回归铁壳 浅谈SEP的优缺点

T.Yoshiyuki

看别人的帖子时想到这个问题 最近回归铁壳 也重新仔细地打量了一遍其各个功能 于是简单地总结了一下——

SEP是个好东西 属于企业端点保护里易用性和防护性做到最好兼容的一款了……
咖啡家的东西没主防、访问规则相对比较麻烦，对月神云和ePO控制端依赖强
SEP坐拥至少1G本地定义库 主防、防火墙、云信誉兼备 且安心易用 在AV-test等测试的企业组中也长居首位


不过缺点是：
1、不像卡巴和咖啡能设置手动HIPS或者保护规则，无法实现针对性保护，毒过了SONAR就真的过了
2、不像兼容性较好的诺顿，其浏览器入侵防护（扫描浏览器脚本、抵御攻击等的支持功能）只支持32位的ie和火狐浏览器，否则就是没有
3、下载主动防护远没有诺顿灵敏 激发一下都难
4、监控报毒后决策巨慢 手动扫描则非如此 不过修复能力也很强 拿最近精睿样本包测试 修复比例强于以修复著称的咖啡
5、设置了信誉阈值以后一定几率出现万物杀…毕竟按照信誉判断不一定准
6、防火墙非智能，手动设置好包规则、反入侵选项后最多只能弹窗提示是否放行联网，缺乏诺顿和咖啡的按信誉阻止流量功能
7、限于防御体系，没有广义的“流量扫描”也没有个人版代表性的网页信誉（SEP中被“入侵防护”体系代替，咖啡方面则是被网页信誉加流量信誉代替）

驭龙

2、不像兼容性较好的诺顿，其浏览器入侵防护（扫描浏览器脚本、抵御攻击等的支持功能）只支持32位的ie和火狐浏览器，否则就是没有
其实IPS可拦截的，除了脚本分析引擎之外无影响。

3、下载主动防护远没有诺顿灵敏 激发一下都难
SEP下载智能扫描不支持压缩包分析，所以与诺顿不同。

7、限于防御体系，没有广义的“流量扫描”也没有个人版代表性的网页信誉（SEP中被“入侵防护”体系代替，咖啡方面则是被网页信誉加流量信誉代替）
McAfee没有流量扫描，是网页URL信誉。而且个人版的网页信誉也不是在企业版中被IPS取代是根本没有，因为企业版与个人版用户体系不同，企业版用户大多数是内网，所以SEP才没有个人版的网页信誉。

T.Yoshiyuki

驭龙 发表于 2016-6-2 09:23
2、不像兼容性较好的诺顿，其浏览器入侵防护（扫描浏览器脚本、抵御攻击等的支持功能）只支持32位的ie和火 ...

感谢科普

咖啡那个我一直说是流量信誉的 就是它防火墙通过GTI验证信誉的功能

下载主动防护方面其实比较尴尬，我做过实验，除了压缩包，直接下载病毒的话一般是被文件监控就干掉了，轮不到带信誉分析的下载主动出场

没有网页信誉可以理解 也就是对抗网络攻击完全靠IPS……

驭龙

T.Yoshiyuki 发表于 2016-6-2 10:00
感谢科普

咖啡那个我一直说是流量信誉的 就是它防火墙通过GTI验证信誉的功能

McAfee的防火墙真的不是流量信誉，Net Guard其实就是TrustedSource技术的IP信誉拉黑，并不是通过流量内容进行拦截的

T.Yoshiyuki

驭龙 发表于 2016-6-2 10:13
McAfee的防火墙真的不是流量信誉，Net Guard其实就是TrustedSource技术的IP信誉拉黑，并不是通过流量内容 ...

对哦 ip信誉
我也奇怪“流量”怎么拉黑……

尘梦幽然

很简单，你有钱的话，这些都不是问题。
你提到的这些功能之所以没有，其实大部分原因是企业产品线中有其他产品提供这些功能，而这些产品需要单独购买，包括你说的那个插件

biange200

驭龙 发表于 2016-6-2 09:23
2、不像兼容性较好的诺顿，其浏览器入侵防护（扫描浏览器脚本、抵御攻击等的支持功能）只支持32位的ie和火 ...

问下 如果用咖啡那个MTP个人免费版 是不是强于sep企业版

驭龙

biange200 发表于 2016-6-2 12:49
问下 如果用咖啡那个MTP个人免费版 是不是强于sep企业版

不，MTP对付未知威胁的手段暂时只有GTI，暂时没法跟SEP全方位功能相比，如果非要用咖啡跟SEP相比，只有MES 10.2Beta，才有可能

没事看乐厚

关键是不要钱，感觉比数字什么的大流氓好用，就是本地化差点。

biange200

驭龙 发表于 2016-6-2 12:54
不，MTP对付未知威胁的手段暂时只有GTI，暂时没法跟SEP全方位功能相比，如果非要用咖啡跟SEP相比，只有ME ...

本人不想花太多钱 因为不知道何时会换杀软 目前在sep 咖啡个人版本 和大蜘蛛里面选择 只有蜘蛛是8块钱的