查看: 33915|回复: 36
收起左侧

[其它] COMODO ITSM - 抵御未知威胁的神兵利器

  [复制链接]
megakotaro
发表于 2021-8-23 18:46:32 | 显示全部楼层 |阅读模式
本帖最后由 megakotaro 于 2021-8-24 13:26 编辑

勒索病毒尚未猖狂前,社交工程已是入侵企业的常用手段。即使定期更新系统与硬件韧体,使用者还是有可能点击骇客伪造的信件附件,导致骇客长驱直入。

讲了八百遍不要乱点可疑档案还是点下去
如果McAfee没有挡住,就会有严重后果。

宣導再多都無法阻止同仁亂點.png

要安全,McAfee GTI敏感层级调到「高」刚刚好,「非常高」误报也会变高,经测试会把Sogou拼音的元件当作恶意软件。

設定再多漏一個一樣陣亡.png

杀毒软件发展至今,虽然用了许多技巧加强对未知威胁侦测,但还是无法百分之百抵挡所有恶意程式,因此正确的网络管理,应该是「禁止非白名单的应用程式」。好处就是完全防止使用者无意安装、点击未知档案,坏处是网管需要很清楚每一条规则,以及手动新增白名单,资讯外包的小公司很做到的。

COMODO防火墙在个人端拥有非常强大的沙箱功能、主机入侵防御模组;企业版的「COMODO ITSM 端点安全与管理」拥有云端管理、远程管理等功能,让网管轻松部署,并实时更新规则,也免去架设本地端伺服器的困扰。

接下来就来看看这款神兵利器,与个人版有什么差别,涉及公司秘密一律隐藏。
登入主介面后,可以看到运行的作业系统、设备台数、设备类型、安装的版本。

Image 622.png

可以看到有多少台电脑正在开机、有没有病毒。要注意COMODO的病毒防护奇差无比,误判很高、侦测率悲剧,因此不要相信这些数值,以杀毒软件端点防护的中控台为主。

Image 623.png

COMODO女武神档案分析系统,未知的应用程式会进入沙箱,并传给女武神。但是这位神的功力很弱,不要相信。

Image 624.png

可以看出每一台电脑名称、有多少补丁没有打,最后一次和后台通信时间。

Image 625.png

安装包由管理员生成,由于公司还有Win7电脑,只能安装12.0.0.7959,而Win10可以安装比这个还新的版本,所以才会在后台看到不同版本。
现在电脑几乎都换成64位元了,因此打包64位元即可。除非电脑因为使用软件无法支持64位元,才要制作64+32位元安装包。
根据购买的金钥数安装于电脑,重开机后即完成保护。
COMODO对金钥管理非常严格,超出购买数量约两个礼拜就无法使用主控台,这点需要注意。

Image 626.png

安装后强制重开机,要催使用者重开难如登天,所以网管需要强势些。

Image 627.png

Profiles可以把它想成设定群组,可以设定只有沙箱、沙箱+防火墙、沙箱+防火墙+防毒,每次更改都要重新开机。

Image 628.png

为了尽量达到「禁止非白名单的应用程序」的管理目标,规则设定就可以简单粗暴。

这里可以设定沙盒的动作。

Image 629.png

这里是沙盒的规则。需符合以下目标:
1. 在COMODO数据库判定恶意,一律封锁
2. 不在数据库的,进入沙盒
3. 数据库中安全的,允许放行
4. 网管自定义黑、自名单

Image 630.png

在沙盒开启城市都会有绿色框框,就是虚拟桌面,所有运行都不会影响主机,但还是不要拿来玩样本,请用微步云或any.run之类的玩。
Image 692.png



Image 631.png

档案评鉴,很少用到,不信任都到沙箱了。

Image 632.png

VirusScope,可以记录档案行为,同样没有太大需求,有搭配其他杀毒软件即可。

Image 633.png

女武神设定,跳过。

Image 634.png

勒索病毒最常用CMD、PowerShell执行指令,例如删除阴影备份、下载木马与勒索病毒,COMODO都能分析。不过到这一步表示黑客已经入侵到某个阶段了,只能挡一阵子,骇客可以用各种方法关闭它。

Image 635.png

设定密码,防止同仁、骇客乱改本地端。

Image 636.png

HIPS用Safe mode即可。Training mode用在刚导入时,查看是否会误报,并手动排除;Paranoid mode则是在需要严格控管的环境,误报也会变高。

Image 638.png

沙盒后台,可以看到哪些档案被执行。可以看到AliTask.exe被判定为恶意,但其实是阿里旺旺相关的程序。可以先到同仁计算机将档案取出,丢到virustotal以及回报给防病毒软件厂商判定或是手动放行。

