• No results found

Een zoektocht naar de beste keus!

N/A
N/A
Protected

Academic year: 2021

Share "Een zoektocht naar de beste keus!"

Copied!
37
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Hele tekst

(1)

Een zoektocht

naar de beste keus!

Selectietraject antivirus oplossing

Stef van Zantvoort Veghel, juni 2010

(2)

Afstudeerverslag voor Fontys Hogeschool ICT Gegevens student:

Naam student: Stef van Zantvoort

Studentnummer: 2097284

Opleiding: Informatica Management & Security, voltijd

Afstudeerperiode: Van februari 2010 tot juni 2010 (100 dagen)

Gegevens bedrijf:

Naam bedrijf: Vanderlande Industries

Afdeling: Infra projects/development

Plaats: Veghel

Naam bedrijfsbegeleiders: Maurice Jansen, Hennie Koenen, Rick Vile

Functie bedrijfsbegeleiders: Afdelingshoofd Infra Projects, afdelingshoofd Infrastructure, IT specialist III

Gegevens docentbegeleider:

Naam docentbegeleider: Tiemen Wijnja

Onderwijsinstelling: Fontys Hogeschool ICT

Gegevens verslag:

Titel afstudeerverslag: Selectietraject antivirus oplossing

Datum uitgifte: 10-06-10

Getekend voor gezien door bedrijfsbegeleider: Datum:

(3)

Voorwoord

Dit document is geschreven in het kader van mijn afstudeerstage voor de opleiding Informatica: Management & Security op de Fontys Hogeschool te Eindhoven.

Het onderzoek dat ik bij Vanderlande Industries heb uitgevoerd, had betrekking op het inventariseren van de eisen en wensen ten aanzien van een antivirus oplossing enerzijds, en de mogelijkheden ten aanzien van antivirus oplossingen anderzijds.

Tijdens het uitvoeren van het onderzoek heb ik veel ondersteuning en advies ontvangen. Bij deze wil ik dan ook graag de volgende personen hiervoor bedanken:

 De heer Maurice Jansen, voor het formuleren van de opdracht.

 De heer Hennie Koenen, voor zijn ondersteuning en advies op het organisatorische vlak van het onderzoek.

 De heer Rick Vile, voor zijn ondersteuning en advies op het technische vlak van het onderzoek.

 De heer Tiemen Wijnja, voor zijn ondersteuning en advies op het procesmatige vlak van het project.

 Mijn medestagiaires, voor het beoordelen van de documentatie en presentaties en het creëren van een aangename en collegiale werksfeer.

(4)

Inhoudsopgave

Samenvatting... 4 Summary... 5 Verklarende woordenlijst...6 1. Inleiding...8 2. Het bedrijf...9 2.1 Geschiedenis... 9 2.2 Huidige status...9 2.3 ICT organisatie...10 3. Opdrachtomschrijving...11 3.1 Huidige situatie...11 3.2 Probleemstelling...11 3.3 Gewenste situatie...12 3.4 Onderzoek... 12 4. Antivirus achtergrond...14 4.1 Malware... 14 4.2 Antivirus software...15 5. Initiatiefase...17 6. Onderzoeksfase...18

6.1 Inventarisatie eisen en wensen...18

6.2 Long list... 21

6.3 RFP/Inquiry... 23

6.4 Inventarisatie infrastructuur PoC...23

6.5 Onderzoeksrapport...24 7. Testfase...25 7.1 Short list... 25 7.2 RFP... 26 7.3 Test plan... 27 7.4 PoC... 27 7.5 PoC conclusies... 31 7.6 Adviesrapport... 32 8. Conclusies en aanbevelingen...33 Evaluatie... 34 Literatuurlijst...35 Bijlagen... 36

(5)

Samenvatting

De afstudeeropdracht is uitgevoerd bij Vanderlande Industries (VI), een onderneming die innovatieve materiaal afhandelingsystemen ontwikkelt. Het bedrijf richt zich op de hoofdelementen distributie, bagageafhandeling, pakketdiensten en het benodigde onderhoud hierop ("Services").

Ten aanzien van de antivirus oplossing bestaat er bij VI een centrale beheerstructuur. Het pakket waar men momenteel gebruik van maakt is McAfee. Er bestaan enkele problemen in de huidige situatie. Deze liggen op het gebied van de systeemprestaties van de clients, de functionaliteiten van het pakket en de informatiebeveiliging op de lange termijn. De opdracht bestond uit: een inventarisatie maken van de eisen en wensen ten aanzien van een antivirus oplossing en de mogelijkheden ten aanzien van antivirus oplossingen (ook wel Endpoint Protection Platform, of EPP genoemd).

De aanpak van het project bestond uit vier fases: de initiatiefase, de onderzoeksfase, de testfase en de afrondingsfase. Het daadwerkelijke onderzoek werd uitgevoerd in de tweede en derde fase.

In de initiatiefase is een Product Initiation Document (PID) opgesteld om het onderzoek projectmatig te laten verlopen.

In de onderzoeksfase werd er door middel van interviews een beeld geschetst van de eisen en wensen. Tegelijkertijd werd er een long list met zeven mogelijke pakketten opgesteld. Op basis van de long list werd er een selectie van drie pakketten gemaakt, die op een short list kwamen. Uit deze fase van het onderzoek kwam een onderzoeksrapport voort.

In de testfase werden de pakketten op de short list getest door middel van de Proof of Concept (PoC) methode. Uit deze PoC konden er, per onderzochte categorie en per pakket, conclusies getrokken worden. Uit deze fase van het onderzoek kwam een adviesrapport voort.

In de PoC werd het Trend Micro pakket als het best presterende pakket beoordeeld, met name op het gebied van systeemprestaties (scannen en updaten van de client) en de management console. Naar schatting zou dit pakket de problemen uit de huidige situatie grotendeels oplossen. Het McAfee pakket werd beoordeeld als het minst presterende pakket uit de PoC. Zoals verwacht vanuit de huidige situatie was dit met name op het gebied van systeemprestaties. Dit pakket heeft echter ook voordelen op het gebied van directe kosten, en is het wegens drukte simpelweg niet mogelijk om te migreren naar een ander pakket.

Het uiteindelijke advies luidt te migreren naar Trend Micro als EPP pakket voor VI. Indien een migratie op de korte termijn niet mogelijk is, is het een aanbeveling het contract met McAfee met één jaar te verlengen en de migratie naar Trend Micro gezamenlijk met de volgende infrastructurele verandering te laten verlopen. Dit zou het migratieproces mogelijk simplificeren en sneller laten verlopen. Op het moment van schrijven is de voorspelling dat deze volgende infrastructurele verandering die van Windows XP naar Windows 7 zal zijn.

(6)

Summary

The graduation assignment was performed at Vanderlande Industries (VI), a company that develops innovative material handling systems. It focuses on the main elements of distribution, baggage handling, postal and parcel and the necessary support (“Services”).

With regards to an antivirus solution, VI uses a central management structure. The package that is currently in use is McAfee. In the current situation, there are several problems in the areas of system performance of the clients, functionalities of the package and the security of the IT environment for the long term. The assignment was to make an inventory of the demands and desirables regarding an antivirus solution and the possibilities regarding such solutions (also known as an Endpoint Protection Platform, or EPP).

The approach of the project was divided into four phases: the initiation phase, the research phase, the testing phase and the finalization phase. The actual research was performed during the second and third phase.

In the initiation phase, a Project Initiation Document (PID) was made in order to perform the research in a structured manner.

In the research phase, there were several interviews in order to make an inventory of the demands and desirables. Simultaneously, a long list of seven possible packages was made. Based on the long list, a selection was made for three packages to be on a short list. A research document was made during this phase of the research.

In the testing phase, the packages on the short list were tested according to the Proof of Concept (PoC) method. Following the PoC, conclusions could be made per researched category and package. An advisory document was made during this phase of the research.

