Обзор Cisco Advanced Malware Protection (AMP), FortiEDR (FEDR), CheckPoint SandBlast Forensics, Kaspersky KATA и KM — EDR или не EDR — вот в чем вопрос!

31.01.2021
Прошу заметить, что представленная ниже информация, ничто иное, как взгляд со стороны на продукт в целом, и не в коем случае не лоббирование конкретного вендора или попытка «завалить циску». Прошу заметить, что информацию черпал с публичных источников, статей с «Хабра», аналитики самих вендоров и собственном анализе доступных и подручных средств. Это не статья, это личный взгляд на ситуацию опытного, не равнодушного и сертифицированного offence и defense сотрудника.

Источник: Форум Кодебай

В рамках рассмотрения необходимости и целесообразности продуктов класса EDR, среди которых были рассмотрены Cisco Advanced Malware Protection (AMP), FortiEDR (FEDR), CheckPoint SandBlast Forensics, Kaspersky KATA и KMDR. С последними, честно скажу, я лично запутался пытаясь понять who is who при поиске на сайте касперского подробной информации и запутался еще сильнее, поэтому черпать информацию не с чего, кроме роликов вендора. Прошу заметить, что продукты такого класса приобретаются, как вспомогательный инструмент в уже «зрелых» компаниях, в которых поставлены все процессы, есть четкая стратегия развития ИБ и т.п.

Первично информацию использовал со старинной статьи 2017 года Обзор рынка Endpoint Detection and Response (EDR)

Почему возникла эта статья, что побудило меня к написанию — все просто, удалёнка побудила задуматься, вендоры присели на уши руководству, а процессы компании перевалили за «воронку не возврата», так я называю точку во времени, за которую поступает такое количество журналов событий, когда твой мозг просто не успевает переварить и обработать эту информацию и ты начинаешь относиться к этому как «матричному коду», а корреляция событий превращается в адские муки и просто хочется увидеть в действии новые технологии.

1612037479093.png

 

В современном понимании, сложившемся в мире бизнеса, из-за смены векторов атак и возникающих угроз, вендоры были вынуждены объединять часть функционала различных линеек продуктов в единую платформу. На смену разрозненным сервисам, таким как AV, EPP, IPS, IDS и иногда даже DLP — пришел продукт класса EDR.
Но первичное восприятие говорит о том, что данный продукт решает основную проблему в подразделениях SOC — это самое важное — то самое время, затрачиваемое на расследование инцидента, время на обнаружение угрозы, время на локализацию и предотвращение, в том числе автоматизация процессов реагирования на неизвестные угрозы 0-day.
Продукт по описанию производителей, позволяет автоматизировать процесс обнаружения и реагирования без необходимости привлечения различных групп реагирования, без сбора коллегиальной комиссии без которой осуществить реальную защиту не в состоянии по требованиям регуляторов рынка или ВНД компаний.

Проанализировав Gartner Magic Quadrant for Endpoint Protection Platforms, 2018 года, я увидел большой список продуктов. Ничего специального я не искал, кроме фразы «gartner EDR» в картинках гугла.

1612037520735.png

 

Fortinet в яме в 2018 году, Kaspersky в 5-ке лидеров, Cisco 3-е с конца, но дальше мы рассмотрим все эти «высокие» позиции глазами SOCa
Смотрим еще одну The Forrester Wave: Endpoint Security Suites, Q2 2018

1612037540792.png

 

Не берусь судить за позиции антивирусных вендоров, т.к. ранее делал наглядный разбор жизненных проблематик на основании анализа ежедневного использования 2-х доступных Антивирусных вендоров Kaspersky vs ESET (если будет интересно, пишите в комментах, выложу). Да и прошу заметить, что антивирусный движок одна из основополагающих процесса «отделения зернышек от мыльных пузырей», поэтому не маловажно обращать внимание на такие детали как:

  1. Наличие опыта и публикации у вендора в обнаружении 0-day и своей лаборатории аналитиков.
  2. Наличие у вендора своего антивирусного движка, показавшего лидирующие позиции в «независимых» тестах.
  3. Удобство работы с консолями администрирования вендоров и функционал.
  4. Возможность интеграции со средствами обнаружения различных вендоров.
  5. Поддержка клиентских ОС (OS Windows/Linux/MacOS).

