Czas na zmiany Webroot SecureAnywhere Business Endpoint Protection i Windows 8

Transkrypt

1 Czas na zmiany Webroot SecureAnywhere Business Endpoint Protection i Windows 8 George Anderson, Senior Product Marketing Manager, Lipiec 2012 Spis treści: Wprowadzenie i ogólny zarys..2 Bezpieczeństwo systemu operacyjnego Windows 8..3 Funkcja Secure Boot bezpieczny rozruch..3 Filtr Smart Screen 4 Aktywny antywirus.5 Blokowanie aplikacji..6 Bezpieczeństwo oparte na oprogramowaniu antywirusowym to już za mało. 6 Podnoszenie bezpieczeństwa Windows 8.7 Wzmocniony Firewall.7 Dodatkowe warstwy zabezpieczeń 7 Webroot SecureAnywhere autoochrona (Self Protection)..8 Webroot SecureAnywhere heurystyki 8 Webroot SecureAnywhere ochrona w czasie rzeczywistym (Real-time Shield).9 Webroot SecureAnywhere filtr behawioralny (Behavior Shield)..9 Webroot SecureAnywhere osłona jądra systemu (Core System Shield).10 Webroot SecureAnywhere osłona przed zagrożeniami internetowymi (Web Threat Shield) 10 Webroot SecureAnywhere osłona prywatności (Identity Shield).11 Usprawnianie działania Windows 8.12 Podnoszenie bezpieczeństwa aplikacji Windows 8 i zarządzanie bezpieczeństwem..14 Podsumowanie 16 O Webroot..16 1

2 Wprowadzenie i ogólny zarys Wprowadzenie na rynek nowych systemów operacyjnych zwykle nie wywołuje szczególnego podekscytowania u nikogo, kto nie jest profesjonalnie związany z dziedziną IT. W przypadku systemu Windows 8 sytuacja jest jednak zupełnie inna. Pojawienie się go w październiku 2012 roku stanowi początek poważnej zmiany technologicznej. To, co w istotny sposób odróżnia go od poprzedników to na pewno usunięcie przycisku Start i rozwijanej listy programów, które stanowiły sposób komunikacji z komputerem obecny w kolejnych wersjach systemu operacyjnego Windows, od Windows 95 zaczynając i zastąpienie ich zupełnie nowym dotykowym interfejsem użytkownika (UI) o nazwie Metro. Windows 8, z jego nowym interfejsem użytkownika oraz interfejsem programowania aplikacji (API - Application Programing Interface) jest pierwszym krokiem w kierunku nowego sposobu programowania Windows Runtime (WinRT). Nadal umożliwia on jednak korzystanie z rozwiązań WinNT, gwarantując możliwość pracy zarówno tradycyjnych programów Win32, jak również nowych aplikacji WinRT. Interfejs Windows 8 jest dowodem na to, iż jego twórcy zauważają zmiany, jakie niesie za sobą zarówno przejście od stacjonarnego do mobilnego wykorzystania sprzętu komputerowego, jak również zaawansowanie technologiczne aplikacji. Jego innowacyjność polega również na zmianie postrzegania standardu pracy i odejściu od tradycyjnego modelu, w którym wykorzystywane jest tylko jedno urządzenie laptop, tablet lub smartfon i dążeniu do umożliwienia synchronizacji pracujących urządzeń i dodawania kolejnych oraz wdrażania nowych rozwiązań. Jednym z przykładów odzwierciedlających tę tendencję jest wprowadzone na rynek przez firmę Microsoft nowego urządzenia, tzw. surface tablet. Jest on mały i lekki, charakteryzuje go łatwość obsługi tabletu, a jednocześnie obecność wszystkich cech typowych dla laptopów. Nowy system operacyjny Windows 8 ma być ogólnie dostępny jesienią tego roku. Do tego czasu z pewnością pojawi się również wiele urządzeń efektywnie wykorzystujących możliwość płynnej zmiany modelu pracy, a tym samym poruszania się pomiędzy różnymi urządzeniami, wyposażonymi jednak w ten sam system operacyjny Windows 8. Jakość i szybkość działania oraz ograniczenie wpływu na zasoby systemu są niezwykle istotnym celem postawionym przed Windows 8. Krótki czas rozruchu będzie w nim równie ważny jak obciążenie CPU, RAM i łącza internetowego, szczególnie w przypadku urządzeń mobilnych, dysponujących z jednej strony mniejszą mocą, a z drugiej skazanych na wyższe koszty transferu danych. Oczywiście wraz z tym nowymi rozwiązaniami zapewniającymi swobodę pracy, zabawy oraz możliwość przemieszczania danych pomiędzy urządzeniami, kluczowa staje się kwestia odpowiednich zabezpieczeń. Dlatego też firma Microsoft przedsięwzięła istotne kroki w celu wyposażenia Windows 8 w narzędzia bezpieczeństwa znacznie skuteczniejsze niż te obecne w Windows 7. Windows 8 posiada oprogramowanie Windows Defender, stanowiące kombinację Microsoft Security Essentials Antivirus (AV) i oprogramowania antyszpiegowskiego Microsoftu. 2

