Steeds meer diensten worden tegenwoordig online aangeboden. De nieuwste trend is een volledig of gedeeltelijk gehoste antimalware-oplossing. Wij hebben er enkele getest.
De bekende geïntegreerde beveiligingssuites of ‘internet security suites’ van de gevestigde namen inzake malwarebestrijding hebben alle mogelijke functionaliteit aan boord. Ze bestrijden virussen, parasieten (die twee heten samen malware), spam, inbraakpogingen, foute websites en meer van dat soort ergerlijke rotzooi waar we al jarenlang mee te maken krijgen. In een onderneming voeren we bepaalde opdrachten echter meer gecentraliseerd uit en is een andere aanpak nodig. Zo hebben bedrijven meestal een eigen mailserver. Het heeft dan geen zin om op iedere desktop een spamfilter te installeren: we willen spam filteren voordat het de bedrijfsmailserver binnenkomt.
Hetzelfde met foute websites: in plaats van iedere pc apart daartegen te beschermen, doen we dat centraal. We laten de gebruikers met een proxyserver werken en die proxyserver wiedt dan alle foute websites eruit: een echte centrale webfilter dus.
Alles centraal
Op een bedrijfsdesktop is dan alleen de pure antimalware nodig, al de rest kan centraal. Een nadeel van een modern antimalwarepakket is echter ook hoeveel systeembronnen het in beslag neemt. De software presenteert de gebruiker immers met een fraaie en rijk ingevulde bedieningsinterface, en dat vertaalt zich in meer geheugengebruik en een trager werkende pc. De bediening kan hier uitbesteed worden; als die via een webinterface bereikt kan worden en buiten de desktoppc draait, besparen we hier heel wat systeembronnen. Dit is kortom het idee achter gehoste security: een compacte antimalwareagent op de desktop met een gehoste bedieningsinterface plus een gehoste mail- en webfilter voor de bedrijfsmail.
Overigens is dit ook een goede zaak voor de antimalwareproducent, want bij een gehoste dienst kunt u niet vermijden ervoor te betalen en is er dus geen sprake van gehackte of gekraakte versies. De meeste antimalwareproducenten doen de hosting niet zelf, maar laten dat over aan een hostingbedrijf.
Linux en Mac OS X
Hier willen we meteen even opmerken dat bedrijven met desktops onder Linux of Mac OS X géén lokale antimalwareoplossing nodig hebben, in tegenstelling tot wat de antimalwareproducenten de laatste tijd steeds vaker beweren: er bestaan echt geen virussen of parasieten “in het wild” voor Linux of Mac, alleen maar voor Windows. Spam of foute websites zijn echter ook van toepassing voor gebruikers van veilige besturingssystemen, die zijn immers volledig platformonafhankelijk. Natuurlijk zijn er wel foute websites die alleen voor Windows gevaarlijk zijn, dat spreekt vanzelf. Dat geldt met name voor alle malwareverspreidende websites. Websites kunnen echter ook fout zijn omdat ze bijvoorbeeld aan phishing doen en dat is ook gevaarlijk voor gebruikers met Linux of Mac OS.
Producten
We hebben alle bekende antimalwareproducenten gecontacteerd om te zien of ze ook een gehoste oplossing hebben. CA biedt er een aan, maar alleen voor de Verenigde Staten en Canada. F-Secure, Kaspersky en McAfee hebben geschikte oplossingen en die presenteren we hier. Panda heeft in zijn bedrijfsantimalware eigenlijk standaard uitbestede interfaces, vermits de lokale agent compact is en zo goed als geen gebruikersinterface heeft omdat de beheerder een centrale beheerconsole ter beschikking heeft. Dat is inderdaad interessant voor bedrijven, maar geen gehoste oplossing (draait binnen het bedrijf) en dus niet van toepassing op deze test. Panda heeft voor kmo’s wel een gehoste antimalwareoplossing (Panda Managed Office Protection), maar geen gehoste spamfilterdienst. Symantec laat ons weten dat ze door recente overnames wel alle technologie in huis hebben om een gehoste beveiligingsoplossing mogelijk te maken, maar op dit moment zijn er nog geen producten klaar. Tenslotte contacteerden we ook nog Trend Micro. Dat bedrijf liet ons weten nog geen oplossing klaar te hebben, maar wel hard aan het werk te zijn. Tegen de tijd dat u deze test leest, zou Trend Micro zijn gehoste oplossing klaar kunnen hebben.
