Webroot Endpoint Protection: snel, licht en betrouwbaar?

Webroot is niet het meest bekende beveiligingsbedrijf in Europa, maar timmert wel stevig aan de weg. De Webroot Endpoint Protection-oplossing is vanaf de grond af aan anders opgebouwd, in vergelijking met producten van traditionele partijen. Door met de juiste partners samen te werken heeft het bedrijf al een flink marktaandeel wereldwijd onder Managed Service Providers en in de consumentenmarkt in de Verenigde Staten. De focus van Webroot ligt vooral op de managed services providers (MSP’s), die moeten Webroot Endpoint Protection uitrollen bij hun klanten.

Webroot claimt de lichtste endpoint protection-software van de markt te leveren, op basis van Passmark (PDF-alert). De software heeft volgens Webroot dus de minste negatieve impact op je pc prestaties. Verder werkt het product razendsnel en is het zeer betrouwbaar. Dat klinkt te goed om waar te zijn, dus we gingen in gesprek met het bedrijf om te achterhalen hoe dat precies zit. We hebben het product uiteraard ook zelf geïnstalleerd om te kijken of de uitspraken stroken met onze ervaringen.

Onze ervaring

Het installeren van Webroot Endpoint Protection is een fluitje van een cent, het pakket is slechts 3,55 MB groot en na de installatie staat er inderdaad een relatief kleine endpoint protection-oplossing op je pc geïnstalleerd. Ook in het dagelijks gebruik merk je weinig van de aanwezigheid van Webroot. Op Windows 10 hadden we een vlekkeloze ervaring met het pakket, op macOS viel ons op dat het systeem af en toe 100 procent van de beschikbare rekenkracht opeist voor een volledige systeemscan. We hebben inmiddels van Webroot begrepen dat de macOS-versie standaard dagelijks een complete systeemscan doet, maar dat dit eigenlijk overbodig is geworden. Die standaard instelling zal worden aangepast van volledige systeemscan, naar alle actieve processen en bestanden. Dat moet het probleem oplossen. De reden achter de keuze voor een volledige scan is dat hiervoor is gekozen ten tijde van de ontwikkeling van de macOS-versie, maar inmiddels is dit achterhaald en niet meer noodzakelijk.

Zelf ervaren?

Webroot heeft speciaal voor Techzine een actie opgezet waarbij IT-professionals en MSP’s geheel gratis een proeflicentie kunnen krijgen op Webroot Endpoint Protection voor 30 dagen. In deze 30 dagen kunnen bedrijven zelf testen of Webroot waardevolle beveiliging biedt aan hun endpoints, of een geselecteerde set endpoints. Zelf ervaren is nog altijd beter dan ons geloven op onze blauwe ogen. Om gebruik te maken van deze actie kan je je hier aanmelden.

Kan Webroot mijn pc’s goed beveiligen?

Webroot levert, op Windows 10 en op macOS met de juiste instellingen, een endpoint protection-oplossing die zeer compact is en vrijwel geen invloed heeft op de prestaties van je systeem. Het product werkt daarnaast ook lekker snel. Uit onze eigen ervaringen blijkt ook dat dit klopt.

We vragen ons wel af of het om een betrouwbaar pakket gaat en of het je pc beschermt tegen malware. Deze vraag is een stuk lastiger te beantwoorden, maar uiteindelijk misschien wel de meest belangrijke. Om te bepalen hoe goed een endpoint protection-oplossing is wordt vaak verwezen naar de websites AV-Test en AV-Comparatives. Feit is dat de testmethodiek en objectiviteit van deze websites al enige jaren ter discussie staat. Toch is het voor veel beveiligingsbedrijven een goede manier om hun betrouwbaarheid te claimen en dus werken ze eraan mee.

Webroot stelt dat het simpelweg niet kan meewerken aan de testen van AV-Comparatives en AV-Test, omdat hun product anders werkt dan de producten van de traditionele partijen. Dat is vervelend voor Webroot want hoewel de testen ter discussie staan hebben ze toch nog een hoop (marketing) waarde.

Waarom we als redactie twijfels hebben bij AV-Test en AV-Compartives

De kritiek op AV-Test en AV-Compartives is niet nieuw. Meer beveiligingsbedrijven hebben in het verleden kritiek geuit op de werkwijze en testen die worden gedaan. Symantec heeft jaren geleden besloten om nog maar met één van de twee partijen te werken. De beveiligingsmarkt, maar belangrijker nog de criminelen die malware maken zitten niet stil, waardoor de malware steeds slimmer en unieker wordt. De testen die gedaan worden zijn met een bekende database aan malware. Verder moeten de beveiligingsbedrijven een enorme som geld betalen om te worden opgenomen. Vervolgens zien we dat eigenlijk vrijwel elk product goed tot uitstekend scoort, waarbij de score wordt aangegeven met bolletjes die vrijwel niet verschillen. Onderaan de streep kunnen we stellen dat de goede ranking gewoon gekocht wordt. Een alternatieve testmethode is er niet, behalve de ervaring en beoordeling van gebruikers, maar dat is ook meteen de meest meedogenloze beoordeling.

