Bitdefender GravityZone Elite – огляд антивірусного комплексу

" alt="">

Можливо ви ще не знаєте, але антивірусний комплекс Bitdefender GravityZone Elite вартує кожної витраченої на нього копійки! Він працює не тільки на переважній більшості клієнтських та серверних платформ, включаючи Mac OS, Microsoft Windows, і навіть Linux, ­- комплекс має в своєму арсеналі практично будь-який інструмент захисту, що може знадобитися вашим кінцевим точкам чи віртуальним машинам.

Реалізовано також захист найбільш поширених мобільних платформ: Google Andriod та Apple iOS. Bitdefender GravityZone Elite це не просто антивірус: цей продукт вміє захищати від усіх існуючих типів шкідливого ПЗ, також має функціонал програмного мережевого екрану – брандмауеру, забезпечує контроль вмісту веб-сторінок, управління дозволами підключеним пристроям і навіть має захист Microsoft Exchange на стороні сервера.

Інтерфейс користувача та функції.

Панель керування зручна та наглядна, через неї здійснюється реальне управління антивірусним комплексом та політиками захисту кінцевих пристроїв. На інформаційній панелі відображаються основні параметри та статистика, варта уваги системного адміністратора. Також реалізована можливість додавання портлетів ­– модулів відображення іншої інформації, що стосується антивірусного захисту. Є унікальна можливість запустити сканування безпосередньо з деяких портлетів. Цей аспект Bitdefender GravityZone Elite є суттєвою перевагою над рішеннями деяких конкурентів.

Іншою корисною функцією є можливість визначити вміст пакету інсталятора, за допомогою якого встановлюються агенти захисту на клієнтські комп’ютери. Оскільки не всі модулі будуть потрібними на кожній станції, адміністратор може вибрати між додатковим контролем загроз, брандмауером, контролем вмісту веб-сторінок та додатковим модулем “Привілейований користувач”, що дозволяє змінювати деякі параметри захисту локально, на конкретній робочій станції, відступаючи від успадкованої глобальної політики захисту. Крім того, доступні деякі додаткові налаштування: пароль видалення, сканування перед інсталяцією та задання спеціального шляху для встановлення.

Сторінка налаштувань політик захисту має дуже багато опцій. Наприклад, модуль Hyper Detect, що розроблений спеціально для виявлення цілеспрямованих атак та підозрілої активності на етапі перед розкриттям файлів, чи запуском програм; може бути налаштований здійснювати аналіз з різним рівнем агресивності. Це дозволяє налаштовувати більш ефективніше антивірусний захист, знижуючи хибні спрацювання. Щодо брандмауера – можна вказати який тип веб-трафіку дозволено, також вказати за типом чи ID які пристрої можна підключати до системи. Крім того, є можливість автоматичного застосування політик захисту, залежно від мережі, в якій знаходиться комп’ютер користувача: правила безпеки мають бути більш суворішими в мережах загального користування, наприклад якщо мова йде про Wi-Fi мережу вуличної кав’ярні, на відміну від корпоративної мережі, де зазвичай існують додаткові пристрої мережевої безпеки і можна знизити навантаження, вивільняючи ресурси комп’ютера для більш продуктивної обробки даних бізнес-задач.

Що стосується звітності, то є багато шаблонів з яких можна вибирати необхідний та налаштувати або разову вибірку, або ж автоматичну відправку, скажімо, тижневого звіту у форматі PDF чи CSV електронною поштою. Формування звітів можна запускати на всіх комп’ютерах, на окремому, або на декількох групах комп’ютерів, визначених ІТ-адміністратором. Інтервал звітів обирається через випадаюче меню і може бути запланований від “звіту за поточний день” до періоду, що вже минув протягом одного повного року. Звіт можна переглянути негайно або запланувати надсилання електронною поштою як вже було сказано.

Іншою цікавою особливістю є аналіз у так званій “пісочниці” (англ. Sandbox). Пісочниця представляє собою ізольоване середовище – окремий віртуальний комп’ютер, де відкриваються невідомі файли та запускаються програми для аналізу. Їх поведінка ретельно аналізується спеціальними алгоритмами і на основі отриманих даних антивірусний комплекс приймає рішення щодо потенційної шкідливості впливу на комп’ютерну систему користувача. Насправді, поетапне сканування різними модулями антивірусного комплексу Bitdefender GravityZone Elite дозволяє виявити шкідливе ПЗ заздалегідь і у переважній більшості випадків, потреба у відправці до пісочниці відсутня, та все ж вона, як останній форпост захисту, не залишає жодних шансів кіберзловмисникам розповсюджувати їх шкідливе ПЗ всередині корпоративних мереж замовників.

