Naast virussen zorgt vandaag ook ‘malware’ zoals adware, spyware, trojans en loggers voor beveiligingsproblemen binnen bedrijven. We testten zeven netwerkantimalwareproducten.
Als een bedrijf antivirus- en antimalwaresoftware draait, is het dan veilig? De producenten van antimalwaresoftware beweren natuurlijk van wel. Helaas stellen wij echter ieder jaar vast dat er altijd wel meerdere virussen en malware door de mazen van het net glippen. Detectie alleen is dus niet voldoende. Een netwerkantimalwarepakket dat zich beperkt tot het beschermen van alleen de netwerkserver is ook al fout bezig. Een afdoende malwarebescherming pakt zowel de servers als de werkstations aan en probeert naast de detectie ook onbekende malware te blokkeren. Preventie is dus heel erg belangrijk. Preventie werkt met een in de achtergrond draaiende kernsysteemtaak die alle mogelijke wijzigingen aan Windows en de systeembestanden van dat besturingssysteem, maar ook het register bewaakt op zoek naar ongerijmdheden. Preventie is belangrijk voor zowel virussen als malware. Detectie is ook belangrijk bij virussen, maar veel minder bij malware. Zonder een degelijke preventie is er vrijwel geen schijn van kans om malwareaanvallen te blokkeren, terwijl een uitstekende virusdetectie toch de meeste virusaanvallen zal weten te pareren als – en dat is van het allergrootste belang – de malware-informatiebestanden vaak genoeg (dus minimaal eenmaal dagelijks) geüpdatet worden.
Netwerken
Eén pc – of dat nu een alleenstaand systeem, een werkstation of een server is – van antimalwaremaatregelen voorzien is één zaak, maar hoe zit het met een heel netwerk? Als malware op een werkstation door de mazen van het net glipt, is het vaak een koud kunstje om alle andere aangesloten systemen te besmetten. En als de server besmet raakt, is het hek helemaal van de dam. Antimalwaresoftware voor netwerken moet dus meer doen dan alleen alle werkstations en alle servers beschermen. Omdat het om een groot aantal systemen kan gaan, moet er een mogelijkheid zijn om installatie, configuratie en allerlei andere werkzaamheden gecentraliseerd te regelen. Bijgevolg hebben we alle antimalwaresoftware geweerd die geen echt centraal beheer aan boord had en we hebben aan alle producenten om ‘enterprise’ of ‘corporate’ edities gevraagd.
Testmethode antivirus
Onze testmethode voor netwerkantimalwareproducten bestaat uit twee fasen: een antivirustest en een antimalwaretest. Bij virussen komt besmetting het meest voor omdat u een bestand binnenkrijgt via e-mail of een opslagmedium. Virusdetectie is dus een heel belangrijke eerste stap want die voorkomt dat uw systeem besmet raakt. Uiteraard moet er ook een achtergrondcontrole zijn die een virus dat toch gestart is op uw systeem, blokkeert. Een besmetting treedt heel vaak op een meer argeloze manier op: terwijl u surft, of eventueel ingebed in software die u installeert. Daarom lijkt ons de residente malwareblokkering de belangrijkste factor in de tweede fase van de test. Voor de antivirustest doen we daarom een detectie- en schoonmaaktest, en voor de antimalwaretest kijken we of de software in staat is een besmetting met honderden malwarevormen te voorkomen of, als dat toch lukt, het systeem met succes weer te zuiveren. Naast deze prestatietesten hebben we ook punten gegeven op de functionaliteit en netwerkbeheerfaciliteiten van de diverse producten.
Onze eigen collectie van virussen beperken we vanaf nu tot EXE-virussen en macrovirussen. We hebben – gemeen als we zijn – een paar ‘false positives’ of valse positieven apart gezet: een virusdetector krijgt strafpunten als hij die herkent als een virus (het zijn namelijk geen echte virussen of ander kwaadaardig spul).
