Lees deel 1 hier, waarin Check Point Endpoint Security – Secure Access Edition en McAfee Total Protection for Endpoint 4.0 worden besproken. Sophos Endpoint Security and Control

Sophos Endpoint Security and Control is een compacte bundeling van virus- en spywarebescherming, met firewall, applicatiecontrole, host intrusion protection en NAC. De browserconsole voor het beheer is intuïtief en werkt zeer goed. De installatie van de Enterprise Console op mijn Windows Server 2003 VM verliep gesmeerd, en net als bij Trend Micro's OfficeScan neemt het pakket prettig genoeg weinig systeembronnen in beslag. Wanneer je via Internet Explorer bent ingelogd op de console heeft hij 100 MB RAM nodig Zelf koos ik voor de installatie van MSDE, maar je kunt ook gaan voor een bestaande MS SQL Server.

Het uitrollen van de Sophos clients kan met een push-functie vanuit de console. In de 'Find New Computers'-wizard kunnen beheerders kiezen om een bestaande lijst van Active Directory te importeren, of een netwerkscan uit te voeren op Netbios-naam of ip-adres. Zelf ging ik voor de Active Directory-optie, en dat werkte allemaal probleemloos.

Endpoint Security biedt niet alleen bescherming voor Windows, maar ook voor Mac, Linux, Unix, NetWare en OpenVMS. De lijst van ondersteunde platformen is uitgebreid, en zowel 32 als 64-bitsvarianten staan erin. Ook hier kunnen gemengde omgevingen vanuit een enkele console beheerd worden, en dat is altijd een groot pluspunt. Net als bij Trend Micro en Symantec worden virtuele omgevingen gewoon ondersteund.

Een leuke functie voor de drukke sysadmin is de mogelijkheid om losse virusscannertjes die al op werkstations staan te verwijderen, voordat Sophos wordt uitgerold. Een van mijn eigen systemen had nog een client van een ander geïnstalleerd staan, en die werd hiermee netjes afgevoerd.

Endpoint Security and Control doet precies als de naam zegt: een complete suite van producten voor het beveiligen van al het inkomende en uitgaande verkeer, welke geheel aan te passen vallen aan de smaak van de beheerder. De realtime antivirus- en antispywarecomponenten gebruiker dezelfde engine en dezelfde definities. Het pakket genereert een MD5 hash voor elk gescanned bestand, en als het bestand onveranderd blijft bij de volgende sessie slaat hij die gewoon over. Zo wordt flink op tijd en processorkracht bespaard.

Als aanvulling op de signatures biedt Sophos een systeem dat het bedrijf Behavioral Genotyping noemt. Daarbij wordt het verkeer afgezet tegen een lijst van definities op basis van gedrag, waardoor ook nieuwe en/of onbekende dreigingen worden afgewend zolang ze maar een variant zijn van een bestaande virus (en de meeste virussen zijn dat). Niet verrassend: elke virus die ik ertegenaan gooide werd door Sophos opgemerkt en volgens mijn policies afgewerkt.

Application control geeft beheerders de mogelijkheid om een whitelist van vertrouwde applicaties bij te houden. Je kunt ook specifieke applicaties of hele groepen van applicaties blokkeren, handig als je bijvoorbeeld niet wilt dat anderen met beheertools van buiten aan de slag gaan. Daarnaast helpt Sophos ook bij het afstoppen van gegevenslekken door bijvoorbeeld gebruikerstoegang tot de lokale storage aan banden te leggen, of door wireless, instant messaging en/of filesharing onmogelijk te maken.

De network access control (NAC) beheer je via een aparte browserinterface die valt aan te spreken vanaf de Enterprise Console. Met de voorgingestelde policies is het draaiende krijgen van de NAC snel gedaan. De vele configuratiemogelijkheden maken het mogelijk om een systeem te bouwen voor zo'n beetje elke specifieke omgeving.

De Enterprise Console is het vaste adres voor de beheerder, en anders dan met McAfees ePO ben je hier geen kostbare tijd kwijt. De console is overzichtelijk en je krijgt de stand van het netwerk op het grafische dashboard netjes in een oogopslag gevangen. De reporting engine is goed, zonder onnodige poespas, en ik kon me er goed in vinden dat een klik op een genoemde dreiging op het Alerts-scherm mij direct alle nodige informatie geeft.

