NETWORK WORLD
Настройка политики безопасности на оконечных сетевых узлах может сыграть решающую роль при очередном аудите корпоративной системы информационной безопасности. Каждый из протестированных нами продуктов должен был безошибочно идентифицировать системы, не соответствующие политикам безопасности, и принимать меры к исправлению ситуации
Мы создали перечень проверок, позволяющих определить соответствие политикам безопасности, которые должны быть реализованы в рассматриваемых разработках. В их число вошли обнаружение неустановленных «заплаток» к операционным системам и приложениям, ограничение доступа к уязвимым компьютерам и генерация отчетов для анализа проблемных сетевых клиентов и принятия необходимых мер. Мы ясно осознавали, что ни один продукт не в состоянии удовлетворить сразу всем требованиям, поэтому позволили производителям предоставить нам комбинации нескольких разработок, способные справиться с поставленной задачей. А поскольку добавление в корпоративную сеть новых средств защиты не должно увеличивать риски в области обеспечения безопасности, мы попытались также выявить бреши в архитектуре самих тестируемых средств.
Из 13 компаний, приглашенных участвовать в тестировании, положительный ответ дали только семь: Check Point, Cisco, Citadel, InfoExpress, Senforce, Trend Micro и Vernier Networks (последняя — совместно с PatchLink). Фирмы Elemental Security, EndForce, McAfee, Sygate, SecureWave и StillSecure отклонили наше предложение.
Победителем стал тандем Vernier/PatchLink — благодаря отличным результатам во всех категориях испытаний. Комбинация продуктов этих фирм позволяла блокировать доступ из сети и автоматически корректировала настройки систем, не соответствующих политикам безопасности. К тому же ее отличало наиболее устойчивое функционирование среди всех протестированных пакетов.
На втором месте с небольшим отставанием оказалась фирма Senforce, продукт которой имеет хост-центричную архитектуру. В отличие от большинства решений для защиты клиентов в нем используется ПО без каких-либо дополнительных сетевых устройств. Очень хорошие результаты продемонстрировала и разработка Trend Micro, но она отстала от лидеров из-за несоответствия нашим требованиям к управлению политиками безопасности и к настраиваемой функциональности.
Довольно сильный продукт предлагает Citadel, однако этой фирме следует в большей степени сконцентрироваться на проверке соответствия сетевых узлов политике безопасности. Необходимые средства добавлены в версию Hercules 4.0, но ее продажи начались уже после завершения наших испытаний. Хотя разработка Cisco и показала неплохие результаты, корпорации предстоит улучшить модуль генерации отчетов и сделать продукт более полезным. Наконец, разработка Integrity 6.0 фирмы Check Point могла бы иметь более удобные средства генерации отчетов и поддерживать детальную настройку процедур проверки.
Vernier/PatchLink
Эти две компании предоставили в наше распоряжение сетевое устройство Vernier EdgeWall 7000i, обеспечивающее принудительное соблюдение политик безопасности. Кроме того, мы получили ПО PatchLink Update Server с агентским модулем, которые упрощают проверку оконечных узлов на соответствие политикам и при необходимости выполняют корректирующие действия.
Инсталляция прошла на удивление гладко, особенно с учетом того, что мы располагали продуктами разных фирм. Единственная проблема возникла со средствами NAT, которые в EdgeWall 7000i активизированы по умолчанию. Мы же использовали это устройство в качестве простого моста, так что в применении протокола преобразования адресов не было необходимости. После отключения функции NAT все стало работать как надо.
Устройство EdgeWall способно самостоятельно выявлять уязвимости оконечных сетевых узлов, но мы для этой цели все же прибегли к помощи ПО Update Server. Не требуя специальных настроек, оно сразу же определяет число антивирусных пакетов и наличие обновлений ОС Windows, имеющих отношение к безопасности. В целях обнаружения шпионских программ устройство EdgeWall пытается выявить вредоносный трафик. Так, оно легко распознало шпионский код, который мы запустили в процессе тестирования. Кроме того, в состав ПО производства PatchLink входит специальный модуль, который идентифицирует шпионские программы, работающие на оконечных сетевых узлах.
