Обзор продукта: VIPRE Enterprise

Продукт: Предприятие VIPRE

Домашняя страница продукта: нажмите здесь

Введение

Антивирусное (AV) программное обеспечение было основным продуктом индустрии компьютерной безопасности в течение многих лет, и хотя оно не так «привлекательно», как современные средства обнаружения вторжений или программное обеспечение SIEM, оно по-прежнему необходимо в любой сети. Хотя изначально на рынке AV доминировали лишь несколько софтверных гигантов, сейчас существует множество вариантов, доступных при оценке AV-платформы для вашей сети.

За последние пару недель я имел удовольствие довольно тщательно изучить платформу VIPRE Enterprise AV от Sunbelt Software (дочерняя компания GFI), развернув ее в тестовой среде, а также на моем ноутбуке, который я использую ежедневно. Здесь я расскажу о своих выводах и расскажу о том, как работает VIPRE Enterprise, что мне в нем понравилось и что, по моему мнению, можно было бы улучшить.

Обзор программного обеспечения

VIPRE Enterprise рекламирует себя как корпоративное антивирусное решение с низким уровнем ресурсов и защитой конечных точек. Взято прямо с их сайта, они заявляют:

Для меня это звучит как хорошая новость, так как типичная жалоба на антивирусное программное обеспечение заключается в том, что оно раздуто и занимает много места в системе. Само программное обеспечение состоит из нескольких компонентов, которые я буду обсуждать на протяжении всего обзора. Эти компоненты:

• Консоль: серверный компонент, используемый для администрирования установки программного обеспечения и управляемых агентов. Это напрямую связано с серверной базой данных.
• База данных: использует существующую базу данных SQL или устанавливает экспресс-базу данных SQL для управления конфигурациями, отчетами и схемами карантина, связанными с программным обеспечением.
• VIPRE Site Service (VSS): управляет связью между базами данных и агентами.
• Micro-Installer: используется VSS для установки программного обеспечения агента.
• Агенты: устанавливаются на рабочих станциях или серверах и отвечают за сканирование, помещение файлов в карантин и т. д.
• Средство просмотра отчетов: отдельное приложение, которое устанавливается вместе с консолью администрирования и позволяет администраторам запускать отчеты на основе статистики агентов.

Рисунок 1: Архитектура предприятия VIPRE

Установка сервера

Меня очень удивила простота установки серверных компонентов программного обеспечения. Я оценил несколько антивирусных решений корпоративного уровня, и они, как правило, включают очень сложную установку, которая обычно требует телефонного звонка в службу поддержки. Вооружившись только кратким руководством VIPRE, я сразу же добился успеха при установке компонентов консоли на Windows Server 2008. После одной перезагрузки я уже был в деле и довольно счастлив в кемпинге.

Установка агента

Следующим логическим шагом для меня было развертывание агента на машинах в моей тестовой сети. Процесс был очень четко описан в руководстве по началу работы, и если следовать точно, все продвигалось довольно разумно. Я установил несколько агентов вручную, но решил установить большую часть из них удаленно, так как это вариант, который будет использоваться большинством предприятий.

Одна проблема, с которой я столкнулся при установке агента, заключается в том, что контроль учетных записей (UAC) должен быть отключен, чтобы установка работала. Проще говоря, установка программного обеспечения безопасности никогда не должна требовать отключения других функций безопасности, даже если это временно. Административное бремя отключения UAC с помощью групповой политики, установки агента, а затем его повторного включения очень болезненно. Еще одно небольшое улучшение, которое я хотел бы здесь увидеть, — это небольшое увеличение детализации в процессе удаленной установки агента. У меня было несколько запланированных неудачных установок по дизайну, и чаще всего поле состояния установки просто зависало в определенном состоянии, а не давало четкого описания того, в чем может быть проблема. Например, когда я оставил UAC включенным на клиенте, экран состояния оставался на «Установка Micro-Installer» на неопределенный срок. Процесс устранения неполадок, чтобы понять это, может легко занять большую часть чьего-то дня. К счастью, с тех пор, как я впервые столкнулся с этой проблемой, мне сообщили, что с тех пор она была исправлена, и агенты больше не требуют отключения UAC для установки.

Администрация агента

Самое большое количество времени, которое администратор потратит на управление антивирусным программным обеспечением, будет потрачено на администрирование агентов, установленных на рабочих станциях и серверах. Все это управляется через корпоративную консоль VIPRE, которая мне очень понравилась. Консоль администрирования AV очень легко может стать слишком сложной и загроможденной (кому-нибудь McAfee?), но дизайнеры интерфейса в Sunbelt действительно попали в самую точку.

Первое, что вы видите при открытии консоли, — это административная панель, которая дает краткий обзор активности, происходящей в вашей сети. Сюда входит статус вашей лицензии, версии программного обеспечения и сигнатур, недавно обнаруженные угрозы и агенты, которые не обмениваются данными. Это просто, полезно и эффективно.

Рисунок 2. Консоль администрирования очень проста и интуитивно понятна в использовании.

Что меня больше всего впечатлило в административной консоли, так это ее гибкость в управлении установленными агентами. Каждый агент устанавливается на основе политики сайта, которая настраивает уровень защиты, обеспечиваемый агентом, способы обработки обнаруженных угроз и общее поведение агента на клиенте. Что меня поразило, так это то, как быстро вы могли развертывать изменения в агентах. В большинстве корпоративных антивирусных продуктов, с которыми я работал, вы должны изменить политику, а затем распространить ее на все затронутые устройства. Это не всегда легко и далеко не быстро. В VIPRE изменение политики может произойти всего за пару секунд. Например, по умолчанию политика скрывает значок VIPRE в области уведомлений на рабочей станции, на которой установлен агент. Я решил, что хочу изменить это для определенной группы машин, поэтому я отредактировал политику и сказал, чтобы она отображала значок в трее. Когда я это сделал, машина, к которой применялась политика, оказалась рядом со мной, и после того, как я нажал кнопку «Применить», значок в трее появился в течение нескольких секунд. Это приносит большие очки в мире, где время — деньги.