It was concluded from the PoC that the Trend Micro package was the best performing package, especially with regards to system performance (scanning and updating the client) and the management console. It is estimated that this package will solve most of the problems in the current situation. It was also concluded from the PoC that the McAfee package was the least performing package. As expected from the current situation, this was mainly with regards to system performance. However, this package also has advantages with regards to direct costs. Also, it might not be possible to migrate to a different package at this time.

Ultimately, the advice is to migrate to Trend Micro as the EPP package for VI. If, however, a migration is not possible on the short term, it is recommended to renew the McAfee license for one year and let the migration to Trend Micro coincide with the next infrastructural upgrade. Doing so could possibly simplify and quicken the antivirus migration process. Currently, the next infrastructural upgrade is predicted to be the upgrade from Windows XP to Windows 7.

(7)

Verklarende woordenlijst

Woord Afkorting Verklaring

Active Directory AD Een technologie van Microsoft die het

mogelijk maakt om Windows netwerken te beheren.

Agent - Een industrieterm voor de antivirus

applicatie die op de client werkzaam is.

Back-up - Een kopie van data teneinde deze veilig

te stellen in het geval dat de originele data verloren gaat.

Client - Een industrieterm voor een computer of

“endpoint”.

Central Processing Unit CPU Het onderdeel van een computersysteem

dat de berekeningen van programma’s uitvoert.

Compliance sheet - In de context van dit project betekent dit

een lijst van verschillende eisen en wensen aangaande een product, waarop de leverancier per punt aangeeft of het product hieraan voldoet.

EPolicy Orchestrator EPo De management console van de McAfee

EPP.

Endpoint Protection Platform EPP Een industrieterm voor een software beveiligingsoplossing die op meerdere fronten bescherming voor endpoints (of “clients”) biedt.

Enterprise Resource Planning ERP Een systeem dat het voor een onderneming mogelijk maakt om de beschikbare middelen centraal te beheren.

E-mail gateway - Een netwerkcomponent waar het

ingaande en uitgaande e-mail verkeer doorheen gestuurd wordt.

Firewall - In de context van dit project betekent dit

een systeem dat een client op netwerkniveau beschermt tegen aanvallen van buitenaf.

Host Intrusion Prevention System HIPS In de context van dit project betekent dit een systeem dat een client op

applicatieniveau beschermt tegen aanvallen van buitenaf.

Informatie &

Communicatie Technologie

ICT Een verzamelnaam voor het vakgebied Informatica.

Long list - In de context van dit project betekent dit

een initiële lijst van mogelijke pakketten.

Management console - In de context van dit project betekent dit

een systeem waarmee men de antivirus omgeving kan beheren.

Network Access Control NAC Een systeem om de toegang van

computers op een netwerk te beheren. Project Initiation Document PID Een opstartdocument in het Prince2

(8)

Woord Afkorting Verklaring

Policy - In de context van dit project betekent

een policy (regelgeving) een

configuratiebestand waar de agent mee ingesteld wordt.

Proof of Concept PoC Een test methode die het aantonen van

de haalbaarheid van vooraf beloofde functionaliteiten aangeeft. In de context van dit project bestaat dit uit een

installatie, uitleg van de functionaliteiten en verscheidene tests.

Repository - Een server die beschikt over een bepaald

type data. In de context van dit project betreft dit antivirus definities.

Request For Proposal RFP Een aanvraag tot een voorstel van een

leverancier ten aanzien van een geboden product of oplossing.

Return On Investment ROI In de context van dit project betekent deze (van origine boekhoudkundige) term de tijd die nodig is om een

bepaalde investering terug te verdienen.

Script - Een industrieterm voor een programma

dat bepaalde (voornamelijk beheer) taken automatiseert.

Short list - In de context van dit project betekent dit

een vernauwde lijst van mogelijke pakketten, geselecteerd op de basis van de long list.

Systems Management Server SMS Een systeem van Microsoft waarmee

men computers onder andere kan voorzien van applicaties.

Simple Network Management

Protocol SNMP Een netwerk protocol dat ervoor zorgt dat er statistische gegevens over het netwerk gegenereerd kunnen worden.

SNMP trap - Een datapakket van het SNMP protocol

dat informatie over een component op het netwerk bevat.

Vanderlande Industries VI Het bedrijf waar het project uitgevoerd is.

Wide Area Network WAN Een netwerk met een grote geografische

spreiding. In de context van dit project betekent dit alle netwerken die deel uitmaken van het VI netwerk, waaronder de locatie Veghel en de customer

(9)

1. Inleiding

In het hedendaagse bedrijfsleven wordt informatiebeveiliging een steeds belangrijker begrip; het is al niet meer weg te denken uit menig ICT infrastructuur. Zo ook bij Vanderlande Industries (vanaf hier aangeduid met “VI”), een onderneming die materiaal afhandelingsystemen ontwikkelt voor onder meer distributiecentra, postorderbedrijven, pakketdiensten, productiebedrijven en luchthavens. Bij VI maakt men gebruik van de antivirus oplossing van McAfee. Gezien het feit dat het huidige contract met McAfee eind juni 2010 afloopt en men om verscheidene redenen niet geheel tevreden is over het pakket, is men zich gaan afvragen of men het huidige contract moet verlengen of dat er een overstap moet worden gemaakt naar een andere antivirus oplossing.

In dit kader heeft men een onderzoeksopdracht geformuleerd, waarin een antivirus oplossing getoetst wordt op enkele vooraf gestelde criteria zoals kosten, mogelijkheden en prestaties van het pakket.

Om bij een dergelijk onderzoek een projectmatige aanpak te handhaven, zijn er vier globale fases gedefinieerd: de initiatiefase, de onderzoeksfase, de testfase en de afrondingsfase.

Dit onderzoek is relevant voor VI omdat het onderzoek en het advies dat hieruit voortkomt, gebruikt kan worden bij het beantwoorden van de eerder genoemde vraag: het huidige contract verlengen of overstappen naar een andere antivirus oplossing?

In hoofdstuk 2 vindt men een beschrijving van het bedrijf met betrekking tot de geschiedenis, de producten en de afdeling waar het onderzoek plaatsvindt. De precieze opdrachtomschrijving staat in hoofdstuk 3. In hoofdstuk 4 vindt men een achtergrond van virussen en antivirus oplossingen. De initiatiefase, de onderzoeksfase en de testfase worden in respectievelijk hoofdstuk 5, 6 en 7 behandeld. Hierna volgen de conclusies, aanbevelingen en tenslotte de persoonlijke evaluatie van de stage.

(10)

2. Het bedrijf

2.1 Geschiedenis

VI werd in 1949 opgericht te Veghel als familiebedrijf “E. van der Lande”, waar men zich richtte op de constructie van hijstoestellen, kranen en transportbanden. In de jaren ‘60 van de vorige eeuw begon het bedrijf met het ontwikkelen van materiaal afhandeling systemen en werden ook de eerste internationale stappen gezet. Na verscheidene overnames werd het bedrijf uiteindelijk “Vanderlande Industries” en begon men langzaam maar zeker te veranderen in een intercontinentale onderneming.

2.2 Huidige status

Tegenwoordig is VI een innovatieve marktleider op het gebied van materiaal afhandelingsystemen. Met meer dan 2000 werknemers en wereldwijde vestigingen kan men spreken van een grote onderneming, waarvan het hoofdkantoor na ruim 60 jaar nog steeds in Veghel te vinden is. Op het moment van schrijven staat het bedrijf in de materiaal afhandeling top 20 op de vijfde plaats.

