[an error occurred while processing this directive]
Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Владимир Бычек: Нельзя поставить знак равенства между контентной фильтрацией и фильтрацией URL

Владимир БычекНа вопросы CNews ответил Владимир Бычек, руководитель направления контентной фильтрации (eSafe) компании Aladdin.

CNews: Какова, на ваш взгляд, ситуация, сложившаяся сегодня на российском рынке систем для проведения аудита ИБ?

Владимир Бычек: Известно, что информационная безопасность компании обеспечивается комплексом организационных мер, технических и программных средств, каждое из которых реализует защиту от определенного вида или класса угроз. Некоторые из них известны достаточно давно, поэтому на рынке присутствуют средства, как защиты, так и аудита защищенности информационных систем применительно к этим угрозам. Простейший пример — угрозы сетевой безопасности, для защиты от которых давно и успешно используются межсетевые экраны и предлагаются средства аудита. Хорошим примером с этой точки зрения является сканер xSpider от компании Positive Technologies.

Совсем иначе обстоит дело в области угроз, связанных с активным вредоносным веб-контентом, масштаб которых был по настоящему осознан, в том числе и отечественным бизнесом, совсем недавно. Косвенным свидетельством этого осознания может служить приход на рынок контентной фильтрации компании Cisco, а также включение фильтров для очистки трафика в ряд антивирусных продуктов всем известных вендоров.

До недавнего времени инструментальных средств, позволяющих выполнить качественный аудит состояния защищенности информационной системы от угроз со стороны вредоносного программного обеспечения, просто не было, хотя сами средства защиты присутствовали. Проблема состояла в том, что включение контентного фильтра в информационную систему требовало внесения каких-либо изменений в информационную инфраструктуру предприятия, что уже само по себе сопряжено с определенными рисками, и по понятным причинам не вызывает энтузиазма среди сотрудников ИТ-подразделения предприятия. Не говоря уже о том, что контентный фильтр - устройство активное и при некорректных настройках может причинить вред (например, запретить работу нужного сетевого приложения). Предвижу возражения коллег по цеху, чьи средства защиты умеют работать, будучи подключенными к span-порту. Но ведь мы не можем поставить знак равенства между контентной фильтрацией и фильтрацией URL.

Сегмент рынка решений для аудита контент-безопасности фактически только начинает зарождаться. Aladdin, как компании-новатору, не раз приходилось не только выводить на рынок инновационные продукты, но и создавать саму рыночную нишу, как таковую, формировать потребности у российского бизнеса в тех или иных решениях.

Так, в своё время, компания Aladdin впервые показала российскому рынку возможности аппаратной защиты ПО с помощью электронных ключей HASP. Аналогичная ситуация сложилась со средствами аутентификации eToken, выведенными на совершенно незрелый на тот момент рынок средств защиты доступа к информационным ресурсам.

Сейчас мы сфокусировали своё внимание на системах фильтрации контента, в частности, на системах для аудита ИБ с точки зрения контент-безопасности. И здесь стандартный сценарий первооткрывателя для Aladdin вновь повторяется. Компания Aladdin Knowledge Systems, отдельные линейки продуктов которой мы представляем на российском рынке, стоит у истоков систем этого типа фильтрации. Более 10 лет она является технологическим лидером в своем сегменте. Поэтому не удивительно, что eSafe WTA (Web Threat Analyzer) - первое и по-настоящему функциональное инструментальное средство для аудита состояния контент-безопасности - было выпущено на рынок именно этой компанией.

CNews: Каковы ключевые функции eSafe WTA с точки зрения аудита ИБ? Какие уровни анализа предусматривает продукт?

Владимир Бычек: eSafe WTA является ключевым инструментом, как минимум, для трёх категорий заинтересованных лиц, хотя по сути его возможности ещё шире. Имея данные, собранные и отфильтрованные eSafe WTA, руководитель компании получает реальную и наглядную картину того, что происходит в сети его компании: на что тратят время сотрудники, какие приложения открывают, на какие сайты ходят и в каких объемах скачивают видео или аудио файлы.

