Статья

Как "железно" защитить периметр сети?

Безопасность Техническая защита Пользователю
мобильная версия

Свыше 90% угроз поступают в корпоративную сеть через интернет. Программно-аппаратные SCM-устройства, устанавливаемые на периметре сети, позволяют надежно защитить корпоративную сеть от контентных угроз.

В наши дни интернет-угрозы все чаще и интенсивней наносят вред компаниям. Нежелательная почта создает огромные проблемы для всех предприятий либо в виде угроз безопасности, перегружая сетевые ресурсы и занимая много места на серверах, или снижая продуктивность работы, попадая в огромном количестве в почтовые ящики сотрудников компании.

Согласно данным Messaging Anti-Abuse Working Group (MAAWG), 82-87% всей входящей почты следует признать спамом или нежелательной почтой. Объем спама – огромный, и, кроме того, с каждым годом его значение постоянно растет.

Факты о спаме

  • 1978 – Спам был разослан по 600 электронным адресам
  • 1994 – Первая широкомасштабная волна спама была разослана по 6000 группам новостей, охватывающим несколько миллионов пользователей
  • 2005 – (Июнь) 30 миллионов нежелательных писем рассылались ежедневно
  • 2006 – (Июль) 55 миллионов нежелательных писем рассылались ежедневно
  • 2006 – (Декабрь) 85 миллионов нежелательных писем рассылались ежедневно
  • 2007 – (Февраль) 90 миллионов нежелательных писем рассылались ежедневно
  • 2008 – До 90% всей входящей корпоративной почты – спам

Направленные интернет-угрозы безопасности встречаются реже, чем спам, но являются более опасными. Подобные угрозы обычно наносят финансовый ущерб.

Многие современные угрозы имеют свое происхождение во внутренней сети, а потому ценная информация, хранящаяся в локальной сети, часто становится объектом атаки для многих компаний. Потеря важных корпоративных данных может значительно навредить организации. Личная или финансовая информация, попавшая за пределы сети компании, способна повлечь за собой колоссальный юридический или экономический ущерб. Подобного ущерба можно избежать в результате внедрения корпоративной политики безопасности при помощи мощного и стратегически правильно выбранного инструмента.

8 секунд до взлома

В одной из статей, опубликованной BBC, был описан эксперимент, в рамках которого компьютер с установленной системой Windows XP подключили к интернету без файервола или какой-либо антивирусной защиты, чтобы определить, сколько времени пройдет до момента, когда данный компьютер будет атакован. И уже в течение восьми секунд незащищенный ПК был атакован червем Sasser – одним из самых быстро распространяющихся червей в интернет-пространстве.

В любом случае выбранное решение безопасности должно гарантировать доставку важной информации, иначе из-за ложных срабатываний при обнаружении спама или потенциально опасного контента оно может причинить дополнительные проблемы, провоцируя потерю важной информации и постоянные задержки в ее доставке.

Кроме того, входящий и исходящий трафик в компаниях ежедневно растет, что делает шлюз уязвимым элементом сети, который нуждается в устройстве безопасности, способное одновременно обеспечить целостность трафика и прозрачность защиты.

Устройства класса SCM

Программно-аппаратные устройства на периметре сети могут осуществлять эффективную защиту от проникновения в корпоративную сеть различных интернет-угроз.

Существуют категории устройств, работающих только с определенным типом вредоносного ПО. Некоторые устройства предлагают защиту от контентных угроз, другие – от сетевых.

Будущее средств защиты

По мнению Gartner, к 2010 году конкурентоспособные аппаратные устройства будут предлагать сканирование входящего и исходящего сетевого трафика во всех протоколах и, таким образом, защищать компании от нежелательного интернет-контента.

Устройства, специализирующиеся на защите от контентных угроз, известны под названием "Устройства класса SCM (Secure Content Management)" или устройства для управления безопасностью контента. Очень мало разработчиков предлагают целый комплекс защиты для специализированной корпоративной ИТ-безопасности. Так, некоторые предоставляют устройства для защиты от какого-либо одного типа интернет-угроз, например спама. Другие компании, в свою очередь, предлагают решения, специализирующиеся на защите разных протоколов. Такие устройства способны сканировать лишь один тип трафика, например, почтовый (SMTP, POP3 или IMAP).

Об установке Panda GateDefender Performa

Анвар Хайдаршин, Начальник отдела информационно-технического обеспечения "УГМК-Холдинг":

Установка Panda GateDefender Performa очень проста, что не требует от нашей компании никаких дополнительных затрат. Это устройство не влияет на производительность и работу сети. Panda GateDefender Performa является самым простым в использовании устройством для защиты периметра сети, так как после установки работает полностью самостоятельно и не требует вмешательства нашего администратора.

Учитывая всю сложность и многообразие контентных интернет-угроз, можно сделать вывод о том, что разработчики ИТ-решений для безопасности периметра сети должны сосредоточиться на создании полноценной комплексной защиты от всевозможных контент-ориентированных угроз, объединенной в едином устройстве.

Среди представленных на рынке SCM-устройств заслуживает внимания решение Panda GateDefender Performa, которое является высокопроизводительным программно-аппаратным устройством для защиты от проникновения в корпоративную сеть контентных интернет-угроз (вредоносное ПО, потенциально опасный контент, спам и нежелательные web-страницы). Устройство сочетает в себе реактивную защиту с превентивным эвристическим обнаружением, что гарантирует защиту даже от новых, еще не изученных и неизвестных интернет-угроз.