Bij het huidige VI richt men zich op drie hoofdelementen en één ondersteunend element (zie figuur 2.1) in de materiaal afhandeling branche:

 Distributie

 Bagageafhandeling  Pakketdiensten  Services

2.2.1 Distributie

Op het gebied van distributie ontwerpt en ontwikkelt VI verscheidene logistieke systemen voor magazijnen en distributiecentra. Hiervan zijn er al meer dan 1000 geïmplementeerd.

2.2.2 Bagage afhandeling

VI heeft wereldwijd de implementaties van meer dan 500 bagage afhandelingsystemen op vliegvelden verzorgd. Het gaat hier dan om op maat gemaakte oplossingen.

2.2.3 Pakketdiensten

Ook maakt men systemen ten behoeve van de sortering van pakketten en post. Hiervan zijn er al meer dan 600 geïmplementeerd.

2.2.4 Services

Naast het ontwerpen en ontwikkelen van de bovenstaande systemen, pleegt men hierop ook onderhoud. De afdeling Services verzorgt dit onderhoud.

(11)

2.3 ICT organisatie

De ICT afdeling, onder leiding van Rene van Sandijk en Willem van der Craats, bestaat uit vijf onderafdelingen. Deze worden in de volgende paragrafen kort behandeld. Tevens kan men een overzicht van de ICT organisatie in de vorm van een organigram (zie figuur 2.2) vinden.

2.3.1 BIS/TIS/WIS

De afdelingen Business Information Systems, Technical Information Systems en Workflow Information Systems verzorgen de ondersteuning van het applicatietechnische productiegedeelte van VI. Zo kan men denken aan het beheren van applicaties voor productontwikkeling, het Enterprise Resource Planning (ERP) systeem en de documentatieopslag.

2.3.2 Infra Projects/Infrastructure

De uitvoering van het onderzoek vond plaats op de afdelingen Infra Projects en Infrastructure. Bij Infra Projects voert men doorlopend projecten aangaande de ICT organisatie en architectuur uit. Deze projecten komen uiteindelijk terecht bij Infrastructure, de eigenlijke beheerafdeling bij VI. Naast dagelijks beheer wordt hier ook helpdeskondersteuning geboden.

2.3.3 Organigram

Schematisch ziet de ICT organisatie van VI er als volgt uit:

Infrastructure Hennie Koenen Will Ariens Marek Chmiel Hans Heijblom Dennis Jansen Marga Janssen Piet Martens Bart van den Nieuwenhuizen

Paul Passier Coen Peperzak Gerard Ploegmakers

Judith van Tiel Rene van de Vossenberg

Ben Weyn

Information Technology

Willem van der Craats

Infra Projects

Maurice Jansen

Mark Driessen Dirk van Eerd Wilko van de Langenberg

Stefan Roelofs Marcel Verbruggen

Rick Vile Edwin van de Weele

Ton de Wit

Stef van Zantvoort

Workflow Information Systems Technical Information Systems Business Information Systems Chief Information Officer

Rene van Sandijk

(12)

3. Opdrachtomschrijving

3.1 Huidige situatie

Bij VI is er sprake van een centrale beheerstructuur ten aanzien van de antivirus oplossing. Om de uitrol en het beheer van agents op clients in de gehele infrastructuur te regelen, maakt men gebruik van McAfee EPolicy Orchestrator (EPo) versie 4.5 als management console. Om het Wide Area Network (WAN) zoveel mogelijk te ontlasten, is er per locatie een repository server waar de lokale clients de laatste antivirus definities kunnen ophalen. De McAfee server in Veghel repliceert periodiek de nieuwste antivirus definities naar deze repository servers. Binnen deze huidige situatie bestaan er echter enkele problemen ten aanzien van de antivirus oplossing.

3.2 Probleemstelling

3.2.1 Prestaties

De systeemprestaties van de clients stemmen niet tot tevredenheid, zowel bij het beheer als de eindgebruikers. Uit interviews met verscheidene ICT beheerders blijkt dat deze matige prestaties vrijwel altijd toegeschreven worden aan de virusscanner.

Zo bestaan er gevallen waar gebruikers tijdens het ophalen en installeren van antivirus definities tot wel tien minuten moeten wachten tot zij weer verder kunnen met hun werkzaamheden. Dit heeft een negatieve invloed op de algehele productiviteit. Ook heeft dit tot gevolg dat gebruikers proberen de antivirus functionaliteit uit te schakelen, teneinde verder te kunnen werken. Naast het feit dat ook dit de productiviteit van de gebruikers niet ten goede komt, kan hierdoor tevens de informatiebeveiliging bij VI in gevaar worden gebracht.

3.2.2 Functionaliteiten

De huidige beheerder van de antivirus oplossing gaf tijdens een interview aan over het algemeen tevreden te zijn over de huidige antivirus oplossing. Er bleken echter ook enkele negatieve aspecten aan het pakket te zitten.

Zo is het een lastig proces om een scan op een individuele client uit te voeren. Bij een notificatie van een infectie op een client moet de beheerder hiervoor dermate veel handmatige handelingen uitvoeren, dat dit al gauw tien tot vijftien minuten in beslag neemt. Naast de extra tijd die men hierdoor spendeert aan een relatief eenvoudige actie, vergroot deze relatief lange periode tevens de kans dat de infectie zich verspreidt over het netwerk.

Het uitrollen van agents naar clients blijkt in ongeveer 40% van de gevallen niet mogelijk te zijn, omdat de McAfee server deze clients niet kan bereiken. Dit is opgelost door voor deze clients de uitrol door middel van de Microsoft Systems Management Server (SMS) te laten verlopen. Hierdoor heeft men echter moeilijk zicht op clients die voor de McAfee server onbereikbaar zijn en (wellicht door omstandigheden) niet met behulp van SMS van een agent zijn voorzien. Om de kans op een infectie zo klein mogelijk te maken, is het van belang om alle clients op het netwerk met behulp van de agent te beschermen.

Ook is het voorgekomen dat de McAfee server de laatste antivirus definities niet succesvol repliceert naar de repository server op locatie. Hierdoor hebben gebruikers op sommige locaties tot wel een week zonder de laatste definities gewerkt. Ook dit is een voorbeeld van een potentieel gevaar waarmee een kwaadwillend programma zich door de gehele onderneming zou kunnen verspreiden.

(13)

3.2.3 Informatiebeveiliging op de lange termijn

Ten aanzien van antivirus oplossingen heeft men bij VI alleen ervaring met het McAfee pakket. Men is niet op de hoogte van de mogelijkheden van andere pakketten en de bijbehorende technieken die zij gebruiken. Om niet alleen op de korte termijn maar ook de lange termijn de informatiebeveiliging op niveau te houden, is het noodzakelijk een antivirus oplossing te gebruiken die aansluit op de eisen en wensen van de onderneming en de technieken hanteert die ook in de toekomst een veilige ICT infrastructuur garanderen.

Een infectie op het netwerk zou enorme gevolgen kunnen hebben voor een dermate ICT afhankelijk bedrijf als VI. Een praktijkvoorbeeld van een infectie die de werkzaamheden van een instelling heeft verstoord is de worm Conficker, die in januari 2010 het elektronisch patiëntendossier van het Albert Schweitzer ziekenhuis in Dordrecht onderuit haalde1. Daarnaast

hadden de gebruikers moeite met inloggen en werden de clients trager.

Naast de impact op de werkzaamheden van medewerkers blijkt uit een onderzoek van McAfee uit 2009 dat computercriminelen steeds gerichter aanvallen op bedrijven uitvoeren2. Bij VI, dat

haar huidige marktpositie grotendeels op basis van intellectuele eigendommen heeft verkregen, zou het op straat komen liggen van deze eigendommen ernstige gevolgen hebben.

