Вирусы, трояны, фишинг — лишь некоторые из хорошо известных и распространенных Internet-угроз. Страдают и бизнес-интересы: поиск полезной корреспонденции среди спама требует значительных временных затрат, а посещение сотрудниками нецелевых Web-ресурсов снижает эффективность их работы и может негативно отразиться на репутации фирмы. Объективная потребность в защите от этих угроз привела к появлению большого количества соответствующих программных продуктов, использующих технологию контентной фильтрации.
Область контентной фильтрации достаточно широка и включает в себя три крупных направления — контроль над доступом к внешним Web-ресурсам, контентная фильтрация почты, инспектирование исходящего трафика для предотвращения утечек конфиденциальной информации. Опыт компании «Крок», полученный при реализации инфраструктурных решений для обеспечения ИБ, и анализ требований заказчиков позволяют выделить три продукта данного класса, на которые стоит обратить внимание: это Aladdin eSafe, SurfControl Enterprise Protection Suite и комплекс решений Websense. Остановимся на каждом из них подробнее, но сразу отметим, что они имеют схожий функционал. Выбор зависит от того, какую степень защиты клиент собирается реализовать в отношении каждого из каналов угроз.
Платформа Aladdin eSafe
Комплекс решений eSafe предназначен для обеспечения многоуровневой системы превентивной защиты информации в корпоративных сетях крупных предприятий. На уровне Internet-шлюза модули eSafe реализуют весь спектр защитных механизмов:
-
полномасштабное инспектирование протоколов HTTP, FTP, SMTP, POP3 с поддержкой разных форматов зашифрованных и сжатых файлов, а также защиту от file-spoofing;
-
защиту данных по протоколам HTTP и FTP от вредоносных и нежелательных программ, сетевых червей и злонамеренных кодов, размещенных на Web-страницах;
-
защиту от «шпионского» ПО как на основании сигнатур, так и путем идентификации и блокирования spyware-протоколов связи с удаленными серверам;
-
информирование администратора об инфицированных рабочих местах локальной сети;
-
блокирование угроз, исходящих от служб мгновенных сообщений (IM), пиринговых сетей, приложений управления удаленным доступом;
-
фильтрацию URL по 58 категориям.
Высокую эффективность работы показывают модули защиты электронной почты и борьбы со спамом, которые взаимодействуют с почтовыми серверами SMTP и серверами групповой работы типа Microsoft Exchange или IBM Lotus Domino. В функционал этих модулей входят защита от злонамеренного кода (всех типов вредоносных программ) и разных видов Internet-мошенничества, расширенная фильтрация спама на основе лексического, статистического и эвристического анализа. Использование технологии honey pots, проверки RBL, внутренних «черных» и «белых» списков позволяет гибко настраивать карантин для нежелательных писем (что позволяет сохранять и нужные сообщения), распознавать визуальные символы спам- и URL-коллекций, искать URL в несанкционированных адресах e-mail и сравнивать их с базой данных индексированных сайтов.
Анализ почтового трафика за достаточно короткий промежуток времени (в режиме «самообучения» системы) позволяет активизировать блокировку сообщений на основании превышения количества повторений за это время. Дополнительная защита почтовых сервисов, их очистка от нежелательных сообщений могут осуществляться посредством опционального блокирования multi-part e-mail, блокирования электронной почты с недействительными именами файлов, расширениями, определенными типами приложений и нестандартным инструментарием, обычно применяемым хакерами. Столь же действенные механизмы — поддержка функций anti-relay, anti-spoofing и anti-bombing применительно к сообщениям электронной почты, защита от DoS-атак и других видов сетевой агрессии, в том числе от попыток выявления действующих адресов корпоративной почты.
Модуль отчетности собирает информацию о работе всех устройств eSafe, установленных в сети, предоставляет администратору консолидированные разносторонние отчеты и возможность формирования кастомизированных информационных сообщений. Важной отличительной чертой решения является расширяемая архитектура (кластер может содержать до восьми устройств в стеке) со встроенными механизмами балансировки нагрузки.
Основные потребители Aladdin eSafe — крупные и средние компании, xSP-провайдеры и операторы мобильной связи, предоставляющие доступ к Internet. Высокая пропускная способность и масштабируемость позволяют использовать Aladdin eSafe для повышения качества услуг доступа к Internet и предоставления услуг с добавленной стоимостью (VAS).
