AV Performance Boost: Endpoint Security 10 Threat Prevention

AV Performance Boost: Endpoint Security 10 Threat Prevention

DearBytesBlogAV Performance Boost: Endpoint Security 10 Threat Prevention

dinsdag 11 oktober 2016

In dit blog wil ik kort kijken naar antivirus en prestaties. In het bijzonder naar de prestatieverbeteringen die kunnen worden behaald met Endpoint Security 10.2 Threat Prevention, de opvolger van Virusscan Enterprise. De volledige Endpoint Security 10 installatie vervangt overigens ook Host Intrusion Prevention (HIPS FW) en SiteAdvisor Enterprise en ondersteunt de mogelijkheid voor andere toevoegingen.

De klassieke combinatie van Virusscan, Host Intrusion Prevention en SiteAdvisor Enterprise op endpoints heeft de afgelopen jaren bewezen effectieve beveiliging te leveren tegen verschillende soorten bedreigingen, maar was niet vrij van nadelen. Als voorbeeld noem ik hier de achteruitgang in prestaties op beveiligde systemen door On-demand Scans en de On-Access Scanner van Virusscan Enterprise.

Verbeterpunten zijn onder meer:

  • een overlap in de functionaliteit geboden door onderliggende engines van verschillende producten, wat de producten mogelijk inefficiënt maakt
  • de prestatieproblemen die ontstaan door On-Access en On-Demand Scans
  • aparte configuratie is nodig voor verschillende producten, elk daarvan met zijn eigen beperkingen
  • moeite met detecteren van onbekende bedreigingen (0-day en unieke malware)

Bij Intel Security weet men als geen ander welke problemen spelen rondom de klassieke oplossingen en een tijdje terug kwam Intel met Endpoint Security 10. Het behoeft weinig uitleg dat het verstandig is om even te wachten met het implementeren van nieuwe producten zodat ze stabiliseren, waarmee de kans op problemen wordt verkleind. Maar een upgrade naar Endpoint Security 10 is echt geen gek idee. Endpoint Security 10 is een volledige revisie van bestaande functionaliteit, gericht op prestaties en integratie.

Endpoint Security 10 Platform

De basis van het product is Endpoint Security 10 Platform, dat geen functionaliteit biedt zoals antivirus of IPS, maar meer dient als de basis om andere producten in te pluggen. Endpoint Security 10 Platform levert algemene functionaliteit zoals self-protection, logging mogelijkheden, ontsluit toegang tot Global Threat Intelligence (GTI), management van taken en de kernel drivers die nodig zijn voor andere modules.

Andere modules (zoals Threat Prevention) kunnen eenvoudigweg aanhaken op Endpoint Security 10 Platform. Endpoint Security 10 Platform wordt automatisch geïnstalleerd wanneer één van de Endpoint Security 10 modules (bijvoorbeeld Threat Prevention) wordt geïnstalleerd. Wanneer een andere Endpoint Security 10 module (bijvoorbeeld Web Control) wordt geïnstalleerd, haakt die aan op het dan reeds aanwezige Endpoint Security 10 Platform.

Deze nieuwe, modulaire aanpak vermindert ‘overhead’ en zorgt voor prestatieverbeteringen, terwijl het functionaliteit centraliseert die nodig is voor individuele modules.

Endpoint Security 10 Platform is in feite de basis voor alle overige modules, wordt automatisch geïnstalleerd en vermindert overhead terwijl het alle algemene functies ontsluit voor de overige modules. Elk van deze overige modules vervangt een klassiek beveiligingsproduct.

Laten we eens kijken naar Threat Prevention, de belangrijkste Endpoint Security 10 module die Virusscan Enterprise vervangt, en zien wat dit voor u kan betekenen in termen van prestaties.

On-access Scanning

Antivirus zorgt van nature voor verminderde prestaties op endpoints. On-access scanner voert scans uit op alle bestanden die door het besturingsysteem worden geraakt terwijl dat misschien niet nodig is. Endpoint Security 10 Threat Prevention controleert eerst op een intelligente manier of een bestand kan worden vertrouwd, om dan te beslissen of het wel of niet moet worden gescand. Factoren waarop wordt gecontroleerd zijn onder meer file reputation (GTI) en ondertekening van een bestand met een vertrouwd certificaat. Deze evaluatie vindt plaats onder de naam Trust Logic.

Trust Logic verbetert beveiliging en vergroot prestaties door onnodig scannen te vermijden. Het bekijkt bijvoorbeeld of een proces vertrouwd is en niet gecompromitteerd, en als dat zo is besluit het de lees- en schrijfacties van dit proces niet of verminderd te scannen, wat een groot verschil maakt.

On-access Scanning met Endpoint Security 10 levert sterk verbeterde prestaties.

On-demand Scanning

Het is tegenwoordig niet ongebruikelijk dat systemen beschikken over multi-terabyte opslagcapaciteit. Potentieel zorgt dat voor een substantiële prestatie-impact door antivirus-scanning. Het Best-Practices document voor Virusscan Enterprise dicteert dat alle systemen ten minste wekelijks volledig worden gescand op malware. U leest het goed, wekelijks en volledig.

Endpoint Security 10 Threat Prevention is standaard geconfigureerd om uitsluitend te scannen wanneer er geen gebruiker aan het werk is, een functie die Zero-Impact scanning wordt genoemd. Of het systeem ‘idle’ is, wordt vastgesteld op basis van toetsenbord- en muisactiviteit, maar ook door WMI (Windows Management Instrumentation) te query’en. Als het systeem niet in gebruik is wordt de On-demand Scan gestart. Als de gebruiker daarna weer aan het werk gaat wordt de scan gepauzeerd, om vervolgens te worden vervolgd als de gebruiker weer wegloopt.

De gebruiker merkt dus niet meer dat een On-demand Scan wordt uitgevoerd, terwijl het systeem wekelijks volledig wordt gescand, overeenkomstig best-practice.

De DAT Update

Traditioneel zagen we een korte maar zware belasting van systemen gedurende de DAT update van VSE. Endpoint Security 10 Threat Prevention maakt gebruik van wat we noemen de V3 DAT, die niet alleen virushandtekeningen bevat, maar ook engine-updates. De V3 DAT (bekend als AMCore Content in de ePO Master Repository) heeft een verbeterde structuur en is een andere verbetering ten opzichte van de oude V2 DAT.

Conclusie

De Endpoint Security 10 functionaliteit die hier wordt besproken is maar het topje van de ijsberg. Endpoint Security 10 levert een waslijst aan verbeteringen en nieuwe functionaliteiten. In een volgend blog wil ik ingaan op andere nieuwe features, verbeteringen en het migratieproces van de bestaande producten naar Endpoint Security 10, dat Intel Security ook lekker makkelijk heeft gemaakt.

Voor meer informatie over Endpoint Security 10, lees de whitepapers (hier en daar).

Om te zien wat DearBytes voor uw organisatie kan betekenen bij een upgrade naar Endpoint Security 10, neemt u contact op met uw account manager.