В том числе, еще различные показатели устойчивости вендора к атакам и собственным уязвимостям.

Нет, конечно же я не призывают людей отказываться от Cisco потому, что за последние 2,5 года этот вендор просто погряз в процессы устранения уязвимостей в своих продуктах с оценкой CVE более 5 балов и рекордным количеством уязвимостей с оценкой от 8 до 9 с хвостиком по CVE, у Касперского и других вендоров мелькали различные проблемы, но это в свою очередь является показателем того, каким «решетом» Вы будете обеспечивать безопасность своей компании. Все наверное сталкивали с проблемами при обновлении на новейшие прошивки устройств и не забываем про «святое правило» — пропускаем пару апдейтов, потому что может упасть и не подняться.

По маркетплейсу то «гиганты» все на местах в очень тесной близости в IDC MarketScape Worldwide Endpoint Specialized Threat Analysis and Protection Vendor Assessment, 2017

1612037591779.png

 

Advanced Persistent Threat (APT) Protection — Radicati Market Quadrant, 2018

1612037603613.png

 

Fortinet и Kaspersky делают большие шаги по улучшению позиций, а в 2020 году вообще являются лидерами по опросу квадранта, но в «топчике» совсем не те продукты, которые мы будем рассматривать.

Попробуем сравнить ряд продуктов класса EDR на том же «эталонном» гартнере. Cisco vs Fortinet: Gartner Peer Insights 2021

1612037626327.png

 

Но эти наблюдения не играют никакой абсолютно роли по функциональным возможностям, удобности использования, гибкости интеграции и показательности результатов продукта, а лишь на ценообразование к сожалению.

Самое интересное, что по факту EDR не заменяют функционал EPP, что показано на презентации, слайды из которой я приведу в пример:

1612037643343.png

 

Функционал EPP

1612037654889.png

 

Функционал EDR

1612037668751.png

 

В обоих решениях единственное общее — это антивирусный движок, что в нашем случае не более чем вспомогательный элемент защиты, но не основной, как показывает практика.

И отдельно этот класс продукта не представляет собой ничего иного, как система первичного обнаружения и ликвидации распространения заражения! И если посмотреть на изображение ниже, то становится четко и ясно, для чего изначально разрабатывался EDR.

Но в презентациях Check Point немного иначе ставится акцент. EDR & NGAV это средства выявления и предотвращения именно атак нулевого дня, а в совокупности с антивирусным движком это есть продукт SandBlast:

1612037690101.png

 

Дальше чекпоинт приводит пример того, чем занимается EDR на рабочих станциях, консолидируя эти данные в БД — это и есть SOC:

1612037699966.png

 

Ну это видимо вообще собрано для визуального восприятия не сведущих и выглядит мягко говоря броско

1612037739262.png

 

А вот это именно то, на что тратится основное время аналитиков L1, L2 и иногда L3 SOC при расследовании — зарисовка цепочки кибератаки и именно для такой наглядности нужен инструмент позволяющий в единой консоли увидеть все те необходимые данные происхождения и действий зловреда при атаках, которые в обыденной жизни собираются часами, а парой и днями.

1612037751258.png

 

Тут мы можем заметить, что вся проблематика всех типов целевых атак или заражений — это нанесение вреда при продвижении процесса внедрения зловреда в корпоративную сеть. И отсюда выстраивается график, на котором видно, что при достижении основной цели злоумышленника Получение управления и Выполнение действий — несут за собой основной вред, в то же время становятся практически не заметными в рамках анализа сотрудников SOC и уже необходимо прибегать к средствам форензики для поиска заражения, что увеличивает временные затраты в разы и приходится прибегать к десяткам, а то и сотням продуктов.

