מדריך לבחירת פתרון להגנה על תחנות הקצה

01.12.21

ESET01.12.21

הגנה על תחנות הקצה בארגון היא אחת ההחלטות החשובות בהגנה רב שכבתית על הארגון. חשוב לבחור פתרון אמין, שירוץ ברקע ללא הפרעות למשתמשים ומגן באופן מירבי. על מנת לבחור את הפתרון המתאים ביותר לארגון, עליך לבצע סקר שוק, להתרשם מביקורות של גופי מחקר אובייקטיבים וכמובן גם מאנשי מקצוע וקולגות בעלי ניסיון רב שנים בתחום.

הכנו עבורך את המדריך שיעזור לך להימנע מהמכשולים האפשריים ולבחור בהחלטה הטובה ביותר שאפשר עבור הארגון שלך ועבור אלו שינהלו את הפתרון.

איך מתחילים? מחקר

מומלץ לבצע הערכה של הפתרון בסביבה של הארגון, כדי להיות בטוחים שהפתרון בו אתם בוחרים לא ייצור בעיות מול התהליכים שרצים במערכות שלכם. ניגע בזה בהרחבה בהמשך. אך בתור התחלה, תצטרך ליצור רשימה קצרה של מוצרים אותם תרצה לבדוק. הנה כמה טיפים שיעזרו לך לזקק את העובדות מתוך ים החומרים השיווקיים:

מה עומד מאחורי הבאזוורד? התחום שופע במושגים מרשימים כמו היוריסטיקה, בינה מלאכותית, ניתוח מוניטין וכיו"ב. חשוב לא רק להסתמך על הבאזוורד אלא לקבל הסבר ברור על כל אחת מהטכנולוגיות מכל אחד מהיצרנים ומה זה אומר ברמה הפרקטית של הגנה על הארגון. החשיבות היא באופן בו מוטמעות הטכנולוגיות האלה.

ביקורות (חיוביות ושליליות). לביקורות על מוצרים יש חשיבות, אך חשוב לזכור שחלק מהביקורות באתרי האינטרנט הן ביקורות בתשלום שלרוב מתבססות רק על התבוננות שטחית במוצר. מקורות כמו קהילת Spiceworks ו-Gartner Peer Insights הם מקורות טובים לביקורות נטולות-הטיות שמתבססות על חוויות אמיתיות.

התפקיד של גופי בדיקה עצמאיים

גופי בדיקה חיצוניים עצמאיים בודקים כמות עצומה של נוזקות על מוצרי אבטחה בסביבה מבוקרת. מוצרים שמגיעים לניקוד טוב במבחנים רבים צריכים להיות חלק מרשימת המוצרים שתבדוק.

כשאתה מבקר באתרים האלה, הימנע מלהסתכל רק בתוצאות העדכניות ביותר. יש חשיבות גדולה לעקביות התוצאות של מוצרי אבטחה לאורך זמן. קח בחשבון שתוצאות הבדיקה תקפות רק למועד בו נערכו הבדיקות ולסביבה וההגדרות בהן בחר הבודק. הסתכל בתוצאות לאורך מספר שנים וראה האם הפתרון מגיע לציונים טובים לאורך זמן.

ארגוני הבדיקה המבוססים והמהימנים עליהם אנו ממליצים הם AV-Comparatives, SE Labs ו-Virus Bulletin, מהסיבות הבאות:

• לכל אחד מהם יש מתודולוגיית בדיקה שונה, ולכן שילוב בין הממצאים שלהם יביא לתמונה מקיפה
• כולם בודקים מוצרי אבטחה במשך שנים רבות (Virus Bulletin החלו לבדוק מוצרים עוד משנות ה-90
• הם לא בודקים רק זיהויים, אלא גם זיהויים שגויים (False Positive) ואת ההשפעה על ביצועי המערכת (עוד על כך בהמשך)

טיפים לפיילוט בדיקת מוצרים

לאחר שיצרת רשימה של מוצרים אותם תרצה לבדוק, הנה מספר טיפים הנוגעים להגדרת ניסיון מוצלח. עקוב אחר העצות ושים לב לכך שאתה שואל את השאלות הנכונות ובודק את הדברים הנכונים, ולא מפספס משהו שתתחרט עליו אחר כך.

לפני הכול – האם בכלל צריך להתנסות במוצר? חשוב לבדוק את פתרונות האבטחה על תחנות הקצה בסביבה של הארגון. לפני שאתה מפיץ את הפתרון בכל המערכות וחותם על חוזה מול הספק, אתה תרצה לוודא שהמוצר פועל כשורה ולא יוצר בעיות למערכות שלכם, וגם שהתמיכה הטכנית זמינה כשצריכים אותה.

כמה מוצרים כדאי לבדוק? שלוש הוא מספר מצוין בגלל כמות הזמן הגדולה שנדרשת כדי לבדוק כל מוצר באופן מקיף. ייתכן שתוכלו לבדוק מספר גדול יותר של מוצרים אם הארגון גדול מספיק ואם יש מספיק אנשי IT כדי לבדוק כמה מוצרים במקביל.