3 Niniejszy artykuł poddaje analizie najważniejsze elementy ochrony antywirusowej, w jakie wyposażono system Windows 8, a także fakt udostępnienia przez firmę Microsoft darmowego pakietu antywirusowego oraz wpływ zastosowania tych rozwiązań na faktyczne bezpieczeństwo urządzenia oraz ich implikacje dla ogólnego bezpieczeństwa IT. Dodatkowo przyjrzymy się innowacyjnemu rozwiązaniu w zakresie bezpieczeństwa urządzeń końcowych, które dzięki szybkiemu działaniu oraz małemu obciążeniu dla urządzenia i łącza, mogłoby stanowić rozwiązanie antywirusowe nowej generacji dla Windows 8. Jest to szczególne ważne w obliczu ogólnej zmiany w zakresie rozwiązań IT, która objąć ma wszelkie aspekty funkcjonowania i zapewnić bezpieczeństwo komputerom osobistym i innym urządzeniom końcowym. Bezpieczeństwo systemu operacyjnego Windows 8 Rozwiązania zapewniające bezpieczeństwo systemu zastosowane w Windows 8 w wielu aspektach stanowią znaczny skok technologiczny w porównaniu z tymi, którymi dysponował Windows 7. Należy jednak pamiętać, że wspomniane udoskonalenia różnią się w zależności od wersji systemu Windows 8, z której korzystamy, jak również od tego, czy jest to oprogramowanie zainstalowane na urządzeniach prywatnych czy firmowych. W niniejszej analizie skupiamy się przede wszystkim na rozwiązaniach podnoszących ogólne bezpieczeństwo oraz tych, które pozwalają zapobiegać działaniu złośliwego oprogramowania lub redukować jego skutki. Funkcja Secure Boot bezpieczny rozruch Jednym z podstawowych elementów ochrony urządzeń pracujących na wszystkich wersjach Windows 8 jest firmware UEFI (Unified Extensible Firmware Interface). W połączeniu z dodatkową funkcją Secure Boot bezpieczny rozruch, zastępuje on tradycyjny BIOS (Basic Input Output System), który stanowił kluczowy element systemu operacyjnego Windows od czasów pojawienia się komputerów osobistych. Funkcja Secure Boot Windows 8 uwierzytelnia podpisy elektroniczne wszystkich elementów w momencie startu systemu, włączając w to sterowniki programów antywirusowych, w celu wykrycia ewentualnych prób ataków złośliwego oprogramowania. Uniemożliwia to słabo zaawansowanemu oprogramowaniu typu rootkit podjęcie próby zainfekowania urządzenia, które mogłoby mieć miejsce podczas jego rozruchu. Webroot SecureAnywhere Endpoint Protection ma możliwość działania jako program antywirusowy systemu operacyjnego Windows 8. Jako zaufana aplikacja uruchamia się on we wstępnej fazie startu urządzenia, a dzięki możliwości niezwykle głębokiej analizy Webroot SecureAnywhere Endpoint Protection dociera, wykrywa i usuwa wszelkie zagrożenia typu rootkit, którym udało się przedostać do systemu pomimo aktywnej funkcji bezpiecznego rozruchu Windows 8. 3

4 Oczywiście w przypadku tradycyjnych rozwiązań AV, równoległe działanie zewnętrznego oprogramowania antywirusowego i zabezpieczeń Windows 8 nie jest możliwe. Ochrona Windows 8 zostaje automatycznie dezaktywowana, a odpowiedzialność za zapewnienie bezpieczeństwa przejmuje w całości inny program antywirusowy zainstalowany na danym urządzeniu. Dzieje się tak ponieważ rozwiązania zabezpieczające firmy Microsoft działają wyłącznie w sytuacji, w której na danym urządzeniu albo nie są zainstalowane inne programy antywirusowe, albo jeśli zainstalowane oprogramowanie nie posiada aktualnych aktualizacji sygnatur. Dzięki unikalnemu sposobowi działania oraz funkcjonowaniu w oparciu o architekturę chmury, Webroot SecureAnywhere nie posiada lokalnych sygnatur i nie konfliktuje się z zabezpieczeniami aplikacji Windows Defender, a tym samym może działać równolegle z nią w celu podnoszenia bezpieczeństwa urządzenia. Filtr Smart Screen Kolejnym elementem zabezpieczającym wprowadzonym przez firmę Microsoft jest filtr SmartScreen. Wcześniej można go było znaleźć m.in. w przeglądarce internetowej Internet Explorer, w Windows 8 jest on natomiast zaimplementowany na poziomie systemu operacyjnego. Filtrowanie URL przy użyciu SmartScreen pozwala blokować złośliwe działania socjotechniczne i chroni użytkowników Windows 8 przed próbami phishingu, podczas gdy weryfikacja plików i aplikacji kontroluje dane ściągane z Internetu, sprawdza ich bezpieczeństwo oraz automatycznie blokuje te, które są nieznane lub niebezpieczne. Webroot SecureAnywhere Endpoint Protection stanowi doskonałe uzupełnienie tego rodzaju działań zabezpieczających. Należy pamiętać o tym, że w wielu sytuacjach trudno jest sklasyfikować nieznane pliki, jak również o tym, że niektórym z nich uda się przedostać do systemu pomimo aktywnego filtra SmartScreen. Wówczas dodatkowa warstwa zabezpieczająca w postaci Webroot Intelligence Network analizuje zachowanie nieznanego pliku w czasie rzeczywistym oraz dokonuje natychmiastowej i adekwatnej kategoryzacji pliku jako złośliwego lub bezpiecznego. Webroot SecureAnywhere Endpoint Protection oferuje również pełne monitorowanie pliku oraz działania naprawcze, takie jak księgowanie i przywracanie systemu. Jeśli niebezpieczny plik nie zostanie rozpoznany przez Microsoft AV z powodu niekompletności lub braku aktualizacji sygnatury, Webroot SecureAnywhere Endpoint Protection rozpozna go i zablokuje, a nawet jeśli plikowi uda się częściowo zainfekować system, będzie w stanie natychmiast przywrócić urządzenie końcowe do ostatniego dobrego stanu. 4