Image 639.png

应用程序控管,同样可以看出哪些程序有问题,判定方式就是和COMODO沙盒数据库比对,规则就是上面说的1~4。

Image 640.png

女武神分析,这是konica打印机的驱动,判定没有病毒。

Image 641.png

防病毒模组,看看就好,因为防护能力低,误判高,所以在群组里会设定不要启动防毒模块。

Image 642.png

装置控制,没什么用。用端点防护中的DLP功能比较好。

Image 643.png

装置授权数量,看到overuse(超过授权数)就需要添购更多授权。

Image 644.png

白名单可以新增一个文件夹,或一个组件、程序,新增后就会完全排除,因此对于像Kaseya这种的供应链攻击,防护能力就会减弱。因为供货商常会以怕误判为由,请网管将他们的软件加入白名单,如果供货商软件被骇,又被白名单排除,就中标了。

Image 645.png

接下来看使用者端的画面。和个人版长得很像。

Image 646.png

Image 647.png

Image 648.png

女武神,妳为何要分析自己的组件

Image 649.png

辨识器具有勒索病毒监控功能。

Image 650.png

扫描排除,其实没什么用,因为防毒很废。

Image 651.png

以上就是「COMODO ITSM 端点安全与管理」的介绍。

COMODO强在对未知威胁的保护,但防毒能力很弱,也无法阻挡钓鱼网站,故需搭配其他杀毒软件,如:McAfee、Kaspersky、360杀毒等,并加强使用者教育训练。

另一个缺点是只有英文版,所以当网管英文还不能太差

评分

参与人数 6经验 +40 分享 +3 魅力 +1 人气 +16 收起 理由
Panda418 + 1 很给力!
EternalHibiki + 3 精品文章
sunstaring + 3 加分鼓励
屁颠屁颠 + 40 + 3 + 1 + 3 版区有你更精彩: )
kfunname + 2 “女武神,妳为何要分析自己的组件”哈哈

查看全部评分

ICzcz
发表于 2021-8-23 18:49:34 | 显示全部楼层
厉害,学习一下
yx464136869
发表于 2021-8-23 19:48:46 | 显示全部楼层
感谢分享...
这个是你所在公司买的么?
megakotaro
 楼主| 发表于 2021-8-23 19:55:56 | 显示全部楼层
yx464136869 发表于 2021-8-23 19:48
感谢分享...
这个是你所在公司买的么?

經銷商有建測試區,導入前先玩一玩,發覺效果奇佳
測試區會和正式版一模一樣
這經銷商滿有良心的,還給客戶先測試才讓客戶決定要不要簽約
QQ260535073
发表于 2021-8-25 20:26:25 | 显示全部楼层
megakotaro 发表于 2021-8-23 19:55
經銷商有建測試區,導入前先玩一玩,發覺效果奇佳
測試區會和正式版一模一樣
這經銷商滿有良心的,還給 ...

测试版可以免费用吗  那可以永久用测试版?
gbx972
发表于 2021-8-26 09:55:49 | 显示全部楼层
好久没听过COMODO的消息了
megakotaro
 楼主| 发表于 2021-8-26 14:11:23 | 显示全部楼层
本帖最后由 megakotaro 于 2021-8-26 14:13 编辑
QQ260535073 发表于 2021-8-25 20:26
测试版可以免费用吗  那可以永久用测试版?

當然不行,Comodo管制嚴格,超過U數都會鎖主控了。真有需要就用免費版的comodo吧。功能差不多,只是少了中央控管
megakotaro
 楼主| 发表于 2021-8-26 14:12:39 | 显示全部楼层
gbx972 发表于 2021-8-26 09:55
好久没听过COMODO的消息了

個人版殺毒軟件要不被併購(Norton和Avast),要不就是全力發展企業版端點防護。畢竟Win10以後內建Windows Defender,很多人都不買殺毒軟件了
QQ260535073
发表于 2021-8-26 18:44:35 | 显示全部楼层
megakotaro 发表于 2021-8-26 14:11
當然不行,Comodo管制嚴格,超過U數都會鎖主控了。真有需要就用免費版的comodo吧。功能差不多,只是少了 ...

您这个测试可以用永久用吗  如果自己用
megakotaro
 楼主| 发表于 2021-8-26 23:40:15 | 显示全部楼层
QQ260535073 发表于 2021-8-26 18:44
您这个测试可以用永久用吗  如果自己用

不行,測試的日期和台數都是Comodo原廠和經銷商給的,ITSM系統管理員裡面有經銷商的系統工程師以及Comodo原廠技術人員,客戶這部分動不了任何設定
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 02:22 , Processed in 0.139680 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表