O oprogramowaniu i usługach bezpieczeństwa firmy Bitdefender napisaliśmy wiele artykułów. Odbiorcy końcowi, którzy do tej pory nie mieli okazji obcować z antywirusami tej marki z pewnością słyszeli wiele dobrego o Bitdefender GravityZone. Najprężniej rozwijająca się gospodarka rumuńska w Europie, i w obszarze bezpieczeństwa została umiejscowiona na wykresach w tendencji rozwojowej. Raport „Forrester Wave™: Endpoint Security Suites, Q2 2018” podsumowuje rozwiązania firmy jako „skuteczne w powstrzymywaniu współczesnych zagrożeń bez zwiększania nakładów na zespół bezpieczeństwa”. Bitdefender został umiejscowiony w części wykresu odpowiadającemu firmom, które mają największy wpływ na kierunek rozwoju produktów i usług bezpieczeństwa. Wymienioną w raporcie główną cechą charakterystyczną jest nieustannie raportujący o zagrożeniach globalny zasięg sensorów, które umożliwiają prewencyjną ochronę przedsiębiorstwa. Badanie wymienia producenta jako lidera zatrudniającego 600 pracowników, gdzie cała grupa ekspertów zajmuje się ochroną i rozwojem oprogramowania zainstalowanego na ponad 500 milionach urządzeń.
Bitdefender GravityZone Ultra Security to nowy produkt, który pojawił się kilka tygodni temu. Dzięki dystrybutorowi Marken Systemy Antywirusowe rozwiązanie jest dostępne do testowania. Ze wszystkimi wersjami Bitdefender z serii GravityZone można się zapoznać bardziej szczegółowo, uczestnicząc w bezpłatnych warsztatach on-line lub kontaktując się z dystrybutorem, czy chociażby resellerem.
Różnorodność rozwiązań Bitdefender GravityZone
Do bezpłatnego testowania udostępniono aż pięć wersji Bitdefender GravityZone. Szybki rzut oka na porównawczą tabelkę nieznacznie komplikuje podjęcie decyzji nowym klientom, jednak każda z wersji jest odpowiedzią na indywidualne zapotrzebowanie odbiorców końcowych. Dodatkowymi wspólnymi modułami dla wszystkich produktów z serii GravityZone, są:
- Dostępne z konsoli administratora szyfrowanie dysków (Full Disk Encryption), które jest realizowane przez Bitlocker w Windows i FileVault w MacOS.
- Moduł do zarządzania aktualizacjami bezpieczeństwa (Patch Management).
- Integracja z chmurą AWS i zarządzanie wszystkimi urządzeniami w jednej konsoli administratora.
- Ochrona systemów Windows, MacOS, Linux, Android, iOS.
Bitdefender GravityZone Business Security jest przeznaczony dla firm bardzo małych i nieposiadających mobilnej floty. Administratorzy otrzymują skalowalne zabezpieczenie sprzętowych i wirtualnych systemów, w tym serwerów Windows, Mac i Linux.
Dla małych firm powstał Bitdefender GravityZone Advanced Business Security. Rozwiązanie chroni serwery pocztowe Microsoft Exchange, zabezpiecza urządzenia mobilne oraz posiada tak zwany wirtualny serwer bezpieczeństwa (Bitdefender Virtual Appliance) odciążający ze skanowania zasoby stacji roboczych w sieci LAN. Wirtualny serwer dostarczany jest jako obraz maszyny, który integruje się z najpopularniejszymi hypervisorami, czyli Vmware, Hyper-V i XenServer.
Bitdefender GravityZone Elite Security jest rozwinięciem wersji Advanced Business Security o agresywną behawioralną ochronę przed ukierunkowanymi zagrożeniami, a także o automatyczny sandbox w chmurze. Rozwiązanie cechuje unikalne podejście do zabezpieczeń, ponieważ zastosowano w nim nową technologię HyperDetect — zespalającą w spójną całość warstwy ochrony jest maszynowe uczenie oraz techniki analizy zachowania i detekcji zobfuskowanego kodu. Do wykrywania wyrafinowanych zagrożeń zastosowano sandbox w chmurze producenta, a także lokalne monitorowanie podejrzanych procesów. W opcji dodatkowej (i dostępnej tylko w tej wersji GravityZone) możliwe jest zabezpieczenie wirtualnych stacji roboczych już na poziomie hiperwizora (Hypervisor Introspection). Jest to kolejna autorska technologia Bitdefendera, która integruje się z hiperwiorem Citrix XenServer.