Захист бізнесу від програм-шифрувальників

Останнім часом досить значних збитків бізнесу завдають так звані, віруси-шифрувальники. Bitdefender у своєму рішенні GravityZone Elite реалізував декілька корисних функцій для боротьби з цим типом загроз. Існує три основні підходи до захисту даних від шифрування. По-перше, цей продукт ніколи не дозволить заразити вашу інформаційну систему. З цією метою, Bitdefender GravityZone Elite напрацював відмінні алгоритми виявлення потенційно шкідливого ПЗ за допомогою так званого “машинного навчання (ML)” – глибокий аналіз файлів під час його запису на інформаційний носій, а також моніторинг поведінки запущених програм чи відкритих інформаційних файлів які буде позначати і зупиняти виконання в разі коли його поведінка виглядатиме підозрілою. Другий спосіб протидії ­– обман шкідливого ПЗ, вакцинуючи комп’ютерну систему певними ключами, які в реєстрі, чи з-поміж усіх файлів буде шукати шкідлива програма. Знайшовши такий ключ, шкідливе ПЗ вважатиме що систему вже інфіковано і не буде запускатись.  Bitdefender GravityZone Elite може зробити це за допомогою одного прапорця в конфігурації політики. Нарешті, третій підхід: продукт може запропонувати можливість скасувати зміни, зроблені вірусами-шифрувальниками.

Результати тестування

Початкове тестування використовувало відомий набір шкідливих програм, зібраних для дослідницьких цілей. Кожен з них зберігався в захищеному паролем файлі ZIP і відкривався окремо. Зразки вірусу, коли їх розпаковували, були виявлені негайно. З 142 варіантів шкідливих програм всі елементи були виявлені, позначені та поміщені в карантин.

Щоб протестувати захист від шкідливих веб-сайтів, було обрано у випадковому порядку 10 нових веб-сайтів зі списку PhishTank, відкритого співтовариства, яке публікує відомі та підозрілі фішингові веб-сайти. Усі спроби перейти за обраними URL-адресами було заблоковано.

Для перевірки реакції Bitdefender GravityZone Elite на протидію вірусам-шифрувальникам, було використано набір із 44 зразків, включаючи WannaCry. Жоден з них не вдалося вилучити з ZIP-архіву. Це й не дивно, оскільки кожен із зразків має відомий підпис. При цьому, реакція була швидкою і безкомпромісною: розпаковані файли були негайно позначені як шифрувальники і видалені з диска. RanSim та відомий симулятор-шифрувальник KnowBe4, також були позначені як примірник вірусів-шифрувальників. Оскільки попередні зразки були визначені за допомогою відомих підписів, було прийнято рішення продовжити тестування, імітуючи активного атакуючого зловмисника.

В якості інструменту було обрано платформу Metasploit що надає інформацію про відомі вразливості, а її Metasploit Framework дозволяє створювати інструменти для тестування ІТ-інфраструктури. Під час тестування використовувалися стандартні налаштування антивірусного комплексу. Оскільки жоден з тестів не досяг успіху, це надало відчуття впевненості та відсутності необхідності застосування налаштувань більш агресивного характеру. Механізм тестування був наступним: було використано Metasploit Framework Rapid7 для створення сервера AutoPwn2, призначеного для використання вразливостей інтернет-браузера. Це запустило серію атак, які зазвичай досягають успіху у розповсюджених браузерах, таких як Firefox і Microsoft Internet Explorer. Bitdefender GravityZone Elite правильно виявив кожну спробу використання вразливостей і заблокував атаку. Результати порадували, бо були навіть вище очікуваних!

Наступний тест відкривав документ Microsoft Word з вбудованим макросом. Всередині документу був закодований додаток, який Microsoft Visual Basic Script (VBScript) потім мав декодувати і спробувати запустити. Часто така послідовність може бути досить складною для виявлення різних методів маскування та кодування. Під час відкриття файлу виникла помилка, що свідчить про невдалу атаку.

Нарешті, було випробувано атаку на основі соціальної інженерії. У цьому сценарії користувач завантажує шкідливий установочний файл, замаскований під розповсюджений сервер для передачі файлів через мережу – додаток FileZilla за допомогою програми Shellter. Після його виконання запускається сеанс Meterpreter, що створює так званий “backdoor” та сеанс зворотного неавторизованого з’єднання до атакованої системи з серверів зловмисників. Така поведінка була швидко виявленою та заблокованою для виконання. Абсолютно нічого шкідливого, що було спрямовано через Bitdefender GravityZone Elite не пройшло.

Незалежна лабораторія AV-Test, що на практиці випробовує програмне забезпечення, провела тестування в червні 2018 року для оцінки антивірусного ПЗ різних виробників для захисту кінцевих точок. Результати AV-Test дали змогу Bitdefender GravityZone Elite отримати 6 з 6 балів за рівнем захисту і продуктивності. Ці результати повністю відповідають внутрішньому тестуванню.

Відповідь на атаки

Мабуть, найбільш унікальним є те, як Bitdefender GravityZone Elite реагує на атаки. Стандартні повідомлення, тип загрози, ім'я файлу та пов'язана з ним інформація відразу з'являються у спливаючому вікні, як тільки виявлено загрозу.

Заключні думки

В цілому, Bitdefender GravityZone Elite продовжує бути чудовим антивірусним програмним забезпеченням, що має добре продуману систему управління політиками. Його здатність виявляти шкідливе ПЗ під час тестування була на дуже високому рівні. З часом способи атак, звичайно, еволюціонують, але варто зазначити що під час тестування Bitdefender GravityZone Elite добре тримався проти атак Windows PowerShell, які традиційно не легко виявляються антивірусними модулями. Тож рішення не даремно було відзначено численними нагородами для захисту кінцевих точок бізнес-класу.

                  За матеріалами PCMag

Поширити
[mailpoet_form id="2"]