Администратор по безопасности или CIO, часто выполняющий подобные обязанности, видит, почему растёт трафик, на какой машине «сидит» шпион, были ли попытки загрузки вирусов, есть ли риск попадания корпоративных ПК в бот-сети, какие программы пользователи загружают с веб-сайтов и различных FTP-ресурсов, а затем устанавливают на своих компьютерах и так далее.

Системный интегратор или аудитор, используя eSafe WTA, имеет на руках эффективную доказательную базу для клиента, подчас даже не представляющего, что именно происходит в сети его компании и что в итоге с этим делать.

Программно-аппаратный комплекс eSafe WTA (Web Threat Analyzer) позволяет инспектировать 100% входящего и исходящего интернет-трафика (HTTP, FTP), выявлять в исследуемой сети зараженные компьютеры, содержащие spyware/adware и генерирующие «паразитный» и/или подозрительный трафик. Продукт выявляет угрозы, источники заражения и атак. При этом фиксируются попытки перенаправления на сайты, с которых производится заражение и загрузка spyware.  Также засекается передача информации во вне со стороны вредоносного кода, находящегося на зараженном компьютере, или извне (команды удаленного управления на инфицированный компьютер).

Иными словами основной функционал продукта сводится к четырем пунктам: Во-первых, анализу используемых сотрудниками предприятия интернет-приложений и выявлению запрещенных для использования в соответствии с политиками информационной безопасности  средств (например, P2P, Skype, IM, потокового видео/аудио). Во-вторых, анализ интернет-сайтов, посещаемых сотрудниками предприятия в рабочее время по 60  категориям (например: поиск работы, наркотики, магазины, порно и пр.). В-третьих, анализ сетевой активности сотрудников предприятия (используемые интернет-приложения, посещаемые сайты, объем и характер загружаемых и передаваемых файлов по протоколу FTP). В-четвертых, анализ эффективности используемых на предприятии средств контентной фильтрации и предоставление экспертам, проводящим аудит, необходимой информации для выдачи рекомендаций по устранению обнаруженных уязвимостей.

CNews: В чем особенности технологической реализации аудита контент-безопасности?

Владимир Бычек: Прежде всего, средство аудита должно работать в режиме “сниффера”, не оказывая никакого влияния на исследуемую информационную систему. Именно в таком режиме и работает eSafe WTA.

Наш продукт исследует зеркалированный или отображенный трафик, не оказывая на саму проверяемую систему никакого влияния. Устройство подключается к соответствующему порту (span, mirror) коммутатора или роутера и “слушает” трафик, накапливая информацию о событиях, связанных с контент-безопасностью в соответствующих файлах. По завершении  этого процесса (обычно 1-7 дней) и импортирования полученных данных, информация обрабатывается модулем eSafe Reporter и выдается в форме удобного и наглядного отчета.

Отчет состоит из 30 стандартных форм, соответствующих основным “срезам”, отображающим текущее состояние информационной системы с точки зрения контент-безопасности. Есть возможность готовить собственные формы отчетов.

Отчет позволяет даже не специалистам в области ИБ (руководству компании, например) оценить насколько у них все хорошо или есть проблемы с контент-безопасностью.

После обработки данных и получения отчетов, данные аудита могут быть надежно удалены из памяти WTA в присутствии заказчика. Продукт легко интегрируется в любую сетевую инфраструктуру и при этом не имеет ограничений по размеру проверяемой сети.

CNews: Исходя из данных аудита, полученных вами, какую угрозу информационной безопасности на сегодняшний день вы считаете основной и наиболее опасной?

Владимир Бычек: На наш взгляд, spyware — это на сегодня самая значимая и динамично развивающаяся угроза для корпоративной информационной безопасности.

Зараженные spyware компьютеры могут, как стать источником утечек конфиденциальной информации, так и включиться в адресную атаку в составе бот-сети или приступить к массовой рассылке спама. Все это вещи достаточно неприятные и чреватые не только значительными финансовыми убытками, но и потерей деловой репутации.

CNews: Какие пути распространения вредоносного или злонамеренного программного обеспечения, на ааш взгляд, представляют наибольшую опасность? Какие способы защиты вы рекомендуете?

