Безопасность в сети: Blue Coat Content Analysis System — новейший подход к защите периметра

Тяжело констатировать факт, но специалисты по информационной безопасности сегодня понимают: существующими методами борьбу с киберпреступностью не выиграть.

Компьютерное зловредство. Зри в корень

Не нужно думать, что мы хуже соображаем, хуже работаем, или хуже финансируемся, чем кибер-негодяи. Всё просто: мы живем во время, когда не обязательно быть программистом или хакером, чтобы начать распространять вирусы и пожинать плоды неправедного труда. В дальних закоулках Интернета полно хакерских форумов и «чёрных» магазинов приложений, где любой может купить кастомизированных троянцев или даже SDK для их разработки. (Конечно, вероятность быть облапошенным там не меньше, а то и больше шанса найти искомое, но это не останавливает толпы начинающих «хакеров», мечтающих о лёгкой наживе).

Если называть вещи своими именами — это кибервойна. И мы проигрываем ее, потому что нас мало, а врагов — Легион. В индустрии кибербезопасности по всему миру работают десятки тысяч человек — умных, опытных, образованных специалистов. Вот только по данным на ноябрь 2013 года, предоставленных компанией Kaspersky Lab, в мире ежедневно обнаруживается более 315 000 новых уникальных образцов вредоносного ПО. Никому не вспоминается история про 300 спартанцев? И остановить подобный вал зловредства в настоящее время практически невозможно — если только не отключить интернет или запретить компьютеры, но гильотина как средство от головной боли не кажется оптимальным лекарством.

Слышали бородатый анекдот?

Аксиома индустрии кибербезопасности в том, что совершенно необязательно быть на 100% защищённым, чтобы избежать 99,9% вирусов и попыток взлома. Не нужно делать систему полностью защищённой от любых попыток взлома. Защита просто должна быть надёжнее, чем у соседа, чтобы киберзлодеи ограбили его, а не вас.

Звучит обнадеживающе? Подавляющее большинство преступников идут «на дело» с целью заработка (меньшинство — Advanced Persistent Threats, APT, т.е., «Комплексные долговременные угрозы» — куда опаснее, но пока что далеко не все рискуют навлечь на себя внимание APT). Поэтому при прочих равных их целью станет наименее защищённая жертва — зачем тратить время и силы на взлом сложной системы безопасности, если рядом полно горе-бизнесменов, не пользующихся антивирусами и не признающих паролей длиннее 6 символов?

Итак, перестаньте быть лёгкой жертвой.

Знакомьтесь: Blue Coat Content Analysis System

Если ваш бизнес не торговля морковкой с лотка за наличный расчет, то вы давно знаете, что все компьютеры и серверы, входящие в локальную сеть компании, должны быть защищены антивирусными решениями (если только вы не линуксоид; но виросописатели и до Линукса доберутся). А из того, что вы сейчас читаете эту статью на сайте посвященному кибербезопасности, рискнём предположить, что в вашей сети уже установлен комплекс «антивируса с межсетевым экраном», который даже в одиночку способен нейтрализовать до 95% низкотехнологичных «зловредов» и попыток взлома.

Стандартный продвинутый подход для борьбы с киберугрозами — многоуровневая защита вашей сети, где, наряду с антивирусами на отдельных компьютерах, во всех точках входа в сеть извне установлены специальные веб-шлюзы (более подробно об этом можно почитать здесь). Преимущество наличия отдельного защищённого веб-шлюза (Secure Web Gateway, SWG) заключается в том, что он, как правило, позволяет нейтрализовать инсайдерскую халатность или злой умысел — даже если сотрудник по какой-либо причине отключит антивирус на своём компьютере, шлюз всё равно сможет перехватить входящий вирус или пресечёт попытку соединиться с вредоносным сетевым ресурсом.