Победитель теста NetworkWorld — устройство Vernier EdgeWall 7000i, которое работает во взаимодействии с ПО PatchLink Update Server |
Рассматриваемая комбинация продуктов позволяет запретить доступ через порт USB. При помощи EdgeWall 7000i мы успешно блокировали и контролировали трафик прикладного уровня. Продукты Vernier/PatchLink позволяют также инициировать принудительную проверку соответствия политикам безопасности по VPN-соединениям, что должно заинтересовать организации с большим числом мобильных сотрудников. Правда, они не работают с оконечными устройствами, не подключенными к корпоративной сети. Средство разработки PatchLink Development Kit допускает создание собственной политики безопасности и процедур разрешения проблемных ситуаций, обеспечивая решению наибольшую гибкость среди всех протестированных продуктов.
Устройство фирмы Vernier требует задания нескольких уровней конфигурации (например, различных профилей безопасности, идентификации и соединений, правил доступа), поэтому их отслеживание и приведение в соответствие друг с другом — непростая задача. Изменение представления функций настройки в управляющем GUI-интерфейсе могло бы сделать этот процесс более интуитивным.
Сразу же после подключения к сети оконечный узел подвергается автоматической проверке и может быть помещен в одну из групп, для которой установлены определенные правила доступа. Для целей тестирования мы определили три политики доступа. Первая из них — неограниченный доступ для систем, соответствующих политике безопасности. Вторая — ограниченный доступ для систем, не соответствующих такой политике, но имеющих выход в Internet для принятия необходимых мер. Третья — политика для группы систем, на которых не был установлен программный агент PatchLink, но для загрузки оного (при помощи функции переадресации EdgeWall 7000i) имелось отдельное соединение.
ПО Update Server позволяет немедленно приступить к ликвидации обнаруженных уязвимостей с использованием одной из обязательных базовых конфигураций, тогда как EdgeWall 7000i отвечает за принудительную проверку. Подключив к сети компьютер, на котором отсутствовал агент фирмы PatchLink, мы запустили на нем браузер, но устройство EdgeWall автоматически перенаправило нас на Web-страницу PatchLink для загрузки и установки агента. После его инсталляции на основе упомянутых обязательных базовых настроек на этом компьютере были автоматически установлены недостающие программные «заплатки» и конфигурации безопасности. После достижения полного соответствия политике безопасности компьютер получил неограниченный доступ к среде тестирования.
Компании Vernier и PatchLink не реализовали механизм уведомления о подключении к сети компьютеров, не соответствующих политикам безопасности, зато предусмотрели несколько вариантов отчетов. При помощи Update Server администратор может просмотреть полный список корректирующих процедур, которые когда-либо выполнялись на этом компьютере, а EdgeWall генерирует отчеты о статусе подключенных к сети систем с точки зрения соответствия политике безопасности.
Senforce
Пакет Senforce Endpoint Security Suite имеет пять основных компонентов. Модуль Policy Distribution Service выполняется на Windows-сервере и взаимодействует с клиентами, отвечая за определение политик безопасности, извлечение политик и регистрационных данных из распределенных клиентов. Management Service управляет политиками пользователей, хранением политик и генерацией отчетов. Policy Editor предоставляет пользовательский интерфейс для создания политик и управления ими. Криптографический модуль Client Location Assurance Service гарантирует действительное присутствие компьютера в корпоративной сети, что делает его менее уязвимым к атакам, связанным с перехватом регистрационных данных. Наконец, компонент Senforce Security Client, в состав которого включен брандмауэр, является программным агентом, который запускается на подвергаемых мониторингу оконечных узлах, отвечает за использование политик и управление корректирующими действиями.
Наибольшие затруднения с этим продуктом возникли на этапе инсталляции. Поначалу мы попытались прибегнуть к распределенной инсталляции, но не смогли заставить отдельные компоненты корректно взаимодействовать средствами SSL. Тогда мы выбрали установку на единичном сервере, однако служебная база данных оказалась поврежденной: важнейшие сведения, необходимые для функционирования продукта, отсутствовали. Техническая служба Senforce не смогла объяснить этого, но все же помогла нам быстро справиться с затруднением. Только с третьей попытки нам удалось установить ПО. Впрочем, в дальнейшем проблем с функционированием пакета Endpoint Security Suite на сервере не возникло. Документация оказалась вполне адекватной, хотя ее двухколоночный формат не очень удобен для чтения с экрана.
Политики, предусмотренные производителем, определяют методы проверки имеющихся вирусных сигнатур, отсутствующих программных «заплаток» и управления приложениями (скажем, пропуска или блокировки определенных типов трафика прикладного уровня). В ходе тестирования продукт успешно прошел все поддерживаемые им процедуры, нацеленные на проверку соответствия политикам безопасности. Если данное ПО установлено за терминальным устройством, проверка политик будет осуществляться через VPN-соединение. А их принудительное исполнение реально даже тогда, когда клиент не подключен к корпоративной сети. Администратор может прибегнуть и к собственным проверкам, воспользовавшись мощным инструментарием для написания сценариев.
