Устройство eSafe WTA для аудита защиты сети

Фактически для любого бизнеса сегодня важнейшим активом является информация. От надежности защиты информационной структуры подчас зависит не только стабильное функционирование организации, оперативность в обработке запросов клиентов, качество сервисов, развитие и прибыльность, но и репутация компании. Осознавая это, руководители ставят задачи наращивания и актуализации систем защиты информации и средств компьютерной безопасности. ИТ-инфраструктура становится всё более сложной, а её защита – все более дорогостоящей. Но оправдывает ли себя стоимость обслуживания и владения такой системой безопасности? На этот вопрос довольно сложно ответить однозначно, однако сейчас на российском рынке стали появляться продукты, позволяющие оценить степень защищенности инфраструктуры, показать действительно реальную картину того, что происходит в сети организации и дать ответ на ключевой вопрос: так ли безопасна корпоративная ИТ-среда?

Для проверки эффективности работы уже установленных и функционирующих в сети комплексов антивирусных решений компанией Aladdin была создана система eSafe Web Threat Analyzer (WTA), реализующая аудит сетевого трафика.

Результаты, полученные в ходе проведения такого аудита, дают возможность организации любого масштаба определить угрозы, прошедшие через периметр защиты сети, выявить их последствия и оценить степень риска, который они представляют для бизнеса компании.

eSafe WTA является программно-аппаратным комплексом от Aladdin, способный анализировать трафик любых по размеру сетей за относительно короткий срок. Схема работы eSafe WTA приведена ниже.

Основная задача продукта сводится к детальному анализу степени защищенности информационных систем предприятий от различного вида угроз со стороны активного вредоносного контента, распространяемого через Интернет. К наиболее актуальным на сегодняшний день угрозам безопасности, анализируемым в ходе аудита, относятся следующие:

• эксплойты;
• исполняемые файлы (бесплатные и условно-бесплатные приложения, содержащие рекламные часто, шпионские компоненты);
• документы MS Office (могут содержать вредоносный исполняемый файл, который так же может быть встроен в изображение типа JPG, WMF и использоваться для атаки на систему);
• активные объекты (типа ActiveX, сценарии на JAVA и Visual Basic, JAVA-апплеты и др.);
• вирусы и черви;
• шпионские и рекламные приложения (spyware и adware);
• троянские приложения и боты;
• неразрешенные приложения (P2P-клиенты типа KaZaaa, eMule, eDonkey, BitTorrent, программы для мгновенного обмена сообщениями, чаты и приложения для удаленного доступа).

Для отслеживания подобного вредоносного контента eSafe WTA инспектирует 100% входящего и исходящего Интернет-трафика (http, ftp), выявляет в корпоративной сети зараженные компьютеры, содержащие spyware/adware и генерирующие паразитный и/или подозрительный трафик, а также выявляет сами угрозы и источники заражения и атак. При этом продукт фиксирует попытки перенаправления на сайты, с которых производится заражение spyware, попытки загрузки spyware, а также попытки установления соединения и передачи информации во вне со стороны spyware, находящегося на зараженном компьютере, или извне (команды удаленного управления на зараженный компьютер).

eSafe WTA способен анализировать состав используемых сотрудниками предприятия Интернет-приложений и выявлять запрещенные для использования в соответствии с политиками информационной безопасности (например: использование P2P, Skype, IM, потокового видео/аудио и т. п.). Детально отслеживая всю сетевую активность сотрудников компании, eSafe сортирует и ранжирует наиболее часто посещаемые сайты по 62 категориям (например: поиск работы, наркотики, магазины, порно и пр.), фиксирует используемые Интернет-приложения, объем и характер загружаемых и передаваемых файлов по протоколу ftp.

Кроме того, продукт Aladdin способен выявлять уязвимости используемых на предприятии средств контентной фильтрации, что даёт возможность экспертам, проводящим аудит, получать и консолидировать всю необходимую информацию для выдачи рекомендаций по устранению найденных уязвимостей.

Основной целью аудита на базе Aladdin eSafe Web Threats Analyzer (WTA) является получение детальной статистики по тем угрозам безопасности, которые сопряжены с активным использованием Интернет в рамках компании ее сотрудниками. Примерами таких угроз могут служить доступ к сайтам сомнительного содержания, загрузка зараженных файлов, а также выполнение на компьютерах пользователей потенциально нежелательных приложений, таких как шпионское ПО, клиентов пиринговых сетей, Интернет-пейджеров и т. п.

Особенностью eSafe WTA является то, что продукт легко интегрируется в любую сетевую инфраструктуру, не требует внесения в неё каких-либо изменений и не оказывает влияния на работу сетевого оборудования и используемых сетевых приложений. Накапливаемые в процессе работы данные аудита сохраняются на встроенном жестком диске устройства и по завершении работы удаляются. Время, рекомендованное для аудита, составляет от 1 до 7 дней в зависимости от конкретного предприятия, при этом, как уже было отмечено, размер инспектируемой сети не ограничен.

Стоит подчеркнуть, что принципиально важной особенностью eSafe WTA является "пассивность" устройства в процессе работы. eSafe WTA работает на "зеркалированном" или "отображенном" трафике, именно это преимущество позволяет продукту не оказывать на проверяемую информационную систему никакого влияния. Устройство подключается к соответствующему порту коммутатора или маршрутизатора и "слушает" трафик, накапливая и анализируя информацию. По завершении процесса аудита и обработки результатов информация консолидируется в подробный отчёт.

Всем описанным выше могут воспользоваться и аудиторские компании. Сегодня многие предприятия проводят проверку ИБ с помощью аутсорсинг-специалистов. В ходе своей работы аудиторам приходится сталкиваться с сетями самой различной инфраструктуры и размера, в связи с чем выгода от использования универсального инструмента, способного провести анализ контент-безопасности любой компании, не подлежит сомнению. Продукт можно неоднократно использовать для корректировки и соответствующей настройки средств безопасности, установленных в сети организации. Более того, уничтожив данные прямо в присутствии заказчика, аудитор может гарантировать отсутствие их утечки, что немаловажно в современных условиях.

Возможность многократного использования устройства может стать хорошим аргументом «за" для многофилиальных компаний. С помощью eSafe WTA можно оценить соответствие уровня защищенности сети каждого филиала принятой в организации централизованной политике безопасности. Подобные «проверки" позволят гарантировать поддержку необходимого уровня защиты всех филиальных и аффилированных структур на приемлемом для интегрированной ИТ-инфраструктуры уровне.