3.3 Gewenste situatie

In de gewenste situatie maakt men bij VI gebruik van een antivirus oplossing of “Endpoint Protection Platform” (EPP), die op een efficiënte manier omgaat met de resources van de client, zich naast virussen bewust is van aan de informatiebeveiliging gerelateerde bedreigingen en inspeelt op de gevaren die in de hedendaagse informatietechnologie aanwezig zijn. Tevens is de management console van het pakket overzichtelijk en gemakkelijk te beheren, en sluit aan op de eisen en wensen van VI ten aanzien van een dergelijk pakket. Er is, net zoals in de huidige situatie, sprake van een centrale beheerstructuur.

3.4 Onderzoek

De eerste stap richting de gewenste situatie kan men zetten door middel van het uitvoeren van een onderzoek. Hierbij maakt men een inventarisatie van eisen en wensen en de mogelijkheden ten aanzien van een EPP.

3.4.1 Doelstelling

De doelstelling voor dit project is als volgt: de onderzoeker brengt binnen 100 dagen door middel van een selectietraject een advies uit over het EPP die het beste aan de volgende criteria voldoet:

 De mate van beheerbaarheid.

 De mogelijkheden ten aanzien van de uitrol van agents.  De functionaliteiten die het pakket biedt.

 De rapportages die verkregen kunnen worden.  De kosten van het pakket.

 De prestaties van malware detectie en de systeemprestaties.

(14)

3.4.2 Aanpak

De aanpak van het project is gedefinieerd in een Project Initiation Document (PID). De fases en bijbehorende stappen zijn als volgt:

 De initiatiefase: hierin start het project en definieert men de precieze opdracht.  De onderzoeksfase: hierin vindt het voorbereidende onderzoek plaats.

 De testfase: hierin vindt het daadwerkelijke (test)onderzoek plaats.  De afrondingsfase: hierin wordt het project afgerond.

De eerste drie fases worden in dit document uitgebreid beschreven.

De afrondingsfase betreft de projectverantwoording in de vorm van dit document en het houden van verscheidene presentaties. Deze fase wordt niet behandeld in dit document.

3.4.3 Producten

Het project levert de volgende producten op:

 Een onderzoeksrapport: een intern rapport met de beoogde aanpak en de eisen en wensen ten aanzien van het EPP.

 Een adviesrapport: een intern rapport met de bevindingen van het onderzoek, advies en andere gerelateerde documentatie.

 Een afstudeerscriptie: een extern document met een procesverslag van het onderzoek, het advies en andere gerelateerde documentatie.

 Een interne presentatie ten behoeve van informatieverspreiding.

(15)

4. Antivirus achtergrond

Om een duidelijk beeld van het project te schetsen, biedt dit hoofdstuk de benodigde achtergrondinformatie aangaande malware en antivirus software.

4.1 Malware

Tegenwoordig zijn er vele bedreigingen die de informatiebeveiliging van een onderneming kunnen ondermijnen. Zo kan men denken aan virussen, trojans, spyware, adware, bots, zero-day threats en rootkits. Om deze termen te groeperen, is de term ‘malicious software’ of ‘malware’ bedacht. Waar de eerste bedreigingen door middel van floppy diskettes werden verspreid, komt het gevaar tegenwoordig met name van het internet. Sinds de toenemende populariteit van dit medium eind jaren ’90 is de hoeveelheid malware in enkele jaren explosief gegroeid, een ontwikkeling die (gedeeltelijk) in de onderstaande grafiek van AV-test.org3

geïllustreerd wordt:

(16)

In een prognose van TrendLabs4 (een onderzoeksbureau van Trend Micro) blijkt dat deze groei

zich in de komende jaren zal doorzetten. Deze ziet er als volgt uit:

Figuur 4.2

Mede door deze vooruitzichten zijn enkele fabrikanten van antivirus software begonnen met nieuwe technieken om het probleem van de stijgende hoeveelheid malware op een andere manier op te lossen. Dit wordt in de volgende paragraaf behandeld.

4.2 Antivirus software

Om de bedreigingen van malware aan de informatiebeveiliging tegen te gaan, is antivirus software ontworpen. Op computers met populaire besturingssystemen zoals Microsoft Windows is het gebruik van dergelijke software tegenwoordig vrijwel onmisbaar. Om malware te detecteren gebruiken antivirus software de volgende technieken:

4.2.1 Detectie op basis van signatures

Om computers te beschermen tegen reeds bekende malware gebruiken antivirus software de methode van detectie op basis van signatures. Van elk computerbestand kan men door middel van een mathematische formule een ‘vingerafdruk’ of ‘signature’ berekenen. Bestanden die zijn geïnfecteerd door malware leveren een (afwijkende) signature op, die antivirus software kunnen gebruiken om ze als zodanig te identificeren.

De signatures van bestanden die als geïnfecteerd bekend staan worden opgeslagen in een database, ook wel ‘signature file’ genoemd. Om de computer zo goed mogelijk te beschermen is het zaak dat men regelmatig de laatste signature file bemachtigt. Deze kan vervolgens door de antivirus software worden gebruikt tijdens het doorzoeken van bestanden op infecties.

4.2.2 Heuristische detectie

Om computers te beschermen tegen malware waarvoor (nog) geen specifieke signature voorhanden is, gebruiken antivirus software de methode van heuristische detectie. Dit houdt in dat de antivirus software bij het doorzoeken van een bestand niet alleen kijkt naar de specifieke signature van het bestand, maar tevens evalueert of de signature (op enkele verschillen na) lijkt op een reeds bekende signature. Indien dit het geval is, zou het een variatie op bekende malware kunnen betreffen.

(17)

4.2.3 In-the-cloud techniek

Een recente techniek om malware te identificeren en detecteren is de zogenaamde ‘in-the-cloud’ techniek. Hierbij verstuurt de client signatures van verdachte bestanden naar een centrale server, die vervolgens beoordeelt of deze veilig, dan wel onveilig is. Op de clients wordt ongeveer 20% van de gehele signature file opgeslagen. Dit zijn signatures die bescherming tegen de meest recente malware bieden. In het in-the-cloud model van Trend Micro ziet dit er als volgt uit5:

Figuur 4.3

In het kader van de eerder beschreven problematiek bij VI is het interessant om op te merken dat bij deze techniek het zwaarste werk van detectie overgedragen wordt aan een server. Over de effectiviteit van deze techniek zijn echter nog weinig onafhankelijke gegevens bekend. Trend Micro heeft aangegeven dat in-the-cloud geen zware belasting op het netwerk heeft. In tegenstelling tot het traditionele model, waarbij op een bepaald moment van de dag de volledige signature file naar de clients wordt verstuurd, wordt in dit model het verkeer verspreidt over de dag. Dit wordt geïllustreerd in de volgende grafiek6:

(18)

5. Initiatiefase

In de initiatiefase is een Project Initiation Document (PID) opgesteld ten behoeve van het definiëren van het project.

Het PID is een onderdeel van Prince2; een gestructureerde methode om een project te beheersen. Deze methode wordt op Fontys Hogeschool ICT gebruikt als hulpmiddel bij het opstarten van een project.

Het document beschrijft onder andere de achtergrond, de doelstelling en de aanpak van het project, teneinde het project te definiëren. Ook de betrokken partijen, de projectbeheersing en een globale planning ten aanzien van het project zijn in dit document terug te vinden (zie bijlage I).

(19)

6. Onderzoeksfase

In de onderzoeksfase zijn de volgende processen aan bod gekomen:

 Het inventariseren van de eisen en wensen van VI ten aanzien van een EPP.  Het opstellen van een long list van mogelijk geschikte pakketten.

 Het opstellen van een Request For Proposal (RFP)/inquiry ter verzending naar de fabrikanten/leveranciers van de pakketten op de long list.

 Het inventariseren van de infrastructuur voor het Proof of Concept (PoC).

 Het opstellen van een onderzoeksrapport inclusief alle documentatie uit de onderzoeksfase van het onderzoek.

Deze processen worden in de volgende paragrafen beschreven.

