Wil je totale bescherming?

Endpoint security en antimalware

Virussen, wormen en soortgelijk gespuis dat de veiligheid van computers en servers bedreigt, noemen we malware. Oplossingen om een volledig netwerk daartegen te beschermen zijn netwerkantimalwareproducten. Wij testten zeven van dit soort oplossingen.

De meeste producenten van antimalware-oplossingen hebben in de loop der jaren van alles bedacht om duidelijk te maken dat ze meer doen dan alleen virussen bestrijden, maar vrijwel niemand noemt zijn product ‘antimalware’. Dat is toch wel eigenaardig. De tendens gaat tegenwoordig in de richting van de termen ‘client security’ of ‘endpoint security’, al heeft die omschrijving het nadeel dat het niet zo duidelijk is dat ook servers daartoe behoren.

De producenten van antimalwaresoftware geven de indruk dat ze totale bescherming bieden tegen malware. Helaas stellen wij elk jaar vast dat er altijd wel virussen en andere malware door de mazen van het beveiligingsnet glippen. Daarom moet de software naast de gebruikelijke scans ook een ijzersterke residente beveiliging bevatten, die alle wijzigingen aan de systeemsoftware controleert en zonodig verhindert.

In een netwerk is het probleem nog veel groter. Als één systeem besmet raakt, is het immers voor malware een koud kunstje om de rest van het netwerk ook te infiltreren. Daarom moet bedrijfsantimalwaresoftware niet alleen alle servers en werkstations beschermen, maar ook een fatsoenlijk centraal beheer bevatten.

Geteste producten

In alfabetische volgorde hebben we getest: CA Threat Manager r8.1; F-Secure Anti-Virus Corporate Suite 2007; Kaspersky KOSS 3; Panda Business Secure EnterpriSecure 2007, Sophos Endpoint Security and Control, Symantec Endpoint Protection 11.0 en TrendMicro OfficeScan 8. McAfee zou ook meedoen met onze test en wel met Total Protection Enterprise (VirusScan Enterprise 8.5i + AntiSpyware Enterprise 8), maar op het laatste moment kregen we een e-mail met de boodschap dat McAfee geen ‘resources’ had om deel te nemen. Omdat het bedrijf wel onze vragenlijst had ingevuld, hebben we het product opgenomen in onze informatietabellen, maar de gemeten prestaties zijn die van onze vorige antimalwaretest (voorjaar 2007). Voor de details van de gebruikte testmethode verwijzen we u naar onze website. (zie kader)

CA Threat Manager

CA Threat Manager of kortweg TM is een beheeromgeving rondom twee ouwe getrouwen van CA inzake beveiliging: CA AntiVirus en CA PestPatrol. De beheeromgeving bestaat uit een herdistributieserver (optioneel), een TM-server en een TM-console. Op de diverse pc’s en servers in het netwerk draait een TM-agent. Die agent heeft een eigen webinterface die u lokaal kunt oproepen, net als een lokaal geïnstalleerd antimalwareprogramma. Door die webinterface neemt de agent meer systeembronnen in beslag dan we verwachtten. De TM-console beheert alle agenten over het hele netwerk. Dat netwerk kun je indelen in boomstructuren van organisaties en subnetten.

CA ITM r8 biedt een vlot centraal beheer en in tegenstelling tot bij de vorige versie werkt de webinterface nu ook met Firefox. De gebruikersinterface is policy-gebaseerd, maar je hebt wat studietijd nodig om alles onder de knie te krijgen. De beveiligingsprestaties blijken goed, maar niet uitstekend.

F-Secure

F-Secure biedt Policy Manager als centraal beheer voor de beveiliging. De gedefinieerde ‘security policy’ wordt gebruikt door alle beveiligingssoftware van F-Secure. Ondanks de naam bestrijdt dit product naast virussen ook andere malware. F-Secure biedt voor Windows-servers aangepaste antimalwareproduten voor file- en Exchange servers. Voor desktopsystemen is er een werkstationantimalwaremodule of Client Security. Policy Manager, dat trouwens ook voor Linux bestaat, kan dit dus net als de andere antimalwareproducten van F-Secure ook volledig op afstand beheren. De beveiligingsoplossing van F-Secure kent geen quarantaine. Bij de producten voor eindgebruikers kan dit wel, maar niet bij de netwerkproducten.

