Все новые варианты вирусов, «червей», троянцев и прочих вредоносных кодов компрометируют конфиденциальную информацию, оказывают отрицательное воздействие на ресурсы и мешают деловым процессам. Реальную помощь способны оказать только хорошо согласованные меры защиты.

Опасности на презентационном и прикладном уровнях не только несут потенциальную угрозу финансовых потерь, но и могут повлечь юридические последствия, когда в случае происшествия выяснится, что предприятие, как пользователь, не позаботилось о необходимых мерах безопасности. Дабы избежать этого, в различных областях внедряются самые разные инструменты обеспечения безопасности. Все большее их усложнение ведет к повышению стоимости обучения и администрирования, а отсутствие разумной слаженности отрицательно сказывается на производительности сети. Для предотвращения появления подобных слабых мест необходимо детальное знание важнейших компонентов в области безопасности контента и их взаимного влияния друг на друга.

ТРЕБУЕТСЯ ВСЕОБЪЕМЛЮЩАЯ СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ

Поскольку угрозы становятся комплексными, эффективная защита не может ограничиваться одним только построением более или менее надежной реактивной системы фильтров. Сегодня необходимы универсальные превентивные решения для охвата всего спектра возможных опасностей. Рынок безопасности контента предлагает множество продуктов для решения специальных задач, между тем выбор комплексных решений ограничен. Однако что же должна предоставлять всеобъемлющая инфраструктура обеспечения безопасности контента (с опорой на бранд-мауэр) и какие технологии за ней скрываются?

ШЛЮЗОВЫЕ РЕШЕНИЯ ОСТАНОВЯТ ВРАГА У ПОРОГА

Разумным является использование специально разработанного для применения на шлюзе решения, поскольку все опасности для корпоративной сети могут быть отражены на ее внешней границе. Решение должно анализировать не только загружаемые из Internet файлы, но и вредоносные коды, сценарии, эксплоиты и прочий подозрительный контент. Тем самым значительно снижается риск получения вредоносного программного обеспечения через браузер Web — одно из самых слабых мест современных сетей. Полноценная многоуровневая концепция безопасности в идеальном случае должна состоять из превентивной системы защиты от вирусов на основе сигнатур, защиты от троянцев и хакеров, механизмов проверки электронной почты, фильтрации Web и URL, фильтрации приложений, управления спамом и отражения шпионского программного обеспечения.

ПРЕВЕНТИВНАЯ ЗАЩИТА ОТ ВИРУСОВ НА ОСНОВЕ СИГНАТУР

Один из базовых компонентов всякого решения обеспечения безопасности контента — отражение вирусных атак. Профилактика вирусов на базе постоянно обновляемых сигнатур предлагает защиту от всех известных типов вирусов и их разновидностей. Эти традиционные фильтры активно применяются в качестве отдельных продуктов на шлюзах или персональных компьютерах — последний вариант наиболее популярен у частных пользователей. Однако если предприятия полагаются только на базовую защиту, то их системы могут быть поражены новыми, неизвестными опасностями. Такие еще не выявленные вредоносные программные коды называются атаками «час ноль» (Zero Hour), поскольку, как правило, времени на выполнение профилактических действий уже не остается. До тех пор пока вирус будет распознан, а его сигнатура — расшифрована, вспышки эпидемии несут серьезную опасность. Еще большую угрозу представляют нацеленные, одноразовые атаки. Реактивные программы защиты от вирусов не в состоянии распознать, а значит, и отразить подобные атаки. По этой причине необходимы специальные компоненты для принятия превентивных мер против неизвестных опасностей.

Они снижают риск, распознавая — на основе поведенческих методов — новые вредоносные коды на шлюзе и блокируя их. Для того чтобы в сегодняшних высокопроизводительных сетевых инфраструктурах характеристики рабочей среды не ухудшались, необходимо максимально эффективно использовать технологии противодействия. Предпочтительно, чтобы перед проверкой контент не сохранялся в кэше, а сама проверка проходила незамедлительно, не ухудшая производительность системы. Превентивные технологии должны обеспечивать защиту от зашифрованных, скрытых, а также полиморфных вирусов и удаленно управляемых троянцев. Кроме того, блокироваться должны также классифицированные как вредоносные сценарии в электронных письмах и на страницах Web (см. Рисунок 1). При помощи эвристического распознавания могут быть идентифицированы неизвестные макровирусы Microsoft Office и подозрительные объекты.

