Средства антивирусной защиты Trend Micro
По материалам компании Trend Micro.
C ростом актуальности проблемы безопасности информационных систем увеличивается и спектр предложений в этой области, появляются новые игроки, на российский рынок выходит более широкий круг поставщиков соответствующих решений. В конце августа в консультационно-тренинговом центре компании «Антивирусный центр» прошла «живая» демонстрация на стенде некоторых антивирусных решений компании Trend Micro, развитием бизнеса которой в России занимается фирма «Прикладная логистика» (http://www.apl.ru). Нам представляется полезным познакомить читателей с технологиями Trend Micro — одного из ведущих мировых производителей средств обеспечения безопасности, которые в нашей стране пока известны не очень широко.
Компания Trend Micro (http://www.trendmicro.com) была основана в 1998 г. и с тех пор работает в области сетевого ПО и услуг защиты от вирусов и обеспечения безопасности Интернет-контента. Сегодня компания, штаб-квартира которой находится в Токио (Япония), представляет собой транснациональную корпорацию с представительствами в 30 странах мира и числом сотрудников около 1800. Доход компании в 2005 г. составил 622 млн долл.; ее акции котируются на Токийской фондовой бирже и NASDAQ.
В 1995 г. Trend Micro одной из первых в мире перенесла защиту от вирусов с настольных систем на сетевые серверы и Интернет-шлюзы, получив высокие оценки за глубину предвидения и технологические инновации. По оценкам ведущих аналитиков мира (в частности IDC), компания занимает лидирующие позиции в сфере антивирусов для Интернет-шлюзов и почтовых серверов. О стратегии Trend Micro в области безопасности — под названием Enterprise Protection Strategy (EPS) — мы и расскажем подробнее.
Комплексный подход к системе защиты
Распространение новых коммуникационных протоколов, служб и устройств доступа, внося свой вклад в успех «виртуальных организаций», создает, с другой стороны, новые точки проникновения и механизмы распространения злонамеренного кода. В ходе эволюции возникли и новые угрозы — от вирусов массовой рассылки, подобных спаму, до самораспространяющихся Интернет-червей (сетевых вирусов), которые эксплуатируют уязвимости всех уровней — от приложения до сети, снижая эффективность традиционных точечных решений в области безопасности.
Различные меры, доступные ИТ-администраторам в период с момента обнаружения новых уязвимостей и до начала вирусной эпидемии, ее изоляции и очистки, оказываются неэффективными и дорогостоящими, а иногда даже нарушают работу организации. Например, нельзя считать хорошим решением отключение сети, блокирование портов на брандмауэре или ожидание файлов сигнатур от поставщика антивирусной системы, в то время как сеть остается уязвимой. Кроме того, традиционное антивирусное сканирование файлов не выявляет сетевые вирусы (примеры — MSBLASTER.A или Slammer), которые передаются внутри пакетов и поражают системы и серверы еще до того, как эти пакеты будут вновь собраны в файл для сканирования.
Очевидно, что ни одна комбинация разрозненных решений в области безопасности не в состоянии решить все эти проблемы. Чтобы предотвратить эпидемии или смягчить ущерб от них, ИТ-администраторам необходима возможность выявлять и блокировать уязвимости с высоким риском, обеспечивать защиту на уровне сети и приложений, а также интегрировать защиту для всех точек проникновения вирусов. Trend Micro предлагает решение на основе стратегии, включающей управление защитой в рамках всей организации, что позволяет предотвратить эпидемии и уменьшить повреждения и ущерб от злонамеренного кода.
С помощью решения, опирающегося на стратегию защиты предприятия — Enterprise Protection Strategy (EPS), ИТ-администраторы могут активно управлять всем циклом эпидемии, от профилактики уязвимостей до предотвращения проникновения злонамеренного кода и его устранения. EPS поддерживается за счет централизованного управления интегрированным комплектом продуктов безопасности и устройств для борьбы с эпидемиями, которые для устранения конкретных угроз опираются в реальном времени на квалифицированную помощь TrendLabs — глобальной сети экспертов Trend Micro по безопасности. Всеобъемлющая защита на уровне приложений и сети позволяет администраторам блокировать доступ неправильно работающих устройств, предотвращать использование вирусами уязвимостей в сети, изолировать и устранять вирусы, а также централизованно принимать меры безопасности при эпидемии, предотвращая или смягчая атаки.