6.1 Inventarisatie eisen en wensen

Het inventariseren van de eisen en wensen geschiedde voornamelijk door middel van interviews met de betrokken medewerkers van de ICT afdeling. In een vorig onderzoek van VI met betrekking tot EPPs waren deze eisen en wensen reeds geïnventariseerd. Deze verouderde lijst werd tijdens de interviews gebruikt om te zien of er aanpassingen nodig waren.

De volgende onderwerpen kwamen aan bod tijdens de interviews:  De mate van ervaring met het huidige pakket.

 De verouderde lijst van eisen en wensen.

 Eventuele suggesties ten aanzien van de pakketten op de long list. De belangrijkste uitkomsten van deze interviews waren:

 De management console moet eenvoudig, overzichtelijk en makkelijk instelbaar zijn.  De prestaties van zowel het scannen als het updaten van de client moet competitief

zijn.

 De gedistribueerde uitrol is een belangrijk item op de lijst van eisen en wensen.  Bij de selectie gaat het voornamelijk om de antivirus en malware functies.  De volgende functionaliteiten vallen buiten de scope:

o Host Intrusion Prevention System (HIPS) functionaliteit. o Client firewall functionaliteit.

o Network Access Control (NAC) functionaliteit. o Back-up functionaliteit.

 De volgende functionaliteiten worden toegevoegd aan de scope: o Data encryptie functionaliteit.

o Web beveiliging functionaliteit.

 Aan de lijst van fabrikanten worden toegevoegd:

o ESET

(20)

De uiteindelijke lijst van eisen en wensen, gerangschikt per categorie, wordt hieronder beschreven:

6.1.1 Eisen

Dit gedeelte van de lijst geeft de eisen weer, waar het pakket aan moet voldoen. Deze zijn ingedeeld op drie gebieden:

 Prestaties: eisen ten aanzien van prestaties van het pakket op het gebied van malware detectie en systeemprestaties.

 Beheer: eisen ten aanzien van het beheer van het pakket.

 Technisch: eisen ten aanzien van de technische mogelijkheden van het pakket.

Prestaties

1. Clients en servers moeten worden beschermd tegen virussen, wormen, trojans, spyware, adware, bots, zero-day threats en rootkits.

2. De prestaties van het scannen en installeren van virus definities moet beter dan gemiddeld zijn.

Beheer

1. Er moet een op afstand toegankelijke centrale applicatie voor het beheer, monitoren en uitrollen van agent software zijn.

2. Het moet mogelijk zijn om software, updates en virus definities gedistribueerd uit te rollen. Als een update van de lokale repository mislukt, moet het mogelijk zijn een alternatieve repository (internet) in te stellen.

3. Het moet mogelijk zijn om functies zoals de firewall, het scannen op wormen, het detecteren van spyware etc. aan of uit te zetten met behulp van policies.

4. De authenticatie van de centrale beheerapplicatie moet gebaseerd kunnen worden op Active Directory (AD).

5. Het moet mogelijk zijn om meerdere versies van software, updates en virus definities in de centrale beheerapplicatie of een database op te slaan.

6. Het moet mogelijk zijn om vooraf ingestelde rapportages uit te laten draaien. 7. Het moet mogelijk zijn om processen en bestanden uit te sluiten van een scan.

Technisch

1. Er moet integratie met AD mogelijk zijn.

2. Het moet mogelijk zijn om alvorens te migreren een nieuwere versie van software te kunnen testen in een testomgeving op een groep geselecteerd (productie) computers.

(21)

6.1.2 Wensen

Dit gedeelte van de lijst geeft de eisen weer, waar het pakket aan zou moeten voldoen. Deze zijn ingedeeld op twee gebieden:

 Beheer: eisen ten aanzien van het beheer van het pakket.

 Technisch: eisen ten aanzien van de technische mogelijkheden van het pakket.

Beheer

1. Het zou mogelijk moeten zijn om software te distribueren met behulp van Microsoft SMS. Updates mogen door het EPP pakket zelf afgehandeld worden.

2. Het pakket zou efficiënt om moeten gaan met de opslag van antivirus definities en updates door middel van het periodiek verwijderen van verouderde data.

3. Het zou mogelijk moeten zijn om alerts en notificaties naar verschillende gebruikers per locatie te versturen.

Technisch

1. De migratie van de huidige McAfee installatie zou simpel en veilig moeten zijn.

2. In het geval dat de centrale beheerapplicatie een database gebruikt, zou deze SQL 2000/2005 of Oracle 10g/11g moeten ondersteunen.

(22)

6.2 Long list

6.2.1 Selectie

Gelijktijdig met het inventariseren van de eisen en wensen is er een long list opgesteld, die er als volgt uit ziet:

1. McAfee 2. Symantec 3. Sophos 4. Trend Micro 5. Microsoft 6. ESET 7. Kaspersky

De eerste vier pakketten werden geselecteerd met behulp van de Gartner Magic Quadrant For EPPs van 2009, waarin zij als marktleiders op het gebied van beveiligingssoftware worden aangeduid. Microsoft werd toegevoegd vanwege de infrastructuur van VI, die momenteel al voornamelijk uit Microsoft software bestaat. Dit zou een eventuele implementatie kunnen vereenvoudigen. De toevoeging van ESET en Kaspersky kwam voort uit de suggesties tijdens de interviews met de betrokken medewerkers.

Gezien het feit dat het zelf uitvoeren van tests in het kader van prestaties (zowel die van de virusdetectie als de systeemprestaties) bij een dergelijk onderzoek vanwege tijdsdruk niet mogelijk is, werd besloten de gegevens van de onafhankelijke vergelijkingswebsite AV-comparatives.org te gebruiken. Deze website heeft reeds jaren ervaring met onderzoeken op het gebied van malware en antivirus software, en was derhalve een goede keuze om het onderzoek (gedeeltelijk) op te baseren.

(23)

6.2.2 Long list matrix

Om een gegronde beslissing te kunnen maken, bleek het opstellen van een overzicht in de vorm van een matrix noodzakelijk. Hiermee kan men de sterke en zwakke punten per pakket vergelijken. De hoofdcategorieën waren:

 De dekking van de vooraf gestelde scope.

 De geboden ondersteuning tijdens het selectietraject en de ingeschatte bekwaamheid om technische ondersteuning te bieden.

 De prestaties op het gebied van de management console.

 De prestaties op het gebied van malware detectie en systeemprestaties.

Met betrekking tot de scope en de dekking hiervan was het mogelijk de benodigde informatie door middel van eigen onderzoek te achterhalen.

(24)

De redenatie ten aanzien van het waarderingssysteem is als volgt:

De waarderingen gaan van 1 (laagste) tot 5 (hoogste). Voor minder kritische categorieën zoals “Aanvullende scope dekking” en “Ondersteuning” werd besloten geen waarderingen lager dan 2 of hoger dan 4 te geven. Voor de uiterst kritische categorie “Scope dekking” werd besloten om een 1 (geen ondersteuning) dan wel een 5 (wel ondersteuning) te geven. Ondersteuning met behulp van aanvullende onderdelen werd gewaardeerd met een 3.

De tests van AV-comparatives.org werden beoordeeld met behulp van het waarderingssysteem van deze website zelf. De categorieën “Scope dekking” en “Aanvullende scope dekking” werden door middel van eigen onderzoek beoordeeld.

Enkele waarderingen werden met “N.V.T.” ingevuld omdat hiervan geen informatie beschikbaar was.

6.2.3 Criteria

De scope dekking en de ingeschatte bekwaamheid om technische ondersteuning te bieden werden als doorslaggevende criteria beschouwd. Ook de prestaties van de pakketten waren een belangrijke peiler.

Van minder belang waren de aanvullende scope dekking, de resultaten van de tests aangaande het beheer en de ondersteuning aangaande de inquiry.