Вся линейка устройств Panda GateDefender Performa новой серии 9000 построена на базе серверов SUN.

Первая линия проактивной защиты

Panda GateDefender Performa предлагает компаниям любого размера высоко масштабируемую и полноценную защиту периметра сети от всевозможных контентных угроз.

Защитные модули, входящие в состав Panda GateDefender Performa

Модули Panda GateDefender Performa Виды защиты
Антивирус Антивирус
Контент-фильтр
Анти-спам Защита от нежелательной почты
Web-фильтрация Фильтрация P2Pи IM
Web-фильтрация

Источник: Panda, 2009

Благодаря своей модульной структуре, Panda GateDefender Performa предлагает более комплексное решение по сравнению с другими специализированными решениями безопасности: в зависимости от потребностей защиты сети, можно приобрести антивирусный и/или антиспамовый модуль, а также модуль web-фильтрации.


Panda GateDefender Performa способно адаптироваться к потребностям любой компании

Таким образом, устройство способно адаптироваться к потребностям любой компании.

Виды защиты периметра сети

Защита от вредоносных программ. GateDefender Performa обнаруживает и блокирует все типы опасных угроз до их проникновения в корпоративную сеть. Файлы, содержащие неизвестное вредоносное ПО или не поддающиеся лечению, помещаются в специальный карантин, где могут быть обезврежены позже. Подозрительные файлы без вмешательства администратора автоматически отправляются в PandaLabs для их анализа, классификации и последующего лечения.

Данный модуль сканирует и входящий, и исходящий трафик сети. Кроме того, он сочетает проактивный и реактивный анализы и демонстрирует высокую эффективность обнаружения вредоносных программ.

Вирусные сигнатурные файлы обновляются каждые 90 минут. Широкий набор настроек позволяет максимально эффективно настроить работу модуля. При этом есть возможность применения различных действий по отношению к обнаруженным угрозам - лечение, хранение в карантине подозрительных и не поддающихся лечению файлов, удаление. Помимо всего прочего, если угроза поступает в виде вложения в SMTP, модуль позволяет удалить инфицированный файл или сообщение целиком.

Контент-фильтр. GateDefender Performa позволяет администраторам установить политику безопасности, фильтруя потенциально опасный контент и предотвращая утечку конфиденциальной корпоративной информации.


GateDefender Performa позволяет администраторам установить политику безопасности, фильтруя потенциально опасный контент

Данный модуль разрешает установку отдельных настроек сканирования для файлов и сообщений. Фильтрация осуществляется в соответствии с множеством критериев. Кроме того, модуль позволяет фильтровать сообщения, вложенные сообщения и собственно вложения, а также устанавливает специфический карантин для элементов, блокированных контент-фильтром.

Защита от спама. Устройство проверяет весь входящий и исходящий почтовый трафик во всех широко распространенных почтовых протоколах. Каждое сообщение классифицируется как "Спам", "Возможно спам" и "Не спам". Широкий набор используемых техник проверки, а также ежеминутное обновление антиспамовых баз с активным применением "облачных" технологий позволяет максимально повысить уровень обнаружения спама с минимальным количеством ложных срабатываний. Более того, в антиспамовом фильтре можно настроить чувствительность модуля для почты каждого сетевого пользователя в отдельности, белые и черные списки и многое другое.

Блокировка P2P и IM. Приложения типа Peer-To-Peer (P2P) могут "съедать" интернет-канал и представлять собой значительную уязвимость, так как файлы, передающиеся при помощи таких соединений, обычно маленького размера и не могут быть просканированы. Программы для обмена мгновенными сообщениями также снижают уровень производительности труда и часто используются сотрудниками для личных целей, никак не связанных с работой. Использование данных типов программ может быть ограничено внутри сети при помощи Panda GateDefender Performa.

Блокировка может работать на двух уровнях: доступ к P2P-серверам и соединения между конечными P2P-пользователями.

Модулем могут блокироваться следующие P2P-протоколы: BitTorrent (Azureus, BitComet, Shareaza, MlDonkey…), eDonkey (eDonkey2000, MlDonkey), FastTrack (Kazaa. Grokster, iMesh, MlDonkey), Gnutella (BearShare, Shareaza, Casbos, LimeWire, MlDonkey…), Gnutella2 (Shareaza, Trustyfiles, Kiwi Alpha, FileScope, MlDonkey…), OpenNap (Napster, Lopster, Teknap, MlDonkey).

Устройство позволяет настроить уровень блокировки, определить баланс между производительностью и безопасностью, а также запланировать время блокировки.

Помимо всего прочего, данное решение позволяет блокировать следующие IM-приложения: ICQ/AOL, IRC, MSN Messenger, Windows Messenger, MSN Messenger File Transfer, MSN Web Messenger, Yahoo! Messenger, Skype, Jabber (Google Talk). Каждое из них может блокироваться независимо от других. Планируемое время для блокировки может устанавливаться администратором.

Веб-фильтрация. Модуль веб-фильтра позволяет сетевым администраторам легко ограничить доступ к веб-страницам, которые содержат не относящийся к работе контент. Для этого достаточно только выбрать соответствующие категории веб-сайтов. При помощи данной опции можно также настраивать белые и черные списки разрешенных или запрещенных веб-страниц соответственно. В результате, устройство позволяет оптимизировать использование ресурсов и повысить производительность сотрудников. Функция ограничивает доступ к нежелательным веб-страницам.