Еще несколько лет назад этого было достаточно для обеспечения практически стопроцентной защиты от подавляющего большинства попыток взлома или заражения компьютеров. Но, увы, теперь это не так: законы эволюции неумолимы и действуют даже в киберпространстве. Хакеры, столкнувшись с эффективными средствами защиты, начали создавать вредоносные программы, специально «заточенные» на преодоление наиболее популярных антивирусных решений и файрволов. И успешно продавать их тем, кто готов платить. Это конкурентный бизнес, мы уже поняли.

Осознавая эту проблему, Blue Coat, компания-разработчик аппаратных и программных средств киберзащиты, создала продукт под названием Content Analysis System (система анализа контента, CAS) — первый представитель нового поколения защитных решений, сочетающий в себе традиционную пассивную защиту с более эффективными средствами обнаружения атак, их нейтрализации и устранения последствий. Для создания ряда ключевых элементов CAS компания Blue Coat воспользовалась опытом и экспертизой своего технологического партнёра, Kaspersky Lab — одного из самых уважаемых в мире вендоров решений в области кибербезопасности. На сегодняшний день, CAS реализована в виде «физического» сетевого устройства — Content Analysis System S400 и готовящегося к выходу S500.

CAS также включает в себя все «традиционные» меры безопасности — сканирование на вирусы всего входящего/исходящего трафика и блокирование попыток соединиться с веб-ресурсами, входящими в «чёрный список». Но наряду с ними, новое решение Blue Coat обладает рядом новых возможностей, которые ранее никогда не были реализованы на сетевом шлюзе.

Компания Blue Coat описывает свой продукт следующим образом:

Сравнение ниже позволяет оценить отличие между CAS и традиционным защитным решением на шлюзе:

CAS: Контроль, Анализ, Сверхзащита

Замыслом Blue Coat было построить систему, которая могла бы не только блокировать известные угрозы, но и реализовать политику «белых списков», а также оценивать вредоносный потенциал неизвестных файлов. Последнее особенно актуально, если учесть, что сегодня на свет ежедневно появляется порядка 315 000 уникальных представителей нового вредоносного ПО. Аналогичные решения для Windows-платформ существуют уже пару лет, но, собрав все эти эффективные средства безопасности в одном сетевом устройстве — а значит, обеспечив возможность защитить не один компьютер, а сразу целую сеть — компания Blue Coat создала ценнейший инструмент, позволяющий бороться как с традиционными, так и с таргетированными атаками.

Давайте рассмотрим подробнее новые возможности Blue Coat CAS, которые позволяют обеспечить безопасность корпоративных сетей и данных. Blue Coat описывает свой трёхсторонний подход следующим образом:

Чтобы лучше понять, как работает этот подход, для начала нужно понять, как сетевые угрозы используют уязвимость традиционных средств защиты для проникновения сквозь периметр сети, и как в подобной ситуации ведёт себя CAS.

Почему выбирать Blue Coat?

Основанная в 1996 году, компания Blue Coat всегда находится на переднем крае борьбы с самыми сложными и коварными кибергурозами. Благодаря собственной экспертизе и поддержке технологических партнёров — таких как, Kaspersky Lab — Blue Coat постоянно демонстрирует бескомпромиссную приверженность своей миссии — обеспечить безопасность компьютерных сетей и данных своих заказчиков.

И хотя ни одно существующее на свете решение не может гарантировать стопроцентную защиту от любых угроз, именно экосистема безопасности Blue Coat, как мы полагаем, даёт пользователям лучшие шансы отразить подавляющее большинство современных кибератак.

Необходимо уточнить, что Content Analysis System не работает в одиночестве — она должна функционировать в сочетании с защищённым шлюзом Blue Coat ProxySG, а для максимальной эффективности сетевая инфраструктура также должна себя включать устройства Security Analytics Platform (аналитическую платформу безопасности) и Malware Analysis Appliance (устройство анализа вредоносного ПО). Подобная инфраструктура схематично изображена ниже.