5 Aktywny Antywirus Windows 8 wyposażony jest w narzędzie umożliwiające sprawdzanie czy na danym urządzeniu jest zainstalowany program antywirusowy oraz czy jest on aktywny i czy działa poprawnie. Jeśli okaże się, że z jakiegoś powodu system nie jest w pełni chroniony przez dodatkowe oprogramowanie zabezpieczające, automatycznie aktywowany zostanie zainstalowany na każdym urządzeniu Windows Defender. Zapewnia to pełną ochronę urządzenia końcowego od momentu nabycia sprzętu. Jeśli inne oprogramowanie antywirusowe jest zainstalowane, lecz nieaktywne, lub jeśli jego pliki definicji sygnatur nie są zaktualizowane, Windows 8 rozpoczyna 15-dniowy okres odliczania, w czasie którego Action Center informuje użytkownika o tym, iż jego oprogramowanie straciło ważność, a jednocześnie dostarcza informacji, w jaki sposób zaktualizować zabezpieczenie. Po 15 dniach użytkownik decyduje, czy chce zaktualizować zainstalowany program antywirusowy, aktywować Windows Defender czy wybrać inne rozwiązanie zabezpieczające ze Sklepu Microsoft. Istnieje również możliwość wyboru opcji Przypomnij mi później, która rozpocznie kolejny 7-dniowy okres odliczania. Celem Microsoftu jest, aby wszyscy użytkownicy Windows 8 automatycznie wyposażeni byli w podstawowe oprogramowanie antywirusowe od momentu, kiedy po raz pierwszy włączą swoje nowe urządzenie. Biorąc pod uwagę fakt, że w tym momencie każdy komputer osobisty, laptop i tablet posiada zainstalowane oprogramowanie antywirusowe, właściwie nie będzie można dostrzec różnicy do momentu wygaśnięcia darmowego okresu próbnego oprogramowania. Antywirus Windows 8 bazuje w dużej mierze na tradycyjnej metodzie, która wykorzystuje lokalne pliki definicji sygnatur złośliwego oprogramowania. W związku z tym nie jest możliwe, aby w każdym momencie był w stu procentach zaktualizowany, a jego możliwości rozpoznania nowych i nieznanych zagrożeń są w znacznej mierze ograniczone. Podobnie jak większość pozostałych antywirusów działających na tych samych zasadach, wdrożenie rozwiązania Microsoftu wymaga oddzielnej konsoli zarządzania dla urządzeń końcowych, a w celu zapewnienia najskuteczniejszego działania, również aktualizacje serwera. Omówione powyżej rozwiązanie zapewnia jedynie podstawowy poziom ochrony antywirusowej. Oznacza to, że jakkolwiek urządzenia chronione są za darmo, specjaliści do spraw bezpieczeństwa muszą dokładnie przeanalizować poziom zabezpieczeń i zdecydować, czy będzie on wystarczający dla danego urządzenia i czy nie jest konieczne wzmocnienie go przy użyciu dodatkowych programów antywirusowych lub zastąpienie innym produktem. Webroot SecureAnywhere Endpoint Protection umożliwia administratorom zajmującym się zabezpieczeniami ochronę urządzeń końcowych i podnoszenie ich bezpieczeństwa. W porównaniu do antywirusa, którym dysponuje Windows 8, Webroot SecureAnywhere Endpoint Protection oferuje dodatkową możliwość identyfikowania złośliwego oprogramowania w czasie rzeczywistym dzięki Webroot Intelligence Network, jak również przy wykorzystaniu innych uzupełniających warstw zabezpieczających, które całkowicie zastępują antywirus Windows 8. 5