ЗАЩИТА ОТ НЕДООЦЕНЕННЫХ ОПАСНОСТЕЙ ИЗ INTERNET

Обычно ошибочно исходят из того, что при просмотре сети главную опасность представляют вирусы. Од-нако на деле поражение вирусами — скорее, редкость, если специально не искать страницы с архивными вирусами и не загружать их. Как правило, недооценивается опасность, которую представляют вредоносные активные коды и эксплоиты, внедренные в протокол HTTP и контент HTML. Они пытаются автоматически инсталлироваться и запуститься на пользовательском компьютере. Поэтому наряду с распознаванием всех известных вирусов и фильтрацией URL необходимы дополнительные меры: удаление вредоносных и оцененных как ненадежные сценариев, блокировка всех вирусов на базе сценариев и эксплоитов, а также известных эксплоитов HTML и HTTP. Полезной может оказаться опция автоматического удаления тегов ActiveX, апплетов Java и сookies или блокировка страниц HTML с заранее определенными ключевыми словами.

Атаки против «дыр» в безопасности с использованием электронных писем или содержимого страниц Web должны отражаться превентивно. Эта защитная функция включает в себя сканирование протоколов HTTP и распознавание эксплоитов, проверку HTML на вредоносные сценарии и эксплоиты, а также стандартизацию электронной почты для предотвращения проникновения эксплоитов в компьютер.

Защита трафика электронной почты, кроме всего прочего, должна предусматривать проверку текста и файловых вложений. Столь же важна фильтрация Web/URL на основе категорий, содержимого и типов файлов. Всеобъемлющее решение завершает фильтр приложений, контролирующий содержимое всех необработанных данных, проходящих через шлюз. Он нацелен на поиск потоков данных Instant Messenger, разделяемых файлов одноранговых систем и неавторизованной активности по построению туннелей HTTP, когда имеет место попытка обойти заданные на брандмауэре правила.

Описанная фильтрация различных типов вредоносного содержимого из Internet в реальном времени функционально похожа на принцип действия активной системы обнаружения вторжения (Intrusion Detection System, IDS): любой контент, достигающий сети и приложений предприятия, проверяется, однако для конечного пользователя этот процесс незаметен.

БЛОКИРОВКА СПАМА

Применительно к решению по обеспечению безопасности контента важным требованием является эффективное решение проблемы спама. Несанкционированные массово рассылаемые электронные письма должны автоматически отфильтровываться, по сравнению с более затратной сортировкой вручную это экономит массу времени и денег. К решению проблемы борьбы со спамом есть несколько подходов, однако ни один из них не способен обеспечить удаление исключительно «сорных» писем. Впрочем, при помощи комбинирования нескольких технологий объем спама может быть снижен до абсолютного минимума без удаления легитимных электронных писем: в таком случае доля неправильно идентифицированных как спам писем не превысит 0,5%.

Для идентификации и блокировки спама используется множество методов. IP-адреса, к примеру, можно проверять по разным официальным «черным» спискам, чтобы быть уверенным, что сервер, с которого получены письма, не был замечен в открытой ретрансляции почты и спамеры не осуществляют через него свои массовые рассылки. Дополнительно существует возможность конфигурации собственных «черных», а также «белых» списков с тем, чтобы отказывать некоторым, не вызывающим доверия, отправителям в передаче их корреспонденции.

Так называемые функции антиспуфинга позволяют выявить все внешние электронные письма, отправленные якобы с внутреннего адреса предприятия. Еще одна предупредительная мера — анализ заголовка. Речь идет о проверке заголовка SMTP входящей электронной почты на основе определенных стандартов. Метод антибомбинга регулирует поток электронной почты в целях предотвращения перегрузки, когда предпринимается атака по типу «отказ в обслуживании» (Denial of Service, DoS), и работа почтовых серверов может значительно замедлиться, вплоть до полного отказа системы. При помощи атак на каталоги (Directory Harvest Attack, DHA) спамеры пытаются получить доступ к действительным почтовым адресам. Эффективные антиспамовые решения распознают эти атаки по количеству одновременных «получателей» внутри компании и блокируют их.

Многие «сорные» письма отличаются схожим текстом в строке темы. Поэтому для защиты от несанкционированных рассылок применяются обновляемые списки ключевых слов. «Сорные» письма могут быть полиморфными по своей природе, т. е. время от времени они незначительно изменяются. Хорошо функционирующая система хэш-сигнатур позволяет распознавать вариации в образцах спама. При лексическом и статистическом анализе текста она использует заранее определенные правила для проверки содержимого электронного письма и оценки вероятности его принадлежности к спаму. Передовые решения в состоянии распознавать спам по ссылкам на изображения. При этом на сервер, где размещены картинки, направляются специальные «кроты», которые при помощи специальных алгоритмов анализируют их в соответствии с определенными образцами. Часто спамеры пытаются пересылать свои сообщения в графическом формате, их можно выявить посредством технологии оптического распознавания символов (Optical Character Recognition, OCR).

