Выбираем антивирус и EDR. Сравнение SentinelOne и McAfee

Если после новостей о продаже корпоративного бизнеса McAfee вы размышляете над тем, выбрать ли для защиты конечных точек McAfee или другой антивирус, эта статья может быть полезной для вас. Ниже представлено сравнение McAfee и SentinelOne, которое может стать отправной точкой для выбора продукта, лучше всего подходящего для вашего бизнеса.

McAfee — классический бренд на рынке антивирусов

McAfee уже давно на рынке антивирусного ПО — с 1987 года. Несмотря на то, что McAfee имеет статус Визионера в магическом квадранте Gartner и Contender в отчете Forrester Wave по EDR-решениям, сегодня у этого решения для защиты конечных точек появились серьезные конкуренты.

Возможности McAfee по защите от угроз и реагированию на них представлены в пакете решений на платформе MVISION. Однако при обнаружении угроз на конечных точках EDR-решение McAfee все еще во многом полагается на сигнатуры, а если они не помогают — на запрос вердикта в облаке. В соответствии с описанием артикула данные EDR хранятся только 7 дней, но судя по документации вендора фактически этот период составляет 30 дней, а за дополнительную плату время хранения можно увеличить до 90 дней.

По сути, в основе ПО McAfee по-прежнему традиционный антивирус. И хотя технология развивается, стоит рассмотреть ее в сравнении с современными системами активного EDR.

SentinelOne — новый стандарт защиты конечных точек

SentinelOne, относительно новый игрок на рынке ИБ, все больше ассоциируется с современной защитой конечных точек. Это подтверждают рекордные результаты теста MITRE ATT&CK APT29 в 2020 году и 100% общая точность срабатываний по оценке SE Labs.

Компания быстро продвигается в магическом квадранте Gartner и рейтинге Forrester Wave, и обладает сильным функционалом, приведенном в таблице ниже. К тому же, у SentinelOne конкурентная и прозрачная цена.

SentinelOne представил видеодоказательства возможностей своей платформы, в которых она справляется с программами-вымогателями Maze и WannaCry менее чем за 2 минуты. Более того, вместе с платформой по умолчанию предоставляется гарантия на защиту от программ-вымогателей в размере до 1 млн. долларов, однако еще никому не приходилось ей воспользоваться.

Защита конечных точек: основные факторы сравнения

Ниже приведеные шест факторов, по которым имеет смысл сравнивать антивирусы и EDR-решения.

  1. Насколько легко развертывать и управлять ПО?
  2. Зависит ли ПО от облачного управления при обнаружении угроз и реагировании на инциденты?
  3. Эффективна ли ПО против атак нулевого дня?
  4. Насколько равнозначны возможности защиты для Windows, Mac и Linux?
  5. Насколько ПО справляется с реальными атаками?
  6. Что говорят о ПО реальные заказчики?

Сравнение возможностей McAfee и SentinelOne

Преимущества для бизнеса
Автономная защита и реагирование без зависимости от облакаЧастично — зависит от сигнатур и подключения к облакуДа
Быстрое восстановление (откат конкретных действий)Вручную с помощью скриптов с фиксированными действиямиАвтоматизированное восстановление в один клик
Свобода в выборе ОС (одинаковые возможности для Windows / Mac / Linux)ДаДа
Меньше алертов, больше контекстаЗависит от типа установки и от интеграцийДа
Хантинг за угрозамиВручнуюДа, отображение всей цепочки развития атаки
Интеграция по APIДаДа
Функционал
Локальный искусственный интеллектНет, на основе сигнатур Да
Поведенческий локальный ИИТолько события ОСДа
Защита от эксплойтовОграниченнаяДа + контекст
Защита от латерального движенияЧерез правила МСЭДа + контекст
Восстановление (в рамках той же ОС Windows на основе shadow copy)Перезаливка всего образа ОС скриптами или вручнуюАвтоматизировано
Откат конкретных изменений, осуществлённых злоумышленником НетАвтоматизировано
Интегрированные фиды угрозГлобальные фиды и локальные
репозитории TIE (требуется настроить взаимодействие MVISION и TIE)
Да
Функционал удаленной командной строкиНетДа
Управление устройствамиДаДа
Управление межсетевым экраномДаДа
Управление BluetoothДаДа
Хантинг за угрозамиТребует интеграции MVISION, ePO и SIEMДа, отображение всей цепочки развития атаки
Глубокий мониторингНетДа

Отзывы аналитиков и пользователей

Gartner Peer Insights

Данные на апрель 2021 года, ссылка на исходные данные

Волшебный квадрант Gartner, 2019

Отчет Forrester Wave: Enterprise Detection And Response, Q1 2020

Независимые тестирования

ТЕСТЫ
Более низкий уровень защиты на различных этапах цепочки нацеленной атаки Тестирование APT29 в 2020 годуРекордные результаты:  
— наименьшее количество не обнаруженных угроз  
— наилучший функционал обнаружения  
— наилучшая корреляция обнаружений
Оценка «Рекомендовано» в 2016 годуВысокая рентабельность инвестиций и оценка «Рекомендовано» в 2019 году
НеизвестноЗаблокировано 100% угроз в тестах на Windows
Топ-продуктОдобренный продукт (2017)
Оценка AAA: точность 97%Оценка AAA: точность 100%

Демо и бесплатное тестирование SentinelOne

Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne по ссылке ниже.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/