Zastavte šíření malwaru v podnikové síti (1.)

23. 7. 2009

Sdílet

Antivirová či antimalwarová ochrana pracovních stanic a serverů ve firemní síti má více aspektů než pouze zabezpečení jednotlivých počítačů. V našem dvoudílném článku vás seznámíme s obecnými vlastnostmi i konkrétními řešeními v této oblasti.

Základními stavebními kameny obranné hradby jsou pochopitelně kvalitní nástroje pro zamezení průniku a šíření škodlivého kódu, nicméně klíčovou roli hraje zejména efektivní centralizovaná správa antivirových nástrojů napříč všemi systémy v síti, neboť ta je dnes kriticky důležitým předpokladem dobré obranyschopnosti a pohotové reakce na hrozby v každé organizaci.

Dnes se prakticky už nenajde firma, jejíž pracovníci by neměli své počítače chráněny přinejmenším antivirem, který zabraňuje jejich napadení škodlivým kódem. Skutečně efektivní ochrana se ale neobejde bez možnosti neustálé kontroly a sledování stavu pracovních stanic a serverů z pohledu celé sítě, což vyžaduje disponovat adekvátním nástrojem centrální správy, který dá správcům IT možnost rychle reagovat na náhlé hrozby, problémy či incidenty.

V tomto testu jsme pozornost zaměřili na bezpečnostní sady určené pro segment SMB, jejichž úkolem je ochrana pracovních stanic (a serverů) v prostředí malých a středních firem před malwarem. Zastoupeny jsou konkrétně softwarové produkty společností Alwil Software, AVG, Eset a Kaspersky, přičemž se jedná o řešení, která sestávají ze samotných antimalwarových nástrojů a z centrální správy. Při testování jsme se soustředili na antivirové balíky pro ochranu pracovních stanic, případně firemních (souborových) serverů.

Základem všech testovaných řešení jsou antivirové nástroje, nasazené na straně pracovních stanic, potažmo souborových a jiných serverů, zajišťující ochranu před všemi typy škodlivého kódu, jako jsou viry, červy, trojany, spyware, rootkity, často doplněné také základním či osobním firewallem pro zabezpečení před případnými útoky. Na druhé straně pak stojí systém pro centrální správu, který slouží pro vzdálenou instalaci a aktualizaci antivirových programů a virových databází na jednotlivých počítačích, stejně jako ke sledování celkového stavu zabezpečení sítě i ke vzdálenému monitoringu jednotlivých koncových bodů. Kromě ochranných prostředků pro pracovní stanice nabízí většina výrobců komponenty pro zabezpečení souborových, poštovních, groupwarových a jiných serverů či gatewayí postavených na různých operačních platformách a dnes už poměrně běžně také antiviry pro různé typy mobilních zařízení, nebo nástroje zahrnující rovněž funkce firewallu nebo antispamu. I když každý z nich má své portfolio strukturované trochu jinak, vždy máte možnost výběru sady ochranných prostředků podle svých požadavků.

Při výběru bezpečnostního řešení hrají klíčovou roli právě možnosti správy – pozornost je vhodné zaměřit na funkce pro správu počítačů a uživatelů v síti a distribuci antivirových programů na klientské systémy, flexibilitu při tvorbě politik či plánování úloh a jejich aplikaci pro skupiny uživatelů i jednotlivce. Zapomínat byste neměli ani na možnosti varování či upozorňování na události a reporting vyhovující požadavkům IT oddělení i vedení firmy. Zvláštní pozornost je dobré věnovat pružnosti nastavení aktualizací, ty jsou totiž jedním z hlavních předpokladů účinné ochrany. Obvyklý scénář je kvůli efektivitě a minimalizaci využití šířky pásma internetového připojení založen na aktualizaci z centrální lokality (mirroru) v LAN, nicméně v současnosti je dobré věnovat pozornost i dalším možnostem. Jelikož stále více firemních pracovníků využívá přenosné počítače, s nimiž se k internetu připojují například z domova či z hotelu (a do podnikové LAN přistupují přes VPN), je obvykle nutné, aby v takovém případě bylo možné aplikovat alternativní scénář aktualizace, typicky přímo z internetu. Zatímco například aktualizace firemních politik klidně počká, až se uživatel znova objeví ve firmě, zanedbání updatu virové databáze by mohlo mít fatální následky.