EDR же в свою очередь не дает зловреду/злоумышленнику пройти стадию эксплуатации или очень оперативно и наглядно отражает сам процесс доставки и эксплуатации, что позволяет своевременно отреагировать и осуществить меры воздействия. Что и отражено ниже и построенной на основании Cyber Kill Chain как часть модели Intelligence Driven Defense или по простому 7 шагов для достижения цели

1612037774499.png

 

1612037793319.png

 

И основная задача продуктов класса EDR — это наглядно и быстро отразить (прошу заметить, именно отобразить, а не дать возможность «порыться в логах») весь процесс Cyber Kill Chain

Зачем все это, спросите Вы?! Я Вам отвечу как работник SOC — чтобы экономить время и соответственно деньги на устранение последствий. К примеру, при отсутствии продуктов такого класса, SOC видит и фильтрует самостоятельно все эти действия с помощью SIEM систем и Лог-коллекторов, что при современных реалиях и масштабах компаний практически не представляется возможным, в том числе оперативно отреагировать и осуществить линии защит. Тут или покупать SIEM с шилдиком «next generation», к каким я могу смело отнести продукт Positive SIEM, в которых объединена часть функционала других продуктов, ну или приобретать и затем пытаться интегрировать продукты класса EDR. В противном случае SOC будет «утопать» в неинформативном море журналов событий со всех информационных систем в сети.

Указанные временные затраты в презентации Fortigate (изображение ниже) мягко говоря не соответствуют реальностям и направлены на стандарты MITRE по времени реагирования.

В настоящей реальности все состоит гораздо хуже в части трудозатрат и задействовании человеко-ресурсов и среднее время отработки одного лишь сценария может доходить до нескольких суток, что неоднократно проверено на кибер-учениях The Standoff 2020 устраиваемых ежегодно компанией PT(Positive Technologies) с привлечением опытных команд защитников коммерческих SOC и нападающих на рынке СНГ. Статистически было установлено, что среднее время расследования одной лишь атаки, составляет 10 часов и 19 минут и это только потому, что рекордное время расследования у одного из SOC составило 2 часа 57 минут. И лишь 39% всех бизнес рисков реализованных 30 командами атакующих были расследованы 6 командами защитников за 5 суток или 123 часа

1612037837495.png
1612037854237.png

 

1612037873720.png

 

А вот из собранной статистики динамики обнаружения уязвимостей на кибер-учениях The Standoff 2020 видно, что основной проблемой для всех SOC является как раз таки первые минуты/часы/сутки, затем по графику снижения активности заметно, как различные команды SOC либо адаптируются к однотипным атакам и находят методы задержки во времени атакующих, либо не могут ничего предпринять, о чем говорит второй график. (представленный график не имеет отношения к будним реалиям и типам компаний). Несмотря на активное участие подразделений/сервисов/вендоров защиты в первые дни противостояния, количество реализованных бизнес-рисков было показательным, в том числе в последующие дни, когда сервисы защиты отключались вовсе.

1612037897199.png

 

1612037911512.png

 

Ниже как раз приведено сравнение в качестве рекламного продвижения своего продукта компанией Fortigate с неавтоматизированным EDR и среднее время на весь процесс от обнаружения до устранения.

1612037941686.png

 

Теперь поясню, что такое время в рамках обыдённой жизни на работе и к чему может привести промедление, на примере того же The Standoff 2020.
14 Бизнес-Рисков было реализовано за одну лишь ночь, один бизнес риск это не просто успешная атака на уязвимый или халатно настроенный хост или сервис, а именно комбинация больших и «шумных процессов» (со стороны реагирования), таких, как анализ окружения, активные атаки по закреплению в системе, поиск цели, попытка авторизации, множественные попытки эксплуатации бизнес-риска и лишь затем успешная эксплуатация.