6.3 RFP/Inquiry

Het RFP is een document dat wordt verzonden naar de leveranciers van de pakketten die op de short list staan. Het geeft achtergrondinformatie over het project, geeft duidelijk aan wat de scope en de eisen en wensen ten aanzien van het pakket zijn en verzoekt de leveranciers om een voorstel te doen met betrekking tot de oplossing die zij voor ogen hebben.

Doorgaans wordt een dergelijk document naar een leverancier verstuurd. Hierin staan ook verzoeken met betrekking tot informatie over onder andere de kosten beschreven. In dit geval waren de fabrikanten van de beveiligingssoftware echter de ontvangende partij. Om deze reden is besloten het document in deze fase van het project geen RFP maar een ‘inquiry’ te noemen.

6.4 Inventarisatie infrastructuur PoC

Om de pakketten die uiteindelijk op de short list komen te kunnen testen, moet er een PoC testomgeving worden opgezet. Na een interview met de huidige beheerder werd het al snel duidelijk dat de voorkeur uitging naar een virtuele testomgeving. Hierop volgde een gesprek met de beheerder van de virtuele omgeving bij VI. Gezamenlijk werd een opzet voor deze testomgeving gemaakt.

In de opzet van de PoC zijn de volgende systemen gedefinieerd:

 Twee servers op het Windows 2003 platform, waarvan één voor het EPP pakket en één om de integratie met AD te testen.

 Drie clients op het Windows XP platform om de functionaliteiten van elk pakket te kunnen testen. Hierbij kan men denken aan de uitrol van de software en de manier waarop een pakket omgaat met gevonden malware.

Deze systemen vallen binnen het PoC testnetwerk. Door middel van een tweede netwerkkaart op de EPP server krijgt deze toegang tot het Internet. Hierdoor kan men tests aangaande het binnenhalen van signature files uitvoeren.

(25)

De testomgeving ziet er schematisch als volgt uit:

Figuur 6.1

6.5 Onderzoeksrapport

Het onderzoeksrapport dient als naslagwerk voor toekomstig beheer en onderzoek. Het bevat de volgende documentatie uit deze fase van het project:

 Een korte achtergrond met betrekking tot malware/antivirus software.  De long list.

 De inquiry.

 De inventarisatie van PoC infrastructuur.  De short list.

(26)

7. Testfase

In de testfase zijn de volgende processen aan bod gekomen:

 Het opstellen van een short list met een selectie van de pakketten op de long list.

 Het opstellen van een Request For Proposal (RFP) ter verzending naar de leveranciers van de pakketten op de short list.

 Het opstellen van een test plan waarin beschreven staat hoe en wat er getest zal worden in het PoC.

 Het uitvoeren van een Proof of Concept, waarin de geselecteerde pakketten worden getoetst aan de gestelde eisen en wensen, en in welke mate zij hieraan voldoen.

 Het opstellen van een adviesrapport inclusief alle documentatie uit de testfase van het onderzoek.

Deze processen worden in de volgende paragrafen beschreven.

7.1 Short list

In de onderzoeksfase is een long list van zeven mogelijke pakketten opgesteld. Omdat het testen van elk van deze pakketten teveel tijd in beslag zou nemen, is besloten deze lijst in de testfase te reduceren naar drie pakketten. Deze selectie werd gebaseerd op de informatie uit de eerder opgestelde long list matrix.

7.1.1 Geselecteerde pakketten

De pakketten die op de short list staan, zijn:

 McAfee: geselecteerd om een vergelijking te kunnen maken van het huidige pakket tegen de andere pakketten.

 Symantec: geselecteerd om de goede prestaties in de tests van AV-comparatives.org.  Trend Micro: geselecteerd om de technologische ontwikkelingen waar het bedrijf de

afgelopen jaren aan gewerkt heeft.

7.1.2 Uitgesloten pakketten

De pakketten die niet op de short list staan, zijn:

 Sophos: uitgesloten omdat er, indien Sophos gekozen zou worden als EPP pakket, er een extra project benodigd is. Dit omdat er reeds een Sophos antivirus module op de e-mail gateway draait. Omdat het niet effectief is om tweemaal met dezelfde antivirus module te scannen, zou deze op de e-mail gateway veranderd moeten worden. Dit zou uiteindelijk teveel additionele kosten met zich mee brengen.

 Microsoft: uitgesloten omdat het pakket de scope niet dekt.

 ESET en Kaspersky: uitgesloten omdat beide fabrikanten niet genoeg ervaring hebben op het gebied van ondersteuning van enterprise ondernemingen zoals VI.

(27)

7.2 RFP

Uit een eerder selectietraject was er reeds een RFP aanwezig. Door middel van de inventarisatie van de eisen en wensen uit de onderzoeksfase van het project is dit document van recentere gegevens voorzien.

De RFP is verstuurd naar drie leveranciers die werden geselecteerd op basis van suggesties van de desbetreffende antivirus fabrikanten. Naast de eisen en wensen die ook in de inquiry genoemd stonden, werden er ook specifieke eisen gesteld aan het voorstel van de leverancier:

 Het voorstel moet ingaan op alle hoofdstukken en paragrafen in de RFP, door middel van het invullen van het compliance sheet, dat als bijlage aan de RFP is toegevoegd (zie tabel 6.1).

 De kosten van de volgende onderdelen moeten worden gespecificeerd: o Hardware & Operating System (voor het beheersysteem). o Software.

o Abonnement (licentie op jaarbasis om virus definities te mogen ophalen). o Ondersteuning op software op jaarbasis.

o Globale inschatting van benodigde inzet (aantal uren en uurtarief). o Scholing voor toekomstige medewerkers.

 Het voorstel moet een globaal plan van aanpak bevatten.

 Er moeten minimaal twee Nederlands sprekende contacten zijn voor ondersteuning in Nederland. Deze contacten moeten technisch onderlegd zijn ten aanzien van het pakket.

(28)

7.3 Test plan

Om een soepel verlopende PoC te realiseren, is het opzetten van een test plan noodzakelijk. Het test plan beschrijft de omgeving waar de tests plaatsvinden, wat er precies getest wordt en hoe dit aangepakt wordt.

De volgende hoofdcategorieën van tests komen in het test plan aan bod:  Het testen van de eisen en wensen.

 Het testen van de prestaties.

 Het testen van de afhandeling in het geval van gedetecteerde malware.  Het evalueren van de management console.

7.4 PoC

In de PoC zijn de drie pakketten op de short list onderworpen aan de tests zoals die in het test plan gedefinieerd waren.

7.4.1 PoC installatie

De PoC installatie werden in het geval van de Symantec en Trend Micro pakketten begeleidt door een medewerker van de desbetreffende antivirus fabrikant. Deze leverde de benodigde software aan, en legde tevens de werking van verschillende functionaliteiten van het desbetreffende pakket uit.

In het geval van het McAfee pakket werd door de leverancier aangegeven dat er geen installatie door hen verzorgd zou worden, aangezien er al redelijk veel kennis aangaande dit pakket binnen VI bestond. Daarom is besloten om het McAfee pakket onder begeleiding van de huidige beheerder van de antivirus omgeving in de testomgeving te installeren.

In alle gevallen verliepen de installaties en de bijbehorende uitleg naar behoren. Eventuele vragen die voortkwamen tijdens het uitvoeren van de tests en de evaluaties van de management consoles zijn verstuurd naar de medewerkers van de desbetreffende antivirus fabrikant. Deze zijn in alle gevallen uitgebreid beantwoordt. De medewerking van deze fabrikanten heeft een positieve invloed gehad op het PoC proces.

7.4.2 Testresultaten

Tijdens de uitvoering van de PoC is per pakket een checklist ingevuld. De resultaten zijn vervolgens gedigitaliseerd. Met behulp van kleuren werd aangeven aan welke eisen en wensen het desbetreffende pakket wel of niet voldeed.