K rozlišujícím faktorům v nabídkách výrobců patří škála nabízených bezpečnostních nástrojů – například firewallů či antispamových nástrojů. Prakticky každý výrobce nabízí hned několik variant programových sad, a můžete si proto vybrat mezi jinak podobnými verzemi antimalwarových balíků podle toho, který pro vás bude nejvýhodnější z hlediska skladby modulů a licencování. Mnozí z výrobců nabízejí pro SMB typicky balíky lišící se pouze přítomností antiviru a antispywaru, nebo také firewallu a antispamu pro pracovní stanice. Například antispam ale bývá často nasazen centrálně na poštovním serveru, takže jeho lokální instalace na pracovní stanici není nutná.

Jelikož zejména v malých a středních firmách není běžné, aby se o takové systémy starali bezpečnostní manažeři, kteří by byli na tuto oblast specializováni jak z hlediska odborných znalostí, tak i pracovního času, bude často třeba zejména najít vhodný kompromis mezi jednoduchostí správy a nutnou flexibilitou řešení.

Balíky a licencování
Licenční politiky většiny výrobců jsou poměrně jasné, ale zahrnují celou řadu aspektů, tudíž to, zda pro vás jsou či nejsou výhodné, zjistíte teprve podle konkrétní skladby a počtu licencí požadovaných komponent. Bezpečnostní balíky s centrální správou jsou vhodnou volbou pro firmy různých velikostí – nejen pro střední a velké podniky se stovkami až tisíci počítači a desítkami serverů, ale i pro ty s několika uživateli.

Často je možné a vyplatí se využívat centrální správu i pro pár pracovních stanic, neboť už v rámci ceny několika licencí pro pracovní stanice či servery je centrální správní konzole v podstatě zdarma a cena balíku prakticky odpovídá ceně licencí za programy instalované na chráněných pracovních stanicích či serverech. Úleva, jakou to přinese správci malé sítě, který má starost vše, co s IT nějak souvisí, tak může přijít vhod.

Rozsah instalace je cenovou politikou zpravidla reflektován tím, že jednotková cena licencí antivirů pro pracovní stanice i servery je nepřímo úměrná počtu licencí. U balíků pro střední a menší firmy je obvykle v rámci zakoupeného počtu licencí možné využít určitý počet z nich pro servery, zatímco zbytek je určen pro pracovní stanice. Většina výrobců nabízí specifické verze určené pro platformu Windows Small Business Server (SBS) – ty představují především z hlediska licencování výhodnější variantu pro ty subjekty ze segmentu SMB, které právě SBS využívají.

Dobré je také zvážit, zda budete chtít předem investovat do předplacení aktualizací a podpory na více než rok dopředu – to je možnost, kterou dnes zcela běžně nabízí většina výrobců antimalwaru, a znamená to na jedné straně výhodnější cenu za roční podporu, nicméně zároveň nutnost vyšší jednorázové investice.

avast! Standard Suite
Český Alwil Software nabízí pro firemní zabezpečení několik možností. K základním bezpečnostním prvkům patří antiviry avast! Professional Edition pro ochranu pracovních stanic a Server Edition, jež jsou spolu s centrální správní konzolí Distributed Network Manager nabízeny v rámci sady Standard Suite, kterou jsme vzali za základ tohoto testu.
Pokud budete vyžadovat navíc také ochranu Exchange serveru a unixových/linuxových serverů, najdete ji v jinak shodném v balíku Advanced Suite. Nabídku programových sad pro malé a střední firmy pak doplňuje ještě SBS Edition. Není nicméně bez zajímavosti, že centrální správa je fakticky zdarma pro všechny zákazníky, kteří vlastní alespoň dvě licence antiviru avast! Professional nebo jednu serverovou licenci.

Antivirus, který je základem tohoto balíku, je nyní k dispozici ve verzi 4.8, takže už především nabízí integrovanou plnohodnotnou ochranu proti rootkitům a spywaru. Kromě toho standardně zajišťuje rezidentní ochranu na úrovni souborového systému i zabezpečení e-mailu. Nechybí ani nástroje pro zabezpečení instant messagingu a P2P a tzv. Script Blocker, kontrolující skripty spouštěné systémem i v běžných prohlížečích. K dispozici je také webový a síťový štít proti internetovým červům, který pracuje jako základní IPS, nicméně firewall plně nenahradí. Serverová edice antiviru je určena typicky pro ochranu souborových serverů a podporuje také nasazení v prostředí clusterů či terminálových serverů.