1612038099793.png

 

Итак от слов к делу:
Презентуя свои продукты, вендоры всегда знают преимущества своих продуктов и умело демонстрируют именно их. В рамках предоставленных демонстраций от вендоров, покажу Вам интерфейсы 3-х рассматриваемых продуктов и попробую разобраться с удобоваримостью дашбордов для неподготовленного глаза (всех глаз кроме самих вендоров) и показать, что действительно важно, а к чему вендор подошел мягко говоря наплевав на любимый нам бест-практис.

Так же прошу заметить, что для простоты и красочности, вендоры используют в презентациях уже готовые ролики демонстрирующие единичный случай атаки или заражения, без миллионов событий, которые происходят в обычной жизни, поэтому для оценки в адекватных условиях, скорее всего лучше брать пилот продуктов и производить наглядное сравнение и оценивать продукт по личностным критериям.

#Check Point SandBlast Forensics
К слову, скриншоты сделаны из презентации представителя продукта на онлайн конференции «Код ИБ Форензика» 27.01.2021 г. И эта тематика немного сбила с толку пришедших на конференцию ребят, которые считали, что форензика почему-то затрагивает часть расследований работы сотовых операторов, вышек, фемтосот и мобильных телефонов и сим карт и массово посваливали, ну чтож дело «школьников» играть в фортинайты и чекиниться…

Основной дашборд достаточно информативен и на 90% наглядно отображает весь процесс, но иногда глаза разбегаются в разные стороны.

1612038120143.png

 

В данной вкладке нет ничего выдающегося, все просто и лаконично.

1612038132596.png

 

И вот то, ради чего мы сегодня собрались, убейте свои глаза полностью

1612038149793.png

 

Это тот случай, когда можно сказать 50/50 потому, как информативность процесса заражения вроде бы отображено древовидно и видны основные аспекты и настолько сыро это сделано, что хочется сказать вендору, Вы чего творите? Текст наслоен друг на друга, какие-то нелепые стрелки, экран полупустой, нет первоначальных фаз и информация основная присутствует только на первом скрине. В жизни прыгать между вкладками и окнами при сличении данных — самое ужасное, что мог придумать хомо сапиенс. Я правда негодую, что это за стрелочки указывающие к небесам? Мы же не в игры играем ей Богу. О наболевшем — Это как IBM QRadar, чтобы сопоставить кучу данных, нужно открыть такую же кучу вкладок в браузере, потом в неком текстовике все это консолидировать и лишь затем открывать карточку инцидента, а потом при перепроверке делать это снова и снова.

Лицензирование и цена всех продуктов этого вендора — просто космос и не каждая «зрелая» компания в состоянии купить весь перечень продуктов, а тем более их легко и быстро интегрировать. Немного отвлечёмся, чтобы Вы поняли почему very expensive и too hard pilot отталкивают нас, потребителей.