Модуль Policy Engine, предназначенный для создания политик, отличается превосходным интерфейсом и достаточно интуитивен. Возникавшие затруднения нам удалось быстро преодолеть после обращения к документации. Однако серьезные проблемы возникли при попытке инсталлировать клиентское ПО через сеть с разделяемым доступом. Поскольку программа применяет драйвер, соответствующий спецификации NDIS (Network Driver Interface Specification) компании Microsoft, в процессе инсталляции соединение разрывалось. В документации к другим продуктам, использующим аналогичный драйвер, говорится, что их не следует инсталлировать через сеть. Аналогичное предупреждение не помешало бы включить и в документацию к Endpoint Security Suite.
Продукты, подобные решению фирмы Senforce, мы относим к категории хост-центричных. В таких случаях контроль над системами, не соответствующими политике безопасности, осуществляется брандмауэром на самом программном агенте (аналогично устроены решения Check Point и Citadel). Хост-центричный подход отлично проявил себя в наших тестах, но он может вызвать проблемы, если компьютер подвергся атаке, а компонент Senforce Security Client по каким-либо причинам отключен или вообще удален. В наших тестах отключить некоторые клиенты не составляло труда. И хотя модуль Senforce Security Client в их число не вошел, его применение создает потенциальную угрозу. В отсутствие клиента проверки политик не выполняются. При использовании аппаратных средств обеспечения безопасности хакерам приходится преодолевать дополнительный уровень защиты.
Функции описания настраиваемых сценариев проверки политик и запуска корректирующих процедур придают разработке Senforce особую гибкость. Подобные сценарии позволяют даже загрузить и запустить программы, необходимые для исправления ситуации. Для системы, не соответствующей политике безопасности, можно установить блокировку любого трафика. Кроме того, она может выполнять специальный набор правил, разрешающих доступ только к строго ограниченному кругу ресурсов в корпоративной сети, Internet либо домашней сети.
В состав пакета не включены средства генерации уведомлений. Для просмотра отчетов служит Web-интерфейс, но их экспорт возможен исключительно в формате Web-страниц. Отчеты, сконфигурированные по умолчанию, представляют собой комбинацию графиков и текста, а вот средства их настройки могли бы быть попроще. В отчетах содержится масса полезной информации, однако отсутствуют централизованное ретроспективное представление корректирующих мер в отношении данного сетевого узла и подробные сведения о состоянии или истории всех систем.
Trend Micro
От этой компании к нам поступило на тестирование устройство Network VirusWall 2500 с антивирусным приложением OfficeScan 7 Corporate Edition. Первое дает возможность разрешить или запретить доступ к сети в соответствии с набором правил, который описан на самом устройстве Trend Micro. Компьютеры, пытающиеся получить такой доступ, проверяются на наличие уязвимостей (неустановленные «заплатки», уязвимые сервисы) сразу же после включения.
В процессе тестирования все процедуры проверки выполнялись в точном соответствии с описанием производителя. Работая с продуктами Trend Micro, администратор будет лишен возможности создавать настраиваемые процедуры проверки на соответствие политикам безопасности, а сама проверка не будет распространяться на компьютеры, не подключенные к корпоративной сети. В то же время протестированная комбинация аппаратного средства защиты и ПО поддерживает сети VPN, а тесная интеграция с несколькими наиболее распространенными VPN-шлюзами повышает эффективность антивирусных проверок.
Разработки Trend Micro отличает простота настройки и высокая интуитивность, и в наших испытаниях решение этой компании оказалось одним из лучших. При появлении в сети системы, не отвечающей политике безопасности, конечный пользователь увидит ошибку и сразу же после запуска браузера будет перенаправлен на URL-адрес, определенный администратором. Однако на экран не помешало бы выводить всплывающее окно с надписью «Запустите браузер для дополнительной информации», иначе пользователь может вообще никогда не запустить его, а будет работать с другими приложениями.
Тесная интеграция устройства VirusWall 2500, в том числе функций принудительного использования политик, с пакетом OfficeScan позволяет легко установить отсутствующее антивирусное ПО. К тому же обнаруженные вирусы автоматически уничтожаются. Однако для устранения иных уязвимостей, например при выявлении отсутствия последних программных «заплаток», придется прибегать к другим методам, скажем к средствам Windows Update.
