Antymalware

Wiadomo, że Check Point nie ma zbyt wielkiego doświadczenia w tworzeniu oprogramowania antywirusowego. Dlatego też nie udaje, że jest w stanie "z marszu" przygotować udany produkt tego typu i wykorzystuje sprawdzony w boju engine Kaspersky‘ego. Z funkcjonalnością antymalware związany jest także integrujący się z przeglądarką moduł WebCheck. Poszerza on możliwości CPES o trzy dodatkowe funkcje:

weryfikację zachowania wszelkich pobieranych z internetu plików - ochrona przed atakami typu drive-by download. Wykorzystywane są tutaj techniki wirtualizacji systemu plików, rejestru i wywołań systemowych;

kontrolę antyphishingową;

monitorowanie stanu bezpieczeństwa serwisów webowych (podobny mechanizm działania jak w McAfee SiteAdvisor czy Symantec Safe Surfing).

Kolejnym elementem wchodzącym w skład pakietu może być dobrze znany z sieciowych zapór ogniowych Check Pointa moduł SmartDefense pełniący rolę IPS-a.

Kontrola aplikacji

Jak większość szanujących się pakietów, CPES ma w swoim arsenale funkcje pozwalające na kontrolę uruchamianych aplikacji. Jest ona realizowana przez bazowy zestaw Endpoint Security. Informacje o wszystkich uruchamianych przez stacje aplikacjach przesyłane są do serwera zarządzania, a my możemy je dowolnie klasyfikować i nadawać lub odbierać uprawnienia. Skoro mowa o module kontroli aplikacji, warto też wspomnieć o dwóch ciekawych narzędziach - Appscan i Program Advisor.

Pierwsze przyda się w korporacjach, gdzie przyjętą praktyką jest posługiwanie się gotowymi obrazami, z których następnie instalowane są stacje robocze. Obrazy takie, oprócz systemu operacyjnego, zawierają wszystkie niezbędne aplikacje. Jeżeli mamy takie stacje, a ich konfiguracja nie powinna się zmieniać, np. terminale bankowe, to z pewnością zainteresuje nas to narzędzie. Możemy posłużyć się nim do stworzenia profilu takiej wzorcowej stacji.

Z kolei Program Advisor to wymagający dodatkowej licencji składnik (część SmartDefense), który pozwala na korzystanie z utrzymywanej przez Check Pointa bazy danych różnych aplikacji (plików wykonywalnych i bibliotek). Zawiera ona informacje o tym, czy danemu programowi możemy zaufać, czy też zlecana jest jego blokada. Jeżeli więc na stacji zostanie uruchomiona aplikacja, która będzie chciała nawiązać połączenie sieciowe, stacja odpyta serwer zarządzania, skąd otrzyma dane dotyczące tego, czy aplikacji tej wolno połączenie nawiązać. Moduł kontroli aplikacji nie jest idealny - mógłby być trochę bardziej rozbudowany i umożliwiać pełniejszą kontrolę nad procesami. Podczas testów zdarzały się przypadki, kiedy niektóre aplikacje nie były "ubijane" od razu - mimo aktualizacji polityki. Po jakimś czasie wszystko zaczynało nagle działać.

Coś z NAC

Z kontrolą stacji i tego, co się na niej dzieje wiąże się także moduł NAC, nazywany przez Check Pointa Cooperative Enforcement. Do uruchomienia tego modułu nie potrzebujemy żadnego sprzętu sieciowego. Nie jest to więc pełne rozwiązanie NAC, ale element paczki klienckiej, który pilnuje, żeby stacja lokalnie spełniała wymagania nałożone na nią polityką bezpieczeństwa. Możemy więc sprawdzać, czy:

stacja zawiera oprogramowanie antywirusowe i czy jest ono aktualne;

system operacyjny ma odpowiednie poprawki;

stacja posiada odpowiednią wersję oprogramowania CPES.

W zależności od wyniku sprawdzeń możemy zostać ograniczeni lokalnym firewallem w dostępie do zasobów sieciowych i uzyskać możliwość pobrania odpowiednich poprawek.