Так же из жизни, был случай, когда в одной страховой компании нужно было срочно найти замену старенькому и почти бездыханному шлюзу Zexel 310. Вызвали интеграторов, которые предложили целый букет продуктов, из всего множества выбор пал на Kerio, Check Point, Fortigate. Kerio отмели сразу по целому ряду причин, хотя продукт в свое время был просто крутой и невероятно простой в эксплуатации, но все же мы рассматривали продукты именно класса NGF(Next Generation Firewall). Заказали пилот Check Point, восторгались консолью администрирования, вырубило понятие отдельных правил NAT, интегратор не справился за несколько дней с настройкой ряда правил организованных VPN-туннелей, привлек вендора, еще 3-4 дня и ничего, в итоге взяли «работу на дом» и пошли думать. Пока чеки думали, мы решили взять на пилот фортик. Единственная доступная модель из наличия, на тот момент времени была 90D. Привезли, потыкали консоль, немного покрутив увидели ряд плюсов и ряд минусов, в целом настроили почти все необходимые в работе правила и даже воткнули его в продакшн на ночь без привлечения кого-либо со стороны интегратора или вендора. Уточняю нужду на тот момент — ~500 пользователей и десяток групп доступа в интернет, 17 VPN с регионами, 4 различных «хитрых» VPN-туннеля с «дочерними организациями» и регуляторами, 3 интернет провайдера 1- проводной 100 мб.с, 2- релейка 30 мб.с, 3- проводной 300 мб.с для «верха». Модель 90D работала в 80% нагрузке в пиках, но ее сняли дав нам на замену 30E, мы мягко говоря удивились, когда сохранили конфиги с прошлого пилота и накатили их на новую модельку — все заработало и не нужно было руками крутить снова правила. Затем поискав нужную нам модель, перелопатив уйму моделей и тех.спек к ним, мы выбрали модель 60E которая полностью покрывала нам все потребности по железу с учетом двухкратного роста в будущем. Запросили цены модели чекпоинта, которую нам выбрал поставщик (ей богу не помню модель), но вот цена отложилась в голове 1 200 000 тг на 2017 год против ~350 000 тг у фортика за модель 60E без жесткого диска и 50 агентов FortiClient в подарок на год и облачный анализатор логов на 6 месяцев. Вот Вам и разница в цене и подход к процессу. К слову интеграторы и представители фортика на тот момент тоже были немного озадаченны рядом просьб от нас, с которыми так и не справились, но мы самостоятельно нашли решение.

Действительно мало было продемонстрировано и уверяю Вас продукт намного богаче и приятнее, но что увидел то и показал.

#FortiEDR
Эти скриншоты взяты с презентации продукта 28.01.2021 г. от вендора, ссылку на которую дал мне мой коллега и так уж сошлись карты и я специально ничего не искал.

На текущем главном экране мы видим немного другой подход к процессу, тут отображен именно общий свод поступаемых данных, деление происходит посекционно и не напрягает глаза.

1612038184253.png

 

Вот тот же интерфейс только уже при практической демонстрации единственного экземпляра заразы

1612038195687.png

 

Вот как в «фортике (он же Федя)» отображаются события (очень походит на PT SIEM) в том числе отображено линейно — что, от чего, и куда:

1612038221107.png

 

Еще один наглядный пример того, что сделает жизнь аналитиков L2 такой же наглядной и простой, как у аналитиков L1 с настроенными PlayBook’ами

1612038233140.png

 

Та же цепочка, только уже в подробностях

1612038260802.png

 

Отмечу, что легко и доступно показан процесс и его порождения, в том числе и исполняемые команды, что невероятно важно для понимания типов атак, построения методов защиты или даже для написания PlayBook’ов.
А кто любит читать и валидировать все порождения — есть подробности

1612038273461.png

 

Удивило, что можно тут же сделать дамп памяти с удаленного устройства, что невероятно сокращает форензическую составляющую процесса расследования и даст возможность аккумулировать, разбирать и предотвращать намного качественнее.

1612038286433.png

 

Вот он дамп

1612038297397.png

 

Ну самое сладенькое — процесс предотвращения не вставая с кресла и не в отдельном окне или вкладке, а именно в том же окне

1612038307824.png

 

Статистика

1612038324752.png

 

Удивил функционал, позволяющий контролировать не только процессы поступающих угроз, но и исходящих во вне. К примеру был продемонстрирован процесс блокировки трафика на устройстве с уязвимого и очень старого по версии веб-браузера Mozilla Firefox. Это не просто поведенческий анализ, а именно защита 21 века! Вот консоль с правилами:

1612038337149.png

 

Вот то, как это видит пользователь:

1612038346299.png

 

Естественно все рассматриваемые комплексы интегрируются с продуктами своего вендора, но то как это реализовано у чек-поинта говорить не приходится, они основоположники единой консоли и тесной интеграции своих продуктов, фортик не отстает и тоже демонстрирует интеграцию EDR со своим шлюзом

1612038361417.png

 

1612038375053.png

 

1612038406710.png

 

Лицензирование простое

1612038426838.png

 

#Cisco Advanced Malware Protection (AMP)
Вступлю с того, что все мои «умозаключения» это не более чем моё восприятие реальности, не более чем практический анализ в сравнении 3 продуктов.