Hoe wijkt Webroot af van de concurrentie?

Anders zijn dan de gevestigde orde is in de IT een recept voor succes of een complete ondergang. Gezien Webroot al succesvol is onder veel MSP’s en het forse marktaandeel op de consumentenmarkt in de Verenigde Staten, kunnen we dat laatste wel uitsluiten. Wel is het goed om te kijken wat Webroot nu precies anders doet.

“Webroot kent drie classificaties, goed, fout en onbekend, dat is er één meer dan de concurrentie”

Bij het installeren van Webroot Endpoint Protection wordt een volledige systeemscan gedaan. Daarmee worden alle bestanden en processen in kaart gebracht. Eventuele bekende malware zal dan uiteraard gemeld en opgeruimd worden. Daarna gaat Webroot Endpoint Protection je systeem actief monitoren op basis van je actieve bestanden en processen. Daarbij zijn er drie classificaties: goed, fout of onbekend. De meest voorkomende classificatie is onbekend. Dit komt doordat de meeste malware vandaag de dag vrijwel uniek is per apparaat. De meeste endpoint protection-oplossingen willen bij het zien van een bestand het classificeren als goed of fout. Daarvoor leggen ze ook van die enorme hash-databases aan, maar met zoveel unieke malware is dat steeds lastiger. Daarnaast kiezen cybercriminelen er tegenwoordig voor om malware pas na maanden of zelfs jaren te activeren. Met de opkomst van ransomware beginnen beveiligingsbedrijven nu wel meer gedragsanalyse te doen.

Webroot leunt enorm op machine learning en gedragsanalyse

Webroot is hier al bijna tien jaar mee bezig en loopt naar eigen zeggen mijlen ver voor op de concurrentie. Het richt zich volledig op gedragsanalyse en machine learning, gecombineerd met de zelf ontwikkelde security cloud. Het bedrijf stelt dat het al met machine learning werkte, voordat de term machine learning als begrip bekend werd.

De classificatie goed is eigenlijk alleen weggelegd voor Windows-systeembestanden of bekende applicaties met de juiste handtekeningen. Webroot kijkt echt naar wat een proces op je systeem aan het doen is en of dat geclassificeerd kan worden als malware. Alle wijzigingen die een onbekend proces maakt op je pc worden opgeslagen. Zodra Webroot op basis van het gedrag en de informatie uit de security cloud vaststelt dat het malware is, wordt het proces gestopt en worden alle wijzigingen die het proces gemaakt heeft teruggedraaid.

Als het bijvoorbeeld gaat om ransomware, waarbij vijf bestanden zijn versleuteld, dan zou je die bij menig beveiligingsproduct kwijt zijn of zelf geback-upt moeten hebben. Webroot kan in de meeste gevallen de bestanden gewoon zelf terugzetten. Niet doordat het ransomware kan decrypten, maar doordat het vlak voor de encryptie journaling toepast (back-up/wijzigingen bijhouden) op je bestanden.

Webroot kent dus niet alleen de drie genoemde classificaties, een onbekend proces krijgt ook enige bewegingsvrijheid op je pc. Zodra het fout gaat, kan Webroot de aangerichte schade wel herstellen. Hierin kiest het echt voor een andere aanpak, het feit dat schade kan worden hersteld door journaling toe te passen is geniaal bedacht. Innovatief zouden we het overigens niet willen noemen, aangezien de techniek al tientallen jaren bestaat. Het is de juiste combinatie van technieken.

Natuurlijk probeert Webroot ook bekende malware te detecteren voordat het gebruik kan maken van de bewegingsruimte. Processen worden via machine learning modellen op je pc geanalyseerd en de resultaten worden vervolgens doorgestuurd naar de Webroot Security Cloud. De cloud geeft vervolgens razendsnel antwoord of het bekende malware is. Als er unieke nieuwe malware wordt gevonden, wordt dat meteen doorgevoerd in de Webroot Security Cloud en zijn alle endpoints direct beschermd. Dit in tegenstelling tot veel andere oplossingen, waarbij men eerste de laatste signatures moet downloaden.

Hoe afhankelijk is Webroot Endpoint Protection van zijn Security Cloud?

De Webroot Endpoint Protection-software leunt enorm op de security cloud. Voordat we dieper in gaan op de cloud is het ook belangrijk om te weten hoe goed je beveiligd bent als je geen internet hebt. Bijvoorbeeld in het vliegtuig. Webroot Endpoint Protection heeft een beveiligde cachetabel op je pc staan, waarin alle bestanden en processen zijn geclassificeerd. Hierdoor weet het endpoint-product nog steeds welke processen het kan vertrouwen en welke onbekend zijn. Het gedrag van deze processen wordt nog steeds bijgehouden, alle wijzigingen worden opgeslagen (journaling) en zodra je verbinding hebt gaat Webroot alle activiteiten alsnog voorleggen aan de security cloud. Als dan blijkt dat er malware is geactiveerd zal het mogelijk wat meer bestanden moeten herstellen, maar dat is geen probleem. Ook eventuele nieuwe bestanden die via een USB-stick zijn binnengekomen zullen worden gescand.

