COMODO ITSM - 抵御未知威胁的神兵利器

megakotaro

勒索病毒尚未猖狂前，社交工程已是入侵企业的常用手段。即使定期更新系统与硬件韧体，使用者还是有可能点击骇客伪造的信件附件，导致骇客长驱直入。

讲了八百遍不要乱点可疑档案还是点下去
如果McAfee没有挡住，就会有严重后果。



要安全，McAfee GTI敏感层级调到「高」刚刚好，「非常高」误报也会变高，经测试会把Sogou拼音的元件当作恶意软件。



杀毒软件发展至今，虽然用了许多技巧加强对未知威胁侦测，但还是无法百分之百抵挡所有恶意程式，因此正确的网络管理，应该是「禁止非白名单的应用程式」。好处就是完全防止使用者无意安装、点击未知档案，坏处是网管需要很清楚每一条规则，以及手动新增白名单，资讯外包的小公司很做到的。

COMODO防火墙在个人端拥有非常强大的沙箱功能、主机入侵防御模组；企业版的「COMODO ITSM 端点安全与管理」拥有云端管理、远程管理等功能，让网管轻松部署，并实时更新规则，也免去架设本地端伺服器的困扰。

接下来就来看看这款神兵利器，与个人版有什么差别，涉及公司秘密一律隐藏。
登入主介面后，可以看到运行的作业系统、设备台数、设备类型、安装的版本。



可以看到有多少台电脑正在开机、有没有病毒。要注意COMODO的病毒防护奇差无比，误判很高、侦测率悲剧，因此不要相信这些数值，以杀毒软件端点防护的中控台为主。



COMODO女武神档案分析系统，未知的应用程式会进入沙箱，并传给女武神。但是这位神的功力很弱，不要相信。



可以看出每一台电脑名称、有多少补丁没有打，最后一次和后台通信时间。



安装包由管理员生成，由于公司还有Win7电脑，只能安装12.0.0.7959，而Win10可以安装比这个还新的版本，所以才会在后台看到不同版本。
现在电脑几乎都换成64位元了，因此打包64位元即可。除非电脑因为使用软件无法支持64位元，才要制作64+32位元安装包。
根据购买的金钥数安装于电脑，重开机后即完成保护。
COMODO对金钥管理非常严格，超出购买数量约两个礼拜就无法使用主控台，这点需要注意。



安装后强制重开机，要催使用者重开难如登天，所以网管需要强势些。



Profiles可以把它想成设定群组，可以设定只有沙箱、沙箱+防火墙、沙箱+防火墙+防毒，每次更改都要重新开机。



为了尽量达到「禁止非白名单的应用程序」的管理目标，规则设定就可以简单粗暴。

这里可以设定沙盒的动作。



这里是沙盒的规则。需符合以下目标：
1. 在COMODO数据库判定恶意，一律封锁
2. 不在数据库的，进入沙盒
3. 数据库中安全的，允许放行
4. 网管自定义黑、自名单



在沙盒开启城市都会有绿色框框，就是虚拟桌面，所有运行都不会影响主机，但还是不要拿来玩样本，请用微步云或any.run之类的玩。






档案评鉴，很少用到，不信任都到沙箱了。



VirusScope，可以记录档案行为，同样没有太大需求，有搭配其他杀毒软件即可。



女武神设定，跳过。



勒索病毒最常用CMD、PowerShell执行指令，例如删除阴影备份、下载木马与勒索病毒，COMODO都能分析。不过到这一步表示黑客已经入侵到某个阶段了，只能挡一阵子，骇客可以用各种方法关闭它。



设定密码，防止同仁、骇客乱改本地端。



HIPS用Safe mode即可。Training mode用在刚导入时，查看是否会误报，并手动排除；Paranoid mode则是在需要严格控管的环境，误报也会变高。



沙盒后台，可以看到哪些档案被执行。可以看到AliTask.exe被判定为恶意，但其实是阿里旺旺相关的程序。可以先到同仁计算机将档案取出，丢到virustotal以及回报给防病毒软件厂商判定或是手动放行。



应用程序控管，同样可以看出哪些程序有问题，判定方式就是和COMODO沙盒数据库比对，规则就是上面说的1~4。



女武神分析，这是konica打印机的驱动，判定没有病毒。



防病毒模组，看看就好，因为防护能力低，误判高，所以在群组里会设定不要启动防毒模块。



装置控制，没什么用。用端点防护中的DLP功能比较好。



装置授权数量，看到overuse(超过授权数)就需要添购更多授权。



白名单可以新增一个文件夹，或一个组件、程序，新增后就会完全排除，因此对于像Kaseya这种的供应链攻击，防护能力就会减弱。因为供货商常会以怕误判为由，请网管将他们的软件加入白名单，如果供货商软件被骇，又被白名单排除，就中标了。



接下来看使用者端的画面。和个人版长得很像。







女武神，妳为何要分析自己的组件



辨识器具有勒索病毒监控功能。



扫描排除，其实没什么用，因为防毒很废。



以上就是「COMODO ITSM 端点安全与管理」的介绍。

COMODO强在对未知威胁的保护，但防毒能力很弱，也无法阻挡钓鱼网站，故需搭配其他杀毒软件，如：McAfee、Kaspersky、360杀毒等，并加强使用者教育训练。

另一个缺点是只有英文版，所以当网管英文还不能太差

ICzcz

厉害，学习一下

yx464136869

感谢分享...
这个是你所在公司买的么？

megakotaro

yx464136869 发表于 2021-8-23 19:48
感谢分享...
这个是你所在公司买的么？

經銷商有建測試區，導入前先玩一玩，發覺效果奇佳
測試區會和正式版一模一樣
這經銷商滿有良心的，還給客戶先測試才讓客戶決定要不要簽約

QQ260535073

megakotaro 发表于 2021-8-23 19:55
經銷商有建測試區，導入前先玩一玩，發覺效果奇佳
測試區會和正式版一模一樣
這經銷商滿有良心的，還給 ...

测试版可以免费用吗  那可以永久用测试版？

gbx972

好久没听过COMODO的消息了

megakotaro

QQ260535073 发表于 2021-8-25 20:26
测试版可以免费用吗  那可以永久用测试版？

當然不行，Comodo管制嚴格，超過U數都會鎖主控了。真有需要就用免費版的comodo吧。功能差不多，只是少了中央控管

megakotaro

gbx972 发表于 2021-8-26 09:55
好久没听过COMODO的消息了

個人版殺毒軟件要不被併購(Norton和Avast)，要不就是全力發展企業版端點防護。畢竟Win10以後內建Windows Defender，很多人都不買殺毒軟件了

QQ260535073

megakotaro 发表于 2021-8-26 14:11
當然不行，Comodo管制嚴格，超過U數都會鎖主控了。真有需要就用免費版的comodo吧。功能差不多，只是少了 ...

您这个测试可以用永久用吗  如果自己用

megakotaro

QQ260535073 发表于 2021-8-26 18:44
您这个测试可以用永久用吗  如果自己用

不行，測試的日期和台數都是Comodo原廠和經銷商給的，ITSM系統管理員裡面有經銷商的系統工程師以及Comodo原廠技術人員，客戶這部分動不了任何設定