Главный экран «циски» вгоняет в ступор

1612038453498.png

 

Теперь я приведу Вам аналогию и Вы сразу поймете о чем я, просто сравните и найдите 10 отличий:

1612038470146.png

 

1612038481605.png

 

Интерфейс стиля 1996 года, как впрочем и у продуктов IBM. Ну Вы что господа создатели, совершенно не хотите делать продукты пригодными и информативными? Нет слов…

Но это не самое главное, ужасает то, что интерфейс подсветил красным подразделение SOC при тестировании на одном из которого, осуществлялась ручная попытка блокировки запуска по хешу.

Вот так происходит поиск хеша

1612038560312.png

 

Вот она информативность 21 века. 2 исполняемых файла справа это как раз таки блокируемые ручным методом по хешу исполняемые файлы на хосте, 2 линка на http на которые 10 Windows сам ходит за обновлениями и один IP адрес и это за 2 года накоплений друзья…

1612039018419.png

 

Что мы можем узнать нажимая на стрелочки? Не смейтесь, это циско-удобство и наверное нужно получить 3 сертификата от вендора, чтобы понять логику… Продукт за деньги проверяет линки и файлы на Virus total, это гениально!

1612039034251.png

 

А вот информация при нажатии на подробности о «заразе». Очень важный момент — при нажатии на любой линк или кнопку меню, вся страница перезагружается сама для того, чтобы отобразить контент (F5 | ctrl+R) убейте себя об стену кто это придумал.

1612039205585.png

 

События

1612039223006.png

 

Вы чего с дубу рухнули чтоли? Что за значки бензозаправки, молнии, 66 страниц уязвимостей софта на хостах, мы же не про процесс проверки уязвимостей тут говорим, а про инциденты. «Все смешалось в доме Облонских»

1612039238252.png

 

Давайте «ковырнем» это чудо технологий (Илон Маск закрой глаза и Тони Старк ты не зря умер). Подойдем со всей ответственностью и попробуем проанализировать события фильтруя все события с уязвимостями софта на хостах.
Это карточка предотвращённого действия исполняемым файлом IAProvider.exe к процессу winlogon.exe

1612039250956.png

 

Тут мы видим замаскированный хеш исполняемого файла, место расположения, размер, причину — он не чистый и без подписи сертификатом производителя, хеш дочернего процесса как я понимаю тоже замаскированный, размер и место расположения исполняемого файла.
Детали таковы — он запускался под системой

1612039270183.png

 

О боже, при нажатии на стрелочку с иконкой синенького компьютера мы можем посмотреть на «трассировку»

1612039281848.png

 

Чтобы понять эту «схему распайки», нужно отфильтровать наверное или потыкать на красные кнопочки на временной шкале. Фильтрация очень наглядная, тут только плюс.

1612039294731.png

 

Да и прошу обратить внимание, каждый раз при взаимодействии с интерфейсом он долго о чем то думает и появляется индикатор загрузки и вуаля страница перезагружается выдавая нам чудесное ничего

1612039336716.png

 

Это невероятно увлекательно — потратить 10 минут, чтобы увидеть такое!
Давайте еще посмотри на «траекторию девайса», о боже, что мы видим! … — ничего интересного, расходимся

1612039347392.png

 

Потыкаем еще по менюшкам выпадающим на главном экране Analysis > Prevalence, я так понял это сбор всех исполняемых файлов на хостах пользователей. Если бы не было с чем сравнивать по функционалу, я бы вопел овациями, но увы Касперский со своим KSC давным-давно порвал шаблоны…

1612039359345.png

 

Можно посмотреть «трассировку»

1612039372576.png

 

Зачем Вы это делаете с людьми? Зачем вы вгоняете внутрь, чтобы показать то же самое что есть на главном экране?

