Bitdefender: ez az antivírus kicsit többet ad (x)

 ( hup | 2018. február 12., hétfő - 16:13 )

Világszintű biztonság mellett gyors és "fullextrás" a Bitdefender kínálata. Mi különbözteti meg a fejlesztőt a többiektől?

A 2001-ben alapított Bitdefender mára 1200 alkalmazottal rendelkezik, közülük 500 dolgozik kutatás-fejlesztésben. A cég főhadiszállása a kaliforniai Santa Clarában, a Szilícium-völgyben található, a fejlesztést azonban továbbra is Európában végzi a vállalat. A Bitdefender pénzügyileg is nagyon jól teljesít, tavalyi forgalma meghaladta a 150 millió dollárt, éves szinten 30 százalékkal növekszik. Ennél is meggyőzőbb, hogy a cég szoftverei már mintegy félmillárd végpont védelméről gondoskodnak világszerte, az összehasonlító AV-teszteken pedig rendszeresen kimagasló eredményeket ér el.

A Bitdefender dedikált portfóliót fejleszt otthoni felhasználóknak és vállalati ügyfeleknek is, kis cégeknek, közepes vállalatoknak és igazán nagy vállalatoknak is, amely az egyes szegmensek speciális igényeihez igazodik. Így az otthoni felhasználóknak a minőségi vírusirtó motor mellett IoT-t megvédeni képes határvédelmi megoldást (Bitdefender Box) is kínál.

Az üzleti portfólió a GravityZone márkanév alatt fut, és a kategóriatársaktól eltérően tartalmaz már EDR-t (endpoint detection and response), amely az incidensek megfelelő naplózását és gyors elhárítását teszi lehetővé. Itt a Bitdefender a téves riasztások (fals pozitívok) szűrésével különbözteti meg magát, így kevésbé terheli az üzemeltetői csapatot.

Az alapcsomag a Bitdefender GravityZone Business Security, amely a cég végponti biztonsági megoldását tartalmazza, néhány extrával megspékelve: tartalmaz exploit-védelmet, amely az ismert sebezhetőségeket kihasználó támadó kódot vadássza, a futó folyamatok viselkedését monitorozó Process Inspectort és segít a támadás utáni takarításban is. Üzleti megoldásokhoz hasonlóan ez már központi menedzsmenttel és felügyelettel rendelkezik, azonban kimondottan olcsón érhető el.

A következő fokozat a GravityZone Advanced Business Security, amely az adatközponti Security for Virtualized Environments (SVE) megoldást hozza (erre még visszatérünk), illetve opcionálisan már MDM-mel (mobileszköz-menedzsmenttel) is felvértezhető. További különbség, hogy elérhető a Smart Centralized Scanning, amely a vírusvizsgálatot egy dedikált célgépen végzi, így az eszközökön nem használ erőforrást. Ez már jóval nagyobb tudású az alapcsomagnál, de még mindig nagyon kedvező áron érhető el.

Az Elite és Ultra Security már az NGAV (következő generációs antivírus) kategóriában indul, a standard vírusírtókhoz képest több fontos újdonságot tartalmaz - a legfontosabb, hogy a különböző potenciális veszélyforrásokat és azok viselkedését kontextusában igyekszik vizsgálni, ezt a kontextust pedig később az incidenst vizsgáló szakemberek számára is elérhetővé teszi. Ezek a termékek egyelőre csak specialista fejlesztők kínálatában találhatóak meg, a nagy vendorok kínálatában még egyszerűen nem érhetőek el. A fejlett képességek között van a végponti sandbox-vizsgálat, amely az alanyok viselkedését egy szeparált környezetben vizsgálja. Egy másik funkció a HyperDetect, amely a script-alapú támadások, célzott támadások és az "állománymentes" malware ellen is igyekszik védelmet nyújtani.