F-Secure Protection Service for Business
Deze dienst hebben we eerder getest en de beschrijving daarvan kon u vinden in Data News nr.32 van 10 oktober 2008. We zullen hier alleen even de conclusie van dat artikel herhalen.
F-Secure Protection Service for Business zit erg goed in elkaar en u kunt het beheren vanaf eender welke plaats met behulp van het webportaal op het internet. Om die reden hoeven de pc’s die u wil beschermen ook niet in hetzelfde netwerk te staan. De antimalwaremotor is de beste die u kunt krijgen en de spamfilter werkt ook op zeer hoog niveau. Een webfilter is nog niet voorzien. Wat ons betreft kunnen we u deze dienst zeer warm aanbevelen!
Kaspersky Hosted Security + Business Space Security
Het Russische Kaspersky heeft een wat aparte aanpak van hosted security. De dienst met abonnement die door Kaspersky zelf uitgebaat wordt, zorgt alleen voor een spamfilter (Hosted Email Security), een webfilter (Hosted Web Security) en een chatfilter (Hosted IM Security). U kiest zelf op welke combinatie van deze drie u zich wenst te abonneren. Voor de antimalwarebescherming van werkstations en servers biedt Kaspersky hun welbekende bedrijfsruimtebeveiliging (Business Space Security), alleen is dat een netwerkantimalwareoplossing en geen dienst waarop u zich kunt abonneren. Kaspersky stelt echter dat de centraal-beheerserver probleemloos door een hoster als dienst aangeboden zou kunnen worden, waarna de bedrijfsruimtebeveiliging dus effectief gehost is en dus onder deze test valt. Oké, daar kunnen we begrip voor opbrengen. Kaspersky laat ons wel weten, dat er wel degelijk gewerkt wordt aan een puur gehoste clientoplossing. Op dit moment is een gehoste variant van de bedrijfsruimtebeveiliging de enige optie die Kaspersky kan bieden.
Er bestaan overigens verschillende soorten bedrijfsruimtebeveiligingen. Zo is er de ‘Open Space’ (open ruimte) die naast de vaste computersystemen ook de mobiele beveiligt; ‘Work Space’ (werkruimte) beveiligt de lokaal en op afstand aangesloten desktopsystemen; Business Space (zakenruimte) beveiligt alle werkstations en fileservers in een bedrijf; Enterprise Space (bedrijfsruimte) beveiligt alle werkstations en servers – ook mail en database – in een bedrijf; en tenslotte is er ook nog ‘Total Space’ (totale ruimte) die alles beveiligt wat er maar te beveiligen is en de functionaliteit van alle andere ruimtebeveiligingen omvat. Als u zou kiezen voor Kaspersky Hosted Security, ligt het voor de hand om dat aan te vullen met de Business Space Security om het hele scala aan beveiligingen te dekken. Vermits deze Kaspersky BSS gehost kan worden, nemen we hem mee in deze bespreking. De opgegeven prijs is wel voor als u BSS zelf in huis draait. We vonden geen hoster die het in SaaS-vorm aanbiedt.
Centraal beheer
De bedrijfsruimtebeveiliging beheert u centraal met behulp van de Kasperksy Administration Kit. Dat is een beheeroplossing die werkt volgens een client-servermodel. Die voorziet een nette boomstructuur om andere van Kaspersky software voorziene systemen mee op afstand te beheren en daarin geïntegreerd zit de mogelijkheid om nieuwe software of updates in uw netwerk te verspreiden. Daarmee hebben we dus een gecentraliseerd beheer, centrale software- en updatesdistributie en ook centrale rapportering. De Administration Kit geeft u de mogelijkheid te werken met ofwel een Microsoft SQL Server ofwel een MySQL databaseserver. Bij een gehoste aanpak zouden die databaseservers dus ook door de hoster gedraaid moeten worden, niet door u. Voor de beheerder presenteert zich deze Administration Kit via een MMC-applicatie die werkt met behulp van een beheerserver (en die is wat een aanbieder specifiek zou hosten). Deze beheerconsole toont aan de linkerkant een boomstructuur van netwerk- en taakobjecten. Daarmee kunt u alle update-, scan- en andere taken coördineren. De Hosted Security heeft zijn eigen webbeheer en dat werkt dus niet via de Administration Kit. De Hosted Email Security filtert uw mail nadat u de MX-records van uw domein hebt laten wijzen naar de servers van Kaspersky. De filterdienst krijgt dan al uw smtp-verkeer binnen, scant het op spam, malware en phishing-pogingen en verwijdert die, zodat alleen de legitieme berichten op uw mailserver afgeleverd worden. Alle gescande berichten worden dertig dagen lang bijgehouden op de servers van Kaspersky: dat stelt u in staat via een webinterface deze berichten na te lopen en eventuele valse positieven uit de quarantaine te redden. Voor de legitieme berichten krijgt u een 30-dagenarchief, zodat u een bericht dat u bijvoorbeeld twee weken geleden gewist had toch nog kunt raadplegen. De webinterface voor het beheer start met een klein dashboard en geeft u een quarantaine, policy’s, instellingen, gebruikers (mailboxen) en rapporten in tabbladen. Helemaal rechts is er nog een tab genaamd ‘exit’ en dat is in feite de log-out. Het beheer is op zich wel gebruiksvriendelijk, maar er is geen gemakkelijke manier om domeinen en hun bijbehorende mailservers in een CSV of zo te importeren. U moet ze dus één voor één intikken en dan helpt het niet als zo’n webinterface ook nog slakkentraag blijkt te zijn. Om u een idee te geven: voor het toevoegen van sommige domeinen moesten we maar liefst negen minuten wachten voordat het overzicht opnieuw verscheen. En als je zo een tiental domeinen moet configureren, heb je toch al snel het gevoel dat je bezig bent gigantisch veel tijd te verliezen.