Реализованные Trend Micro функции генерации уведомлений и отчетов оказались лучшими среди всех протестированных продуктов. Мы без труда осуществляли настройки для отправки администратору электронного сообщения или SNMP-уведомления о появлении в сети компьютера, не соответствующего политике безопасности. Администратор может в режиме реального времени или по расписанию генерировать отчеты, которые отражают временную последовательность корректирующих действий, предпринятых в отношении выбранного компьютера, а затем экспортировать их в PDF и другие файловые форматы. Кроме того, нам удалось создать отчет, содержавший список компьютеров с устаревшими компонентами, причем как подключенных, так и не подключенных к сети.
Cisco
Cisco Systems представила на наш суд два продукта. Первый включал в себя сервер Cisco Clean Access (CCA), функционирующий на отдельном сетевом устройстве и контролирующий функции проверки оконечных узлов, и программу Cisco Trust Agent (CTA), которая является частью CCA и выполняется на клиентских машинах. Во втором продукте, Cisco Secure Agent (CSA), объединены серверное управляющее ПО и клиентский код. Этот агент отвечает за мониторинг систем на предмет вредоносной активности.
Установка CCA оказалась довольно сложной. Мы хотели, чтобы сетевое устройство работало в режиме моста, т.е. пропускало через себя трафик и не занималось преобразованием адресов по протоколу NAT. Документация, подготовленная производителем, несколько сбила нас с толку: в ней утверждалось, что управляющий сервер должен быть помещен в другую подсеть. Только звонок в службу поддержки помог нам разобраться с этим вопросом, как и с рядом других мелких проблем.
При проверке соответствия политикам CCA сумел корректно идентифицировать вирусные сигнатуры (включая предусмотренные по умолчанию профили для трех основных поставщиков антивирусного ПО) и недостающие «заплатки» к ОС. Контроль над сетевым трафиком осуществлялся в соответствии с определенными нами правилами. Проверка настроек безопасности операционных систем выполнялась при помощи средств сканирования Nessus, запускавшихся на устройстве CCA в тот момент, когда оконечный узел подключался к сети.
Настраиваемые проверки ключей регистра, отдельных файлов и процессов могут быть реализованы при помощи управляющей консоли CCA. В целом настроить эти проверочные процедуры оказалось на удивление легко. Одна из предусмотренных нами проверок позволяла убедиться в том, что на оконечном узле функционирует заданный персональный брандмауэр. Решение Cisco поддерживает такую процедуру и предоставляет готовые политики, написанные для агента CSA. Для применения других брандмауэров можно воспользоваться настраиваемыми проверками на CCA. Тем не менее процесс индивидуальных настроек проверочных процедур можно было бы улучшить, добавив инструментарий для более детального описания сценариев.
Комбинация продуктов Cisco способна идентифицировать шпионское ПО, контролировать устройства, подключенные через интерфейс USB, и активизировать дополнительные средства защиты приложений, системного регистра и процессов. Решение обеспечивает защиту компьютеров, даже когда они не подключены к корпоративной сети. Сервер CCA может использоваться в качестве устройства, терминирующего VPN-соединение. Последующие версии продукта будут тесно интегрированы с Cisco VPN Concentrator.
Для достижения соответствия политике безопасности служат определяемые администратором наборы правил, которые находятся на CCA. Его управляющий интерфейс позволяет настроить несколько корректирующих процедур или политик безопасности, основываясь на таких показателях, как категория пользователя (прошел аутентификацию или нет), уязвимости, выявленные в процессе сканирования, или отрицательный результат проверок соответствия политикам.
Если пользователь не прошел процедуру аутентификации в сети через устройство CCA, его доступ можно ограничить определенными зонами сети. Аутентифицированные потребители могут подвергнуться дополнительной проверке, а затем получить доступ к более широкому спектру ресурсов. Программа CTA, устанавливаемая на каждом оконечном сетевом узле, обеспечивает доступ к компьютеру и возможность просмотра файлов, процессов и ключей системного регистра. При выявлении проблемы устройством CCA на соответствующий компьютер может быть передан необходимый инсталляционный файл, а пользователь получит предупреждение или будет автоматически перенаправлен на определенный URL-адрес. Однако ему придется вручную инициировать инсталляцию ПО, которое снова обеспечит соответствие его компьютера корпоративной политике безопасности. До этого сервер будет блокировать любой сетевой трафик за исключением специально разрешенного, например генерируемого функцией Windows Update для получения отсутствующих программных «заплаток».