Ik was erg onder de indruk van Sophos Endpoint Security and Control. De beheerconsole geeft een overzicht van de beveiligingsstatus van het hele bedrijf, en de links naar de policies maken het definiëren een snelle en eenvoudige bezigheid. Gemengde omgevingen zijn in één console gecentraliseerd, en het beveiligingsniveau absolute klasse.

Eindwaardering: 8.7 Symantec Endpoint Protection 11

Symantec scoort hoge ogen met SEP 11. Ook hier hebben we een goed uitgeruste suite voor zowel clients als servers met een gecentraliseerde console, in dit geval Endpoint Protection Manager. Deze console werkt prima als een one-stop shop voor beheerders, en de reporting engine biedt een grote hoeveelheid aan informatie. Je moet alleen wel precies weten hoe je het moet vinden.

De installatie van SEP op mijn Windows Server 2003 verliep probleemloos, maar let wel dat je hostserver flink wat systeembronnen tot zijn beschikking moet hebben. Niet alleen slokt het meer dan 300 MB aan RAM op, het is ook nog eens de enige van deze besproken producten met een op Java-gebaseerde console. Java-lag dus, al is het maar licht. Op de client is SEP een stuk lichter, met 10 MB RAMverbruik als hij stilligt en 55 MB en 28 procent cpu verbruik tijdens het scannen.

SEP wordt geleverd met een handige uitrol-wizard die beheerders stap voor stap helpt bij het installeren van de agents op de cliëntsystemen. Je kunt een enkele executable over de endpoints verdelen met het door jouw bedrijf aangehouden distributiemodel, of je kunt gebruikers een installatie laten opstarten in een gedeelde map. SEP kan ook Active Directory aanroepen en de organisatiegroepen overnemen, wat helpt bij het cliëntbeheer.

Net als de concurrerende pakketten van McAfee en Sophos, ondersteunt SEP niet alleen Windows 32- en 64-bits, maar ook 32- en 64-bits Linux, Novell Open Enterprise Server en VMware ESX. Anders dan Sophos ondersteunt SEP op dit moment geen Mac.

De detectie-engine voor virussen en spyware vormt het hart van SEP. De suite maakt gebruik van een samengesteld beveiligingssysteem met meerdere engines. Deze pikt bestanden bij het kopieren of aanmaken op, en legt ze neer bij de juiste engine.

Net als de Behavioral Genotyping van Sophos biedt Symantecs TruScan Proactive Threat component bescherming tegen 0-day-dreigingen door het gedrag van programma's te volgen. TruScan zet gedetecteerde mogelijk schadelijke processen in een logje, zodat beheerders hier naar kunnen kijken. Ook commerciële keyloggers en applicaties voor besturing op afstand kunnen zo worden gelogd, genegeerd, afgesloten of in quarantaine geplaatst.

De engine van de firewall is erg goed en biedt verfijnde controle over de protocollen, poorten en applicaties. De standaard ruleset is erg gedetailleerd, en zorgt voor een veilige out-of-the-box configuratie. Een handige rulewizard maakt het eenvoudig om zelf extra regels te definiëren. Als toevoeging is er de engine voor intrusion prevention, maar op een paar aan/uit opties na is deze niet echt in te stellen naar eigen wensen.

Applicatiecontrole is in SEP lang niet zo intuïtief als in Endpoint Security van Check Point. De rule builder is zeer uitgebreid, en zaken als toegang tot het register en pogingen tot opstarten en afsluiten van processen kun je in de smiezen laten houden. Een vraag-antwoord wizard zou alleen niet misstaan; de rule engine is weliswaar krachtig, intuïtief is hij zeker niet en juist omslachtig in het gebruik. Maar beheerders die de tijd nemen om bekend te raken met de ins en outs kunnen nog veel meer dan alleen applicaties op slot zetten, zo kunnen ze bijvoorbeeld ook usb-apparaten weren.

De rapportage-engine kan ook een gebruiksvriendelijke facelift gebruiken. Hij biedt bijzonder veel informatie, maar het is soms gewoon té veel. In de toekomst zou ik interactieve rapportages willen zien. Zo kan ik nu weliswaar een grafiek van aangevallen pc's genereren, maar alleen op basis van groepen en aantallen. Ik zou in zo'n geval ook gegevens per systeem willen zien, zodat ik een grondige analyse kan maken.