Functionaliteit en prestaties
Aan clientzijde wordt een behoorlijk multifunctionele agent uitgerold. Dat is geen compacte client, maar toch een vrij uitgebreide antimalwareclient die erg lijkt op die van de normale desktopantimalwaresoftware van Kaspersky. Kasperky spreekt zelf nog altijd over een antivirusengine, maar ze detecteert en elimineert wel degelijk parasieten. In onze antimalwaretest haalde Kaspersky een antivirusscore van 85% en een antiparasietscore van 82%. Dat is erg goed, maar helaas geen topprestatie. Bij de e-mailfiltering maten we 2,2 spamberichten per dag en per gebruiker en geen valse positieven. Dat is een wat minder goede score dan sommige andere spamfilterdiensten die we in het recente verleden getest hebben, maar Kaspersky hoeft zich zeker nergens voor te schamen.
Deelconclusie
De prestaties van Kaspersky inzake malware en spamfiltering zijn goed, maar niet uitstekend. Bovendien loopt het prijskaartje wel hoog op als u filterdiensten gaat combineren met bedrijfsruimtebeveiliging, tenzij er alsnog een hoster zou opduiken die zo’n dienst zou aanbieden. Qua prijs-prestatieverhouding kunnen we dit daarom in deze test niet aanbevelen.
McAfee Total Protection Service Advanced
Voor de gehoste bescherming van uw pc’s veronderstelt McAfee dat u een Microsoft-adept bent en geen standaardsoftware van Microsoft door die van een derde vervangen hebt. Dit wil zeggen: zowel voor het installeren als voor het beheren van de McAfee oplossing is Internet Explorer 5.5 SP2 of hoger vereist. Firefox wordt niet ondersteund. De reden daarvoor moeten we meer dan waarschijnlijk zoeken in het feit, dat de hele installatieprocedure van de bescherming met ActiveX-controls werkt. McAfee levert u een volledige bescherming van uw desktops, servers en e-mailserver (dat laatste bij het Advanced-abonnement) en wel tegen malware (virussen en parasieten), phishing en spam. Er is ook een betere firewall dan wat XP standaard aan boord heeft. McAfee werkt niet via hosters, maar biedt u de dienst rechtstreeks zelf aan. Ze garanderen u dan ook, dat de dienst volledig beheerd wordt door McAfee-personeel. De antimalware-engine wordt vierentwintig uur en zeven dagen continu bijgewerkt gehouden, ook voor pc’s die niet op het internet aangesloten zijn. De installatie kan vanop een te beschermen pc, door in IE een installatie-URL aan te klikken. Het kan ook vanop de beheerinterface, door een e-mail met een aanklikbare installatielink te sturen naar de gebruikers van de pc’s die u wil beschermen. Dit vergt alleszins de actieve medewerking van de gebruiker. McAfee heeft geen methode voorzien om een agent te pushen naar een pc waar u beheerrechten toe heeft. Op de gebruikerspc komt een McAfee-pictogram in de statusbalk en erop klikken opent een uitrolmenu waarmee de gebruiker verschillende functies kan kiezen en doen uitvoeren. Desgewenst kunt u als beheerder beperken wat de gebruiker mag doen. De waarschuwingen die de firewallmodule aan de gebruiker geeft in verband met objecten die internettoegang zoeken, maakt kennelijk geen onderscheid tussen valide Windows-onderdelen en onbekende software. Bovendien worden de objectomschrijving en de locatie afgekort getoond en is er geen mogelijkheid om de volledige naam te zien, door er bijvoorbeeld met de muis over te zweven. Er blijkt ook geen mogelijkheid om te kiezen voor een eenmalige toegang of blokkage, alleen een definitieve. Dat zijn dus punten die McAfee wat ons betreft zou moeten verbeteren.