Qua detectie en blokkeren van malware haalt F-Secure de hoogste scores van alle producten in deze test, maar het gaat trager dan bij onze test van vorig jaar. Ook schoonmaken doet F-Secure erg goed.

Kaspersky

Kaspersky biedt antimalware voor vrijwel elk populair platform. ‘KOSS’ staat overigens voor ‘Kaspersky Open Space Security’. Alle producten voor alle platformen kunt u centraal beheren via de Kaspersky Administration Kit, een MMC-applicatie. De gebruikersinterface van de Administration Kit is duidelijk niet voor beginners ontworpen, maar ervaren beheerders zullen er geen moeite mee hebben. De Administration Kit geeft je de mogelijkheid te werken met naar keuze Microsoft SQL Server of MySQL databaseserver. Dat laatste blijkt niet goed te werken. Onze MySQL-server blijkt een te laag versienummer te hebben. De foutmelding die de software geeft zou hier duidelijker over mogen zijn.

In onze test haalt Kaspersky een goed, maar niet uitstekend resultaat bij de antivirustest; bovendien laat het product naar onze mening wat te veel malware door de mazen van het net glippen. Dit is desondanks een erg degelijk beveiligingsproduct. Gecombineerd met een werkelijk zeer uitgebreide functionaliteit en de laagste prijs per gebruiker, is dit product daarom onze beste koop.

Panda

Naast zijn standaard antimalwaresoftware voor client-pc’s biedt Panda netwerkondersteuning in de vorm van AdminSecure, dat onder Windows draait. Die software spoort servers en werkstation in een netwerk op en laat het centrale beheer ervan toe. AdminSecure blijft een van de meest gebruikersvriendelijkste en fraaist ogende beheercentrales. De software van Panda kan met computers communiceren zodra ze een agent aan boord hebben, en voor die agentdistributie krijgt u verschillende mogelijkheden aangereikt die bijna garanderen dat het lukt om die agent op afstand op een pc of server te krijgen. Geen enkele andere fabrikant maakt dit zo eenvoudig als Panda. Panda ondersteunt Windows, Linux, DOS en biedt extra ondersteuning voor Outlook/Exchange-postsystemen.

Panda blijkt volgens onze testen enorm goed in het stoppen van malware en het is een van onze twee topscorers.

Sophos

Sophos spreekt niet meer over antivirus of antispyware of anti-wat-dan-ook. Beveiliging moet een geïntegreerd geheel zijn en over het hele bedrijf tegelijk aangepakt worden, vindt Sophos. Dat is terecht en veel concurrenten delen die mening. Sophos Endpoint Security and Control is een systeem van totaalbeveiliging voor alle netwerkeindpunten (computers en mobiele toestellen): dus zowel antimalware als firewall als reglementnalevings- en netwerktoegangscontrole.

Het beheer bestaat uit twee delen: de Enterprise Manager (een MMC-console) voor het downloaden van de software- en updatepakketten en de Enterprise Console voor het opleggen van de beveiligingsreglementen, het beheren van de clients of ‘endpoints’ en voor de software- en updatedistributie. De persoonlijke firewall is overigens alleen beschikbaar voor Windows 2000 en hoger, terwijl de antivirusmodule werkt vanaf Windows 98 en hoger, Linux en MacOS.

Over het centrale beheer hebben we maar één klacht. Wij gebruiken een Active Directory testdomein en hoewel de Enterprise Console de antimalwaresoftware kon installeren op andere computers (servers en werkstations), verschenen die pas na ruim een kwartier tot twintig minuten in de Console. Dat kan beter.