Symantec Endpoint Protection is een goed gebalanceerd beveilgingspakket, met slechts een echte zwakheid: de rapportage-engine. Antivirus en antispyware is stevig, met een goede ondersteuning van verschillende platformen. De client firewall is een van de beste die er is, maar applicatiebeveiliging is voor beheerders een ietwat vervelende klus.

Eindwaardering: 8.3 Trend Micro OfficeScan Client/Server Edition 8.0

OfficeScan 8.0 is eenvoudig om te installeren en uit te rollen. Net als de rest hebben we hiermee een antivirus, antispyware, firewall, intrusion prevention en webbeveiliging tot onze beschikking die integreert met Cisco Network Access and Control 2.0. Beheer geschiedt wederom via de browser, en de suite kan meerdere domeinen aan.

Installatie nam ongeveer drie kwartier in beslag. De systeemlast valt met OfficeScan reuze mee, met minder dan 100 MB RAM als de console open staat in IE. De console is eenvoudig in het gebruik en anders dan McAfee ePO redelijk intuïtief. Beheerders kunnen de clients pushen vanuit de interface, of via een weblink.

Anders dan de producten van McAfee, Sophos en Symantec ondersteunt OfficeScan alleen Windows, van 2000 tot en met 2008 en inclusies Vista 64-bits. Gevirtualiseerde omgevingen van Microsoft, Citrix en VMware worden ook ondersteund.

OfficeScan maakt gebruik van aparte engines om het verkeer door te lichten op virussen en spyware. Beide engines gebruiken signatures om de narigheden eruit te halen, maar anders dan bij Symantec en Sophos worden deze niet aangevuld met gedragsherkenning tegen 0-days. Deze ligt al wel op de tekentafel en moet met de volgende release beschikbaar komen.

Wederom werden alle virussen en webdreigingen opgemerkt en geblokkeerd. De realtime-bescherming werkte goed, en systeemverbruik bleef laag: 50 procent processorkracht en 55 MB RAM tijdens het scannen.

De client firewall van OfficeScan is robuust en zelfs flitsend te noemen. Bij het instellen van de firewall moet eerst een policy worden aangemaakt, en vervolgens aan een gebruikersprofiel worden gebonden. Admins kunnen uitzonderingen instellen voor elke policy, om zo bijvoorbeeld een remote connection toe te staan terwijl al het andere inkomende verkeer wordt geblokkeerd. Uitzonderingen kan je ook instellen op basis van ip, protocol of poort.

Boven de client firewall hangt de Intrusion Defense Firewall (IDF),een plugin waarvoor een aparte licentie beschikbaar is bij Trend Micro. IDF scant pakketjes op een erg laag niveau, zodat het netwerkverkeer constant in de gaten wordt gehouden. Daarbij heeft het geen extra RAM nodig, en van latency op het netwerk heb ik niets gemerkt.

OfficeScan is het enige product in deze selectie dat ingebouwde ondersteuning biedt voor Cisco NAC-policies en agents. Dat betekent dat OfficeScan direct integreert met omgevingen waar Cisco NAC al draait, en gebruik maakt van bestaande policyservers.

De rapportage-engine is een zwakheid in OfficeScan, en toont niet meer dan een samenvatting op de beheerinterface. De grafische representaties zijn wel bijzonder makkelijk uit te lezen, en de Update Status laat duidelijk de versienummers van signatures en applicaties zien.

Trend Micro's OfficeScan is een goed pakket. De beheerconsole heeft wat probleempjes, maar toegang tot de benodigde systemen is meestal een klikje of twee verwijderd. Rapportage is beperkt, maar de integratie met Cisco NAC is zeker een plus.

Eindwaardering: 7.6 Conclusie

Voor ik met deze bespreking begon, had ik eigenlijk geen idee welk product boven zou komen drijven. Ik ben dan ook blij verrast dat Sophos Endpoint Security and Control toch net iets beter is dan Symantec Endpoint Protection, die voor mij op nummer twee eindigt. Het biedt uitstekende platformondersteuning, en heeft alles in zich dat nodig is voor goede endpointbeveiliging. Het is daarbij makkelijk in beheer en gebruik, en de goede rapportage-engine maakt het plaatje compleet.

Vertaling: Michiel van Blommestein

Bron: Infoworld.com Bron: Techworld