1612039384528.png

 

Нашел саму красивую вкладку Overview и увидел процесс управления уязвимости ПО на хостах аля Qualys или Nessus.

1612039400378.png

 

MDM для iOS?

1612039416685.png

 

А вот меню настройки модулей, по функционалу это сервис класса EPP но никак не EDR!!!

1612039436845.png

 

При активации модуля TETRA компьютер превратился в кирпич…

Да уж господа из циска, Вы точно понимаете что от Вас ждут при продаже продукта? Мне кажется «это» было сделано просто из-за необходимости следовать тренду и красивым словосочетаниям EDR, но никак не по назначению. Увы, это не продукт, посмотрите выше на 2 продукта этого класса и просто сравните. Я не спорю, что возможно в продукте заложено нечто совершенно невероятное. До чего мой мозжечок не в состоянии дойти без процесса обучения и демонстрации сильных сторон, но как говорил мне батя мой — не можешь сделать — не мучай мозг, значит это не твоё!

Ну и вердикт, продукт этого класса подойдет не всем компаниям и использовать его вне умелых руках смогут не каждые подразделения. Как я отмечал в начале, для выбора такого продукта, компания должна прийти к определенной стадии «зрелости», а лишь потом брать на вооружение EDR. Так же хочу отметить, что в рамках поверхностного анализа, по другому я не могу назвать свои изыскания, не проверялась возможность мультивендорной интеграции продуктов, ведь это самая важная часть процесса, потому как «строить с нуля» процессы безопасности никто не будет и в средних и крупных компаниях сложился ряд продуктов по тем или иным причинам и как с них забирать данные остается загадкой для меня лично. Ведь все вендоры заявляют о поддержки и интеграции со своих продуктов, а в реалиях бизнеса — поменять все — значит умереть на рынке.

Из анализируемых продуктов, больше всех понравился фортик и это моё личное мнение, которое я не навязываю. Нужно взять на пилот и понять что из себя представляет этот продукт. Вот Вам сравнение ожиданий и реальности из жизни, пусть очередное, но все таки полезное, как я считаю. Решили обойтись «малой кровью» и взять фортиклиентов для установки на пользовательские хосты дабы обезопасить себя в режиме удаленки от дырявейших компов пользователей дома, в том числе обеспечить безопасное подключение через этих же агентов, «убить 2-х зайцев» как говорится. Взяли мы в пилот фортиклиенты и консоль управления и жутко разочаровались в продукте, консоль сырая, продукт на хостах очень мало видит из даже уязвимостей софта на хосте (сравнивали сканом квалиса и несуса), в консоли не отображен процесс обновления в хронологии, видно только в консоли клиентов и многие другие аспекты, которые привели нас в упадок и решению не использовать продукт и пока даже не смотреть на него.

За сим, прошу любить и жаловать очередные не лесные и парой не уместные, но все же полезные вердикты, ставьте лайки, оставляйте комментарии.

blank

The Codeby

МоскваРоссия
Офис компании расположен в Москве. Работаем по всему миру.
Где нас найтиМы здесь:
https://pentest.codeby.net/wp-content/uploads/2020/04/img-footer-map12-1.png
Мы в сетиКодебай в Соцсетях
Подпишитесь на нас, чтобы быть в курсе последних событий.
МоскваРоссия
Офис компании расположен в Москве. Работаем по всему миру.
Где нас найтиМы здесь
https://pentest.codeby.net/wp-content/uploads/2020/04/img-footer-map12-1.png
Мы в сетиКодебай в Соцсетях
Подпишитесь на нас, чтобы быть в курсе последних событий.