Почти все «сорные» письма содержат ссылку на определенный URL. Путем сравнения этих ссылок с уже имеющимися в базе данных классифицированными URL иногда можно добиться очень точных результатов. Однако лишь немногие производители реализовали данный метод в своих антиспамовых решениях. Системы блокирования ретрансляции защищают почтовые серверы от использования их для несанкционированных рассылок электронных писем.

Таким образом, эффективная защита от спама должна объединить множество различных технологий.

К тому же спамеры постоянно придумывают новые комбинации, пытаясь обойти известные им методы противодействия.

ЗАЩИТА ОТ ШПИОНСКОГО ПО

Если необходимость защиты от спама в большинстве случаев очевидна, то шпионское программное обеспечение часто оказывается незамеченным, поскольку оно выполняется в фоновом режиме и передает информацию третьим лицам, не привлекая внимания. Задачей решения обеспечения безопасности контента является прерывание коммуникационных процессов, указывающих на наличие шпионского программного обеспечения, до того, как они достигнут рабочего компьютера. Решения с функцией оповещения помогают определить, какие именно компьютеры заражены, и затем системные администраторы посредством специальных инструментов избавляются от непрошеных гостей.

Эффективная система блокирования шпионского программного обеспечения должна быть активной на нескольких уровнях и распознавать это ПО в случае инсталляций, которые были осуществлены без ведома пользователей и не замечены ими, при загрузке, на основе сигнатур и при попытке осуществления передачи данных. Автоматически загружаемые эксплоиты шпионского ПО должны превентивно блокироваться уже на первом уровне безопасности. Кроме того, шпионское ПО может быть идентифицировано на основе распознавания объектов ActiveX и других параметров.

Превентивный эвристический и реактивный сигнатурный анализ используется после того, как шпионское программное обеспечение было загружено и до того, как оно связалось с запрашивающим его клиентом. Он действенен против шпионских «червей», попадающих на компьютер по электронной почте или через страницы Web и FTP. Предотвращение любой коммуникации между компонентами шпионского ПО, проникшего на настольный компьютер, и удаленным сервером шпионского ПО делает программу для шпионажа как минимум неэффективной и дает администратору больше времени для удаления нежелаемого программного обеспечения.

У СЕМИ НЯНЕК ДИТЯ БЕЗ ГЛАЗУ

Всеобъемлющее решение обеспечения безопасности электронной почты должно быть в состоянии отражать все известные сегодня сценарии атак. Поскольку административные издержки на обеспечение безопасности постоянно возрастают, необходимы решения, которые бы разгрузили персонал ИТ от рутинной деятельности и обеспечили надежную защиту. Одновременно требуется поддерживать достаточную для предприятия производительность электронной почты и продуктивность пользователей.

Решающим фактором является распознавание и отражение атак до того, как они смогут нанести какой-либо ущерб. Это возможно исключительно при помощи решений, где наряду с реактивными технологиями применяются превентивные методы для отражения всех угроз, исходящих от электронной почты и Internet. Интегрированные решения обладают тем преимуществом, что компоненты обеспечения безопасности оптимально согласуются друг с другом и охватывают все виды опасностей (см. Рисунок 2). Аналогичная действенность защитных мер при использовании набора отдельных продуктов возможна лишь при заметно больших административных издержках.

Какими бы незаменимыми ни были сегодня методы обеспечения безопасности, один из решающих факторов их применения — работа в фоновом режиме, не создающая помех деятельности предприятия. Образцовые решения отличаются минимальным влиянием на производительность при одновременно высокой эффективности. Пользователи не должны чувствовать себя стесненными в повседневной работе, однако и предприятие не имеет права рисковать.

Роланд Леглер — главный консультант компании Aladdin Knowledge Systems. С ним можно связаться по адресу: wj@lanline.awi.de.


Подводные камни закона

Система обеспечения безопасности контента оберегает от опасностей, которые могут иметь правовые последствия, однако при невнимательной реализации и сама может привести к нарушениям юридических норм. Следует помнить о том, что получение частных сообщений сотрудниками предприятия не может быть запрещено, поскольку потенциальные получатели не в ответе за то, что им отправляют неизвестные люди. Управление входящей почтой и ее блокирование со стороны предприятия ограничиваются положениями закона о защите данных и коммуникации. Поэтому необходимо создавать индивидуальные папки, в которых будут храниться «сорные» письма. — Йоханнес Вилле


? AWi Verlag