CA ITM komplikuje život digitálním vetřelcům

Poněkud nešťastným faktem v životě síťového administrátora je, že hrozby představované viry a malwarem asi jen ta...


Poněkud nešťastným faktem v životě síťového administrátora je, že hrozby
představované viry a malwarem asi jen tak brzy samy od sebe nezmizí. Ve
skutečnosti je tomu právě naopak jestli se má něco změnit, bude to rozhodně k
horšímu. Správa celopodnikových antivirových a antispywarových řešení je přitom
dosti obtížná; dvě aplikace představují dva samostatné předměty správy. Proč
tedy oba zmíněné bezpečnostní nástroje nezačlenit do společného řešení?
Právě to udělala společnost CA (Computer Associates) se svým systémem ITM
(Integrated Threat Management) r8, v němž bundluje eTrust AntiVirus a eTrust
PestPatrol Anti-Spyware Corporate Edition. ITM síťovým administrátorům dovoluje
vytvářet, spravovat a monitorovat politiky pro ochranu proti virům i malwaru z
jediné webové konzole v prohlížeči. Enginy pro skenování antiviru a malwaru v
reálném čase odváděly velmi slušnou, i když ne naprosto dokonalou práci, aby
naše systémy zůstaly nedotčeny škodlivým kódem. Skener pracující na vyžádání,
jejž ITM rovněž nabízí, pracoval excelentně, takže lokalizoval a vymýtil
jediného škůdce, který realtimovou kontrolou proklouzl.
Administrační a výstražný server ITM jsme nainstalovali na Windows 2003 Small
Business Server s veškerými nejnovějšími záplatami, jež Microsoft vydal.
Nastavení se naštěstí obešlo bez komplikací a systém byl v provozu zhruba během
30 minut. Agenty ITM jsme nainstalovali na několik Windows XP klientů, stejně
jako na stroj se systémem Windows 2003 Web Server Edition prostřednictvím
sdílení souborů. Administrátoři mohou agenta nasazovat s použitím tradičních
systémů pro distribuci softwaru, nebo jej mohou na klienty "protlačit" pomocí
přibalené utility pro vzdálenou instalaci.
V praxi
Během našeho hodnocení jsme si s využitím Internet Exploreru 6 prohlíželi
některé weby, o nichž víme, že se během prohlížení pokoušejí o instalace na
systémy nic netušících uživatelů. ITM úspěšně zabránilo různým javovým a Win32
trojským koňům a dalším lstivým exloitům, aby se vůbec dostaly na naše
testovací systémy. Dovolilo nicméně, aby se úspěšně nainstalovala nástrojová
lišta adwaru Istbar V; tato jedna položka byla ovšem rychle odstraněna, jakmile
jsme provedli skenování na vyžádání. Jeho spuštění lze provést takřka bez
námahy.
ITM je však něčím víc než pouhým balíkem dvou doplňujících se produktů. Oba
nástroje prošly aktualizací a vylepšením, přičemž většinu z nich si z obou
obsažených systémů přisvojil eTrust PestPatrol. Předchozí verze PestPatrol
nutily uživatele pracovat s těžkopádným textovým uživatelským rozhraním (UI) s
průměrným reportingem a nevalnou ochranou v reálném čase. Nyní prošlo rozhraní
velmi potřebnou generální opravou.
Zatímco eTrust AntiVirus již dříve těžil ze soudržného, centralizovaného
frameworku, který se staral o aktualizace politik i signatur, nyní na tomto
frameworku běží také PestPatrol a využívá inkrementálních updatů programu a
signatur. Novinkou je v této verzi to, že inkrementální antispywarové definice
a signatury jsou dostupné z ITM serveru nebo jsou sdíleny z lokálního
redistribučního serveru, aby bylo možné šetřit vzácnou šířku pásma WAN. To
znamená, že na rozdíl od předešlé verze už se nainstalované systémy nemusejí za
účelem aktualizace jednotlivě připojovat k webu CA.
Srdcem ITM je engine pro správu politik, kde CA odvedlo nejvíce práce, pokud
jde o integraci PestPatrolu do této kombinace. Ačkoliv jsou antivirus i
antispyware provázány dohromady v rámci správy, ve skutečnosti provozuje každý
klient samostatný engine pro každý typ ochrany. Proto také každý engine používá
svoji vlastní samostatnou sadu politik.
Volba patřičného ochranného enginu a následné sekce politik je velmi snadná a
únavná práce s uživatelským rozhraním je podstatné zčásti eliminována tím, že
je veškerá správa politik sjednocena do jednoho místa. Protože jsme přesně
věděli, s jakým ochranným enginem právě pracujeme, byli jsme schopni se rychle
dostat k nastavením, jež jsme potřebovali modifikovat.
Jakmile jsou různé politiky definovány, musejí je IT zaměstnanci přiřadit k
systémům, jež chtějí chránit. Flexibilní identifikační engine ITM zkoumá
podnikovou infrastrukturu a hledá systémy s instalovanými ITM agenty, jako jsou
servery nebo klientská PC. Protože ITM je aplikace podnikové třídy, zahrnuje
organizační systém, který IT dovoluje vytvářet skupiny a podskupiny klientů pro
efektivnější správu. Vytvořili jsme například hlavní skupinu, jež obsahovala
dvě podskupiny, kde každá reprezentovala jinou subsíť. Když jsme identifikovali
klienty, umísťovali jsme je do skupin odpovídajících subsíti, v níž se
nacházeli.
Administrátoři mohou aplikovat politiku ve kterémkoliv bodě ve stromu, přičemž
nižší skupiny zdědí politiky od skupin nad nimi. To umožňuje, aby byla hlavní
politika přiřazena na nejvyšší úrovni, čímž je zajištěno, že všichni klienti
mají základní politiku, avšak nižší podskupiny mohou mít přiřazeny své vlastní
politiky, které vyhovují lokálním potřebám, jako je definování lokálního
redistribučního serveru nebo specifických výjimek.
Reporting je další oblastí, kde eTrust Anti-Spyware učinil ve verzi Release 8
výrazný pokrok. Ty tam jsou jen čistě textové reporty, nyní si mohou
administrátoři vybírat z více než 70 předdefinovaných reportů. Většina reportů
přitom poskytuje odkazy, jež po kliknutí vedou dále k některým zvláštním
prostředkům v reportu nebo poskytují dodatečné informace. Mnohé z reportů, jako
třeba Top 10 virů a škůdců, poskytují rovněž grafy a diagramy aktivit malwaru.
Celkově vzato představuje Integrated Threat Management r8 výrazné zlepšení
oproti systému eTrust PestPatrol Anti-Spyware a současně excelentní bundle s
produktem eTrust AntiVirus. Uživatelské rozhraní je jasné a intuitivní a líbilo
se nám i to, jakým způsobem CA připravilo k použití správu politik pro každý
engine. Reporting je v této verzi taktéž hodně zdokonalen a sdílené stahování
aktualizací programů a signatur jak pro antivirus, tak pro antispyware je
vítaným doplňkem.
(wep) 6 1152
CA Integrated Threat Management r8
sjednocená správa, intuitivní rozhraní, reporting
ne zcela dokonalá ochrana v reálném čase
Prodejce: CA, www.ca.com/offices/
czechslovak
Cena (bez DPH): začíná na 27,69 eura za licenci (pro 750-999 licencí) a končí
na 50,34 eura za licenci (pro 1-49 licencí)
Platformy: všechny verze Windows, Unix,
Linux, Linux/390, NetWare, NetApp, Macintosh

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.