Cechą unikalną nowego rozwiązania Bitdefender GravityZone Ultra Security jest wizualizacja podejrzanej aktywności procesów, w tym ułatwienie zespołom ds. bezpieczeństwa podejmowania decyzji na podstawie wskaźników zagrożeń (IoC), zarządzenia dużą ilością danych oraz priorytetyzowaniu działań. Mówiąc wprost Bitdefender GravityZone Ultra Security jako rozwiązanie klasy EDR (Endpoint Detection and Response) pozwala oddelegowanym pracownikom w czasie rzeczywistym zarządzać incydentami oraz szukać śladów włamań i ataków (wskaźników infekcji) na każdym punkcie końcowym. EDR pozwala uniknąć dodatkowych wydatków na bezpieczeństwo i „wyczyścić” zaatakowane systemy.
Bitdefender GravityZone Enterprise Security charakteryzuje się wyłącznie konsolą instalowaną w sieci lokalnej. W opcji dodatkowej wspiera ochronę przy wykorzystaniu API hipernadzorcy (Hypervisor Introspection), a więc możliwe jest wykrywanie ataków przepełnienia bufora, wstrzykiwania kodu do pamięci RAM, czy chociażby ucieczki malware z maszyny wirtualnej. Technologia Bitdefender HVI dla hiperwizora Citirix XenServer wykrywa ataki wykorzystujące luki 0-day już na poziomie ring(minus)1 oraz potrafi automatycznie usunąć zagrożenia, wstrzykując tymczasowe narzędzie naprawcze do maszyny wirtualnej. Rozwiązanie przeznaczone jest dla największych firm, które pełnymi garściami czerpią z wirtualizacji stacji roboczych i serwerów.
Bitdefender GravityZone Ultra
Producent dysponując taką gamą produktów może zaproponować klientom końcowym ochronę dowolnie skalowanego środowiska informatycznego. Nowy moduł EDR (Endpoint Detection and Response) nie jest skomplikowany w obsłudze. Wręcz przeciwnie.
EDR wyświetla w konsoli administratora najnowsze informacje o atakach i infekcjach. Na pozycjach oznaczonych jako incydenty znajduje się wyświetlana korelacja procesów systemowych, począwszy od uruchomienia podejrzanego pliku — i co trzeba zaznaczy — niewykrywanego przez skanowanie na poziomie dostępu (on access). Szczegółowe informacje o sumie kontrolnej i metadanych można szybko porównać na VirusTotal, wysłać do dodatkowej analizy w chmurze Bitdefendera, poszukać dodatkowych informacji w Google lub zatrzymać podejrzany proces ręcznie. Wszystko to odbywa się w sposób zautomatyzowany, aczkolwiek do zadań OPSEC powinno się oddelegować pracownika poruszającego się swobodnie w obszarze cyberbezpieczeństwa i analizy malware.
Zazwyczaj do uruchomienia złośliwego oprogramowania z uprawnieniami administratora wymagane są podwyższone uprawnienia z ring3 do ring0. Można to osiągnąć np. poprzez odpowiedni kod w Powershell. Jednak do skutecznego wykrycia kodu w jądrze systemowym potrzeba tych samych uprawnień lub wyższych. Dodatkowo podstawowym problemem jest to, że nie istnieją uprawnienia wyższe niż ring0, więc programy antywirusowe nie mogą zagwarantować stuprocentowej ochrony na fizycznych stacjach roboczych. Wirtualizacja wprowadza warstwę „ring(minus)1”, stąd autorska technologia Bitdefender jest w stanie kontrolować pamięć RAM oraz jądro systemowe na poziomie „niższym” niż robi to system operacyjny.
Programy firmy Bitdefender działają na poziomie do ring1. Technologia Bitdefender HVI działa na poziomie hiperwizora Citirix XenServer, czyli poza pierścieniem uprawnień systemowych.
Ochrona nie zawsze idzie w parze z wydajnością
Dokładanie kolejnych warstw zabezpieczeń, które są zainstalowane na każdej stacji roboczej byłoby nierozsądne (szczególnie w środowiskach wirtualnych), dlatego dla wszystkich wersji Bitdefender GravityZone dostępny jest moduł wirtualnego serwera bezpieczeństwa. Jest to obraz maszyny w języku polskim, który jest dostarczany pod postacią pliku do zaimportowania w programie do obsługi wirtualizacji:
Główną rolą wirtualnego serwera jest odciążenie pozostałych stacji roboczych ze skanowania antywirusowego, a dodatkowymi zadaniami są przejęcie kontroli nad rozprowadzeniem bazy wirusów na urządzenia w sieci lokalnej, a także równoważenie tych obciążeń. Wirtualny serwer bezpieczeństwa (Virtual Appliance GravityZone) korzysta z mechanizmu buforowania, który optymalizuje wydajność ochrony, przenosząc potrzebną moc obliczeniową skanowania antywirusa do wirtualnego serwera, z którym każdy komputer pracownika łączy się, oszczędzając własne zasoby sprzętowe.