6 Co więcej, Webroot SecureAnywhere Endpoint Protection jest bardzo łatwym w użyciu rozwiązaniem, dla MSI poniżej 700KB nie wymaga żadnych aktualizacji definicji, a jako że jest w pełni zarządzany z konsoli umieszczonej w chmurze, nie ma mowy o żadnych ukrytych kosztach, które często pojawiają się w przypadku Windows 8. Blokowanie aplikacji Firmy i organizacje używające pakietu Microsoft Software Assurance będą mogły korzystać z Windows 8 Enterprise oraz funkcji blokowania aplikacji (Applocker), która po raz pierwszy pojawiła się w Windowsie 7, a której celem ma być ochrona urządzeń końcowych przed złośliwym oprogramowaniem. Używając funkcji blokowania aplikacji administratorzy tworzą specyficzną zasadę białych i czarnych list, wedle których tworzone są reguły zezwalające na uruchomienie aplikacji na urządzeniu końcowym. W przypadku Windows 8 funkcja ta została rozszerzona również na aplikacje typu Metro. Webroot SecureAnywhere Endpoint Protection działa podobnie, analizując wszystkie aplikacje i procesy na urządzeniach końcowych, a jego funkcja nadpisywania również pozwala na tworzenie białych i czarnych list aplikacji. Bezpieczeństwo oparte na oprogramowaniu antywirusowym to już za mało Jednym z faktów, które trzeba sobie uzmysłowić w obliczu tego, że liczba ataków złośliwego oprogramowania na urządzenia końcowe wzrosła do ponad 70 nowych rodzajów na minutę, 1 jest bez wątpienia ten, że tradycyjny antywirus przestaje być wystarczający. Co za tym idzie, niezbędna staje się dogłębnie przemyślana strategia skutecznej ochrony urządzeń końcowych. Elementy, które z pewnością należy brać pod uwagę to filtrowanie i i sieci Web, osobisty Firewall, zarządzanie poprawkami, kontrola dostępu do sieci, systemy monitorujące ruch do i z danego komputera, szyfrowanie na urządzeniu końcowym, tworzenie białych i czarnych list aplikacji czy filtrowanie treści DLT. Jednocześnie pamiętać należy, że skuteczność jednych rozwiązań może w znacznym stopniu przewyższać skuteczność innych. Może na to wskazywać ostatni raport Aberdeen Analyst Insight który stwierdza, iż zarządzanie poprawkami jest skuteczną praktyką i na 58% 2 zagrożeń ujawnionych w 2011 roku, gotowe do wdrożenia poprawki dostępne były jeszcze tego samego dnia, jednocześnie informując, że na 38% do tej pory nie ma żadnych dostępnych poprawek. W tym samym raporcie rozdział Sam antywirus już nie wystarcza ( Anti-Virus Alone Is Not Enough ) potwierdza, że ogólnie panujące przekonanie jest prawdziwe. Konkluzja brzmi: Zainstalowanie rozwiązań antywirusowych takich jak Microsoftowski Forefront Endpoint Protection może w niektórych przypadkach prowadzić do wyciągania fałszywych wniosków, jak np. ten, że darmowy antywirus będzie w pełni skuteczny i wystarczający. 6 1 Na podstawie AV-Test.org New Malware 2 Na podstawie Aberdeen Analyst Insight, kwiecień 2012

7 Dodatkowo Nieinwestowanie w dodatkowe zabezpieczenia antywirusowe może być jedynie pozorną oszczędnością, a rozwiązania zabezpieczające stosowane we wszystkich firmach i organizacjach powinny mieć bardziej wszechstronny i uniwersalny charakter, który pozwoli na pełną ochronę ich platform, sieci, aplikacji i danych. Kolejna część tej analizy pozwala przyjrzeć się sposobowi, w jaki Webroot SecureAnywhere dostarcza bardziej uniwersalnych i gruntownych rozwiązań bezpieczeństwa dla urządzeń końcowych pracujących na Windows 8. Podnoszenie bezpieczeństwa Windows 8 Poza znacznym podniesieniem bezpieczeństwa dzięki ochronie przed nieznanymi zagrożeniami ze strony złośliwego oprogramowania w czasie rzeczywistym, Webroot SecureAnywhere Endpoint Protection udostępnia również szereg innych ważnych poprawek, które udoskonalają ochronę antywirusową Windows 8. W dalszej części omówione zostaną poszczególne z nich. Wzmocniony Firewall Webroot SecureAnywhere Endpoint Protection działa na rzecz wzmocnienia istniejącego Firewalla systemu Windows poprzez dodanie automatycznego monitorowania wszystkich połączeń wychodzących i blokowanie nieuprawnionych połączeń zwrotnych, przeciwdziałając wyszukiwaniu i kradzieży danych. Poprzez identyfikowanie podejrzanych procesów próbujących nawiązać połączenie z Internetem, Webroot SecureAnywhere Endpoint Protection uzupełnia działanie Firewalla Windows, którego zadanie polega na monitorowaniu wyłącznie danych i procesów docierających do urządzeń końcowych z zewnątrz. Webroot SecureAnywhere Endpoint Protection oraz Firewall Windows wspólnie są w stanie chronić dane zarówno przychodzące, jak i wychodzące z urządzeń końcowych, a także powstrzymywać kradzieże oraz wycieki danych. Dodatkowe warstwy zabezpieczeń (Security Shields) Webroot SecureAnywhere Endpoint Protection zapewnia również dodatkowe warstwy zabezpieczeń (Security Shields) niedostępne w przypadku ochrony antywirusowej Windows 8. 7