Příjemnou vlastností antiviru avast! jsou nízké nároky na zdroje (malý „footprint“), díky nimž během testování nijak neohrožoval stabilitu chráněných počítačů. Také aktualizace databáze a samotné testování probíhalo svižně. K novinkám, které uživatelé i správci ocení, patří i posílená odolnost vůči pokusům škodlivého kódu narušit procesy antiviru či jeho soubory a záznamy v registru.

Systém centrální správy avast! Distributed Network Manager (ADNM) sestává ze tří základních komponent: jeho srdcem je avast! Management Server (AMS), využívající pro svou práci SQL databázi a ovládaný přes administrační konzoli (komunikace mezi konzolí a správním serverem je šifrována). Jako databázi lze použít buďto dedikovaný MS SQL Server, nebo – což pro menší sítě (včetně námi testované) bohatě postačuje – verzi MSDE, která je přímo součástí instalačního balíku ADNM. S ní se také zjednodušuje proces instalace.

ICTS24

Po ní je prvotním krokem vytvoření katalogu počítačů v síti, což se typicky provádí automatickým vyhledáním systémů v síti pomocí serverové úlohy. Pracovní stanice a servery lze uspořádat do stromové struktury, umožňující dědění nastavených politik s možností specifických nastavení pro jednotlivé stroje v síti. Instalaci antivirů lze provést více způsoby, přičemž pro testovací Windows klienty jsme mohli využít automatickou instalační úlohu, což je ta nejsnazší a většinou správců pravděpodobně preferovaná varianta, kdy stačí vytvořit instalační balíček a prostřednictvím průvodce nastavit detaily instalace včetně specifikace cílových počítačů či jejich skupiny. Dalšími možnostmi jsou manuální instalace či použití log-on skriptů nebo MSI balíčků. Avast! Dále podporuje také klonování disků, kdy pomocí speciálního nástroje dovoluje pouze změnit některé jedinečné parametry klonovaných instancí antiviru, jako je unikátní identifikátor pro autorizaci klienta na serveru AMS. Tichou instalaci (bez zásahu uživatele) může správce provést také včetně naplánovaných úloh a definovat, kdy dojde k restartu.

Administrační konzole umožňuje nastavit pro všechny počítače a skupiny podrobné politiky, naplánovat úlohy a provádět skenování na vyžádání. Samozřejmostí jsou možnosti varování e-mailem, pomocí Windows pop-ups, síťového tisku nebo přes MSN/Windows Messenger.

Pro aktualizaci virových databází klientů i samotných programů využívá ADNM aktualizační mirror vytvořený ve firemní v síti, z něhož se aktualizují všechny systémy bez toho, aby se musely za tímto účelem připojovat k internetu. Komunikace s klienty v LAN probíhá typicky pomocí metody push, tudíž aktualizace jsou iniciovány ze strany serveru AMS. Především pro mobilní uživatele s notebooky (připojující se do sítě nepravidelně) ale můžete zvolit metodu Pop, kdy je aktualizace a kontrola bezpečnostních politik iniciována ze strany klienta po jeho připojení k firemní LAN. Antiviry mobilních uživatelů připojujících se do LAN přes VPN se přitom mohou aktualizovat přes internet. Zajímavou možností jsou tzv. push aktualizace vyvolané serverem výrobce prostřednictvím protokolu SMTP, díky nimž zrcadlený zdroj ve firemní síti vždy obsahuje nejaktuálnější podobu antivirové databáze.

K dispozici jsou také solidní možnosti reportingu poskytující informace o počítačích v síti, virech a infekcích, akcí s vory atd. Reporty jsou k dispozici ve formátech PDF, HTML, DOC či XLS. Práce v administrační konzoli je přehledná a snadná a její možnosti dovolují flexibilní nastavení zabezpečení přesně podle konkrétního prostředí a požadavků. Coby antivirový specialista Alwil nenabízí variantu kombinovanou s antispamem. Pokud jde ale o antivirovou ochranu počítačů a systémů v podnikové síti, představuje kombinace produktů avast! velmi dobrou volbu s jednoduchou a průhlednou licenční politikou a všemi možnostmi, které pro zabezpečení svého prostředí potřebujete.

Pokračování článku vám přineseme zítra…