כיצד לבדוק. צור קשר עם כל יצרן וסכם על תקופת ניסיון בת 30 ימים. עבור כל מוצר, בחר קבוצה קטנה של משתמשים ממחלקות שונות עליהם תבצע את בדיקת הפיילוט. בקבוצה הזאת כדאי לכלול לא רק אנשים טכניים או עם זיקה לתחום, אלא גם משתמשים רגילים חסרי ידע טכני. בנוסף, בצע את הבדיקה על משתמשים שמשתמשים במגוון של תוכנות חיוניות לארגון (כמו תוכנות הנהלת חשבונות) תוכנות פרטיות, תוכנות שהפסיקו לקבל תמיכה ועוד "חיות מוזרות" בארגון שלכם. קח את הזמן כדי להעריך את מידת ההתאמה של הפתרון לארגון.

שיקולים עיקריים: מה כדאי לחפש

במהלך המחקר שלכם, אלו הדברים העיקריים שצריך לתת עליהם דגש:

שיעורי זיהוי. ברור שנרצה לזהות את כל האיומים שנכנסים לרשת הארגון. אך מכיוון שמרבית הנוזקות מתוכננות כך שלא יזוהו, ישנם מקרים בהם תגלה שמשהו זדוני עקף את ההגנות של פתרון האבטחה רק אחרי שתגלה שהמערכת של אחד המשתמשים איטית או מראה התנהגות חשודה, או רק באמצעות ביקורת קבועה על תעבורת רשת הארגון. תוצאות מבדקים עצמאיים יהיו כלי העזר העיקרי שלך. היזהר מיצרנים שייתנו לך דוגמיות של נוזקות לבדיקה – לרוב הדוגמיות שלהם נוצרו במיוחד כך שרק המוצר שלהם יזהה את הנוזקות כזדוניות. אם אתה מתכוון לבצע בדיקות עם נוזקות אמיתיות, הקפד לעשות זאת בסביבת ניסיון שמופרדת מיתר הרשת שלך ושאין בה מידע רגיש.

כמות הזיהויים השגויים (False Positive) זיהוי שגוי הוא התרעה על קובץ או קישור כזדוניים, למרות שאינם זדוניים בפועל. זיהוי שגוי יכול לגרום לבעיות משמעותיות. אם פתרון האנטי-וירוס מוגדר כך שימחק או יכניס להסגר קובץ שזוהה כנגוע, זיהוי שגוי של קובץ חיוני יכול לגרום להשבתת מערכת ההפעלה או תוכנה חיונית. גם אם זיהוי שגוי לא יגרום להשבתת מערכת, כל זיהוי דורש חקירה שדורשת משאבי IT יקרים. אם תבחרו לבסוף במוצר שכמות הזיהויים השגויים שלו גבוהה, אתם תבזבזו זמן רב במרדף אחרי איומים שאינם קיימים, ואולי אפילו בשחזור מערכות שלא היה בהן אף פגם.

טביעת הרגל של המערכת. קיים הבדל גדול בעומס הנוצר על ידי מערכות אבטחה שונות, המתבטא בשימוש במשאבי מערכת כמו זיכרון, נפח בדיסק הקשיח, איטיות של מערכות עבודה, עומס על המעבד והשפעה על הרשת. במהלך הבדיקה, הקשב לתלונות המשתמשים. אם עדכוני אנטי-וירוס או בדיקות מערכת משפיעות על ביצועי המערכת באופן ניכר, אתם תשמעו על זה מהמשתמשים, שיתקשו לבצע את העבודה שלהם. האטת המערכת היא לא מחיר שאתם מוכרחים לשלם כדי לקבל הגנה, ואתם לא מוכרחים לשדרג את המערכות שלכם רק בשביל להריץ תוכנת אבטחה.

תאימות. יש לוודא שהפתרון עובד היטב עם התוכנות החיוניות לעסק שלכם ועם תוכנות, כלים ושירותים אחרים שנמצאים בשימוש בארגון שלכם. אם המחשב קורס בזמן ביצוע משימות מסוימות, זו בעיה גדולה – ובאותה מידה אם אתם מתקשים להתקין את תוכנת האבטחה או לא מצליחים להתקין אותה כלל בגלל אי-תאימות של מערכת ההפעלה. תן תשומת לב מיוחדת לרכיבי חומרה ישנים – האם ישנן אי-תאימויות עם רכיבי חומרה או תוכנה מסוימים? האם הפתרון עובד באופן חלק מבלי לפגוע משמעותית בביצועים?

עלות/תועלת. המחיר הוא תמיד שיקול חשוב. על אף שמרבית מוצרי האבטחה מזהים את כל סוגי הנוזקות הידועים, חלק מהיצרנים גובים תשלום נוסף על הגנה מפני כופרות, ולכן מומלץ לבדוק מול היצרן מה נכלל בעסקה. בנוסף, בדקו מה העלות הכוללת של החבילה. כדאי שהפתרון יכלול יכולות כמו הגנה מפני נוזקות על כונני USB, בקרה על הרשת לחסימת איומים מאתרים זדוניים ותוכנת חומת אש שתמנע מתנועת רשת זדונית להיכנס לרשת הארגון או להתפשט בתוכה – אלו שכבות הגנה נוספות שמגינות עליכם באופן מקיף יותר.