SurfControl Enterprise Protection Suite
Комплекс приложений Enterprise Protection Suite компании SurfControl служит для организации многоуровневой защиты корпоративной сети от вредоносного Internet-контента, поступающего по всем возможным каналам (Web-сайты, электронная почта, системы обмена мгновенными сообщениями, P2P-сети, мобильные рабочие станции).
SurfControl предоставляет мощный инструментарий создания правил контроля над доступом к Internet, который позволяет оптимизировать и контролировать нагрузку на внешние каналы выхода в Сеть. Безопасное использование Internet обеспечивается за счет применения особых правил фильтрации запросов и управления политиками на основе времени доступа к ресурсам. При фильтрации внешней электронной корреспонденции и внутрикорпоративной почты применяются встроенная антивирусная защита и спам-фильтрация с разными методами анализа трафика. Можно формировать политики использования почтовых сервисов на основе таких показателей, как архивирование и локальное сохранение сообщений, ограничение размеров и коэффициента сжатия прикрепленных файлов, контроль над количеством получаемых писем. Немаловажные «аргументы» в пользу Enterprise Protection Suite — защита почтового сервера от DoS-атак, попыток определения списков почтового ящика, проверок DNS-записей отправителей почты.
Разработчик заявляет, что устанавливает новый отраслевой стандарт на средства мониторинга и создания отчетов для систем фильтрации контента. Инструментарий мониторинга событий в сети и генерации отчетности предоставляет администраторам неограниченные возможности контроля над доступом сотрудников к Internet и выявления «узких мест» системы корпоративной безопасности. Поддерживаются многоуровневая детализация (от real-time-отчетов до сводной статистики за выбранный промежуток времени по конкретному пользователю, группе, категории, протоколу), множество форматов отчетов и автоматического планирования заданий. Еще одно уникальное свойство — распространение механизмов контроля над доступом к Web-ресурсам на мобильных и удаленных сотрудников вне зависимости от способов их соединения с Internet.
Решение SurfControl может пригодиться предприятиям разного профиля и масштаба, которые активно используют в своей деятельности доступ к Internet и сервисы электронной почты.
Комплекс решений Websense
Решения Websense контролируют доступ к Internet, блокируют вредоносный код и нежелательные письма, предотвращают утечки конфиденциальной информации. Они помогают реализовывать корпоративные правила использования Internet с помощью гибкой системы настроек:
-
гранулярной фильтрации на основе базы Web-сайтов, распределенных по 90 категориям (учитывается изменение принадлежности сайтов к тем или иным категориям в зависимости от требований организации);
-
фильтрации доступа к сайтам по времени суток;
-
назначения политик пользователям и группам основных служб каталогов;
-
применения политик при терминальном доступе;
-
фильтрации по шаблонам URL, «белым» спискам, ключевым словам.
Предоставляется возможность определения пароля для преодоления блокировки заданных категорий сайтов, управления разными сетевыми протоколами (включая IM-службы, мультимедиа-потоки, обмен данными в пиринговых сетях и т.п.), анонимной регистрации деятельности сотрудников в Internet. Функция управления пропускной способностью обеспечивает автоматическое разрешение или отклонение запросов в зависимости от текущей загрузки внешнего канала. Решения принимаются на основе пороговых значений полосы пропускания для отдельных протоколов, категорий Web-сайтов, групп пользователей, IP-сетей и времени суток.
Кроме того, осуществляется фильтрация, призванная защищать корпоративную сеть от шпионских программ, вредоносного мобильного кода, Internet-мошенничества, ботов и перехватчиков клавиатуры.
Решение Websense для предотвращения утечек информации предоставляет различные средства защиты от преднамеренных и случайных утечек данных. Технология снятия цифровых отпечатков данных гарантирует не более 1% ложных срабатываний, а предопределенные настройки включают в себя свыше 150 политик обнаружения утечек информации, характерных для организаций разных отраслей. Например, эти настройки позволяют реагировать на номера кредитных карт, банковские реквизиты, исходный программный код, истории болезни и т.п. Сочетание уникальных технологий в одном решении обуславливает повышенный интерес к Websense компаний, для которых контроль над доступом сотрудников к Internet и передача закрытой информации являются критически важными условиями деятельности.
Михаил Башлыков (MBashlykov@croc.ru) — руководитель направления информационной безопасности компании «Крок»