Sophos Intercept X Endpoint im Test

Das Security-Unternehmen Sophos versammelt seine Schutzpakete für Endpunkte unter der Dachmarke Intercept. Die zentrale Verwaltung aller weiteren Produkte und zusätzlichen Module findet über die webbasierte Konsole Sophos Central statt. Im Basis-Paket Endpoint Protection stecken alle klassischen Schutzfunktionen für Endpunkte wie Server mit Windows, Linux oder Unix, PCs mit Windows oder Mac OS sowie für Storage-Plattformen wie Sharepoint. Der Schutz umfasst Geräte- und Webkontrolle für alle Plattformen, Data Loss Prevention, HIPS-Analysen (Host Intrusion Prevention System) und die Analyse des Datenverkehrs. Unternehmen, die Sophos bereits einsetzen, können ihre Schutzlösung gegen neue Bedrohungen einfach aufrüsten.

Ab Intercept X bietet das Produkt ein verbessertes Deep Learning zur Malware-Erkennung und eine Exploit Prevention für Schwachstellen. Die größte Erweiterung betrifft die Analyse und Entfernung neuer Schädlinge. So kümmert sich ab Intercept X der CryptoGuard um neue Ransomware und der WipeGuard um den Boot-Record-Schutz. Führt ein Unternehmen einen vorhandenen Sophos-Endpoint-Schutz mit Intercept X zusammen, verfügt dieser über den Funktionsumfang von Intercept X Advanced - etwas verwirrend für Kunden. Für sich spricht der Name des Pakets Intercept X Advanced with EDR. Es bietet alle Funktionen des Advanced-Pakets plus ein umfangreiches Endpoint-Detection-and-Response-Tool zur Auswertung und Dokumentation von Angriffen auf das Netzwerk. Zusätzlich lassen sich mit dem EDR-Tool forensische Daten sichern und Endpunkte komplett isolieren. Vorhandene Analysedaten wertet dann Sophos für Kunden mithilfe von Deep-Learning-Services online aus. Ob Unternehmen die Lösung auf den Servern von Sophos betreiben oder selbst verwalten, steht ihnen frei. Eine Vor-Ort-Server-Installation der Konsole ist jederzeit möglich.

---

Die Endpoint-Lösung von Sophos wurde im Labor von AV-Test in zwei aufeinanderfolgenden Monaten auf Schutzwirkung, Systemlast und Fehlalarme geprüft. Im Real-World-Test musste unbekannte Malware identifiziert werden - und das über 350-mal. Im zweiten Testabschnitt kam das Referenz-Set mit  rund 13.500 Schädlingen aller Art zum Einsatz, die bei Testbeginn bis zu zwei Wochen alt waren. Der Referenz-Set-Test offenbart, wie gut die Hersteller ihre Schädlingsdatenbanken pflegen. Beide Male erzielte die Sophos-Lösung eine hundertprozentige Erkennungrate. Gut, aber  nicht perfekt verlief der Test auf Fehlalarme. Dazu musste die Lösung das Aufrufen normaler Webseiten, den Scan von 1,4 Millionen harmlosen Programmen und die Installation von ein paar Dutzend populären Software-Tools überwachen. Ergebnis: Beim Scan der Programme wurden drei der 1,4 Millionen falsch erkannt.

Während des gesamten Tests wurde auch die Systemlast des Software-Agenten unter Windows gemessen. Mit „etwas“ Last lag die Sophos-Lösung über dem Industrieschnitt. Die End­note für Sophos: dank 92 von 100 Punkten ein „Sehr gut“.