Средства генерации отчетов как в CCA, так и в CSA нуждаются в улучшении. CCA позволяет просматривать на сервере системные регистрационные файлы для обнаружения важнейших событий, но сама система отчетов не генерирует. Результаты сканирования уязвимостей и проверок на соответствие политикам доступны отдельным оконечным узлам. Неудачные попытки сканирования отображаются в регистрационном файле CCA как отдельные строки. Однако администратор не сможет генерировать отчеты, которые показывают текущий статус компьютеров, подключенных к сети, ретроспективный перечень предпринятых мер или тенденции изменения их работы.
Citadel
Компания Citadel предложила нам установить агенты Hercules на сетевые компьютеры для выявления уязвимостей и воспользоваться модулем ConnectGuard, состоящим из серверного и клиентского компонентов, для выполнения корректирующих действий. Программные агенты Hercules выполняют собственный анализ на основе сведений об уязвимостях, собранных средствами сканирования. Предусмотренные производителем проверки включают в себя установку наличия какого-либо из наиболее популярных антивирусных приложений, мониторинг шпионского ПО, отсутствующих «заплаток» и настроек безопасности операционных систем. Аппаратная версия продукта начала поставляться вместе с Hercules 4.0 с июня текущего года.
Инсталляция ПО Hercules прошла отлично — мы не испытали каких-либо затруднений. Качество документации тоже является отменным, а управляющий интерфейс интуитивен и прост в использовании.
В тестировавшейся версии Citadel предусмотрела корректирующие процедуры для тысяч известных уязвимостей, но администратор может определить и собственные проверяющие и корректирующие процедуры. Модуль ConnectGuard нацелен на работу с компьютерами, не соответствующими политикам безопасности. Используя клиентское ПО фирмы Citadel, он блокирует их исходящий трафик до тех пор, пока конфигурация не будет исправлена. В тестировавшейся версии корректирующие действия выполнялись непосредственно по ходу процедур проверки. В версии Hercules 4.0 администратор может получить отчет с результатами проверки и задать расписание, в соответствии с которым изменения будут внесены в конфигурацию позднее.
Для генерации отчетов в ПО Hercules используется механизм Crystal с Web-интерфейсом, поэтому отчеты можно экспортировать в самые разнообразные форматы. Реализованные Citadel функции генерации отчетов позволяют получить полную ретроспективную картину мер, которые принимались по отношению к данному компьютеру, а также сведения о текущем состоянии узлов, не отвечающих политике безопасности. По нашим сведениям, дополнительные функции работы с отчетами в составе ПО Hercules 4.0 появились, а вот механизм генерации уведомлений в этом продукте по-прежнему отсутствует.
Check Point
Приложение Integrity 6.0 компании Check Point берет начало от брандмауэра для ПК, но содержит средства проверки на соответствие политикам безопасности и механизмы реализации таких политик. Его инсталляция прошла без проблем. Для клиента мы выбрали инсталляционный пакет, предлагаемый по умолчанию, и сгенерировали собственные наборы правил безопасности и процедуры проверки. По умолчанию такие процедуры настроены на выявление антивирусных программ основных производителей.
Используя управляющий интерфейс, вы можете описать собственные процедуры проверки ключей системного регистра, нестандартных файлов или недопустимых процессов. Недостающие «заплатки» и обновления операционных систем по умолчанию не диагностируются, но их можно самостоятельно включить в настраиваемые процедуры проверки. Доступ к приложениям контролируется посредством стандартных правил брандмауэра и механизмов контроля над приложениями. Уведомления о выявленном шпионском ПО генерируются при помощи сервиса SmartDefence Program Advisor фирмы Check Point. Проверка устройств, подключенных к портам USB, не поддерживается.
Integirty успешно прошел все тесты процедур проверки, допускаемых этим продуктом. Он способен работать с соединениями VPN, но не обеспечивает защиту компьютеров, не подключенных к корпоративной сети. За уязвимыми системами может быть установлено наблюдение, либо их коммуникационные возможности будут ограничены только явно разрешенными соединениями. Администратор определяет ссылки на необходимые файлы либо принудительно загружает эти файлы на компьютер, чтобы пользователь затем инсталлировал их. В ходе тестирования мы были перенаправлены на сетевые сайты, определенные в ходе проверки на соответствие политике безопасности, например на страницу Windows Update для загрузки отсутствовавшей «заплатки» к ОС.