Активное управление циклом эпидемии
Основа стратегии EPS — централизованное управление циклом эпидемий (рис. 1). Оно выполняется с помощью консоли Trend Micro Control Manager, которая упрощает координацию мер безопасности при эпидемии и управление продуктами и услугами Trend Micro в рамках всего предприятия. Ниже на основе опыта клиентов Trend Micro кратко рассматриваются четыре фазы цикла эпидемии.
Рис. 1. Активное управление циклом эпидемии.
Фаза профилактики уязвимости — позволяет предотвратить атаки благодаря интегрированным в продукты Trend Micro средствам оценки уязвимостей, которые помогают соблюдать политику безопасности, блокировать доступ неправильно работающих устройств и изолировать уязвимости, связанные с конкретными угрозами. Предоставляемая TrendLabs информация дает возможность сопоставить уязвимости со средствами атаки для различных систем, чтобы оценить риск. С помощью Trend Micro Network VirusWall можно изолировать уязвимые системы и обеспечить безопасность сети.
Фаза профилактики эпидемии — с момента выявления угрозы и до развертывания файлов сигнатур или исправлений подготовленная TrendLabs информация о конкретной угрозе и правилах политики для предотвращения эпидемии обеспечивает раннее предупреждение, помогая ИТ-администраторам предотвратить или ограничить эпидемию. Централизованное управление с помощью Trend Micro Control Manager ускоряет согласованное развертывание политики профилактики эпидемий. Правила такой политики могут распространяться автоматически или вручную и позволяют блокировать любое сочетание механизмов распространения вирусов, а также избежать перегрузки сети. Службы профилактики эпидемий Trend Micro Outbreak Prevention Services интегрированы со службами устранения ущерба Trend Micro Damage Cleanup Services, что снижает нагрузку на администраторов.
Фаза реакции на вирусы — сканирование и обнаружение вирусов выполняется на уровне сети и приложений, чтобы обеспечить всеобъемлющую защиту. Механизм сканирования TrendLabs ведет поиск вирусов на основе выявленных угроз для повышения точности и производительности сканирования и обнаружения вирусов. Кроме того, соглашение об уровне обслуживания Trend Micro Virus Response Service Level Agreement (SLA) гарантирует клиентам предоставление новых файлов сигнатур вирусов в течение 2 ч с момента направления данных о вирусе (при несоблюдении этого срока Trend Micro выплатит штраф).
Фаза оценки и восстановления — период после развертывания файла сигнатур вируса или сетевой атаки и изоляции вируса. Процесс очистки сети от остатков вируса и восстановления систем — обычно нудное и дорогостоящее занятие, поскольку в большинстве организаций эти операции выполняются вручную. Служба устранения ущерба Trend Micro Damage Cleanup Services, напротив, автоматизирует очистку и восстановление, что снижает затраты и нагрузку на администраторов.
Network VirusWall 1200
Реализация стратегии EPS опирается на целый ряд компонентов, ключевую роль среди которых играет продукт Trend Micro Network VirusWall. Именно его новейшая версия 1200 была представлена в Москве в конце августа.
Network VirusWall — это средство предотвращения вирусных эпидемий, помогающее останавливать вирусы (сетевые черви), защищать уязвимые места информационных систем во время эпидемий, помещать на карантин и лечить источники инфекции (включая незащищенные устройства) в точке их входа в сеть. Для этого система использует специализированные знания компании Trend Micro, развертываемые на сетевом уровне. В отличие от систем безопасности, которые только контролируют угрозы или предоставляют информацию о них, Network VirusWall помогает организациям принимать надлежащие меры, предсказывать, предупреждать, обнаруживать и устранять эпидемии. Применяя Network VirusWall в сегментах локальной сети, можно существенно снизить вероятность нарушения безопасности и время простоя сети, сократить объем работ, связанных с устранением эпидемий. Для управления этим ПО служит программа Trend Micro Control Manager 3.0. Ниже мы рассмотрим основные возможности Network VirusWall.