Testmethode antimalware
Voor de antimalwaretest interesseert ons vooral of de software in staat is een schoon systeem malwarevrij te houden. Daartoe hebben we een gewone pc uitgerust met Windows XP en voorzien van alle door Microsoft aan bevolen updates. Vervolgens installeren we op deze ‘zuivere’ client de antimalwaresoftware zoals de producent dat voorschrijft. Als normale gebruiker zou u nu gaan rondsurfen en wellicht allerlei dingen uitproberen. Wij nemen de kortste weg en dus downloaden en installeren we een op het eerste zicht leuke gratis mp3-speler: FreeMP3 Player. Helaas installeert deze gratis speler onder de neus van de gebruiker een waar bataljon aan malware: daar zitten een paar zéér hardnekkige bij. Als niets de malware tegenhoudt, heeft de onfortuinlijke pc maar liefst meer dan 400 registerinschrijvingen, meer dan 250 bestanden en ettelijke geheugenlocaties besmet met in totaal een twintigtal malwarefamilies!
Zoals u begrijpt is het uiteraard de bedoeling dat de antimalwareoplossing op deze client-pc alle malware tegenhoudt. Hierbij aanvaarden we dat de malwarebestrijder de installatie van de hele mp3-speler tegenhoudt. Als de mp3-speler geïnstalleerd raakt, starten we die uiteraard en proberen een paar dingen uit, zoals mp3’s afspelen. Pas daarna gaan we controleren hoeveel malware op ons testsysteem aanwezig is. Dat doen we eerst met de te testen antimalwaresoftware. Als die zegt dat er geen malware meer isn, controleren we het handmatig. De toegekende testscore is uiteraard afhankelijk van hoeveel malware verwijderd werd en hoe gevaarlijk die was. Hoe meer malware we achteraf tijdens onze handmatige controle niet kunnen terugvinden, hoe hoger de score.
Producten
We vroegen de bekendste producenten van netwerkantivirussoftware ons een pakket ter evaluatie op te sturen. Sophos reageerde ondanks herhaaldelijk aandringen niet voor onze deadline, hoewel het bedrijf erover klaagde dat ze niet in onze vorige testen voorkwamen (om dezelfde reden overigens). Sophos vindt u daarom weer niet terug; hopelijk kunnen we het achteraf nog een keer apart testen. Wat hebben we uiteindelijk wel getest? Computer Associates eTrust Integrated Threat Management; F-Secure Anti-Virus Corporate Suite; Kaspersky Business Optimal Suite; McAfee VirusScan Enterprise; Panda EnterpriSecure 2006, Symantec AntiVirus Corporate Edition en TrendMicro OfficeScan Client/Server Edition. Vanaf nu testen we Norman niet meer omdat dat bedrijf al meermaals te kennen gaf niet akkoord te gaan met onze testmethode (hoewel de producten van Norman niet altijd, maar soms wel zeer goed uit onze testen komen). Zodra het bedrijf zich schriftelijk akkoord verklaart met onze testmethode, mag het opnieuw meedoen.
CA Integrated Threat Management r8
CA ITM r8 bied vrij vlot centraal beheer, maar het is jammer dat de webinterface IE-specifiek is. De gebruiksinterface is policy-gebaseerd, maar u zult wat studietijd nodig hebben om alles onder de knie te krijgen. De lokale console schijnt daarentegen alleen op virusbestrijding te slaan en negeert malware volledig, al is de software om die te bestrijden wel degelijk aanwezig. Daar heeft CA dus nog wat werk aan. De beveiligingsprestaties op het vlak van virussen en malware blijken goed, maar niet uitstekend.
F-Secure Anti-Virus Corporate Suite 2006
F-Secure heeft eveneens een policy-gebaseerd centraal beheer. De F-Secure Policy Manager is behalve voor Windows ook beschikbaar voor Linux. Een eigenaardigheid is dat F-Secure geen quarantaine kent: verdachte bestanden kunt u wissen, hernoemen, schoonmaken of loggen, maar dus niet verplaatsen of in quarantaine laten zetten. De beheermodule stelt u in staat specifieke detectoractiviteiten en -parameters vast te leggen voor ieder van F-Secure voorzien netwerkstation, en u kunt software distribueren naar aangesloten clients toe. De detectie- en schoonmaakactiviteiten voor virussen en de blokkerings- en schoonmaakactiviteiten van malware blijken onovertroffen: F-Secure haalt de topscores voor beide in onze testen. De scansnelheid blijkt erg hoog. Alleen qua functionaliteit blijft dit product achter op de concurrentie.
