Comodo udostępnił nowy produkt do ochrony systemów Windows (od XP po W10) – Comodo Cloud Antivirus. Produkt ten przeznaczony jest głównie dla użytkowników komputerów indywidualnych i prawdopodobnie dla pracowników mikro i małych firm, którzy nie potrzebują własnej konsoli zarządzającej. Piszemy „prawdopodobnie”, bowiem nie udało nam się uzyskać od producenta jednoznacznej odpowiedzi na pytanie, co do zasady licencjonowania – ani poprzez oficjalne kanały: e-mail, Geek Buddy, ani na profilu społecznościowym. Dlatego w tym miejscu, jednoosobowym firmom, małym przedsiębiorstwom rodzinnym i tym wszystkim, którzy chcieliby komercyjnie chronić swoje komputery przy pomocy Comodo Cloud Antivirus radzimy, by nadal korzystali ze sprawdzonej i skutecznej wersji Comodo Internet Security. W wiernym użytkownikom Comodo Internet Security na razie nie polecamy przesiadki na wersję „w chmurze”.
A zatem, czy reklamowany przez producenta Comodo Cloud Antivirus jako „21st Century endpoint protection… its the next generation of windows endpoint protection!” jest faktycznie skuteczny, tak, jak wersja tradycyjna – Internet Security?
Czym charakteryzuje się Comodo Cloud Antivirus?
Program w stosunku do starszego brata Internet Security 8.2 został mocno okrojony z funkcji. I to widać na pierwszy rzut oka – zmienił się nie tylko interfejs (w zasadzie jego wygląd), ale także to wszystko, co znajduje się pod „maską”.
Przechodząc do stawień programu, trudno doszukać się np. konfiguracji modułu HIPS, który został całkowicie wyrzucony. Nie wiadomo także nic o skorelowaniu jego działania z ochroną lokalną przy wykorzystaniu cloud computingu i opracowanych technologii Comodo bazujących na chmurze. Zrezygnowano także z firewall’u na rzecz tego systemowego. Producent pozbył się dodatkowych narzędzi typu Virtual Kiosk (bezpiecznego środowiska do przelewów i testowania oprogramowania), dysku ratunkowego, KillSwitch, czy Comodo Cleaning Essentials. Pozostawiono maksymalnie okrojoną wersję, która po zainstalowaniu waży w granicach 10MB.
Comodo Cloud Antivirus opiera swoje działanie o heurystyczne algorytmy, sygnatury przechowywane w chmurze, reputację plików oraz piaskownicę, która na szczęście nie została pozbawiona swoich kluczowych cech. Nadal, uruchamiając w systemie potencjalnie groźny plik – a więc taki, który Comodo nie rozpoznaje w sygnaturach i jednocześnie taki, którego reputacja nie jest z góry określona, sprawi, że plik będzie uruchomiony w odizolowanym środowisku sandbox, gdzie Comodo emuluje dla takiego pliku / aplikacji dostęp do CPU, RAM, rejestru systemowego, a wszystkie wprowadzone zmiany w systemie zapisuje w katalogu ukrytym w lokalizacji C:CCAV. A więc potencjalny ransomware, który będzie próbował zaszyfrować dane, zrobi to, lecz z kopiami plików. Oryginalne dane pozostaną nienaruszone.
A skoro jesteśmy przy ransomware i metodach ochrony, polecamy zapoznać się z najnowszym Arcabit Internet Security i autorską technologią SafeStorage, dla której żadne wirusy krypto-ransomware nie stwarzają już zagrożenia. Administratorzy oraz pracownicy działów IT mogą zapoznać się też z najnowszą konsolą Arcabit Administrator.
Testy Comodo Cloud Antvirus
Zainstalowany w systemie Windows 10 x64 Enterprise Edition na ustawieniach domyślnych program Comodo Cloud Antivirus w wersji 1.0.379757.116 poddano badaniu, którego celem było sprawdzenie faktycznej skuteczności ochrony przed szkodliwym oprogramowaniem.
1. W pierwszej fazie, do testu przygotowano 40 linków, które prowadziły bezpośrednio do plików wykonywalnych, z czego antywirus Comodo Cloud Antivirus nie zablokował żadnego.
Dla wielu użytkowników nie będzie niespodzianką, że ochrona Comodo na poziomie HTTPS sprowadza się jedynie do weryfikowania nazw mnemonicznych – i to tylko w Comodo Internet Security za pomocą bezpiecznych serwerów DNS (Comodo Secure DNS).
2. W drugiej fazie sprawdzano wykrywalność ochrony po zapisaniu złośliwych plików na dysk. Comodo Cloud Antivirus zidentyfikował automatycznie 6 na 40.
3. W trzeciej fazie, gdzie złośliwy kod jest uruchamiany, a do ochrony rzucone są wszystkie technologie proaktywne, Comodo Cloud Antivirus samą tylko automatyczną piaskownicą „zidentyfikował” 34/40 zagrożeń.