8 Webroot SecureAnywhere Endpoint Protection autoochrona (Self-Protection) Autoochrona Webroot SecureAnywhere Endpoint Protection zapobiega działaniom złośliwego oprogramowania, które mają na celu modyfikację ustawień programów i procesów. W momencie wykrycia obecności innego programu próbującego zakłócać jego działanie, autoochrona Webroot SecureAnywhere Endpoint Protection rozpocznie skanowanie ochronne, mające na celu wykrycie zagrożeń. Ów proces umożliwia również uaktualnienie statusu wewnętrznej autoochrony i zapobiega pojawianiu się niekompatybilności z innymi programami antywirusowymi, np. działającymi równolegle z antywirusem Windows 8. Działanie funkcji autoochrony polega również na tym, że nawet w przypadku, kiedy antywirus systemu Windows 8 jest dezaktywowany przez atak złośliwego oprogramowania, Webroot SecureAnywhere Endpoint Protection nadal będzie chronić urządzenie końcowe. Webroot SecureAnywhere Endpoint Protection zajmuje bardzo małą przestrzeń dyskową, a dzięki bazowaniu na architekturze chmury, w bardzo niewielkim stopniu wpływa na wydajność systemu. Nie tylko zdecydowanie wyróżnia go to spośród innych programów antywirusowych, ale dodatkowo powoduje, że bardzo trudne staje się dezaktywowania jego agenta przez hakerów. Webroot SecureAnywhere Endpoint Protection heurystyki Heurystyki ustawień w Webroot SecureAnywhere Endpoint Protection dostosowują poziom analizy zagrożeń podczas skanowania urządzenia końcowego. Skanowanie heurystyczne stosowane przez Webroot SecureAnywhere Endpoint Protection dostosowywane jest do lokalnego napędu (lub napędów), napędów USB, łącza internetowego czy lokalnych napędów CD / DVD. Brana jest również pod uwagę sytuacja, w której urządzenie jest pozbawione dostępu do Internetu i działa offline. Dostępne są trzy poziomy skanowania heurystycznego: 1. Zaawansowane heurystyki analizowanie nowego oprogramowania pod kątem podejrzanych działań charakterystycznych dla złośliwego oprogramowania, 2. Heurystyki wieku analizowanie programów w oparciu o to, od jak dawna są znane. Zwykle legalne programy są ogólnie rozpoznawalne, jako że dłuższy jest czas ich dostępności na rynku, podczas gdy obecność złośliwego oprogramowania jest zazwyczaj chwilowa. 3. Heurystyki popularności analizują nowe programy w oparciu o statystyki tego, jak często programy są używane i jak często poddawane są zmianom. Legalne programy przez długi czas występują w niezmienionej formie, podczas gdy oprogramowanie złośliwie podlega ciągłym zmianom, w celu skutecznego uniknięcia wykrycia przez programy zabezpieczające. 8

9 W odróżnieniu od sztywnych heurystyk, wykorzystywanych w innych programach zabezpieczających, ustawienia heurystycznej analizy zagrożeń stosowane przez Webroot SecureAnywhere Endpoint Protection są elastyczne i oferują pięć poziomów ochrony: od całkowitej dezaktywacji poprzez ochronę niską, średnia, wysoką i maksymalną, w zależności od tego, z jakich źródeł pochodzi nowe oprogramowanie, które poddawane będzie ocenie oraz od tego, czy urządzenie pracuje w trybie offline czy online. Ta właściwość podnosi poziom zabezpieczenia urządzenia oraz dodatkowo chroni je w sytuacji, kiedy nie jest połączone z Internetem, a kiedy użytkownik korzysta na przykład z napędu USB lub CD / DVD. W zasadniczy sposób podnosi się dzięki temu bezpieczeństwo samego urządzenia czy całej sieci. Webroot SecureAnywhere Endpoint Protection ochrona w czasie rzeczywistym (Real-time Shield) Dzięki działaniu w czasie rzeczywistym Webroot SecureAnywhere Endpoint Protection blokuje działanie rozpoznanych zagrożeń sklasyfikowanych przez definicje zagrożeń Webroot, zlokalizowanych w Webroot Intelligence Network. Jeśli osłona wykryje złośliwy plik, wyświetla ostrzeżenia oraz żąda od administratora zezwolenia na działanie danego elementu lub zablokowania go. Jeśli wykryje znane zagrożenie, blokuje je natychmiast i poddaje kwarantannie, zanim będzie ono w stanie wyrządzić jakiekolwiek szkody na urządzeniu końcowym lub wykraść z niego jakiekolwiek dane. Ten rodzaj ochrony podnosi również kolektywne bezpieczeństwo oferowane przez Webroot Intelligence Network, gdzie rozpoznane zagrożenie zablokowane przez jednego użytkownika, jest natychmiast blokowane dla wszystkich pozostałych użytkowników. Oznacza to, iż AV Windows 8 jest wyposażany w dodatkową warstwę uzupełniającą bezpieczeństwo urządzenia. Webroot SecureAnywhere Endpoint Protection filtr behawioralny (Behavior Shield) Zadaniem filtra behawioralnego jest analiza wszystkich aplikacji i procesów przebiegających na urządzeniu końcowym. Kiedy wykryte zostanie podejrzane zachowanie, wyświetla się ostrzeżenie oraz pojawia się żądanie, aby administrator zezwolił na działanie danego elementu lub zablokował je. Jeśli natomiast zagrożenie jest znane i rozpoznawalne, proces jest natychmiast blokowany i poddawany kwarantannie, aby uniemożliwić mu wyrządzenie jakichkolwiek szkód w obrębie urządzenia. Webroot Intelligence Network zawiera setki tysięcy wzorców zachowań, które są wykorzystywane podczas analizowania i identyfikowania potencjalnych zagrożeń. W sytuacji kiedy działa wspólnie z tradycyjnym monitorowaniem i księgowaniem każdego procesu nierozpoznanego przez Webroot Intelligence Network, Webroot SecureAnywhere Endpoint Protection jest również w stanie przywrócić urządzenie końcowe do ostatniego dobrego stanu, jeśli złośliwemu oprogramowaniu uda się z jakiegoś powodu wprowadzić jakiekolwiek zmiany na urządzeniu końcowym. 9

