint_Security_control-all.html

rete Di teSt

Sophos supporta diverse piattaforme, incluse uniX, linux e netWare. tuttavia, per valutare le funzioni di gestione centralizzata di Enterprise console è necessario disporre di almeno un computer con sistema operativo Windows. Si consiglia di includere quanto segue nella rete di test:

• una console di gestione, ad esempio un computer con sistema operativo Windows 2000/XP/2003

• almeno un client: si consiglia di utilizzare un desktop Windows 2000/XP/2003/vista/7.

È inoltre necessario l'accesso a internet. Potrebbe essere utile includere nella rete di test alcuni computer che supportano piattaforme mac oS X, linux e uniX, oltre a un computer autonomo remoto per valutare le capacità di aggiornamento remote.

importante

Se sulla rete di test è installato un altro software antivirus, è necessario prima disinstallarlo. Se l'operazione presenta problemi, contattate il supporto tecnico di Sophos: i numeri di telefono sono disponibili all'indirizzo www.sophos.it/support/queries

aPPEnDicE i valutazionE Di EnDPoint SEcurity anD Data ProtEction


34

reQuiSiti Di SiStema

Per ulteriori informazioni, visitate il sito www.sophos.com/products/all-sysreqs.html

Requisiti di sistema per Enterprise Console

Piattaforme supportate Windows 95/98/nt4/2000/XP/2003/vista/2008/7 mac oS X linux uniX

Hardware minimo Pentium 2.0 ghz o equivalente

Server di gestione Windows Server 2008 Windows Server 2003 e r2 Windows 2000 Server vmWare ESX vmWare Workstation vmWare Server

Server di gestione Sophos NAC

Windows Server 2008 a 32 bit Windows Server 2003 e r2 a 32 bit

Console remota Windows Server 2008 Windows Server 2003 e r2 vista Windows XP Professional Windows 2000 Professional o Server vmWare ESX vmWare Workstation vmWare Server

Spazio su disco minimum 150mB mSDE 2 gB SQl 2005 no limit SQl 2008 no limit SQl 2005 Express Edition 4 gB SQl 2008 Express Edition 4 gB SQl Server 2000 2 gB

Memoria minimo 512 mB almeno 1 gB per l'esecuzione di Sophos nac manager

Requisiti del sistema Sophos NAC Compliance Agent

Piattaforme supportate Windows 2000/XP/vista

Spazio su disco minimo 20 mB

Memoria consigliati 512 mB ram Requisiti di sistema per Sophos SafeGuard Disk Encryption

Piattaforme supportate

Windows 7/vista/XP

Spazio su disco minimo 300 mB

Memoria Windows 7/vista: consigliati 1 gB

Windows XP: consigliati 512 mB

35

Requisiti di sistema per Sophos Endpoint Security and Control per Win-dows

Piattaforme supportate

Windows 95/98/nt4/2000 e 2000 Pro/XP home e Pro/2003/vista/2008/7

Windows netbooks

Windows XPe

Windows Embedded Standard

WePoS

vmWare ESX

vmWare Workstation

vmWare Server

Spazio su disco

Windows 2000/XP/2003/vista/2008/7 minimo 120 mBWindows me/98/95/nt4 minimo 90 mB

Memoria

Windows 2000/XP/2003/vista/2008/7 consigliati 256 mBWindows me/98/95 consigliati 64 mBWindows nt4 consigliati 256 mB

Requisiti di sistema per Sophos Client Firewall

Piattaforme supportate Windows 2000 Pro/XP home e Pro/vista/7

Spazio su disco almeno 100 mB di spazio libero

Memoria consigliati 320 mB ram

Processore classe Pentium a 300 mhz

rete di test per Sophos anti-virus per mac oS X

È necessario configurare una rete di test composta da computer con sistema operativo mac oS X. È inoltre necessario designare un computer come server contenente la directory di installazione centrale (ciD), ovvero una cartella utilizzata per scaricare Sophos anti-virus e distribuirlo nel resto della rete. la ciD conterrà anche Sophos update manager, che mantiene aggiornati i computer con sistema mac oS X in rete, con i file di identità dei virus (iDE) più recenti e le impostazioni di configurazione.