Patch menedzsment és lemeztitkosítás-kezelés opcionálisan

A portfólió szélességére jellemző, hogy a GravityZone integrált patch menedzsment megoldással is rendelkezik, amely a rendszeren már futó agentet használja az adatgyűjtésre. Ráadásul a megoldás nem csak a windowsos javítások telepítését képes kezelni, hanem más kliensoldali szoftverekét is. Minderről pedig rendszeres jelentések készíthetők a megfelelőségi kimutatásokhoz - ez például a GDPR révén külön hangsúlyt nyer.

Szintén a GDPR miatt lett hirtelen minden szervezetben releváns az FDE (full disk encryption), amely biztosítja, hogy egy laptop elvesztése ne jelentsen adatszivárgást - hiszen a megtaláló nem tudja visszafejteni az eszközön tárolt adatokat, ebben az esetben pedig a szabályozás szerint nem is kell ezt bejelentenie a szervezetnek. Az FDE menedzsmentje azonban szervezeti szinten egyáltalán nem triviális, a titkosítás ellenőrzése, a központi kulcskezelés kihívás - amit a Bitdefender Full Disk Encryption kezelni tud.

Szkennelj okosan

A Bitdefender specialitása, hogy sokat törődik a megoldás erőforrásigényével és igyekszik azt minimumra szorítani. Ennek egy érdekes példája a virtualizált környezetben (adatközpontokban, VDI mellé) bevethető GravityZone Security for Virtualized Environments (SVE). Az SVE szakít a hagyományos, "egy VM egy ágens" megközelítéssel, és egy központi virtuális célgéppel oldja meg a biztonsági vizsgálatot, amely "fentről", a hypervisor oldaláról tud belenézni az egyes gépek működésébe és tudja felügyelni azokat - a rendszerleíró adatbázist, a memória tartalmát, a fájlrendszert és a futó folyamatokat is. Ráadásul a megoldás könnyen skálázódik is, amennyiben egyetlen Security Server már nem bírja a terhelést, a rendszer gyorsan felpörget egy klónt, elosztva így a feladatot.

Az eredmény pedig könnyen dollárosítható-forintosítható: az alacsonyabb terhelés miatt adott szerveres infrastruktúrán sokkal több virtuális gép futtatható azonos válaszidő mellett, ami jelentős költségcsökkentést hozhat mind a hardveres oldalon, mind a megvásárolt szoftverlicenceknél.

(A Bitdefender forgalmazója, a biztributor megbízásából készített anyag)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A free antivirusukat nemrég kellett visszaállítani defenderre, mivel a januári patch kinyírta, ala meltdown/spectre.

--
robyboy

Javítják majd.

Azt elhiszem, de egy védtelen windows-os gépnél nincs rosszabb...

--
robyboy

Esetleg kettő? :)

Az a symantec-et is kinyírta...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

kb mindegyiket kinyírta (lehetett követni, hogy melyiket mikor minősítette az MS), de 1-2 napon belül mindegyik meg is oldódott, így a Bitdefender is.

és egy központi virtuális célgéppel oldja meg a biztonsági vizsgálatot, amely "fentről", a hypervisor oldaláról tud belenézni az egyes gépek működésébe és tudja felügyelni azokat - a rendszerleíró adatbázist, a memória tartalmát, a fájlrendszert és a futó folyamatokat is

jol ertem? Tehat van egy virtualis appliance, ami meghekkeli a hypervisor-t (kb. mint az az olasz banda Mari neni gepet egy random adobe flash vulnerability-t kihasznalva), es igy az a virtualis gep frankon belemaszik az en mellette levo vm-embe?

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Ez a hypervisorok egyik 'régi' fícsöre (Virtual Machine Introspection), hogy tud olyan virtuális gépet is csinálni, ami "mind felett" áll (tulajdonképpenn inkább alatt) és így ezek memóriatartalmát és processzor utasításait is 'látja'. Ez alapján képes az összes kernel szintű tevékenység monitorozására vagy akár módosítására is.

Xen:
https://drakvuf.com/

VMware:
saját megoldása a vShield, de már több víruskergető is csinált erre épülő megoldást.