10 Webroot SecureAnywhere Endpoint Protection osłona jądra systemu (Core System Shield) Osłona jądra systemu nieustannie monitoruje strukturę systemu urządzenia końcowego w celu upewnienia się, iż złośliwe oprogramowanie nie podejmowało prób oddziaływania na niego. Jeśli osłona wykryje podejrzane pliki, próbujące wprowadzać jakiekolwiek zmiany, natychmiast wyświetlane jest ostrzeżenie, a od administratora żąda się podjęcia decyzji, czy zezwolić danemu elementowi na działanie, czy zablokować go. Podobnie jak we wcześniejszych przypadkach, jeśli wykryte zagrożenie zostanie rozpoznane przez Webroot SecureAnywhere Endpoint Protection, zostanie ono natychmiast zablokowane i poddane kwarantannie. Zanim jakiekolwiek zmiany systemu zostaną wprowadzone, osłona jądra systemu Webroot SecureAnywhere Endpoint Protection poddaje je analizie i ocenie, a także zatrzymuje takie działania w obrębie systemu, jak np. instalacja nowych serwisów. Lokalizuje on również i naprawia uszkodzone elementy systemu, takie jak np. sieci Layerd Service Provider (LSP)czy zainfekowane pliki i przywraca je do ostatniego dobrego stanu. Osłona jądra systemu jest odpowiedzialna za zapewnienie ciągłej ochrony narzędzi systemowych urządzeń końcowych przed działaniem złośliwego oprogramowania. Osłona jądra systemu Webroot SecureAnywhere Endpoint Protection stanowi kolejną warstwę zabezpieczeń udoskonalającą właściwości Webroot Intelligence Network i umożliwiającą automatyczną naprawę urządzeń końcowych. Webroot SecureAnywhere Endpoint Protection osłona przed zagrożeniami internetowymi (Web Threat Shield) Osłona przed zagrożeniami internetowymi chroni użytkowników podczas surfowania po Internecie i stanowi dodatkowy element zabezpieczający dla urządzeń korzystających z technologii SmartScreen Windows 8. Jeśli osłona internetowa Webroota wykryje stronę internetową, która może stanowić zagrożenie, wyświetlone zostanie ostrzeżenie dla użytkownika, który będzie musiał zdecydować, czy zablokować stronę, czy też kontynuować działanie mimo ostrzeżenia. Podczas korzystania z przeglądarki internetowej Web Threat Shield analizuje wszystkie linki na stronie wyników wyszukiwania i wyświetla oznaczenie wskazujące, czy dana strona jest bezpieczna (zielony haczyk) czy stanowi potencjalne zagrożenie (czerwony krzyżyk). 10

11 Osłona przed zagrożeniami z Sieci przepuszcza wszystkie strony internetowe przez własną wyszukiwarkę identyfikującą złośliwe oprogramowanie i jeśli strona może być w jakikolwiek sposób z nim powiązana, automatycznie blokuje ją przed załadowaniem w przeglądarce użytkownika. Jako że ten rodzaj ochrony nie jest równoznaczny z ochroną użytkownika na poziomie adresów URL czy filtrowania zawartości treści, oznacza to, że Webroot SecureAnywhere Endpoint Protection zapewnia urządzeniom końcowym dodatkowy poziom bezpieczeństwa sieciowego. Webroot SecureAnywhere Endpoint Protection osłona prywatności (Identity Shield) Funkcja osłony prywatności chroni poufne dane użytkowników, które mogłyby być narażone na niebezpieczeństwo w momencie wykonywania transakcji online. Może ona mieć również zastosowanie dla innych aplikacji dzięki możliwości dodania przez administratorów wybranych elementów do list obiektów chronionych. Identity Shield automatycznie wyszukuje próby naruszenia prywatności poprzez analizowanie przeglądanych stron internetowych, a także wykrywa i blokuje wszelkie podejrzane treści. Analizuje również strony internetowe pod kątem prób phishingu i blokuje je, jeśli stwierdzi obecność tego rodzaju zagrożeń. Osłona prywatności weryfikuje każdą stronę odwiedzaną przez użytkownika w celu określenia jej legalności oraz analizuje adresy IP, aby stwierdzić, czy nie miało miejsce przekierowanie lub czy strona nie znajduje się na czarnej liście Webroot Intelligence Network. Kolejnym procesem jest weryfikacja adresów DNS i IP źródeł internetowych w celu stwierdzenia, czy nie dochodzi do ataku typu Man-in-the-middle, a jeśli okaże się, że ma to miejsce, blokada strony. Zadaniem osłony prywatności jest również uniemożliwienie stronom internetowym potencjalnie ryzykownego śledzenia informacji zawierających dane poufne, oraz blokowanie instalowania plików typu cookies ze stron dostawców zewnętrznych, szczególnie jeśli są to strony uznane za niebezpieczne. Inną kluczową funkcją Identity Shield jest zabezpieczanie poufnych danych użytkownika, przede wszystkim takich jak nazwa użytkownika i hasło, przed ingerencją złośliwego oprogramowania oraz żądaniami stron internetowych, aby zapamiętywać te dane. W tym samym czasie osłona prywatności automatycznie blokuje również dostęp niezaufanych programów do poufnych danych. Blokowane są screen scrapery i keyloggery, a jedynie zaufane programy do przechwytywania ekranu dopuszczane są do chronionych poufnych danych. Zważywszy na to, jak duży zakres naszej aktywności zarówno związanej z pracą, jak z czasem wolnym odbywa się obecnie online, absolutnie konieczne jest zapewnienie bezpiecznego dostępu do aplikacji internetowych. Osłona prywatności Webroot SecureAnywhere Endpoint Protection znacznie zwiększa poziom bezpieczeństwa użytkowników w tym zakresie, w porównaniu do rozwiązań dostarczanych przez Windows 8. 11

