Fortinet, producent wysokowydajnych firewalli nowej generacji i urządzeń UTM udostępnił nową wersję swojego oprogramowania antywirusowego FortiClient 5.4.0. W udoskonalonej aplikacji antywirusowej znajdziemy kilka ciekawych funkcjonalności, dzięki którym producentowi udało się jeszcze poprawić bezpieczeństwo stacji roboczych.
 
FortiClient 5.4.0 został wzbogacony o możliwość wykrywania długotrwałych ataków APT. Istotną zmianą w tym zakresie było dodanie wykrywania podejrzanej komunikacji pomiędzy ruchem w siecią lokalnej a hostami IP wskazującymi na ewentualne serwery C2. Gdy funkcja ta jest włączona, monitor sieciowy będzie porównywał ruch sieciowy z listą znanych serwerów C2. Każdy taki ruch w sieci zostanie zablokowany.

Kolejną poważną zmianą w FortiClient 5.4.0 jest możliwość integracji antywirusa z platformą FortiSandbox, która służy do wykrywania zagrożeń i analizy danych w ramach różnych protokołów i funkcji. Sercem tego rozwiązania jest dwupoziomowe, wydzielone środowisko uruchamiania aplikacji (ang. sandbox), proaktywny moduł antimalware, przeszukiwanie w chmurze wyników skanowania dostarczonych od innych użytkowników, emulowanie kodu, wykrywanie odwołania w kodzie oraz opcjonalne przesyłanie danych do laboratorium FortiGuard. Sam FortiSandbox można zintegrować z platformami FortiGate i FortiMail w celu zapewnienia zaawansowanych funkcji wykrywania i unikania zagrożeń, lub wdrożyć w środowisku fizycznym klienta jako rozwiązanie samodzielne, bez konieczności modyfikowania konfiguracji sieci.
 
Po skonfigurowaniu FortiClienta z FortiSandbox, ten pierwszy będzie wysyłał pobrane pliki z internetu do FortiSandbox w celu lokalnej analizy w czasie rzeczywistym. Do czasu zakończenia skanowania, dostęp do pobranego pliku będzie blokowany. 

Od początku FortiClient był zaprojektowany w celu zwiększania ochrony firmowych stacji roboczych. Dzięki synergicznemu połączeniu lokalnego antywirusa i urządzenia FortiGate, FortiClient przyspiesza zarówno swoje skanowanie heurystyczne, jak i wykrywanie anomalii sieciowych, zapewniając jednocześnie wydajność i bezpieczeństwo komputerów.

FortiClient 5.4.0 oraz jego wcześniejsze wersje są udostępniane na jednej darmowej licencji (dom+firmy), z tą różnica, że:
 
1. Dla użytkownika domowego i firm - FortiClient bez połączenia z FortiGate zapewnia: 

  • Ochronę antywirusową i wykrywanie grayware (adware, riskware),
  • Świetną ochronę przed stronami ze szkodliwą zawartością,
  • Świetną ochronę przed phishingiem,
  • Świetną ochronę przed spamem,
  • "Kontrolę rodzicielską" bazującą na kategoryzacji stro, 
  • Bardzo mały wpływ na pracę systemu.

2. FortiClient w połączeniu z FortiGate zapewnia: 

  • Usuwanie wirusów przed jeszcze pełną instalacją FortiClienta,
  • Ochronę antywirusową bazującą na 3 rodzajach sygnatur. Ich zakres w poszczególnych bazach jest uzależniony od aktualnej aktywności wirusów w sieciach. Baza zwykła - adresuje obecnie aktywne zagrożenia. Extended - starsze i ostatnio aktywne zagrożenia. Extreme - wszystkie pozostałe zagrożenia, także historyczne. Bazy Extended i Extreme mogą być używane np. podczas pełnego skanowania systemu. Ustawień dokonuje się w pliku konfiguracyjnym.
  • IPSec oraz SSL-VPN - szyfrowaną komunikację,
  • Web Filtering - filtrowanie http + kategoryzację stron,
  • App Firewall - firewall aplikacyjny,
  • Vulnerability Scan - skaner podatności,
  • WAN Optimization - optymalizator sieci WAN,
  • IPS bazujący na aplikacyjnym firewallu,  
  • On-net and Off-net Location based Behaviour - automatyczny wybór aktywnej konfiguracji w zależności od stanu połączenia między FortiGate - FortiClient,
  • Client Customization & Rebranding - dostosowywanie GUI (np. zmiana logo, kolory interfejsu, etc),
  • UI Support for Advanced VPN Configuration Options - możliwość graficznej konfiguracji zaawansowanych opcji VPN,
  • Single Sign-ON Agent Support - agenta SSO (Single Sign-On). 

FortiClient, zarówno w połączeniu z FortiGatem, jak i bez niego, regularnie dostaje aktualizacje z labolatorium FortiGuard.
 
Wraz z premierą FortiClient 5.4.0 pojawiła się także lokalna konsola FortiClient EMS, która pomaga uprościć wdrożanie antywirusa i zarządzanie punktami końcowymi z jednej centralnej konsoli. W łatwy sposób możliwa jest instalacja agentów antywirusowych poprzez Active Directory, zarządzanie regułami firewalla aplikacyjnego czy VPN. 

Test FortiClient 5.4 

Test jak zwykle podzielono na trzy fazy:
 
1. Pierwszy etap zakładał zablokowanie szkodliwego oprogramowania już w przeglądarce Chrome (wyłączono blokadę przed malware). Sekwencyjnie uruchamiano 40 złośliwych stron www, które zawierały różnego typu szkodliwe pliki. FortiClient 5.4 już w przeglądarce zablokował 40/40 linków prowadzących do szkodliwych plików wykonywalnych EXE.

W drugim etapie antywirus ma za zadanie automatyczne wykryć na dysku pliki, które nie zostały zablokowane w etapie pierwszym. Etap trzeci odzwierciedla rzeczywistą ochronę w czasie rzeczywistym, kiedy do ochrony rzucone są wszystkie technologie ochronne (analiza statyczna, dynamiczna i emulowanie kodu, itp.), kiedy pliki z etapu drugiego są uruchamiane.
 
Ochrona FortiClient 5.4 już na poziomie przeglądarki okazała się (nie po raz pierwszy w naszych testach) świetną detekcją szkodliwych hostów.
 
Test anty-phishingowy
 
Test ten miał na celu sprawdzić wykrywalność stron typu phishing, a więc takich, które wyłudzają od ofiary dane dostępowe do banków, numery kart płatniczych oraz loginy i hasła do różnych witryn. Warto mieć na uwadze, że strony wykorzystane w teście nie były starsze niż 24 godziny. FortiClient 5.4 zablokował wszystkie 20/20 stron, które próbowały wyłudzić od testera różne informacje.

Wydajność
 
Badanie to miało za zadanie sprawdzić dokładne zużycie procesora i pamięci RAM przez procesy antywirusa. Pomiary odzwierciedlają rzeczywiste wykorzystanie zasobów przez procesy aplikacji antywirusowej, zarówno dla RAM jak i CPU.

W trybie jałowym, podczas 5-minutowego testu wyniki zbierano co jedną sekundę. Średnio, procesy programu do działania potrzebowały 1,649% czasu procesora i ~44MB pamięci RAM.
Podczas 5-minutowego skanowania (pełne skanowanie) procesy średnio zużywały 2,695% czasu procesora i ~68MB RAM.
AUTOR:

Adrian Ścibor

Podziel się