Владимир Бычек: Наш опыт говорит о том, что вредоносный, код сегодня, как правило, крайне редко распространяется через интернет-приложения (за исключением ссылок в интернет-пейджерах). Опасность представляют, в первую очередь, коммуникации spyware, которые необходимо отслеживать  и блокировать.

Технологии, реализованные в модуле eSafe AppliFilter, позволяют блокировать по сигнатурам протоколов коммуникации порядка 150 семейств spyware/adware. Ликвидируя подобные соединения, мы предотвращаем как потенциальные утечки информации, так и управление компьютерами-ботами извне.

AppliFilter также эффективно блокирует все распространенные интернет-пейджеры, причем делает это очень изящно. Например, мы можем разрешить ICQ, запретив при этом передачу файлов через ICQ.

Отдельный класс приложений — это клиенты файлообменных сетей (P2P). Полноценно фильтровать трафик P2P на сегодня нереально (да и не нужно), однако запретить работу подобных приложений в корпоративной сети можно и нужно. И мы делаем это с помощью того же модуля AppliFilter.

Говоря о P2P нельзя не упомянуть о Skype, замечательной программе, которую, кроме всего прочего, трудно аккуратно заблокировать. Но для eSafe AppliFilter эта задача вполне по силам. Ему известны особенности сигнатуры коммуникационного протокола Skype, и последний блокируется одним кликом мыши из консоли управления eSafe.

Неавторизованные туннелирование часто используется несанкционированными приложениями для преодоления межсетевых экранов и других средств защиты. Оно также пресекается eSafe AppliFilter.

Обладая таким функционалом eSafe AppliFilter имеет две важные особенности: во-первых, высокую скорость работы (задержка, вносимая продуктом, практически незаметна для пользователя) и, во-вторых, возможность адресного предоставления прав использования приложений для различных категорий сотрудников предприятия.

CNews: Считаете ли вы, что начало активного этапа аудита и стандартизации, например, по IS27001 или PCI, дадут новый толчок в развитие рынка?

Владимир Бычек: Внедрение стандартов, например, ISО 27001, регулярное проведение аудита для подтверждения соответствия этим стандартам, лежат в основе построения эффективных систем управления ИБ. Реализация этих работ может привести к повышению спроса на консалтинговые услуги, особенно в части разработки регламентных документов. Крупные компании вынуждены будут задуматься об установке той или иной системы мониторинга и анализа контента, в частности. А мы в свою очередь уже сейчас готовы предложить компаниям любого масштаба — от SMB до крупного корпоративного заказчика — эффективный инструмент для реализации проверки состояния контент-безопасности.

CNews: Ряд стандартов предполагает проведение аудита системы управления ИБ. Насколько у нас в стране развит институт аудита и подготовки к нему?

Владимир Бычек: Спрос рождает предложение. Необходимые структуры и компетенция в нашей стране имеются. И по мере роста спроса  будут расширяться и укрупняться. Сейчас ряд классических интеграторов уже включили в свои пакеты услуг аудит, консалтинг в области ИБ и т.п. Другое дело, что цены на данные услуги зачастую вынуждают клиентов заниматься ”самостроем“. Это, в частности, касается SMB компаний, которые в большинстве своём вынуждены экономить и по максимуму делать всё своими руками, не обладая при этом специалистами должной квалификацией.

CNews: Какой специфический российский опыт приобрела ваша компания при аудите ИБ, и какие причины этой специфики можно отметить — государственное регулирование, вертикальный рынок, размер компании и т.д.?

Владимир Бычек: Собственно, никакой специфики нет, вне зависимости от сегмента рынка, везде работают люди, такие же, как и мы с вами, которые иногда  злоупотребляют богатыми возможностями интернета в ущерб рабочему времени. Что интересует российских пользователей? Да то же, что и всех остальных — музыка, видео, развлекательные порталы, футбол (да и вообще спорт), блоги знаменитостей, так называемый, контент ”для взрослых“, прочие из категории time-killer pages. Возможно, некоторые из упомянутых категорий интернет-ресурсов и не стоит запрещать, но мы должны (и можем) дать определенные гарантии того, что, посещая их, сотрудник не инфицирует свой рабочий компьютер, который в считанные минуты заразит всю сеть и т. д.

CNews: Спасибо.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS