Malwarebestrijding als internetdienst

Test Panda Malware Radar

Na de desktopsoftware blijkt er nu grote interesse te zijn in internetdiensten die malware bestrijden. Microsoft speelde daar gretig op in en nu doet ook Panda dat met Malware Radar. Wij bekeken de dienst.

Een internetdienst om malware te bestrijden lijkt voor de hand te liggen voor pc’s die nog niet voorzien zijn van een adequate bescherming, maar Panda raadt Malware Radar ook aan voor systemen die wel degelijk beschermd zijn met een goed antimalwareproduct (ook dat van Panda zelf). De redenering die Panda daarop toepast heeft te maken met de aard van detectiesystemen. Antimalwareproducten gebruiken immers zogenaamde signaturen herkenningspatronen om bekende malware te detecteren. Van de allernieuwste malware zit een signatuur pas in de antimalwaredatabase, zodra de producent een voorbeeld van de malware binnen heeft en er onderzoek op heeft uitgevoerd. Het duurt dan toch op zijn minst enkele uren voordat er een signatuurupdate gelanceerd wordt. Veel desktopantimalwareproducten hebben wel mogelijkheden tot ‘heuristische’ scans om nieuwe malware zonder signaturen in de database te kunnen opsporen, maar die routines zijn niet grondig genoeg of genereren teveel valse positieven.

Aanvulling

Malware Radar werkt anders en is dus volgens Panda bij uitstek geschikt om als waardevolle aanvulling te dienen op de standaard antimalwareproducten die geïnstalleerd zouden zijn. Om precies te zijn gebruikt Malware Radar ook ‘heuristische’ scans, maar met hoogst gevoelige instellingen. Bij normale antimalwarescans zouden die instellingen veel te veel valse positieven opleveren, maar bij Malware Radar krijg je die niet te zien. Eerst gaan de gevlagde bestanden naar Panda voor een meer diepgravende controle en pas als daar opnieuw een vlag gehesen wordt, kan de Malware Radar er zeker van zijn dat het om malware gaat en de nodige maatregelen nemen. Hierbij kan de server van Panda rekening houden met bepaalde uitbraakverschijnselen (verdachte bestanden die plots grootschalig opduiken) die een lokaal geïnstalleerde beveiligingsapplicatie niet ter beschikking heeft.

Werking

Omdat Panda de Malware Radar op bedrijven richt, is de geboden functionaliteit daar uiteraard ook op afgestemd. Zo genereert de dienst uitgebreide auditrapporten met alle gevonden niet-ontdekte malware en op welke pc en in welke subdirectory die verborgen zat en of die actief of latent (geïnstalleerd maar niet actief) is. In die rapporten vind je ook een lijst van geïnstalleerde beveiligingen en hun status: verouderde signatuurbestanden of onbeschermde pc’s worden hier duidelijk aangegeven. En ten slotte is er ook nog een lijst van ontdekte kwetsbaarheden die door malware uitgebuit zouden kunnen worden in het netwerk. Van dat alles vind je dan ook nog een lijst met aanbevelingen om al die gevonden problemen op te lossen.

Voor beheerders is het wel interessant dat dit allemaal zonder vooraf geïnstalleerde clientsoftware of agenten werkt. Je start de dienst met een webbrowser en kunt van daaruit scans laten uitvoeren van alle pc’s in het netwerk waarvoor je beheerdertoegang hebt met behulp van de Radar Distribution Tool of andere softwaredistributietechnieken die je in huis hebt (Tivoli, SMS, Active Directory, ...).

De aangevraagde scans kunnen ‘snel’ of ‘volledig’ zijn. De snelle scan duurt tussen vijf en tien minuten, de volledige scant alle data op alle harde schijven en dat kan dus wel even duren. Het zal duidelijk zijn dat de snelle scan niet alle malware detecteert als die verborgen zit in gebieden die dit type scan overslaat. Om helemaal zeker te zijn dat er geen malware aanwezig is, zul je de volledige scan moeten aanvragen. Vanaf een centrale beheerconsole kun je de voortgang van alle aangevraagde scans volgen. Het is mogelijk om scans te automatiseren, zodat ze bijvoorbeeld ook uitgevoerd kunnen worden bij pc’s of notebooks als die op dat moment niet op het netwerk of op internet aangesloten zijn. Het zal duidelijk zijn dat dit wel met behulp van een geïnstalleerde agent gaat, maar ook dit kan volautomatisch geregeld worden vanuit de centrale beheerconsole.