קלות הניהול והתחזוקה. חשוב לתת תשומת לב מיוחדת לזה. לא תרצה להתרוצץ בין מחשב למחשב כדי להגדיר, לנהל, לשדרג ולתחזק את מערך האבטחה בסביבה שלך. בדוק את האפשרות לניהול כל נקודות הקצה מתוך ממשק שליטה מרכזי, לדחיפת עדכונים, לביצוע פעולות שגרתיות כמו יצירת והפצת הגדרות וליצירת דו"חות נחוצים.

הגנה על מכשירים ניידים. מכשירים ניידים משמשים את הארגון, בין אם סופקו מכשירים לעובדים, בין אם הם משתמשים במכשיר משלהם על בסיס מדיניות BYOD (Bring Your Own Device) ובין אם משתמשים במכשיר משלהם שלא על בסיס מדיניות. בדקו את האפשרות להגן על כל הפלטפורמות בהן העובדים שלכם משתמשים – אנדרואיד, MAC Windows,, ו-iOS. בנוסף, ניהול מרכזי הוא חובה עבור מכשירים ניידים. אם לפתרון יש יכולות לנעול מכשירים שנאבדו או נגנבו מרחוק, לשחרר את הנעילה שלהם ולמחוק את המידע שבהם, זה יתרון גדול – תוכל להימנע מתשלום על פתרון נפרד לניהול מכשירים ניידים.

קלות ההפצה והגדרות. במהלך הבדיקה, שים לב לזמן הנדרש לפתרון האבטחה להתחיל לעבוד כמו שצריך. האם הוא מסיר באופן אוטומטי את פתרון ההגנה הקודם? אם לא, ייתכן שייווצר לך כאב ראש כשיגיע הזמן להפיץ את הפתרון לכלל הארגון. בנוסף, אם לפתרון האבטחה יש כבר הגדרות אוטומטיות (מובנות במערכת) כאלה מראש, אתה תחסוך זמן שיידרש להגדרת הפתרון.

מהירות התגובה של מחלקת התמיכה. בדוק את מחלקת התמיכה במהלך תקופת הניסיון, התקשר מספר פעמים לתמיכה ופתח טיקטים על תרחישים אופייניים. כמה קל היה ליצור קשר ולהגיע לפתרון? אם התמיכה הועברה למיקור חוץ במדינה זרה, כמה קל ופשוט היה לגורם חיצוני (אם יש) להבין את הבעיה ולפתור אותה?

לא פחות חשוב – שירות ותמיכה טכנית

הדבר האחרון שהוזכר לעיל הוא חשוב במיוחד – תמיכה טכנית אמינה וטובה היא קריטית. אתה רוצה לדעת שביום שתצטרך את התמיכה הטכנית, הם יהיו שם בשבילך ויסייעו לפתור את הבעיה בזמן. הנה מספר טיפים:

הגדר מחשב על הגדרות רשת שגויות, הימנע ממחיקת תוכנת האנטי-וירוס הקודמת לפני התקנת המוצר הנבדק. לאחר מכן התקשר לתמיכה ובקש עזרה בפתרון הבעיה.

• כבה את פתרון האבטחה על מחשב מסוים, הדבק אותו בנוזקה בכוונה ולאחר מכן בקש מהתמיכה לסייע לך לנקות את המחשב.
• נסו תרחישים אחרים שהוכחו כבעייתיים עם הפתרון הנוכחי שלכם, ובדקו האם היצרן שנבדק מטפל בהם באופן טוב יותר (או
גרוע יותר).

אל תהסס לבדוק את התמיכה הטכנית במהלך תקופת הניסיון. אתה רוצה לדעת שהם יוכלו להגיב לבעיות שלך עוד לפני שתיווצר בעיה אמיתית עם תוכנה ששילמת על הרישיון שלה למספר שנים מראש.

ההחלטה היא לא רק החלטה טכנית, אלא עסקית

לאחר שהגעת להחלטה, עדיין ישנם מספר דברים שכדאי לבדוק, כמו בדיקת החוזה למציאת בעיות אפשריות, וידוא תמיכה במערכות הפעלה ישנות ובמערכות שייצאו בעתיד בזמן שהחוזה עדיין בתוקף. הפרטים האלה מסתכמים לנקודה חשובה: בחירת פתרון אבטחה לנקודת קצה היא לא רק החלטה טכנולוגית, אלא גם החלטה עסקית. העלות של פתרון אבטחה ומידת ההגנה שהוא מספק הם משתנים חשובים בהחלטה הזו, אבל חשוב לקחת בחשבון עלויות נסתרות כמו ההשפעה על מידת הפרודוקטיביות של העובדה או כמות הזמן שנדרשת מצוותי ה-IT כדי להפיץ את הפתרון ולנהל אותו. חשוב להעריך גם את אלה כדי שתוכל לקבל החלטה עסקית כמו מומחה אבטחה שמבוססת על מידע מקיף ומהימן.

תוכלו לראות מה גופי בדיקה עצמאיים אומרים עלינו פה