Webroot Endpoint Protection staat veel in verbinding met de cloud, maar de totale dataoverdracht valt enorm mee. Bij een volledige systeemscan is het over het algemeen niet meer dan 10 MB. Bij dagelijks gebruik kom je als het goed is niet aan de 1 MB, tenzij je besluit om bijvoorbeeld Adobe Creative Suite te installeren. Zo’n pakket met duizenden bestanden maakt het ook het niet meer dan een paar MB. Uiteindelijk wordt er vooral metadata gecommuniceerd.

Waaruit bestaat de Webroot Security Cloud?

De Webroot Security Cloud is uiteindelijk de motor achter de endpoint protection-oplossing. Een snelle en goede verbinding met de cloud is dan ook een vereiste. Om die reden heeft Webroot gekozen om vrijwel zijn volledige cloud in Amazon Web Services op te tuigen. Naar eigen zeggen is Webroot een van de grotere klanten van AWS. In een aantal landen heeft Webroot ook nog in lokale datacenters wat activiteiten geplaatst.

Webroot neemt voornamelijk virtual machines af bij Amazon. De machine learning-platformen die AWS de afgelopen jaren heeft ontwikkeld worden niet gebruikt door Webroot. Het bedrijf heeft zijn eigen machine learning-modellen en -processen ontwikkeld. Die bestaan allemaal al veel langer. Deze modellen worden ook nog steeds actief doorontwikkeld en bijgewerkt De ontwikkeling van malware staat niet stil, dus ook niet van de modellen die ze moet detecteren en tegenhouden.

Webroot heeft hierdoor een enorme database opgebouwd met reputatiescores van bestanden, mappen, maar ook van domeinnamen en IP-adressen. Als Webroot bijvoorbeeld detecteert dat malware wil communiceren met een domeinnamen of IP-adres, of dat er malware op een website is te downloaden, dan hangt het hier een negatieve reputatiescore aan.

Deze scores zijn zeer waardevol en op een enterprise-niveau worden die door Webroot ook verkocht via zijn Brightcloud. Partijen als Cisco, Citrix, F5 Networks, Fujitsu, HPE Aruba en Palo Alto Networks gebruiken deze data bijvoorbeeld in hun producten om gebruikers te beschermen. Het aantal bedrijven dat hier gebruik van maakt is nog veel langer, maar dit is slechts een greep hieruit.

Maar is Webroot betrouwbaar en kunnen ze mijn pc goed beveiligen?

Daarmee komen we terug op de eerdere vraag “is Webroot Endpoint Protection betrouwbaar en is het in staat om goede beveiliging te leveren?” Ze zijn in elk geval het eerste beveiligingsbedrijf dat tegen ons zegt: “als je met Webroot werkt wordt je hoe dan ook geïnfecteerd”. Ze zeggen er echter ook bij: “Het is wel belangrijk dat dit in een gecontroleerde omgeving gebeurt, waarbij alle acties zijn terug te draaien”. Dat brengt ons tot de kern van de conclusie.

We hebben nieuwe manieren nodig om onze systemen te beschermen en onze cybersecurity te verbeteren, bij voorkeur met systemen die kunnen leren en zichzelf kunnen verbeteren. De cybercriminelen worden ook elke dag slimmer en maken ook gebruik van nieuwe innovaties om ons aan te vallen. Webroot heeft elke methode, elk patroon en gedragskenmerk van bekende malware in zijn security cloud gestopt. Als er nieuwe malware opduikt die nog niet eerder is gezien maar wel gedeeltelijk overeenkomt met die methoden of gedragskenmerken, dan kan dit worden gedetecteerd, gestopt en eventuele schade kan worden hersteld.

Indien cybercriminelen erin slagen om unieke malware te ontwikkelen met nieuwe methoden en gedragskenmerken. Of nog erger een persistent attack uitvoeren specifiek gericht tegen je bedrijf. Dan zullen er systemen geïnfecteerd raken, want geen beveiligingsbedrijf ter wereld kan je dan beschermen. In zo’n scenario wil je een beveiligingsbedrijf dat snel kan reageren. Zodra malware ergens in de wereld wordt gedetecteerd wil je direct beveiligd worden. Niet eerst nieuwe handtekeningen of updates moeten downloaden, iets wat Webroot levert met de security cloud.

Webroot heeft enorm veel data tot zijn beschikking in de security cloud om een afweging te maken of iets verdacht is. De data is zo goed dat grote enterprise organisaties allemaal vertrouwen op de data van Webroot. Een betere referentie bestaat niet.