Serwera bezpieczeństwa to bardzo ważny element ochrony, ponieważ opatentowana technologia skanowania znacznie odciąża stacje robocze. Wtedy za ochronę antywirusową odpowiedzialny jest serwer bezpieczeństwa, a nie zainstalowany antywirus, który staje się pośrednikiem, a nie głównym strażnikiem. A gdyby z jakiś powodów komunikacja antywirusa z wirtualnym serwerem bezpieczeństwa nie była możliwa, to agent może użyć alternatywnego skanowania, np. komunikując się z chmurą producenta lub wykorzystać lokalną bazę wirusów i behawioralny monitor.
W praktyce różnica pomiędzy skanowaniem tradycyjnym a „centralnym” (bo tak nazywane jest skanowanie z wykorzystaniem wirtualnego serwera) jest znaczna. Jak bardzo?
Przeprowadziliśmy test, z którego wynika, że apetyt antywirusa na pamięć RAM jest dwukrotnie mniejszy w skanowaniu z użyciem wirtualnego serwera bezpieczeństwa.
Szczegółowa metodologia i opis znajduje się w tym dokumencie PDF.
Serwer bezpieczeństwa spełnia jeszcze jedną ważną rolę. Otóż tylko w taki sposób możliwe jest zarządzanie urządzeniami mobilnymi (Mobile Device Management). Szkoda, że Bitdefender nie zintegrował zarządzania mobilną flotą z konsolą w chmurze.
Dla uzyskania lepszej skalowalności i odciążenia głównej konsoli, wirtualny serwer może równoważyć obciążenie przy założeniu, że będzie balancerem, albo serwerem z poszczególnymi rolami (konsola, serwer MDM, serwer proxy). Nigdy jednoczenie. Licencja nie narzuca ilości zainstalowanych wirtualnych serwerów bezpieczeństwa w sieci lokalnej. Skorzystają na tym duże i bardzo duże środowiska IT.
Bardzo łatwe wdrożenie oraz zarządzanie to największe zalety programów i usługi bezpieczeństwa firmy Bitdefender. Jeśli dołączyć do tego przytoczone badanie Forrestera oraz trochę odmienną metodologię zastosowaną przez Gartnera w magicznym kwadracie ochrony punktów końcowych dla biznesu, to dostrzegamy, że wykonywana ciężka praca inżynierów przynosi efekty. Wymieńmy chociażby kilka naszych najnowszych testów, w których programy Bitdefender uzyskały bardzo dobre wyniki:
- Najlepsze antywirusy 2018 na podstawie trzech testów bezpieczeństwa
- Wielki test ochrony przed wirusami bezplikowymi
- Test antywirusowej ochrony przed atakami drive-by download
Oraz laboratoria, takie jak MRG Effitas i AV-Test, które przeprowadzają własne testy:
W chwili obecnej istnieje tylko kilka rozwiązań podobnej klasy, które mogą konkurować z Bitdefenderem i wcale nie mamy na myśli produktów realizujących ochronę denny-by-default. Firmy muszą dobrze przekalkulować ryzyko i sprawdzić, co się bardziej opłaca. Czy inwestować w bezpieczeństwo? A może ponieść ryzyko utraty informacji i koszty z tym związane? Utrata wizerunku w oczach strategicznych klientów może być znacznie bardziej dotkliwa niż koszty zerwania umów B2B. Od 25 maja bieżącego roku, czyli od dnia obowiązywania nowej ustawy o ochronie danych osobowych (RODO) firmy muszą się dostosować i tak naprawdę opracować strategię reagowania na incydenty, które prędzej czy później dotykają każdego. Bitdefender GravityZone posiada pewne moduły systemu DLP — kontrolowanie urządzeń peryferyjnych przynosi nie mniej pozytywne efekty niż dobry system zapobiegający włamaniom. Jak udowadnia najnowsze badanie ECM Insights, tylko 25% europejskich przedsiębiorstw jest gotowych na RODO.
Bitdefender GravityZone Ultra jest dostępny do testowania w kanałach partnerskich oraz bezpośrednio u dystrybutora w Polsce. Szczegóły na stronie www.bitdefender.pl