Kaspersky Anti-Virus
Business Optimal Suite
Het Russische Kaspersky biedt antivirus- en ondanks de productnaam ook antimalwarebescherming voor zowat elk populair platform. De netwerkkoppeling van al die platformen gebeurt via de policy-gebaseerde Kaspersky Administration Kit, een MMC-applicatie die alleen onder Windows draait. Bij de antivirusmodule voor Windows fileservers blijkt het detecteren van ‘riskware’ standaard uitgeschakeld te zijn. Wij suggereren dus dat u die optie in het configuratiepaneel aanvinkt en die daaronder voor de detectie van hackergereedschappen ook. Bij de werkstationsoftware staat de malwarebestrijding wel standaard ingeschakeld. Kaspersky maakt zijn antimalware-engine voor een indrukwekkende verzameling platforms, waaronder als een van de zeer weinige ook Solaris. Kasperksy heeft helaas nagelaten ons tijdig de juiste licenties te bezorgen voor de server- en werkstationproducten, waardoor we de prestatietesten niet konden uitvoeren. Bovendien hadden we ook niet de beschikking over de allerlaatste versie 6 en hebben we dus versie 5.0.77 bekeken, de enige versie die downloadbaar stond. De productinfo in de tabel slaat overigens wel degelijk op de nieuwe versie 6. Omdat de onderliggende bestrijdingsengines dezelfde zijn als die van het gewone desktopantimalwareproduct voor particulieren en we daar wel een geldige licentie van hadden, hebben we de prestatietest met dat desktopproduct uitgevoerd om u toch enige resultaten te kunnen geven. En dan zien we dat Kaspersky een goed, maar niet uitstekend resultaat haalt bij de antivirustest en dat het product wat ons betreft wat te veel malware door de mazen van het net laat glippen. Gecombineerd met een werkelijk zeer uitgebreide functionaliteit en de laagste prijs per gebruiker van iedereen, is dit product wel met stip onze beste koop.
McAfee VirusScan Enterprise
Het Amerikaanse McAfee heeft van oudsher ongeveer de bekendste naam als het gaat om de bestrijding van computervirussen. Hoewel hun huidige producten nog altijd het woord ‘virus’ vermelden, bestrijden ze tegenwoordig wel degelijk ook malware. Net als bij de concurrentie bestaat de malwarebestrijding bij McAfee uit detectie en preventie. De antimalwaresoftware van McAfee gaat daarin net ver genoeg om de meeste onbekende malwaresoorten een flinke hak te zetten. Bij VirusScan Enterprise krijgt u VirusScan om zowel servers als werkstations mee te beschermen. De ePolicy Orchestrator zorgt voor het centrale beheer. Dit is echter een apart aan te schaffen optie. Overigens kan McAfee tegelijk met zowel Windows (meerdere domeinen) als NetWare werken. De hele interface doet wat oubollig aan, maar de software bleef dan ook sinds 2004 ongewijzigd. Bij de ‘Unwanted Programs Policy’ staan malwarevormen standaard uitgeschakeld, terwijl het ons juist een goed idee lijkt om die allemaal aan te vinken. McAfee haalt een uitstekend resultaat bij onze antivirus- en antimalwareproeven (en haalt zelfs de topscore op de virusschoonmaaktest), maar stelt wat teleur op het vlak van functionaliteit en netwerkbeheer in vergelijking met de andere producten in deze test. Voor deze beoordeling hebben we geen rekening gehouden met McAfee ePO omdat dat immers een optie is.