Uruchomienie nierozpoznawanego pliku przez Comodo spowoduje, że antywirus wyświetli powiadomienie piaskownicy. Jeśli dany program nie będzie posiadał opracowanej sygnatury w bazie wirusów Comodo, i dodatkowo, jeśli reputacja tego programu nie będzie znana, a sam plik nie będzie znajdował się na liście zaufanych dostawców oprogramowania (których jest kilka tysięcy), spowoduje to, że Comodo wyświetli komunikat z zapytaniem, czy plik zablokować, uruchomić w piaskownicy lub uruchomić jako bezpieczny (patrz poniższy screen). Takie podejście do bezpieczeństwa jest bardzo dobrym rozwiązaniem, jednak skierowane jest raczej dla użytkowników, którzy wiedzą co mają zamiar zrobić i jakie będą tego skutki.
Aplikacja uruchomiona w piaskownicy nie zawsze będzie działać poprawnie. Jej wydajność będzie gorsza, niż gdyby została uruchomiona poza piaskownicą. Jednak niweluje to ryzyko uruchomienia nieznanego kodu, który mógłby się okazać 0-day (trojanem bankowym, nową próbką ransomware) i przywędrować do ofiary np. jako załącznik.
W takim przypadku zadaniem testera jest tak podejmować decyzje, aby nie dopuścić do infekcji i eskalacji incydentu.
Pomimo dobrej ochrony w czasie rzeczywistym (wszystkie zagrożenia zostały zablokowane i ogólna skuteczność Comodo Cloud Antivirus to 100%), to producent musi jeszcze popracować nad aplikacją, co przedstawia poniższe wideo:
SHA256 pliku wykorzystanego w materiale wideo: 62252627677224655e9934dd5884b67bab96437bfaa5f21ff677d3ee3bcdebd3
Wydajność
Host: CPU AMD FX-6300, RAM: 8GB DDR3
W wirtualnym systemie Windows 10 x64 Enterprise Edition z przydzielonymi 6 rdzeniami i 2GB pamięci RAM sprawdzono wydajność Comodo Cloud Antivirus, gdzie pod uwagę brano wyłącznie procesy wykreowane przez aplikację antywirusową. Metoda ta pozwala odseparować zużycie procesora oraz pamięci RAM zainstalowanych aplikacji oraz systemu od programu antywirusowego.
W trybie jałowym, podczas 5-minutowego testu, wyniki zbierano co jedną sekundę. Średnio, Comodo Cloud Antivirus do działania potrzebował 0,923% czasu procesora i ~19MB pamięci RAM.
Podczas 5-minutowego skanowania, procesy Comodo Cloud Antivirus średnio zużywały 9,368% czasu procesora i ~27MB RAM. Wynik bardzo dobry.
Wnioski
Comodo, tak jak i inni dostawcy oprogramowania antywirusowego dla użytkowników indywidualnych, zmierzają w kierunku automatyzacji, integracji usług z chmurą i maksymalnego uproszczenia. Czy jest to dobry kierunek? Dla grupy osób, która od antywirusa oczekuje, iż będzie aplikacją nie nastarczającą problemów i która nie będzie generować zapytań – na pewno tak. Dla grupy co najmniej średnio-zaawansowanej, Comodo Cloud Antivirus jest programem, któremu jeszcze daleko do swojego poprzednika. Rozumiemy też, że są to dwa różne programy. Oba za darmo, w dodatku reprezentują inny poziom. A skoro producent daje wybór – wybieramy Comodo Internet Security 8.2 i czekamy na kolejną wersję 8.3 lub 9 – o ile taka się pojawi. Chodzą słuchy, że Comodo porzuci dotychczasowy projekt Internet Security na rzecz antywirusa w chmurze. Nie nastąpi to od razu, upłynie jeszcze co najmniej rok, aż Comodo Cloud Antrivirus będzie przejmował funkcjonalności Internet Security. Podobnie z produktem dla biznesu – Comodo Endpoint Security Manager 3, który nie wiadomo, jak długo będzie rozwijany.
Generalnie, niemal wszystkie produkty Comodo mają zostać przeniesione do chmury – nie są to potwierdzone informacje, a jedynie nasze obserwacje kierunku rozwoju tej firmy. Skąd to wiemy?
- Comodo ONE w wersji dla klientów biznesowych i indywidualnych – chmura.
- Comodo Cloud Antivirus – chmura.
- Comodo Patch Management – chmura.
- Comodo Remote Monitoring & Management – chmura.
- Comodo Service Desk – chmura.
- Comodo Antispam Gateway – chmura.
- …
Comodo Cloud Antivirus pobierzecie z oficjalnej strony producenta: https://antivirus.comodo.com/cloud-antivirus.php
Już macie na swoich komputerach wersję „cloud”? Jak daje sobie radę? Prosimy o komentarze.
