Sophos Clean - De sidekick onder de virusscanners
Sophos lijkt inmiddels al zo’n twintig verschillende AV-oplossingen in het portfolio te hebben. En nu komt er nóg een nieuw product bij. Met Sophos Clean brengt Sophos een oplossing op de markt die er nadrukkelijk op is gericht bestaande antivirusoplossingen te aanvullen, in plaats van in z’n eentje de wereldheerschappij op endpoints na te jagen.
In deze blogpost wil ik Sophos Clean nader voorstellen en uitzoeken of dit product überhaupt bestaansrecht heeft.
Update: Sophos Clean is geïntegreerd in Sophos Central Intercept X en is niet langer als standaloneproduct verkrijgbaar. Sophos Clean is officieel End of Sale.
Korte voorgeschiedenis
Sophos heeft op 15-12-2015 het Nederlandse bedrijf SurfRight overgenomen voor bijna 32 miljoen dollar. Met het product HitmanPro had SurfRight een van de toonaangevende oplossingen in de strijd tegen zogeheten next-generation malware (zero-day exploits, rootkits, trojans, spyware en meer). Sophos heeft HitmanPro opnieuw verpakt en biedt het nu onder de naam Sophos Clean aan.
Wat is Sophos Clean?
Zoals al genoemd is Sophos Clean bedoeld om reeds geïnstalleerde antivirussoftware aan te vullen en een professionele second opinion te geven over verdachte bestanden. Sophos Clean wil dus de beste vriend - of beter gezegd: de “sidekick” - van jullie bestaande virusscanner zijn en deze ondersteunen bij het werk. Daarbij gaat Sophos Clean zeer grondig te werk en controleert op alle vormen van schadelijke software, waaronder virussen, trojans, rootkits, worms, spyware, rogue software en keyloggers.
Specialist voor zero-day-bedreigingen en ransomware
Voor een next-generation-bescherming is het essentieel dat deze niet afhankelijk is van signatures. Zero-day-bedreigingen en bepaalde ransomware, zoals CryptoLocker, kunnen alleen effectief worden gedetecteerd via ingebouwde functies zoals exploit prevention, gedragsanalyse of heuristiek.
Precies daarop richt Sophos Clean zich. De kleine “virusprofessor” werkt zonder signatures en gebruikt geavanceerde gedragsanalyse, forensische technieken en collectieve intelligentie om zero-day-exploits, rootkits, trojans, spyware en andere polymorfe malware, hinderlijke cookies en adware op te sporen en te verwijderen. Hierdoor treden er minder false positives op - een probleem waar andere signatuurloze next-generation anti‑malwaretools vaak mee kampen.
Polymorfe malware zijn virussen die in talloze varianten voorkomen, maar in essentie allemaal hetzelfde doen. Ze veranderen hun “gestalte” om actuele virusdefinities te omzeilen. Deze techniek wordt zeer vaak toegepast bij moderne ransomware.
Geen installatie nodig
Een groot pluspunt is dat Sophos Clean als on-demand-scanner kan worden ingezet en niet per se op het systeem geïnstalleerd hoeft te worden. Het 11 MB grote EXE‑bestand kan dus eenvoudig naar een USB‑stick worden gekopieerd en vanaf daar op een geïnfecteerde Windows-computer worden uitgevoerd. In een situatie waarin malware de geïnstalleerde antivirussoftware en bijbehorende updates heeft gemanipuleerd, is zo’n USB‑stick bijzonder nuttig. Je hebt daarmee altijd een effectieve next‑generation-virusscanner op zak.
Systeemvereisten
Sophos Clean werkt probleemloos naast jullie bestaande antivirussoftware, of dit nu McAfee, Kaspersky, Symantec, Avast of een andere endpointbescherming is. Sophos Clean belast de computer slechts minimaal en een quickscan is in minder dan vijf minuten voltooid.
Als besturingssysteem worden Windows 7, 8, 8.1 en 10 ondersteund (32‑bit en 64‑bit). De computer heeft minimaal 1 GB RAM nodig en moet toegang tot internet hebben, zodat onbekende bestanden tijdens een scan naar SophosLabs kunnen worden geüpload en daar kunnen worden geanalyseerd.
Sophos Clean in de praktijktest
In de volgende video zien jullie Sophos Clean in combinatie met Avast Antivirus in actie. De video laat zien dat Sophos Clean na een scan met Avast Antivirus nog extra bedreigingen vindt die anders onopgemerkt zouden zijn gebleven. Onder de vondsten van Sophos Clean bevinden zich onder andere ook trojans…
Conclusie
In de inleiding van dit blogartikel heb ik de vraag opgeworpen of Sophos Clean bestaansrecht heeft. Na enkele tests en het schrijven van dit artikel kan ik die vraag volmondig met ja beantwoorden. Sophos Clean is, zoals gezegd, niet bedoeld als alternatief, maar veel meer als aanvulling op een bestaande oplossing. Die taak heeft Sophos Clean in onze tests uitstekend vervuld en wij van Avanet kunnen dit product dan ook van harte aanbevelen.
Klein minpuntje
Wat ik bij Sophos Clean enigszins mis, is de centrale managementconsole die je van Sophos Central Endpoint Protection gewend bent. Voor de uitrol van de software naar meerdere clients zul je dus zelf een oplossing moeten bedenken.
Sophos Clean in combinatie met Endpoint Protection
Voor iedereen die al inzet op Sophos Central Endpoint Protection hebben we nog een nieuwtje, dat echter met de nodige voorzichtigheid moet worden geïnterpreteerd. Een vogeltje heeft ons namelijk ingefluisterd dat Sophos in de toekomst, naast de Standard- en Advanced-variant, aan twee extra modellen werkt met de namen Intercept en Ultimate. De bedoeling is dat de technologie van Sophos Clean op termijn in de Endpoint Protection wordt geïntegreerd.
Update: Met Sophos Central Intercept X heeft Sophos inmiddels de technologie van Sophos Clean in de endpointbescherming geïntegreerd.
Update: De Sophos Central Endpoint Protection bestaat niet meer als Standard- of Advanced-variant. Sophos heeft zijn endpointpoot enigszins gereorganiseerd.