Средства генерации отчетов Integrity требуют улучшения. В базовых отчетах используются Web-технологии, но экспортировать их нельзя. Вы можете получить отчет о системе, не соответствующей политике безопасности, и увидеть график, отражающий историю корректирующих действий, однако полный отчет будет вам недоступен. Какие-либо функции выдачи уведомлений в Integrity также отсутствуют.
InfoExpress
Сервер CyberGatekeeper является центром коммуникаций всего решения. Именно он задает политики для агентов CyberGatekeeper, установленных на оконечных узлах, и генерирует отчеты на основе Web. Проверка на соответствие политикам безопасности реализуется через один из многочисленных модулей, поддерживаемых продуктом, в числе которых — локальная сеть (порты коммутатора помещаются в «исправительную» виртуальную ЛС), мост (трафик пропускается либо блокируется согласно установленным правилам) и RADIUS Extensible Authentication Protocol (аутентификация пользователя).
Для создания и изменения политик служит Policy Manager, функционирующий на отдельном компьютере. Администратор помещает новые политики на центральный сервер для их рассылки клиентам. В ходе тестирования мы использовали сервер в режимах ЛС и моста. Настройка продукта перестала вызывать затруднения, после того как мы получили обновленную версию документации (хотя она по-прежнему содержала множество ошибок).
Основная «специализация» CyberGatekeeper — аудит безопасности и проверка соответствия установленным политикам. В отличие от большинства протестированных продуктов, агенты лишены встроенных брандмауэров, но такое решение увеличивает общую гибкость и приспособляемость продукта к разным задачам. В результате администратор может реализовать тот уровень антивирусной защиты, который необходим в конкретной среде. По этой причине разработка InfoExpress не прошла многие из наших тестов, связанных с проверкой соответствия политикам на пользовательском компьютере, — таких как доступ к USB-накопителям, выявление шпионских программ и проверка степени защищенности ОС (хотя последняя может быть добавлена вручную). Однако мы смогли контролировать соответствие политикам на уровне приложений, исходя из имени исполняемого файла или процесса.
CyberGatekeeper способен работать по VPN-соединениям, и наиболее эффективно этот сценарий реализуется при переводе сервера в режим моста. Компьютеры, не подключенные к корпоративной сети, в сферу влияния ПО CyberGatekeeper не попадают. Средства управления политиками обеспечивают администратору достаточную гибкость, но могли бы быть более интуитивными. Последнее относится, например, к экрану, применяемому для отсылки новых политик на сервер.
После выявления уязвимого компьютера конечному пользователю может быть отослано соответствующее сообщение, причем потребитель перенаправляется на заданный URL-адрес либо компьютер помещается в другую виртуальную ЛС — все определяется тем, какой модуль вы используете. Так, переадресация может быть осуществлена на Web-страницу для загрузки недостающего ПО, но инсталлировать последнее придется вручную.
Над средствами генерации отчетов фирме еще предстоит поработать. Часть базовых отчетов доступна на сервере, основанном на Web-интерфейсе, и их можно экспортировать в файлы CSV для последующей обработки. Но ретроспективные отчеты о принятых ранее мерах, а также уведомления о случаях несоответствия политикам безопасности не предусмотрены вовсе. Вы можете получить отчет о состоянии системы, которая в текущей момент не поддерживает политики безопасности, однако прочесть его не так-то легко. К тому же в единый отчет не удается свести информацию о тенденциях в изменении состояния системы.
Резюме
Хотя большинство протестированных нами продуктов позволяют решать базовые задачи, им еще предстоит долгий путь, чтобы превратиться в ключевые компоненты корпоративной инфраструктуры безопасности. Любопытно будет проследить их эволюцию, связанную с поддержкой постоянно растущей потребности в соответствии политикам безопасности и с интеграцией в существующую сетевую инфраструктуру. Проблемы, присущие всем продуктам, — неожиданное отсутствие функций выдачи уведомлений и необходимость в улучшении средств генерации отчетов. Эти компоненты особенно важны с точки зрения соответствия требованиям регулирующих органов, да и аудит систем безопасности получает все большее распространение.
Многие продукты способны проверять оконечные сетевые узлы на соответствие политикам безопасности по именам файлов и процессов. Этот метод легко обойти путем изменения имен. Хотелось бы, чтобы в процедурах проверки были реализованы более изощренные алгоритмы, хотя бы анализ контрольных сумм файлов. В совершенствовании нуждаются и средства взаимодействия с пользователем, который должен знать, что его компьютер «выбивается из общего ряда». Большинство продуктов поддерживают переадресацию на уровне Web-браузера, но эта мера бесполезна, если потребитель использует для доступа к сети другое приложение.