--
zrubi.hu

Xenen picit tovább megy a vShieldnél: https://www.bitdefender.com/business/hypervisor-introspection.html

Lényegében a fő különbség, hogy itt valós memóriatartalmat vizsgál, nem file-ból (fizikai memória-izolációval), és nem szignatúrákat keres, hanem exploit jellemzőket, pl buffer overflow-t. Így aztán frissítésekre sem hagyatkozik, és alapvetően sokkal erősebb a felismerési képessége.

(a biztributornál dolgozom)

A magyar lokalizáció csak most érkezett meg hozzá, holott a "szomszédban" fejlesztik.
--
https://www.digitalocean.com/?refcode=7504fb2af065

tudjuk hol, nem a kölcsönös elfogadás van a háttérben az biztos. Vagy másképpen: a fizikai közelség nem jelent semmit.

--
robyboy

Ez üzleti döntés. Idáig a forgalom nem indokolta a fordítást (a sok feature miatt sok fordítás kell), mi most bevállaltuk a jóval nagyobb forgalmat.

(a biztributornál dolgozom)

Üzletileg sosem voltunk szempont sehol, nem vagyunk piac.

--
robyboy

Összehasonlíásban valóban nem. A kérdés az, megéri-e nekik a fordítás? Eddig nem érte meg. Mi most vettük át a disztribúciót, közös finanszírozásban és sokkal komolyabb bevételi tervekkel már megérte.

Nekem egy kicsit gyanús. A bitdefenderről nem tudok véleményt mondani, de a vipre pár éve még kb. a security essetials-hoz hasonló placebó víruskereső volt. Így előre tenni őket... Csak nem azért mert ezeket forgalmazzák?
Mindeközben az Avira-t és az ESET-et, ami szerintem a két legjobb víruskereső, így lepontozni..
--
"Sose a gép a hülye."

A VIPRE-t is mi forgalmazzuk, így elég jó rálátásunk van: pár éve igen jó motorja volt, aztán jó darabig nem fejlesztettek, másfél éve pedig megint komoly energiát toltak bele, aminek fél-egy éve meg is van az eredménye, ami a tesztekből látszik.

Az egy dolog, hogy szerinted melyik a legjobb víruskereső, a tesztek (AV-TEST, AV-Comparatives, stb) reprodukálhatóan mutatnak eredményt. Nem érzésre pontoznak (kivéve a "használhatóság" és hasonló nehezebben megfogható szempontokat, amiknél, ha megnézed, az ESET pl sok pontot kap). A szakmában eléggé elfogadott, hogy a Bitdefender motorja legalábbis az egyik legjobb, ha nem a legjobb, mind felismerési hatákonyság (ide értve a false positive rátát), mind sebesség (gépterhelés) tekintetében. Nem véletlen, hogy a legtöbb security gyártó, aki AV-t licencel, a Bitdefender motorját használja, ide értve több konkurens víruskeresőt is.

(a biztributornál dolgozom)

Most találkoztunk vele. A bitdefender konkrétan élni nem hagy... win10-en hárompercenként megkérdezi, hogy a wifi hálózatot elfogadod-e home hálózatnak. Bármilyen batch scriptet kb. azonnal blokkol.
A management szoftverünk telepítésekor az egyik config fájlt rendszeresen karanténba tette, mert "nagyon veszélyes" vírust tartalmaz. A fájlnév: auth.txt. Tartalma:
gépnév@machineid
random generált 16 karakteres jelszó

Ez valóban életveszély. Továbbá nem determinisztikusan (6-ból 4 gépen), de egy másik, a szolgáltatáshoz kapcsolódó xml-t szintén megfogott. Kb. tíz sor van benne, hogy melyik service-t milyen paraméterrel kell elindítani, sima egyszerű xml.

[szerk] Újabb csodálatos fejlemény: http://wstaw.org/m/2018/03/09/plasma-desktopqb3005.png
Ez tényleg "többet ad".... Berakta karanténba a cmd.exe-t, mint a szar.
--
"Sose a gép a hülye."