Fortinet, producent wysokowydajnych firewalli nowej generacji i urządzeń UTM udostępnił nową wersję swojego oprogramowania antywirusowego FortiClient 5.4.0. W udoskonalonej aplikacji antywirusowej znajdziemy kilka ciekawych funkcjonalności, dzięki którym producentowi udało się jeszcze poprawić bezpieczeństwo stacji roboczych.
FortiClient 5.4.0 został wzbogacony o możliwość wykrywania długotrwałych ataków APT. Istotną zmianą w tym zakresie było dodanie wykrywania podejrzanej komunikacji pomiędzy ruchem w siecią lokalnej a hostami IP wskazującymi na ewentualne serwery C2. Gdy funkcja ta jest włączona, monitor sieciowy będzie porównywał ruch sieciowy z listą znanych serwerów C2. Każdy taki ruch w sieci zostanie zablokowany.
Kolejną poważną zmianą w FortiClient 5.4.0 jest możliwość integracji antywirusa z platformą FortiSandbox, która służy do wykrywania zagrożeń i analizy danych w ramach różnych protokołów i funkcji. Sercem tego rozwiązania jest dwupoziomowe, wydzielone środowisko uruchamiania aplikacji (ang. sandbox), proaktywny moduł antimalware, przeszukiwanie w chmurze wyników skanowania dostarczonych od innych użytkowników, emulowanie kodu, wykrywanie odwołania w kodzie oraz opcjonalne przesyłanie danych do laboratorium FortiGuard. Sam FortiSandbox można zintegrować z platformami FortiGate i FortiMail w celu zapewnienia zaawansowanych funkcji wykrywania i unikania zagrożeń, lub wdrożyć w środowisku fizycznym klienta jako rozwiązanie samodzielne, bez konieczności modyfikowania konfiguracji sieci.
Po skonfigurowaniu FortiClienta z FortiSandbox, ten pierwszy będzie wysyłał pobrane pliki z internetu do FortiSandbox w celu lokalnej analizy w czasie rzeczywistym. Do czasu zakończenia skanowania, dostęp do pobranego pliku będzie blokowany.
FortiClient 5.4.0 oraz jego wcześniejsze wersje są udostępniane na jednej darmowej licencji (dom+firmy), z tą różnica, że:
1. Dla użytkownika domowego i firm – FortiClient bez połączenia z FortiGate zapewnia:
- Ochronę antywirusową i wykrywanie grayware (adware, riskware),
- Świetną ochronę przed stronami ze szkodliwą zawartością,
- Świetną ochronę przed phishingiem,
- Świetną ochronę przed spamem,
- „Kontrolę rodzicielską” bazującą na kategoryzacji stro,
- Bardzo mały wpływ na pracę systemu.
2. FortiClient w połączeniu z FortiGate zapewnia:
- Usuwanie wirusów przed jeszcze pełną instalacją FortiClienta,
- Ochronę antywirusową bazującą na 3 rodzajach sygnatur. Ich zakres w poszczególnych bazach jest uzależniony od aktualnej aktywności wirusów w sieciach. Baza zwykła – adresuje obecnie aktywne zagrożenia. Extended – starsze i ostatnio aktywne zagrożenia. Extreme – wszystkie pozostałe zagrożenia, także historyczne. Bazy Extended i Extreme mogą być używane np. podczas pełnego skanowania systemu. Ustawień dokonuje się w pliku konfiguracyjnym.
- IPSec oraz SSL-VPN – szyfrowaną komunikację,
- Web Filtering – filtrowanie http + kategoryzację stron,
- App Firewall – firewall aplikacyjny,
- Vulnerability Scan – skaner podatności,
- WAN Optimization – optymalizator sieci WAN,
- IPS bazujący na aplikacyjnym firewallu,
- On-net and Off-net Location based Behaviour – automatyczny wybór aktywnej konfiguracji w zależności od stanu połączenia między FortiGate – FortiClient,
- Client Customization & Rebranding – dostosowywanie GUI (np. zmiana logo, kolory interfejsu, etc),
- UI Support for Advanced VPN Configuration Options – możliwość graficznej konfiguracji zaawansowanych opcji VPN,
- Single Sign-ON Agent Support – agenta SSO (Single Sign-On).
FortiClient, zarówno w połączeniu z FortiGatem, jak i bez niego, regularnie dostaje aktualizacje z labolatorium FortiGuard.
Wraz z premierą FortiClient 5.4.0 pojawiła się także lokalna konsola FortiClient EMS, która pomaga uprościć wdrożanie antywirusa i zarządzanie punktami końcowymi z jednej centralnej konsoli. W łatwy sposób możliwa jest instalacja agentów antywirusowych poprzez Active Directory, zarządzanie regułami firewalla aplikacyjnego czy VPN.
Test FortiClient 5.4
Test jak zwykle podzielono na trzy fazy:
1. Pierwszy etap zakładał zablokowanie szkodliwego oprogramowania już w przeglądarce Chrome (wyłączono blokadę przed malware). Sekwencyjnie uruchamiano 40 złośliwych stron www, które zawierały różnego typu szkodliwe pliki. FortiClient 5.4 już w przeglądarce zablokował 40/40 linków prowadzących do szkodliwych plików wykonywalnych EXE.
W drugim etapie antywirus ma za zadanie automatyczne wykryć na dysku pliki, które nie zostały zablokowane w etapie pierwszym. Etap trzeci odzwierciedla rzeczywistą ochronę w czasie rzeczywistym, kiedy do ochrony rzucone są wszystkie technologie ochronne (analiza statyczna, dynamiczna i emulowanie kodu, itp.), kiedy pliki z etapu drugiego są uruchamiane.
Ochrona FortiClient 5.4 już na poziomie przeglądarki okazała się (nie po raz pierwszy w naszych testach) świetną detekcją szkodliwych hostów.
Test anty-phishingowy
Test ten miał na celu sprawdzić wykrywalność stron typu phishing, a więc takich, które wyłudzają od ofiary dane dostępowe do banków, numery kart płatniczych oraz loginy i hasła do różnych witryn. Warto mieć na uwadze, że strony wykorzystane w teście nie były starsze niż 24 godziny. FortiClient 5.4 zablokował wszystkie 20/20 stron, które próbowały wyłudzić od testera różne informacje.
Wydajność
Badanie to miało za zadanie sprawdzić dokładne zużycie procesora i pamięci RAM przez procesy antywirusa. Pomiary odzwierciedlają rzeczywiste wykorzystanie zasobów przez procesy aplikacji antywirusowej, zarówno dla RAM jak i CPU.