Panda EnterpriSecure 2006
Naast de standaard desktopvirusbestrijder (die ook malware bestrijdt) biedt Panda netwerkondersteuning in de vorm van Panda AdminSecure. Dit is in feite software om servers en werkstation in een netwerk (ook in meerdere domeinen en zowel Windows als Linux als NetWare) op te sporen en daarvan dan de antimalware-administratie te doen. Deze antimalware-administratie is policy-gebaseerd, maar draait alleen onder Windows. We moeten wel zeggen dat AdminSecure een van de meest gebruiksvriendelijkste en fraaist ogende beheercentrales is die we tot dusver onder ogen kregen. Panda biedt gelukkig ook WebAdmin waarmee u voor een verse installatie compleet opnieuw kunt beginnen: u hoeft alleen naar de speciale WebAdmin-site van Panda te surfen en van daaruit wordt alles voor u gedownload en geïnstalleerd. Panda ondersteunt aan de clientkant Windows, Linux en DOS plus Outlook/Exchange-mailsystemen. De Panda antimalwaresoftware is net zoals het bijbehorende centrale beheer erg gebruiksvriendelijk. Alleen moet Panda de taalondersteuning nog eens nalopen: bij het doorlopen van de Engelstalige interface kregen we toch af en toe nog hele schermen of losse woorden hier en daar in het Spaans te zien. En dat is natuurlijk hinderlijk voor een gebruiker die het Spaans niet machtig is… Panda blijkt volgens onze testen enorm goed in het stoppen van zowel virussen als malware en het is onze topscorer.
Symantec AntiVirus Corporate Edition
De Corporate Edition van Symantec AntiVirus omvat alle desktopantivirusproducten, serverantivirussoftware voor Windows NT/2000/2003 en NetWare en speciale in MMC geïntegreerde beheersoftware om alles samen te binden. Symantec spreekt alleen over ‘antivirus’, maar vanaf versie 10 kan de antivirusmotor wel degelijk ook malware herkennen en bestrijden en zou Symantec dus eigenlijk van antimalware mogen spreken. De beheersoftware heet Symantec System Center of kortweg SSC en draait uitsluitend onder Windows. U bedient er het antimalwarebeheer mee, het waarschuwings- en meldingsbeheer en het quarantainebeheer. Daarnaast kunnen nog andere beheercomponenten aan het SSC toegevoerd worden. Desgewenst kunt u alles loskoppelen en op aparte servers draaien. Het welbekende LiveUpdate van Symantec zorgt over de hele lijn voor het bijwerken van zowel software als malware-informatiebestanden. Symantec verliest bij de antivirustest vooral punten op de schoonmaakproef, maar doet het wel prima bij de detectie. Ook voor de antimalwaretest haalt Symantec een mooi resultaat.
TrendMicro Enterprise Protection (Client/Server Bundle + Damage Cleanup Service)
TrendMicro levert verschillende combinaties van zijn antimalware-oplossingen. Wij kozen voor Enterprise Protection; die bevat alles wat maar nodig is om zowel clients als servers en alle communicatie tussen hen en met het internet te beschermen. De bundel bestaat uit OfficeScan serveredities voor Windows, Linux en NetWare servers en uit OfficeScan desktopedities voor Windows desktops en notebooks. De OfficeScan server werkt samen met een webserver om clients (ook remote clients) toegang te geven tot het beveiligingsproduct. Die webserver kan zowel IIS als Apache 2.0 zijn. OfficeScan ondersteunt meerdere methodes om clients aan hun beveiliging te helpen, bijvoorbeeld ook via een webinterface. Het hele beheer werkt met een webinterface en dat betekent meteen dat u het vanaf elke pc kunt doen. Op de clients draait niet gewoon een agent, maar een volwaardige antivirusclient. Gebruikers kunnen dus zelf ook scans uitvoeren als ze dat willen. Standaard ruimt OfficeScan overigens geen malware op: daarvoor hebt u een optionele licentie ‘Damage Cleanup Services’ nodig. Bij deze test, omdat die immers over antimalware gaat, bekijken we het product dus inclusief deze licentie. Leuk om te weten: OfficeScan beschermt ook draadloze toestellen en in het bijzonder pda’s. TrendMicro geeft een vrij goed resultaat bij de virusdetectietesten, maar laat toch enige steekjes vallen bij het schoonmaken van virussen en malware.