12 Usprawnianie działania Windows 8 Jak wspomniano wcześniej, przejście do Windows RT i zmiana środowiska na odpowiednie dla aplikacji mobilnych, ma na celu skrócenie czasu rozruchu do kilku sekund, jak również umożliwienie Action Center dostarczenia użytkownikowi jasnej informacji o aplikacjach i procesach, które w istotny sposób obciążają funkcjonowanie urządzenia końcowego, dając użytkownikom Windows 8 możliwość przerwania działanie tych aplikacji start-up, które uznają za zbyt duże obciążenie dla systemu. Innymi zagadnieniami, które stają się kluczowe dla nowego systemu operacyjnego jest zużycie baterii oraz obciążenie sieci. Jak najmniejsze zużycie baterii jest oczywistym celem, jako że to właśnie jej żywotność stanowi podstawowe ograniczenie dla urządzeń mobilnych, takich jak laptopy, tablety czy smartfony. Pojawienie się różnorodnych aplikacji jest nowym zjawiskiem, które pociąga za sobą konieczność minimalizowania transferu danych, szczególnie ze względu na to, że urządzenia mobilne mogą łączyć się z siecią 3G/4G i innymi sieciami w miejscach, gdzie transfer ten może być bardzo kosztowny. 12

13 W odróżnieniu od wszystkich innych produktów antywirusowych, włączając w to antywirus Windows 8, Webroot SecureAnywhere Endpoint Protection został skonstruowany w taki sposób, że z łatwością spełnia wszystkie wymagania postawione przez firmę Microsoft przed Windows 8. Jednym z przykładów może być fakt, że standardowy antywirus prawdopodobnie prześle w ciągu miesiąca przynajmniej 500 MB danych stanowiących aktualizacje definicji plików itp., podczas gdy w przypadku Webroot SecureAnywhere Endpoint Protection, dzięki architekturze chmury, transfer w obu kierunkach wyniesie zaledwie ok. 32MB na miesiąc, co stanowi mniej niż 7% standardowego zużycia generowanego przez inne programy antywirusowe. Generalne wyniki Webroot SecureAnywhere Endpoint Protection według testów przeprowadzonych w lutym 2012 roku przez PassMark Software były zdecydowanie lepsze niż innych programów antywirusowych. Ogólny wynik Nazwa produktu % 78 Webroot SecureAnywhere Endpoint Protection % 55 Symantec Endpoint Protection 12.1 Small Business % 47 ESET NOD32 Antivirus 4 Business % 46 Microsoft Forefront Endpoint Protection % 40 Kaspersky Endpoint Security % 38 Trend Micro Worry Free Business Security 7.0 Standard % 29 McAfee Total Protection for Secure Business % 27 Sophos Endpoint Security % 80 Maksymalny możliwy wynik % PassMark Software Ogólne wyniki programów antywirusowych 13

14 Prezentowane zestawienie PassMark Software dotyczy systemu Windows 7 (którego komponenty w postaci WinNT nadal wykorzystywane są w Windows 8), a także przedstawia wyniki Microsoft Forefront Endpoint Protection, którego sposób działania jest bardzo zbliżony do Windows Defender. Twórcy programu Webroot prognozują, że nie ulegnie on radykalnym zmianom w Windows 8. Webroot SecureAnywhere Endpoint Protection zdobył wynik ponad 97% w rozbudowanych testach sprawdzających działanie programów, obejmujących czas wstępnego skanowania, rozmiar pakietu instalacyjnego, czas instalacji, czas rozruchu, wykorzystanie pamięci w stanie bezczynności, wykorzystanie pamięci podczas skanowania, czas wyszukiwania, kopiowanie plików, przenoszenie, usuwanie, zapis pliku, otwieranie, zamykanie i kompresję danych. Webroot SecureAnywhere Endpoint Protection oferuje zdecydowanie najlepsze rozwiązania w swojej klasie, a jednocześnie jest szybszy i lżejszy niż jakikolwiek inny program antywirusowy dostępny na rynku, zarówno jeśli chodzi o działanie na urządzeniu końcowym, jak na wykorzystanie zasobów sieci. Dzięki technologii chmury obliczeniowej, Webroot SecureAnywhere Endpoint Protection oferuje nowoczesne i lekkie rozwiązanie chroniące przed atakami złośliwego oprogramowania. Podnoszenie bezpieczeństwa aplikacji Windows 8 udostępnia nową platformę e-zakupów Windows Store, która oferuje zarówno tradycyjne aplikacje Windows NT, jak również nowe aplikacje Windows RT. Webroot SecureAnywhere Endpoint Protection jest aplikacją Windows NT (jakkolwiek na tyle lekką poniżej 700KB że łatwo może być pomylona z aplikacją Windows RT), odpowiednią jednak dla wszystkich nowych aplikacji internetowych Microsoftu. Aplikacje ze sklepu Windows są weryfikowane i sprawdzane przez firmę Microsoft, jednak nie zawsze jest to w pełni skuteczna metoda ochrony przed zagrożeniami. Kiedy aplikacja zostanie zainstalowana, użytkownikowi łatwo jest ignorować otrzymywane komunikaty i narażać w ten sposób system na niebezpieczeństwo. Osłona prywatności, jeden z elementów Webroot Intelligence Network, zablokuje dostęp aplikacji Windows do poufnych danych użytkownika, jak również nieprzerwanie monitorować będzie zachowania nowych aplikacji, w celu wykrycia potencjalnych zagrożeń. Dzięki unikalnym rozwiązaniom zastosowanym w Identity Shield, oferuje ona poziom widoczności, ochrony i kontroli aplikacji Microsoft niedostępny dla użytkowników i administratorów nigdzie indziej. Webroot planuje również wprowadzenie na rynek aplikacji Windows RT zarówno dla klientów indywidualnych, jak i biznesowych. Będą one zapewniać stałe aktualizowanie statusu bezpieczeństwa, w celu natychmiastowego informowania o potencjalnych zagrożeniach i sytuacjach wymagających szczególnej uwagi. 14