В рамках данной экосистемы CAS реализует набор функций, с которым пока что не может состязаться ни один из конкурентов Blue Coat:

• CAS использует сервис белых списков от Kaspersky Lab — Kaspersky Whitelisting service, первый в мире продукт этого типа, получивший одобрение от AV-Test.org, независимой немецкой компании-тестировщика решений в области кибербезопасности. Сервис белых списков предназначен для классификации файлов, которые могут показаться подозрительными, но на самом деле являются безопасными. Иными словами, каждый проходящий через шлюз исполняемый файл или скрипт сравнивается с регулярно обновляемым списком, и, если совпадение обнаруживается, файл пропускается через шлюз без дополнительной антивирусной проверки. Это позволяет пользователю либо полностью запретить передачу любого активного контента, безопасность которого не гарантирована на все 100%, либо, в сетях и сегментах с менее строгими требованиями к безопасности, значительно улучшить пропускную способность шлюза, отказавшись от сканирования заведомо безопасных файлов.

• Партнёрская стратегия Blue Coat позволила внедрить в Content Analysis System антивирусные решения лучших мировых вендоров, чтобы создать поистине первоклассную защиту. Передовой антивирусный движок от Kaspersky Lab, признанный лучшим в мире антивирусным продуктом по данным десятков независимых тестов, в сочетании с движком от одного из двух других именитых разработчиков, обеспечивают более надёжную защиту, чем даже антивирус для рабочих станций. При этом необходимо уточнить, что одновременное использование двух антивирусов снижает пропускную способность шлюза примерно на 30%, так что данный подход оправдан только в самых критичных средах и приложениях.

• CAS может автоматически отправлять подозрительные файлы в виртуальные «песочницы» — устройство Malware Analysis Appliance (собственную разработку Blue Coat) или систему стороннего разработчика, например, FireEye. Любые действия подозрительного файла в этой виртуальной среде (например, изменения реестра, попытки связаться с вредоносными веб-ресурсами, и т.п.) немедленно регистрируются и предоставляются в виде отчёта администратору безопасности, который затем принимает необходимые меры.

• Пользователь может выбрать как физическую (т.е., сетевое устройство), так и виртуальную версию CAS, в соответствии с собственными потребностями.

Ещё одной сильной стороной Blue Coat является комплексный подход к информационной безопасности, что позволяет построить всестороннюю защиту сетевой инфраструктуры:

• По данным рейтингового агентства Gartner, Blue Coat ProxySG является самым мощным прокси-сервером из существующих на рынке, благодаря множеству поддерживаемых протоколов, а также многочисленным «продвинутым» опциям. Наряду с большим набором поддерживаемых протоколов реализованы эффективные средства аутентификации и интеграции каталогов.

• Облачные средства защиты Blue Coat включают в себя шлюзы IPsec, поддерживающие множество моделей мобильных устройств.

• В сетях, работающих под высокой нагрузкой, эффективность антивирусного сканирования может быть улучшена благодаря кэшированию результатов предыдущих проверок.

• Система облачной безопасности WebPulse позволяет делиться результатами проверок между всеми шлюзами ProxySG, связанными с устройствами CAS.

• Подробнее об этих и многих других преимуществах и продуктах Blue Coat можно прочитать здесь.

Заключение

Неустанно нарастающий вал вредоносных программ — это тревожный сигнал, игнорировать который, в конечном счёте, будет себе дороже. Недели не проходит, чтобы мировые СМИ не сообщили об очередном взломе крупной корпорации или бизнеса, с сопутствующими многомиллионными потерями, как вследствие прямой кражи средств, так и из-за исков разъярённых клиентов. Стоит ли ждать, пока имя вашей компании появится в заголовках газет?

Тотально защититься невозможно, но это совсем не повод упрощать жизнь киберпреступнкам. Не раз и не два проверено: криминал предпочитает обходить стороной компании, развернувшие эффективную систему защиты от лидера рынка и следующие передовым практикам кибербезопасности — ведь вокруг полно тех, кто не читал эту статью.

Blue Coat и Content Analysis System: помните о тех беговых кроссовках.

Публикуется на правах рекламы