Rögtön tisztázom is, hogy itt nem egy kliens oldali vírusirtó/malware-protection/vállról indítható HIPS-ről van szó. Ez itt egész más, viszont olyan megoldás, ami jelentősen képes növelni egy nagyobb rendszer biztonsági szintjét, amennyiben vírusokról és rosszindulatú szoftverekről van szó.
Az Opswat-ról van szó és méltatlanul kevesen ismerik és még kevesebben használják.
A fő komponenst az úgynevezett Metadefender Core, amire vásárolható mindenféle csomag, ezek elérhetővé teszik az ismertebb AV-vel foglalkozó cégek motorjait és azok működéséhez az adatbázisokat. Lehet előre megadott bundle-et választani – 4-8-16 stb – amikben a szám, a motorok számát jelenti.
Elérhető egy másik komponenst a Metadefender Client, ami nem más mint a végfelhasználó gépére – USB pendrive-ra is az IT SWAT Team eszközei közé – tehető, így akár a kliensről, direktben is lehet keresést indítani – fontos hogy itt is a Metadefender Core keres, nem a kliens.
A – szerintem – legizgalmasabb és egyen opcionális funkció a KIOSK. Szerepe körülbelül annyi, hogy egy teljesen lezárt végletekig lekorlátozott Windows kliensen ad egy felületet, amin keresztül a felhasználó az egyik USB portba bedugott eszközéről a rendszerbe bevinni kívánt fájlokat vagy vírusmentesítés után egy másik pendrive-ra másolja vagy eljuttatja a Vault-ba – erről később beszélek. A Kiosk körülbelül úgy képzelhető el, mint a bankfiókban egy sorszámhúzó. Lehet teljesen offline, na ez a legbénább megoldás, mivel akkor a Core is saját magán fut – hogy tudjon keresni – és akkor minden nap/naponta többször is rá kell juttatni a friss AV adatbázisokat manuálisan. Ha legalább hálózatra kapcsolódhat, akkor frissítheti az adatbázisokat a netről, de ha lehetséges, akkor érdemes egy Core-hoz kapcsolni, így is mentesítve magát a keresés terhétől.
Ekkor jön képbe a Vault, ami egy olyan tárterület, amin a felhasználó – akár authentikáció után – megtalálja a keresés végeztével a mentesített fájljait. Ez lényeges, mert amúgy – pl offline kiosk esetén – a felhasználónak ott kell állnia végig a kliens előtt, hogy az végezzen a kereséssel.
Mire is jó ez az egész? Például olyan rendszerben hasznos lehet, ahol egy weboldalra fájlt töltenek fel a felhasználók. Nagyon nem mindegy, hogy vírust viszünk be a rendszerbe vagy sem. Ha például levélben érkezik – ekkor kell egy Metadefender Email komponens – meg valami, fájlcserét végzünk két rendszer között – manuálisan vagy automatikusan – akkor képes azokat megvizsgálni az összes rendelkezésre álló keresővel, kibontani a tömörített állományokat, sandbox-ban is megnézni hogy az Excel táblában egy makró éppen mit csinál.
Szóval a rendszer nem aktív vírusvédelemre használatos, nem arra, hogy agent segítségével az operációs rendszereket védje, hanem arra, hogy az adatcsere során felmerülő ferzőzés veszélyét zárja ki. Ebből fakadóan a Core maga, használható webes felületen, illetve RestAPI-n keresztül. A webes felület is egyébként az API-t használja, de ez egyúttal azt is jelenti hogy szabadon felhasználható bármilyen alkalmazásban.
Egyre gyakrabban fertőződnek a kliensek – célzott támadások esetén elég magas arányban – ha a támadó kód egy ismert fájltípusban van elrejtve. Ezek bár direktben nem futtathatók, de a támadók talának módot arra, hogy az így elrejtett VBA makrókat, exploit-okat, Flash vagy JavaScript sorokat alkalmazni tudják. Mivel senki sem számít arra, hogy egy ilyen ismertebb fájlban vírus található, nyugodt szívvel megnyitja és kész a baj, hagyatkozunk az aktív vírusvédelmi szoftver képességére. Pont erre kínál valami megoldást a korábban említett, további hasznos funkció, a CDR – Content Disarm & Reconstruction – ami arra képes hogy a támogatott fájltípusokat átvizsgálva és megtisztítva, kiszűrje a rosszindulatú kódokat – akár a zero day féléket is – majd a fájlokat van mentesítve vagy konvertálva átadja a felhasználónak.
A felület modern, ami az ősküvület AV termékek között igazi felüdülés.
A rendszer moduláris és nagyon jól skálázható, szóval ha elfogy az erő a Core-alatt, akkor mellé lehet tenni még egyet, hogy legyen elég keresési kapacitás. Több Kiosk, kliens és Vault kapcsolható egybe, amik menedzsmentjét a Central Management fog össze.