15 Podnoszenie widoczności aplikacji systemu Windows 8 i zarządzanie bezpieczeństwem Aby zapewnić bezpieczeństwo zarówno aplikacjom desktopowym, jak aplikacjom Metro ważne jest, aby wszystkie z nich były widoczne dla administratora. Webroot SecureAnywhere Endpoint Protection dysponuje pełną listą aktualnych aplikacji i zapewnia pełną widoczność każdej zainstalowanej na wszystkich urządzeniach użytkownika. Daje to możliwość bardzo prostego wykorzystania funkcji nadpisywania aplikacji w ramach Webroot SecureAnywhere Endpoint Protection, by w prosty sposób tworzyć czarne listy aplikacji, które nie będą mogły być uruchomione na żadnym urządzeniu. W podobny sposób tworzona byłaby biała lista aplikacji bezpiecznych dla Windows 8. Ten poziom zdalnej kontroli nad zainstalowanymi aplikacjami w znaczny sposób upraszcza kwestie związane z zarządzaniem bezpieczeństwem i pozwala administratorom decydować i kontrolować, które aplikacje będą dopuszczone do działania na urządzeniach z Windows 8 podłączonych do Sieci. Nowy dotykowy interfejs jest przeznaczony głównie dla smartfonów. W związku z tym w planach Webroot SecureAnywhere Endpoint Protection na rok 2012 mieści się stworzenie oprogramowania w pełni wspierającego smartfony z systemem Windows 8. Prace prowadzone są również nad stworzeniem aplikacji Metro sync i share, które pozwoliłyby zarówno użytkownikom indywidualnym, jak i biznesowym Webroot SecureAnywhere Endpoint Protection na pełną kontrolę przepływu danych oraz tego, gdzie i w jaki sposób odbywa się ich synchronizowanie i kopiowanie. Stanowi to kolejne bardzo ważne udoskonalenie w sytuacji, kiedy wzrastająca mobilność niesie za sobą wzrost zagrożeń związanych z utratą danych i kradzieżą urządzenia. Zasadniczym celem Webroota jest maksymalne uproszczenie procesu zabezpieczania i ochrony urządzeń końcowych oraz danych na nich przechowywanych podczas pracy z systemem Windows 8. 15

16 Podsumowanie Webroot SecureAnywhere Endpoint Protection działający równolegle lub zastępujący antywirus Windows 8 oferuje zestaw wysoce zaawansowanych narzędzi chroniących urządzenia końcowe pracujące z systemem operacyjnym Windows 8. Działanie oprogramowania antywirusowego Windows 8 polega na porównywaniu sygnatur i wymaga ciągłej ich aktualizacji, co powoduje, że stopień skuteczności ochrony urządzenia końcowego nie może być tak wysoki, jak w przypadku ochrony w czasie rzeczywistym, dostępnej dla użytkowników Webroot SecureAnywhere Endpoint Protection dzięki Webroot Intelligence Network. W obliczu niezwykle szybkich zmian i faktu pojawiania się co minutę ponad 70 nowych zagrożeń 3, ochrona w czasie rzeczywistym staje się absolutną koniecznością. Przyglądając się sposobowi działania Webroot SecureAnywhere Endpoint Protection wydaje się stanowić idealne rozwiązanie. W pełni wypełnia cele postawione przed Windows 8, a zatem jest szybki i efektywny oraz nie stanowi dużego obciążenia dla zasobów urządzenia końcowego, od baterii po przepustowość łącza i od procesora i pamięci RAM po przestrzeń dyskową. Jeśli dodać do tego unikalne korzyści dodatkowych warstw zabezpieczeń, gdzie osłona prywatności gwarantuje bezpieczeństwo nowych aplikacji Metro RT oraz danych przechowywanych na urządzeniach, a funkcja nadpisywania zapewnia pełne zabezpieczenie i kontrolę, trudno wyobrazić sobie skuteczniejszą formę ochrony urządzeń końcowych. Rewolucja Windows 8 nadchodzi, a Webroot SecureAnywhere Endpoint Protection zapewnia, że będzie ona przebiegać szybko i bezpiecznie oraz doprowadzi do zasadniczej zmiany w sposobie wykorzystywania urządzeń końcowych. Zmiany na lepsze. O Webroot Działania firmy Webroot zmierzają do zapewniania bezpieczeństwa w korzystaniu z zasobów Internetu dla klientów indywidualnych i biznesowych. Założona w 1997 roku firma Webroot z główną siedzibą w Kolorado zatrudnia globalnie około 400 osób w Ameryce Północnej, Europie oraz w krajach Azji i Pacyfiku. Główna siedziba firmy Webroot: 385 Interlocken Crescent, Suite 800, Broomfield, Colorado USA 16 3 Za: AV-Test.org