7.4.3 Gemiddelde beoordeling management console evaluatie

Per pakket werd de management console door drie beheermedewerkers op de volgende vier categorieën beoordeeld:

 Overzicht: de overzichtelijkheid van de management console.  Grafisch: het grafische aspect van de management console.

 Diepte: de hoeveelheid en diepte van de opties in de management console.  Algemene beoordeling: het algemene gevoel bij de management console. Per categorie werden er op een schaal van 1 tot 5 waarderingen toegekend. De gemiddeldes van de evaluatie zijn als volgt:

1. Trend Micro, gemiddeld 3,75. 2. McAfee, gemiddeld 3,25.

(29)

7.4.4 Pricing matrix

Om de kosten van de pakketten overzichtelijk te maken, is een pricing matrix opgesteld. Met de informatie uit de compliance sheets van de leveranciers is hier invulling aan gegeven. Deze ziet er als volgt uit:

Tabel 7.2

Het Return On Investment (ROI) van de eventuele migratie naar het Trend Micro pakket is geschat op ongeveer drie jaar. Dit is gebaseerd op de volgende informatie:

 Het geschatte aantal uren die men minder hoeft te besteden aan het beheer van de antivirus omgeving op jaarbasis.

 Het voordeel in licentiekosten op jaarbasis.

(30)

De berekening van het ROI is als volgt:

De beheerder van de huidige antivirus oplossing schat het voordeel op het aantal uren dat er beheer gepleegd moet worden ten aanzien van de antivirus omgeving op 2 uur per week. Met het gemiddelde van 42,5 werkweken per jaar komt men op een voordeel van 85 uur per jaar. Met een gemiddelde van €40,- per uur, komt dit uit op een voordeel van €3400,- per jaar. De McAfee licentie kost €97024,- voor drie jaar. De Trend Micro licentie kost €68400,- voor drie jaar. Het voordeel ten aanzien van de licenties is €28624,- voor drie jaar. Wanneer men dit bedrag deelt door het aantal jaren (in dit geval, 3) komt dit uit op een voordeel van €9541,- per jaar.

De geschatte extra kosten (implementatie en scholing) van het Trend Micro pakket (Totale kosten – licentiekosten) zijn €41059,-.

Wanneer men de geschatte extra kosten (€41059,-) deelt door het totale voordeel (€12941,-) komt men uit op een ROI van 3.17, of ongeveer drie jaar.

Het kostenverloop ziet er visueel als volgt uit:

(31)

7.4.5 PoC matrix

Om een gegronde beslissing te kunnen maken, bleek het opstellen van een overzicht in de vorm van een matrix ook in deze fase van het project noodzakelijk. De hoofdcategorieën waren:

 De kosten van het pakket.

 De ondersteuning op het gebied van de eisen en wensen.  De evaluatie van de management console.

 De prestaties op het gebied van scanning en het updaten van de client.

De verschillende categorieën zijn ingevuld aan de hand van de pricing matrix, de testresultaten, de antwoorden op de RFP (compliance sheets) en de management console evaluaties.

Deze PoC matrix ziet er als volgt uit:

(32)

De redenatie ten aanzien van het waarderingssysteem is als volgt:

De waarderingen gaan van 1 (laagste) tot 5 (hoogste). Voor de categorieën “Kosten”, “Niet geteste eisen en wensen” en “Prestaties”, waarbij het zeer moeilijk is om een waardering in de uitersten (1 dan wel 5) te geven, werd besloten geen waarderingen lager dan 2 of hoger dan 4 te geven. Voor de categorieën “Eisen” en “Wensen” werd besloten om een 1 (geen ondersteuning) dan wel een 5 (wel ondersteuning) te geven.

7.5 PoC conclusies

Op basis van de PoC matrix kan men per categorie de volgende conclusies trekken:

7.5.1 Kosten

McAfee (+)

Het McAfee pakket heeft het voordeel reeds geïmplementeerd te zijn bij Vanderlande. De kosten van de implementatie en opleiding van IT beheerders zijn derhalve niet meegenomen in de pricing matrix voor dit pakket.

Symantec (-)

Het Symantec pakket is de duurste van de pakketten. Hoofdzakelijk komt dit door de hoge licentiekosten.

Trend Micro (±)

Het Trend Micro pakket scoort gemiddeld op het gebied van kosten. Het is enigszins duurder dan het McAfee pakket, maar een stuk goedkoper dan het Symantec pakket.

7.5.2 Eisen en wensen

De waarderingen in deze categorie zijn de gemiddelden van de categorieën “Eisen” en “Wensen” uit de PoC matrix.

McAfee (+)

Het McAfee pakket voldoet aan alle gestelde eisen. Ten aanzien van de wensen zijn er twee gedeelten waar men niet aan voldoet:

1. De mogelijkheid tot het periodiek verwijderen van overbodige updates en definities ontbreekt. In de huidige situatie is dit opgelost met behulp van een zelfgeschreven script.

2. Er is geen ondersteuning voor het versturen van SNMP traps.

Symantec (++)

Het Symantec pakket voldoet aan alle gestelde eisen en wensen.

Trend Micro (+)

Het Trend Micro pakket voldoet niet aan één eis en één wens:

 De eis met betrekking tot het uitsluiten van processen en bestanden tijdens een scan. Dit pakket kan bestanden en mappen uitsluiten, maar geen processen.

 De wens aangaande mogelijkheid tot het periodiek verwijderen van overbodige updates en definities. Er worden standaard 14 signature files opgeslagen, maar dit aantal kan

(33)

7.5.3 Management console McAfee (±)

De McAfee management console werd als gemiddeld zijnde beoordeeld. Alleen op het grafische aspect scoorde deze hoger dan gemiddeld.

Symantec (±)

De Symantec management console werd over het geheel als gemiddeld zijnde beoordeeld.

Trend Micro (+)

De Trend Micro management console werd als favoriet beschouwd door de beheermedewerkers. In de categorieën “Overzicht en “Grafisch” scoorde deze hoger dan gemiddeld, en was er een goede algemene beoordeling.

7.5.4 Prestaties

De prestaties van de pakketten in de PoC komen, in het geval van McAfee en Symantec, overeen met de testresultaten van de vergelijkingswebsite AV-comparatives.org.

McAfee (-)

Zoals verwacht na het onderzoek aangaande de huidige situatie presteerde het McAfee pakket matig in de prestatie tests die uitgevoerd werden tijdens de PoC. Zowel bij het scannen als het updaten van de client duurde dit langer dan de twee andere pakketten. Tijdens de update vergde dit pakket ook standaard het meeste van de CPU.

Symantec (+)

Het Symantec pakket presteerde gemiddeld tijdens de scan test. Het was hierbij iets sneller dan het McAfee pakket. Het updaten van de clients werd relatief snel uitgevoerd, waarbij het minder van de CPU vergde dan het McAfee pakket.

Trend Micro (+)

Het Trend Micro pakket presteerde het beste, zowel op het gebied van het scannen als het updaten. Zo werd de scan veel sneller uitgevoerd dan door de twee andere pakketten, en was het iets sneller bij het updaten van de client, terwijl het evenveel vergde van de CPU als het Symantec pakket.

7.6 Adviesrapport

Het adviesrapport geeft conclusies aangaande de PoC en het uiteindelijke advies van de onderzoeker, en dient tevens als naslagwerk voor toekomstig beheer en onderzoek. Het bevat de volgende documentatie uit deze fase van het project:

 De RFP.  Het test plan.  De test resultaten.

 De gemiddelde beoordeling van de management console evaluatie.  De pricing matrix.

(34)

8. Conclusies en aanbevelingen

Uit de PoC kan men concluderen dat ieder getest pakket sterke en zwakke punten heeft. De verschillen tussen de pakketten komen door de verschillende manieren waarop elk pakket de functionaliteiten aanbiedt.