Рисунок 3: Изменение политики агента по умолчанию

Помимо этого, есть все стандартные и ожидаемые функции. Вы можете запускать сканирование, просматривать журналы и применять обновления удаленно с консоли. Еще одним дополнительным бонусом, который мне очень понравился, была возможность удаленно отключать клиентов и отображать всплывающее окно, объясняющее, что происходит и почему это происходит. Это можно сделать для необходимой перезагрузки во время установки агента или при обнаружении конкретной угрозы. Все работает стабильно и быстро.

Точность и производительность

Наиболее важным аспектом любого программного обеспечения AV является его точность. То есть, насколько хорошо он справляется с атакой вредоносного ПО. К счастью, мне довелось работать где-то, где мне доступно множество образцов вредоносных программ. Я запустил все виды вредоносных программ, которые смог найти, в своих защищенных VIPRE клиентов с очень положительными результатами. Сюда входили боты, черви, трояны, упаковщики, взломщики, бэкдоры и все, что между ними. Я даже добавил некоторое коммерческое и бесплатное программное обеспечение для обеспечения безопасности, которое я обычно использовал в своей повседневной работе по анализу безопасности и тестированию на проникновение. В целом, VIPRE обнаружил большую часть всего, что я использовал. Я сравнил эти результаты с другими популярными антивирусными продуктами, использующими этот бесплатный сервис, и он был протестирован в верхнем десятом процентиле, что означает, что он был одним из лучших, когда речь шла о точности обнаружения.

Рисунок 4. VIPRE блокирует запуск инструмента для сброса хэшей паролей

Следующим критерием, который я действительно хотел изучить, была производительность программного агента. Это одна из моих важных вещей, когда дело доходит до оценки программного обеспечения AV, и, поскольку Sunbelt использует производительность как одно из своих главных преимуществ, я планировал быть очень жестким в этом вопросе. Результаты, достижения? Блестящий успех.

Системный след агента был минимальным и практически незаметным. Я смоделировал весь жизненный цикл агента, выполнив необъявленную установку на рабочей станции, которую в данный момент использовал коллега. После этого я поговорил с пользователем и объяснил, что я сделал, и он не заметил никаких изменений в производительности системы. На следующий день я попросил пользователя продолжить использование машины и сообщить, если она стала работать медленнее, и результаты снова были очень положительными. В этот момент я поднял ситуацию на новый уровень, выполнив сканирование в реальном времени, когда пользователь активно использовал систему. Конечно, я сделал это с ведома пользователя. Пользователь сообщил о минимальном замедлении работы системы при открытии больших файлов или перемещении фрагментов данных. Я знаю несколько других AV-продуктов, которые останутся безымянными и сделают машину практически непригодной для использования во время сканирования в реальном времени, поэтому результаты говорят о производительности VIPRE.

В целом, я бы дал высокую оценку производительности продукта. Я внимательно изучил цифры, и обнаружил, что использование процессора и памяти ниже, чем у большинства его конкурентов, и я действительно смог проверить низкий системный след с реальным конечным пользователем, что всегда является положительным моментом.

Составление отчетов

Последнее, в чем я хотел убедиться и оценить, — это механизм отчетности, связанный с программным обеспечением. Я уже говорил и повторю еще раз, что если программное обеспечение не может эффективно сообщать о своем успехе, то этого успеха на самом деле не существует… или, по крайней мере, в глазах руководства, которое его наблюдает. VIPRE поставляется со средством просмотра отчетов, которое запускается как отдельное приложение из главной административной консоли. Инструмент очень прост и удобен в использовании, что отлично подходит для меня. Если бы у меня был свой подход к делу, я бы тратил как можно меньше времени на отчеты и больше времени на выполнение задач. Я не думаю, что большинство системных администраторов не согласятся со мной в этом.

Используя средство просмотра отчетов, вы можете создавать отчеты на основе всех данных в базе данных VIPRE. Некоторые базовые отчеты уже включены в модуль, такие как краткая сводка, сводка по зараженным машинам, сведения об обнаруженных угрозах и 25 основных зараженных машин. Конечно, вы можете запланировать эти отчеты для автоматического создания, что я всегда нахожу удобным, поскольку это заставляет меня просматривать детали AV, которые я мог бы пропустить или забыть.

Рисунок 5: Создание резюме с помощью средства просмотра отчетов

Вывод

В целом я был очень доволен VIPRE Enterprise. Единственные действительно слабые места, которые я отметил, — это трудности и отсутствие подробностей при установке агента. Я также хотел бы видеть некоторые дополнительные функции, связанные с группировкой клиентов (без необходимости создания отдельного сайта). Наконец, будет приветствоваться поддержка Linux на уровне агентов, поскольку сети продолжают становиться все более разнородными ОС. Группа разработчиков VIPRE сообщила мне, что централизованное управление и поддержка развертывания агента Mac запланированы на второй квартал 2011 года, так что это шаг в правильном направлении. В остальном ребята из Sunbelt проделали с ним замечательную работу, и у меня не возникло бы проблем с управлением большой сетью, в которой это программное обеспечение использовалось в качестве корпоративной AV-платформы. Вы можете узнать больше о VIPRE здесь.

Вы можете найти больше информации о VIPRE Enterprise здесь.