Requisiti di sistema per Sophos Anti-Virus per Mac OS X

Piattaforme supportate mac oS X 10,2 o superiore

Spazio su disco almeno 90 mB di spazio libero

Memoria consigliati 128 mB ram

Processore mac basati su intel e PowerPc



36

appEndicE ii

iL teSt "viruS" Di eiCar

inFormaZioni SuL FiLe Di teSt eiCar

il file Eicar* Standard anti-virus test è sicuro e può essere utilizzato ai fini del test in quanto non è un virus e non contiene alcun frammento di codice virale. È un programma DoS legale formato interamente da caratteri aScii stampabili. il file vi consente di simulare in modo sicuro ciò che accade quando Sophos anti-virus rileva del codice malevolo. Quando si tenta di eseguire il file, questo viene "rilevato" come se fosse un virus reale: vengono dunque generati messaggi di allarme, che possono essere personalizzati.

usando il file Eicar, è anche possibile vedere i vari tipi di report che possono essere generati.

È possibile scaricare una copia del file di test all'indirizzo www.eicar.org

nota

Poiché il file Eicar non è un virus reale, non può essere rimosso da Sophos anti-virus e dev'essere eliminato manualmente.

37

appEndicE iii

aLtri ProDotti e ServiZi SoPhoS

Sophos Security and Data Protection

Sophos Email Security and Data Protection

Sophos Email Security and control fornisce una gamma di soluzioni software e di appliance e-mail completamente integrate in grado di offrire una protezione efficace e intelligente contro virus, spyware, trojan, spam, contenuti offensivi e perdita di dati.

Sophos Web Security and Control

Sophos web Security and control include il software necessario e un'appliance web completamente integrata per la protezione da tutte le minacce web, in grado di fornire un'infrastruttura completa per la navigazione sicura, eliminando le complessità legate al mantenimento della sicurezza sul web.

Sophos NAC Advanced

Sophos nac advanced è una soluzione basata su software che consente di controllare chi e cosa viene collegato alla rete. Sophos nac advanced è destinato alle organizzazioni che desiderano un controllo più sofisticato dei criteri rispetto alla funzionalità nac fornita da Endpoint Security and Data Protection.

Sophos SafeGuard Enterprise

Safeguard Enterprise è una soluzione modulare per il controllo della protezione delle informazioni che attua la sicurezza basata su criteri per Pc e dispositivi mobili in ambienti misti. È completamente trasparente per gli utenti finali ed è facile da amministrare da un'unica console centrale. Safeguard Enterprise offre protezione dei dati dell'endpoint a più livelli, unendo cifratura e prevenzione della fuga di dati (DlP).

SAV Interface

Sav interface™ consente a fornitori software, sviluppatori di software indipendenti (oEm), provider di servizi internet e provider di servizi applicativi di integrare funzionalità di rilevamento malware di Sophos nei rispettivi firewall, gateway e soluzioni simili a standard industriale.

Soluzioni Sophos per piccole imprese

le Sophos small business solutions forniscono una protezione all'avanguardia contro virus, spyware e spam alle aziende con competenze it scarse o nulle.



38

Servizi di allarme Sophos

Sophos zombiealert™ Service fornisce avvisi immediati nel caso in cui gli spammer abbiano violato i computer della vostra organizzazione per inviare spam o lanciare attacchi <cf ptfs="c_Bold">Denial-of-Service.

www.sophos.com/products/enterprise/alert-services/zombiealert.html

Sophos PhishAlert™ Service offre allarmi rapidi in tempo quasi reale contro le campagne di phishing per darvi il tempo di far chiudere il sito web clone e proteggere i clienti della vostra organizzazione.

www.sophos.com/products/enterprise/alert-services/phishalert.html

Sophos Webalert™ Service invia un avviso preventivo se si è verificata un'intrusione o se è presente malware sulle pagine Web del dominio.

www.sophos.com/products/enterprise/alert-services/webalert.html

Servizi di supporto globale Sophos

Per noi, supporto non significa solo fornire aggiornamenti o assistenza nelle installazioni. Significa mettervi a disposizione le nostre competenze per proteggervi nel modo migliore possibile.

il nostro team interno di esperti viene formato sia sui prodotti Sophos che sulle tecnologie di terzi.

ogni volta che contatterete i Servizi globali di supporto Sophos parlerete con un dipendente Sophos altamente preparato, non con l'operatore di un call centre situato dall'altra parte del mondo.