Webportaal
Bij McAfee heet het beheerportaal ‘SecurityCenter’. Op de startpagina krijgt u een dashboard te zien, dat u met leuke grafieken onmiddellijk een overzicht geeft van de beveiligingsstatus van al uw computers. Bovenaan is een lange menubalk met aanklikbare rubrieken die uitrollen in rubriekmenu’s. De eerste heet ‘Computers’ en hiermee kunt u, niet onverwacht, al uw computers desgewenst in groepen ingedeeld beheren. De tweede rubriek ‘Rapporten’ geeft u een verzameling voorgedefinieerde ‘queries’ (onderzoeksvragen) waarmee u even zoveel standaardrapporten kunt aanmaken. U kunt queries combineren om een nieuw rapport samen te stellen, maar u kunt niet zelf nieuwe queries definiëren. ‘Groups and Policies’ (groepen en beleid) geeft u de mogelijkheid om logische groepen aan te maken waarop dan telkens een bepaald reglement van toepassing is. Dit gebruikt u om een verschillend beveiligingsreglement aan te maken voor researchpersoneel en voor bijvoorbeeld mensen die in de boekhouding werken. Achteraan vinden we een paar rubrieken die specifiek voor de beheerder bedoeld zijn: mijn account, hulp en feedback.
Functionaliteit en prestaties
McAfee maakt reclame met twee specifiek voor deze abonnementsdienst toegepaste technologieën: SiteAdvisor voor de webfilter en Rumor voor distributie van beveiligingsupdates doorheen het netwerk. SiteAdvisor zorgt ervoor dat een gebruiker een waarschuwing krijgt zodra hij wil surfen naar een website die niet kosjer is, maar ook als zo’n website te voorschijn komt bij zoekresultaten. Rumor is een evenkniebestandsdelingssysteem, waarbij downloads maar bij één computer van het internet komen en daarna van pc naar pc doorheen het netwerk gestuurd worden. Dat bespaart netwerkbandbreedte, beheertime en geld inzake beveiliging, aldus McAfee. Het evenkniesysteem (peer-to-peer) van Rumor werkt door proyservers en firewalls heen, wat ons doet vermoeden dat het waarschijnlijk via http of https gebeurt (we kregen geen bevestiging van McAfee hieromtrent). De bestandsdeling werkt omwille van de beveiliging alleen voor welbepaalde bestandstypes, is applicatieonafhankelijk en gebruikt een tokengebaseerde authenticatie. De transmissie van bestanden via Rumor kan na een onderbreking hervat worden. De testaccount die we via McAfee kregen bleek allerlei instellingen te ontberen, waardoor we niet alle functionaliteit konden testen. De virusdetectie van McAfee hoort bij de allerbeste. In onze test haalde McAfee een antivirusscore van 90% en een antiparasietscore van eveneens 90%. Voor de spamfilter kunnen we u geen resultaat geven: dat was een van de functies die we niet konden testen.
Deelconclusie
Het webbeheerportaal ‘SecurityCenter’ van McAfee zit vrij eenvoudig in elkaar maar biedt toch heel veel functionaliteit. Zelfs Nederlands wordt ondersteund als taal. De antimalwareprestaties zijn van topniveau, dus als McAfee de bugjes uit zijn licentiecontrolesysteem haalt, liefst ook Firefox als webbrowser ondersteunt en de firewallinterface gebruikersvriendelijker maakt, zijn we helemaal gelukkig.
Algemene Conclusie
Kennelijk is het idee van gehoste antimalware, gehoste antispam en gehoste webfiltering nog te nieuw, want veel viel er niet te rapen inzake testbare producten. Qua gebruiksvriendelijkheid, beheersbaarheid, functionaliteit en prestaties blijken F-Secure en McAfee aardig aan elkaar gewaagd, op de voet gevolgd door Kaspersky. De antimalwaremotor van F-Secure is echter de allerbeste en gezien de uiterst interessante abonnementsprijs raden we u bijgevolg de gehoste beveiliging van F-Secure aan.
Johan Zwiekhorst
Fout opgemerkt of meer nieuws? Meld het hier