Sophos heeft zijn antimalwareproduct voorzien van twee nieuwigheden: HIPS (Host Intrusion Prevention System, een inbraakpreventiesysteem) en BGP (Behavorial Genotype Protection, een bescherming via gedragsanalyse). Deze zorgen voor bescherming tegen malware waarvoor nog geen signaturen bestaan door in de achtergrond het gedrag van alle gestarte applicaties te analyseren en zodra er verdacht gedrag wordt gedetecteerd, dat onmiddellijk te verhinderen. Sophos levert geen slechte virusdetector, maar hij is helemaal niet goed in het schoonmaken van virussen uit programmabestanden en doet dat ook slechter dan de concurrentie bij besmette Office-documenten. Ook bij de malwaretest laat hij helaas een aantal steekjes vallen.

Symantec

Symantec Endpoint Protection r11.0 beschermt alle eindpunten (servers, werkstations en mobiele stations) tegen malware en beveiligt ze met een afdwingbaar beveiligingsreglement. Symantec laat de vroegere aparte licenties voor alle individuele onderdelen van deze suite vervallen: de klant betaalt nog één licentie voor de hele beveiliging. Daar zit nogal wat in: personal firewall, apparaat- en applicatiecontrole, antimalware, antirootkit (VxD-sturingen), gedragsanalyse, inbraakbescherming voor netwerk en eindpunten. Symantec maakt het zelfs heel erg interessant voor bestaande klanten, want zij die een geldig onderhoudscontract hebben voor Symantec Antivirus 9 en 10 kunnen volledig en zonder meerprijs overstappen naar Endpoint Protection r11.0.

Het centraal beheer werkt vanuit een ‘Management Server’ (beheerserver), die niet langer zoals vroeger bij Symantec MMC-, maar webgebaseerd is. Het is meteen duidelijk dat je het best zeer krachtige hardware kunt gebruiken, want op Pentium IV-testsystemen met 2 GiB RAM werkte alles tergend traag.

Symantec EP11 blijkt vrij goed in pure virusdetectie, maar kan slechts ongeveer één derde van de besmette bestanden ook weer schoonmaken. Bij het blokkeren van malware gaat het wat beter. Hij hield al onze testmalware tegen, al moest dat bij sommige in meer scanbeurten. Dat is net niet goed genoeg voor de topprestaties in deze test, maar het komt er wel dicht bij in de buurt. Symantec zou wel iets moeten doen aan de werksnelheid.

TrendMicro

TrendMicro levert verschillende combinaties van zijn antimalware-oplossingen. Wij testten Enterprise Protection. De bundel bestaat uit OfficeScan-serveredities voor Windows-, Linux- en NetWare-servers en uit OfficeScan-desktopedities voor Windows-desktops en -notebooks. De OfficeScan-server kan zo’n vijftigduizend clients bedienen volgens TrendMicro en de documentatie raadt dan ook aan een tweede OfficeScan-server te installeren als je er meer dan dat aantal wil beveiligen. De server werkt samen met een webserver om clients (ook remote clients) toegang te geven tot het beveiligingsproduct. Die webserver kan zowel IIS als Apache zijn. Het beheer werkt met een webinterface die omwille van de gebruikte ActiveX-controles IE vereist.

Het opruimen van malware vergt een optionele licentie ‘Damage Cleanup Services’. Omdat deze test over antimalware gaat, bekijken we het product daarom inclusief deze licentie. OfficeScan beschermt ook draadloze toestellen en in het bijzonder pda’s. Op servers biedt OfficeScan buiten de actieve malwarebestrijding nog een ‘enterprise firewall’-beveiliging.

OfficeScan kent vrij unieke functies voor virusuitbraakpreventie (bedoeld om bij een uitgebroken virus in een netwerk de machines die nog schoon zijn meteen af te schermen), een virusuitbraakmonitor (een bewakingssysteem dat elke overtreding van de firewallregels meldt), en ondersteuning voor Cisco NAC (Cisco Network Admissions Control, een systeem met strikte toegangsreglementen voor eindnodes in netwerken).

TrendMicro geeft een vrij goed resultaat bij de virusdetectietesten, maar laat toch enige steekjes vallen bij het schoonmaken van virussen en malware.