Supporto tecnico

il team internazionale di esperti Sophos fornisce assistenza 24 ore su 24, 365 giorni all'anno, per l'installazione, la configurazione e l'upgrade dei prodotti e la risoluzione dei problemi di carattere tecnico.

il supporto standard è incluso, senza costi aggiuntivi, in tutte le licenze di sottoscrizione. Per le licenze senza scadenza, il supporto standard deve essere acquistato separatamente. i pacchetti Premium e Platinum sono disponibili a una tariffa aggiuntiva, calcolata sul costo della licenza e comprensiva di livelli di servizio che garantiscono il rimborso nel caso in cui non vengano rispettati i tempi di risposta stabiliti nella licenza.

Servizi professionali

i Servizi professionali Sophos vi forniscono le giuste competenze per implementare e mantenere le soluzioni di sicurezza. Per darvi tutto l'aiuto di cui avete bisogno, abbiamo un'ampia gamma di servizi standard e personalizzati. i servizi sono forniti in loco o in remoto e garantiscono alla vostra azienda il massimo rendimento degli investimenti nei prodotti Sophos.

Formazione tecnica

la Formazione tecnica Sophos comprende una serie di corsi e seminari tenuti in tutto il mondo per aiutare le aziende ad affrontare minacce sempre più complesse e in costante evoluzione. i corsi affrontano il tema della sicurezza di computer, posta elettronica e web, e possono essere personalizzati per soddisfare esigenze specifiche.

Per ulteriori informazioni, visitate il sito www.sophos.com/support/services

39

Strumenti gratuiti

Sophos offre una serie di strumenti che è possibile utilizzare per ridurre vulnerabilità e minacce. Sono download gratuiti che utilizzano le nostre tecnologie più avanzate.

Sophos Computer Security Scan

http://www.sophos.com/products/free-tools/sophos-computer-security-scan.html

utilizzate Sophos computer Security Scan per visualizzare le minacce non rilevate dal software di sicurezza della vostra azienda. individuate malware, dispositivi indesiderati ed applicazioni che possono causare la perdita di dati, quali ad esempio supporti rimovibili o software e giochi peer-to-peer, e molto altro ancora

Test di valutazione dell'endpoint

www.sophos.com/products/free-tools/sophos-endpoint-assessment-test/

utilizzate il nostro test di valutazione dell'endpoint per valutare la vostra sicurezza. Effettuate la scansione del computer per trovare eventuali patch di sistema operativo mancanti e controllare se tutte le applicazioni di sicurezza sono aggiornate e attive.

Application Discovery Tool

www.sophos.com/products/enterprise/applicationdiscovery/eval

usate gratuitamente application Discovery tool per identificare e trovare nella rete le applicazioni non autorizzate che Sophos può controllare. il tool funzionerà insieme al vostro software antivirus esistente.

Test di rilevamento delle minacce

http://www.sophos.com/products/free-tools/sophos-threat-detection-test.html

utilizzate il nostro test di rilevamento delle minacce gratuito per controllare la protezione antivirus esistente. Questo strumento effettuerà la scansione e troverà virus, spyware, adware o minacce del giorno zero che potrebbero avere bypassato la protezione esistente. il test può essere eseguito senza disinstallare o disattivare il software antivirus corrente.

Sophos Anti-Rootkit

http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html

utilizzate il nostro software gratuito Sophos anti-rootkit per eliminare i rootkit. Questo tool rileva e rimuove qualsiasi rootkit nascosto nel computer utilizzando una tecnologia di rilevamento rootkit avanzata.

Per ulteriori informazioni sui tool gratuiti visitate il sito Web all'indirizzo http://www.sophos.com/products/free-tools/

aPPEnDicE iii altri ProDotti E SErvizi SoPhoS


40

Documents

Sophos Endpoint Security and Data Protection: Guida … · • Quanto è facile installare il prodotto e distribuirlo attraverso l'azienda? È possibile utilizzare active Directory