Современные интерактивные и многофункциональные сервисы Web 2.0 постоянно развиваются благодаря появлению новых приложений. Использование этих технологий все чаще носит деловой характер — это подтверждают исследования, проведенные аналитиками Forrester Consulting. Судя по всему, при профессиональном использовании Web 2.0 наиболее востребованы потоковые данные и социальные сети, однако в инновациях Web 2.0 зачастую не уделяется должного внимания вопросам безопасности.
Использование технологий Web 2.0 привносит новые риски для предприятий и частных пользователей. Угрозы безопасности перемещаются в обоих направлениях вместе с входящим и исходящим трафиком. В результате Web 2.0 как платформа для легальных деловых процессов все чаще становится площадкой для преступных действий.
Устаревшие решения для фильтрации содержимого Web на основе категорий и базирующиеся на подписях антивирусные решения не способны справиться с новыми угрозами. Но как же обеспечить эффективную защиту ИТ-инфраструктуры предприятия в быстро меняющемся мире Web 2.0? Аналитическая компания Forrester дает рекомендации, которые предусматривают инвестиции в превентивные технологии безопасности следующего поколения.
Требование 1. Фильтрация адресов URL и сообщений в режиме реального времени для всех доменов с учетом их репутации. Современные системы определения репутации третьего или четвертого поколения обладают механизмами для оценки риска, связанного с получением данных с конкретных страниц Web. В сочетании с корпоративными правилами безопасности эта информация помогает принимать правильные решения. Решение для фильтрации URL с учетом репутации должно быть рассчитано на международное использование и иметь глобальный охват, то есть воспринимать страницы Web на любых языках. Кроме того, таким образом можно оценивать еще не классифицированные домены.
Требование 2. Распознавание вредоносных программ (Malware) на основе намерений и подписей. В решениях для обнаружения вредоносных программ, рассчитанных на использование в Web 2.0, для защиты от неизвестных угроз применяется так называемый локальный анализ кода в реальном времени на основе намерений, а от известных защищают решения на базе сигнатур. Такие решения должны выполнять следующие действия:
- осуществлять для каждого файла анализ Magicbyte, чтобы установить настоящий тип файла;
- защищать, кроме прочего, от тех файлов, которые выдают себя за безопасные объекты;
- отклонять потенциально опасные типы данных (такие как неизвестные элементы Active X);
- проверять активный код на предмет наличия действительных цифровых подписей;
- выполнять анализ поведения, чтобы определить, насколько оно типично;
- анализировать сценарии, выясняя, нет ли с их стороны попытки воспользоваться брешами в клиентском программном обеспечении;
- при необходимости отклонять и блокировать атаки.
Требование 3. Двунаправленная фильтрация и контроль приложений на шлюзе. Необходимо проверять весь интернет-трафик, начиная с протоколов HTTP и заканчивая мгновенными сообщениями (Instant Messaging, IM) и зашифрованными данными. Приложения, которые для взаимодействия с другими ресурсами используют шифруемые и нешифруемые протоколы, должны контролироваться в обоих направлениях. Это касается контрольного доступа к страницам Web, блогам, Wiki, IM, P2P и другим приложениям, а также мониторинга соединений на предмет входящих вредоносных программ и потери исходящих данных. В связи с тем что доля шифруемого трафика корпоративных данных возрастает (HTTPS), на шлюзах следует осуществлять выборочное дешифрование содержимого, чтобы обеспечить безопасность и вместе с тем гарантировать конфиденциальность доступа к доверенным страницам, например к информации о личных банковских счетах.
Требование 4. Защита от утраты данных во всех важных протоколах Интернета и обмена сообщениями. Защита от утраты данных для всего содержимого, отправляемого через Интернет или электронную почту, требует реализации четырехступенчатого подхода — от формулирования внутрикорпоративных и законодательных директив через распознавание и реализацию до подтверждения их соблюдения для проверяющих инстанций (см. Рисунок 1). Это самый надежный способ, позволяющий гарантировать, что определенные данные не выйдут за пределы шлюза.
Упомянутые четыре этапа таковы:
- формулирование директив — каждый сотрудник должен понимать, что ему нужно делать и какие права ему предоставлены;
- распознавание нарушений — определение реального содержимого сообщений и выявление конфиденциальных данных, подлежащих защите;
- автоматическая реализация — применение соответствующих защитных мер в зависимости от содержимого и отправителя;
- отчеты и проверки — подтверждение случившегося.
Требование 5. Защищенные прокси и кэш-память. Прежде чем кэшируемые объекты попадут в браузер пользователя, они должны проверяться на предмет наличия вредоносных программ с учетом сведений о репутации и директив для фильтрации URL. Такие фильтры должны применяться ко всем объектам, сохраненным в кэш-памяти, перед их отправкой любому конечному пользователю, так как репутация или директивы безопасности могут измениться с момента первого сохранения данных в кэше. Использование незащищенных кэш-памяти и прокси чревато проникновением вредоносного кода на компьютеры пользователей.
Требование 6. Многоступенчатая защита с минимальным количеством устройств. В настоящее время система безопасности на базе шлюзов является надежной отправной точкой для формулирования директив безопасности, их реализации и контроля их выполнения. Поскольку шлюзы используются в качестве точек реализации мер по безопасности, важно, чтобы эти устройства были надежными и, наряду с другими устройствами, предоставляли многоступенчатую защиту. Для обеспечения наибольшей эффективности применяется комбинация защитных мер, основанных на использовании сигнатур, репутаций и намерений — все они тесно переплетаются. Кроме того, эти устройства не должны порождать «слепые зоны» (Blind Spot) вроде трафика данных SSL или создавать новые слабые места.
Требование 7. Комплексные инструменты для доступа, администрирования и составления отчетов. Предприятиям следует использовать решения, которые создают подробные отчеты о статусе и состоянии шлюзов Web и электронной почты. Кроме того, отчетность должна предоставляться как в реальном времени, так и за определенный период, чтобы можно было подробно проанализировать проблемы с целью устранения и последующего выявления их причин. Стабильные и расширяемые возможности создания отчетов имеют ключевое значение для понимания рисков безопасности, улучшения соответствующих директив и контроля их соблюдения.
Рольф Хаас — ведущий системный инженер в McAfee.