Het Trend Micro pakket werd als het best presterende pakket beoordeeld. Met name op het gebied van de prestaties en de management console bleek deze beter te presteren dan de twee andere pakketten. Tevens heeft dit pakket de voorkeur van de beheermedewerkers die een evaluatie van de management consoles uitgevoerd hebben.

Ten aanzien van de probleemstellingen uit de paragraaf “Huidige situatie” in hoofdstuk 3 van dit document kan men concluderen dat het Trend Micro pakket de volgende invloed zou kunnen hebben:

 Prestaties: gezien de testresultaten uit de PoC wordt er op dit gebied een merkbare vooruitgang geboekt.

 Functionaliteiten:

o Ten aanzien van het opstarten van een scan zou dit proces vereenvoudigd worden. Met dit pakket is dit mogelijk met een simpele muisklik een scan op een client uit te voeren.

o Ten aanzien van het probleem van de gedwongen SMS uitrol: dit kon niet in de PoC getest worden. Derhalve kunnen er over de invloed van dit pakket hierop geen uitspraken worden gedaan.

o Ten aanzien van het replicatie probleem: ook dit probleem kon niet in de PoC getest worden. Derhalve kunnen er over de invloed van dit pakket hierop ook geen uitspraken worden gedaan.

 Toekomstige informatiebeveiliging: ten aanzien van de techniek die ook in de toekomst een veilige infrastructuur zou moeten garanderen, staat dit pakket los van de andere pakketten in de PoC. Zoals beschreven in hoofdstuk 4 van dit document gebruikt dit pakket nieuwe technologieën zoals in-the-cloud. Hiermee boekt men niet alleen op het gebied van prestaties een vooruitgang, maar speelt men tevens in op de gevaren die in de hedendaagse informatietechnologie aanwezig zijn.

Indien er geen antivirus omgeving zou zijn bij VI, zou het een aanbeveling zijn om het Trend Micro pakket te implementeren. In de huidige situatie is McAfee echter reeds aanwezig als de antivirus oplossing. In het selectietraject zijn kosten doorgaans een beslissende factor. Ondanks het feit dat McAfee als het minst presterende pakket uit de PoC werd beoordeeld, heeft dit pakket het voordeel dat er geen implementatie of scholing voor medewerkers nodig is. Er hoeven hiervoor geen directe kosten berekend te worden. Tevens zou het vanwege de drukte op de IT afdeling van VI, die reeds veel projecten op de planning heeft staan, niet mogelijk zijn om een migratie naar een ander pakket te realiseren. Het Return On Investment (ROI) van de eventuele migratie naar het Trend Micro pakket is geschat op ongeveer drie jaar.

Het bovenstaande in acht nemende, luidt het advies te migreren naar Trend Micro als EPP pakket voor VI. Indien een migratie op de korte termijn niet mogelijk is, is het een aanbeveling het contract met McAfee met één jaar te verlengen en de migratie naar Trend Micro gezamenlijk met de volgende infrastructurele verandering te laten verlopen. Dit zou het migratieproces mogelijk simplificeren en sneller laten verlopen. Op het moment van schrijven is de voorspelling dat deze volgende infrastructurele verandering die van Windows XP naar Windows 7 zal zijn.

(35)

Evaluatie

Ik heb mijn afstudeerstage bij VI als zeer aangenaam ervaren. Zoals ik tijdens eerdere stages gedurende mijn MBO opleiding reeds opgemerkt heb, leer ik over het algemeen het meeste in de praktijk. Dit was ook het geval bij deze stage.

Ik heb tijdens deze stage met name geleerd dat het zeer belangrijk is om duidelijk aan te geven wat de precieze probleemstelling is. Hierdoor is het voor de eindeverantwoordelijke(n) duidelijk wat voor toegevoegde waarde een implementatie of migratie zou kunnen hebben. In de eerdere concepten van dit document was dit nog niet geheel duidelijk.

Ook heb ik mij tijdens het uitvoeren van het onderzoek inhoudelijk kunnen verdiepen in de materie van antivirus oplossingen, en heb ik kunnen zien hoe het beheer van een dergelijke oplossing in de praktijk werkt. Hierdoor ben ik van mening dat het onderzoek uitstekend aansloot bij mijn opleiding “Management & Security”.

Tevens heb ik het belang van het aanhouden en, waar nodig, aanpassen van een planning moeten onderkennen. Over het algemeen heb ik mij redelijk aan de initiële planning kunnen houden. Achteraf was het echter goed geweest om eerder met de PoC tests te beginnen, zodat ik meer tijd zou hebben gehad om het project af te ronden. Dit is helaas niet gebeurd, mede omdat ik niet voldoende druk heb uitgeoefend om de testomgeving op tijd gereed te krijgen. De medewerking van de verscheidene medewerkers op de IT afdeling van VI heb ik over het algemeen als zeer positief ervaren. Er heerst op deze afdeling een aangename, informele werksfeer. Dit heeft er mede voor gezorgd dat ik mijn opdracht goed heb kunnen uitvoeren.

(36)

Literatuurlijst

Artikelen

Security.nl, een website met nieuws en achtergronden aangaande informatiebeveiliging: 1: http://www.security.nl/artikel/32195/1/Worm_legt_elektronisch_pati %C3%ABntendossier_plat.html 2: http://www.security.nl/artikel/26690/1/Cybercriminelen_profiteren_van_economische_crisis.html White papers

Trend Micro, een commercieel bedrijf dat zich gespecialiseerd heeft in informatiebeveiliging: 3: http://www.trendmicro.nl/presentations/Andre/Trend_Micro_VanDerLande_Andre.ppt 4: http://us.trendmicro.com/imperia/md/content/us/trendwatch/coretechnologies/smartprotectionn etwork_whitepaper.pdf 5: http://us.trendmicro.com/imperia/md/content/us/pdf/solutions/enterprisebusiness/wp05_filerepu tation_090327us.pdf 6:

Presentatie “Trend Micro Smart Protection Network” door Andre Noordam, senior pre sales engineer Trend Micro.

(37)

Bijlagen

Dit document bevat de volgende bijlagen: Bijlage I: Project Initiation Document (PID) Bijlage II: Onderzoeksrapport

Bijlage III: Adviesrapport

Referenties

GERELATEERDE DOCUMENTEN

Dat heb ik ook aan Frank gezegd: ik vind uw situatie verschrikkelijk, u lijdt ondraaglijk, maar ik vind dat een oplossing voor uw probleem politiek moet zijn. Dit is

Voor zover de aanvragen voor een omgevingsvergunning betrekking hebben op een bouwactiviteit, kunnen deze worden voorgelegd aan de commissie Stedelijk Schoon Velsen.

Burgemeester en Wethouders van Velsen maken met inachtneming van artikel 139 Gemeentewet bekend dat de raad van Velsen in zijn vergadering van 9 september 2010 heeft besloten:. -

En geld is nu eenmaal nodig voor een Stadsschouwburg, die niet alleen een goed gerund be- drijf dient te zijn maar tevens dienst moet doen als culture-. le tempel en

De Koninklijke Nederlandse Bil- jart Bond (KNBB), vereniging Carambole, zoals dat met in- gang van 1 januari officieel heet, heeft besloten om voor het eerst met deze

Burgemeester en Wethouders van Velsen maken met inachtneming van artikel 139 Gemeentewet bekend dat de raad van Velsen in zijn vergadering van 9 september 2010 heeft besloten:. -

Gemotiveerde bezwaarschriften kunnen gedurende 6 weken na de dag van verzending van de vergunning worden ingediend bij het college van Burgemeester en Wethouders van Velsen

Jongeren die zijn gezakt voor één of twee vakken vmbo-tl en die heel gemotiveerd zijn om naar het mbo te gaan, kunnen in het programma ’Alvast Stude- ren in