Борьба с Web-угрозами

Борьба с Web-угрозами

Михаил Прибочий, директор по дистрибуции, компания"Associates Distribution" (Websense)

ТО, что использование сети Интернет влечет ряд серьезных угроз, - очевидная истина для всех. Интернет на рабочей станции пользователя - это и свободная навигация (или Web-серфинг), и Web-угрозы. К последним относится весь спектр программ-шпионов, троянских программ, клавиатурных перехватчиков, управляемых бот-сетей и мобильный вредоносный код. Есть целый пласт мошеннических схем, при которых пользователи (сами того не зная) запускают вредоносные приложения, чем приносят вред себе лично или своему работодателю.

Традиционные средства

Слабость защиты традиционных средств (антивирусное ПО и межсетевые экраны), в первую очередь, в том, что борьба с Web-угрозами идет на границе или даже внутри корпоративной вычислительной сети в момент свершения инцидента. Традиционные средства можно сравнить с органами милиции и таможней, когда потенциально опасные персоны выявляются либо наличием при себе запрещенных предметов, либо активными противоправными действиями, то есть борьба идет "вдогонку" и преступники почти всегда на шаг впереди правоохранительных органов. Следуя той же аналогии, что может помочь государству? Наверное, разведка и контрразведка.

В нашем Интернет-случае "разведкой" будет анализ и категоризация сайтов на наличие тех или иных Web-угроз для принятия решения о возможности предоставления доступа к данному ресурсу пользователям. Самый очевидный и одновременно наименее эффективный (так как предполагает ручную категоризацию больших списков URL) способ сделать это - анализ журналов прокси-серверов с последующим пополнением черных и белых списков. Сетевой администратор или сотрудники службы безопасности должны самостоятельно посетить подозрительные сайты и вынести решение об их полезности и безопасности для бизнеса. Эта задача является практически невыполнимой для любого ИТ-отдела и на практике оказывается малоэффективной, так как при ручной категоризации неизбежно пропускаются вредоносные сайты, не вошедшие в вершину списка популярности. Использование готовых черных и белых списков, встречающихся в Интернете, даст лишь чувство защищенности, но не реальную защиту.

ИБ-отдел просто перекрывает доступ к опасным местам благодаря непрерывно обновляемой (то, что мы ранее назвали "разведкой") базе (URL) всевозможных шпионов/вредителей/саботажников и мест их подготовки/сосредоточения/отправки. А "контрразведкой" является возможность обнаружения уже зараженных сегментов сети (но не обнаруживаемых антивирусным ПО) по попыткам обращений на блокируемые security-ресурсы. Таким образом, программа-шпион, клавиатурный перехватчик или бот будут заблокированы, не смогут выполнить свои деструктивные действия, а также будут замечены администраторами по логам Web-фильтра.

Обратите внимание!

На что стоит обратить внимание при выборе подобных продуктов:

• Охват "территории". Интернет - глобальная структура, и "строго национальные" компании, ограничивающие себя мониторингом ограниченного сегмента, предлагают заведомо неполное решение.
• Специализация на Web-безопасности. Далеко не все производители уделяют должное внимание вопросам Web-безопасности (есть компании, специализирующиеся на общей категоризации без security-компонента). Важно удостовериться, что в решении есть такие security-категории, как "бот-сети", "вредоносные Web-сайты", "перехватчики клавиатуры", "потенциально нежелательные программы", "фишинг и другие виды мошенничества", "шпионские программы", "сайты, маскирующие свое содержание", "хакерские инструменты и утилиты", "обход прокси-серверов", "одноранговый обмен файлами". Полезно ознакомиться с независимыми тестами и обзорами по решениям Web-безопасности - Veritest, IDC и Gartner.
• Периодичность обновления. Security-категории должны обновляться в режиме настоящего времени. Общие категории допустимо обновлять раз в сутки.
• Блокировка доступа к нецелевым ресурсам Интернета. Немаловажной особенностью Web-фильтров является возможность не только ограничивать сотрудников от посещения небезопасных сайтов, но и блокировать доступ к нецелевым ресурсам Интернета. Блокирование развлекательных сайтов, эротических ресурсов, систем мгновенных сообщений, социальных сетей, новостных лент позволяет серьезно снизить оплачиваемый трафик и нагрузку на каналы связи, а также повысить работоспособность сотрудников. Примечательно, что здесь не идет речь о едином черном списке. Как правило, производители предлагают базу в несколько десятков "общих" категорий (азартные игры, бизнес и экономика, здоровье, новости и СМИ, информационные технологии, Интернет-общение, образование, покупки, поиск работы и т.п.), которые работодатель может самостоятельно сортировать на целевые и нецелевые для каждой группы пользователей или отдельных сотрудников.*

В том случае, если организация заинтересуется последней возможностью (блокирование сайтов, безопасных с точки зрения ИБ, но не являющихся целевыми), стоит обратить внимание на следующее:

• Гранулярность базы. На первый взгляд непонятно, сколько категорий достаточно для нормального функционирования сети. Но очевидно, что большее количество категорий позволяет точнее настроить доступ к тем или иным ресурсам. Общее правило -чем больше, тем лучше. В качестве примера приведем базы двух производителей в 50 и 100 категорий. То, что в 50-ка-тегорийной базе обозначается как "Потоковое видео", в базе с большим числом категорий разбито на "Потоковое видео", "Интернет-радио и -ТВ", "Личные сетевые хранилища" и "IP-телефонию". Получается, для того чтобы иметь возможность использовать IP-телефонию или посещать сайты, посвященные данной тематике, администратору Web-фильтра с 50 категориями придется "попутно разрешить" пользователям и "Потоковое видео", и "Интернет-телевидение", и посещение сотрудниками "Личных хранилищ" в сети.
• Уровень поддержки национального сегмента (в нашем случае Рунета). Очень немногие производители утруждают себя ручной проверкой правильности категори-рования сайтов автоматами. Действительно, для этого нужен штат сотрудников, среди которых должны быть носители различных языков, что не может не повлиять на себестоимость решения. Следствием экономии является значительное число ошибочно идентифицированных сайтов или одновременное отнесение одного и того же ресурса сразу к нескольким категориям.
• Система отчетности. К необходимым опциям здесь можно отнести возможность оперативного (или по расписанию) создания отчетности по любому сотруднику и/или группе сотрудников по времени, а также по трафику и количеству заходов на сайты тех или иных категорий за любой промежуток времени.

Комментарий эксперта

Борис Борисенко,эксперт

СТОИТ отметить, что проблемами Web-фильтрации в мире занимается достаточно небольшое количество компаний. Так, антивирусное программное обеспечение от McAfee и Trend Micro содержит опции Web-фильтрации. При этом продукты Web-фильтрации работают только в связке с антивирусным ПО.

В истории IBM значится приобретение компании ISS, ранее купившей Cobion - производителя решений в области почтовой и Web-фильтрации. Одни из причин распространенности базы ISS/Cobion - ее большой размер и небольшая стоимость.

Решения SurfControl ориентированы на сегмент малого и среднего бизнеса (в России производили ручную категоризацию URL). Линейка SurfControl дополняется продуктами для фильтрации почты и не позиционируется как решение по Web-безопасности. В 2007 г. была куплена компанией Websense, которая, в свою очередь, делает упор как на Web-безопасность, так и на Web-фильтрацию (используется ручная категоризация).

В целом можно сказать, что большинство производителей, предлагающих в своих продуктах опцию Web-фильтрации, чаще всего используют либо базу Co-bion/ISS, либо бесплатные базы, доступные в Интернете.