Автоматическое устранение повреждений
Автоматическое устранение повреждений* помогает предотвратить повторное заражение, выявляя источники заражения в сети и изолируя их до лечения. Предназначенное для минимизации накладных расходов и административных нагрузок, связанных с очисткой и восстановлением вручную, автоматическое устранение повреждений обеспечивает удаленное лечение зараженных машин на основе шаблонов устранения повреждений TrendLabs. Процедура устранения повреждений включает очистку или исправление ненужных записей реестра, созданных червями или «троянскими конями» (как сетевыми, так и резидентно находящимися в памяти), удаление создаваемых ими мусора и вирусных файлов, а также настройку системных файлов (например, system.ini) после их заражения или изменения вирусами.
* Требуются также службы устранения повреждений Trend Micro Damage Cleanup Services.
Защита от эпидемий в сети
Network VirusWall предотвращает попадание сетевых вирусов в систему или сдерживает их развитие с помощью своевременных, гранулированных, распределенных по типу угрозы политик предотвращения** TrendLabs. Эти политики в случае эпидемии могут развертываться в сегментах локальной сети для блокирования:
- диапазона определенных IP-адресов (предотвращает распространение вирусов за пределы этого сегмента сети), портов и протоколов (TCP, UDP, ICMP);
- каналов передачи мгновенных сообщений (AIM, MSN, Yahoo, ICQ);
- расширений файлов;
- передачи файлов (FTP, HTTP, совместное использование файлов Windows).
Развертывание этих политик можно автоматизировать, максимально увеличив степень защиты, либо развертывать их вручную для большей управляемости и гибкости.
** Требуются службы защиты от вирусных эпидемий Trend Micro Outbreak Prevention Services.
Изоляция уязвимостей
Network VirusWall предупреждает проникновение вирусов через уязвимые места*** в сети, позволяя организациям выборочно изолировать конкретные уязвимости (в настоящее время выявляются только уязвимые места Microsoft) уязвимых компьютеров (например, без установленных пакетов обновлений) до атаки или в момент ее начала. Предотвращая во время вирусных эпидемий заражение компьютеров в других сегментах сети с машин, где не установлены пакеты обновлений, Network VirusWall минимизирует генерируемый вирусами трафик.
*** Требуется Trend Micro Vulnerability Assessment.
Политики безопасности
Политики безопасности позволяют организациям сводить к минимуму заражения и повторные заражения сети. Их применение предполагает обнаружение антивирусного клиентского ПО (Symantec, Network Associates и Trend Micro) и новейших модулей сканирования и файлов шаблонов (компании Trend Micro) в момент подключения пользователей к сети, блокирование сетевых адресов, не соответствующих требованиям, и разрешение пользователям обновлять антивирусные модули сканирования и файлы шаблонов или загружать антивирусное ПО в соответствии с политиками безопасности, действующими в компании. Network VirusWall обнаруживает пакеты Norton Antivirus Corporate Edition, McAfee VirusScan 7.0 с агентом Orchestrator, Trend Micro OfficeScan и ServerProtect для NT. Он не требует установки на клиентских компьютерах специальных агентов, обновлений ПО или изменений в настройках сети.
Управление и контроль над безопасностью
Интегрированная аппаратная архитектура Network VirusWall предназначена для развертывания критически важных служб предотвращения эпидемий и обеспечивает простоту работы, настройки, установки и управления. SNMP Monitoring предоставляет усовершенствованные возможности управления и просмотра. Встроенный локальный брандмауэр помогает предотвращать атаки на устройство Network VirusWall. Active Update и Trend Micro Control Manager предоставляют периодические автоматизированные обновления, связанные с конкретными угрозами.
Мониторинг эпидемий в сети
Network VirusWall позволяет принимать профилактические меры для обеспечения безопасности, быстро предупреждая об эпидемии в сегментах сети с применением эвристики. В числе способов мониторинга — анализ изменений потока трафика или количества соединений, установленных одним клиентом (либо соединений к нему) в любой момент времени, внезапного увеличения трафика через определенные порты или протоколы (TCP, UDP, ICMP и IGMP) и т. д. При мониторинге эпидемий в сети определяются зараженные хост-машины, цели атак вирусов и атаки на конкретные уязвимые места, о чем сотрудники ИТ-служб оповещаются через TMCM 3.0.
Сетевое сканирование и обнаружение
Вирусы (сетевые черви), распространяющиеся на сетевом уровне, уничтожаются путем сканирования и обнаружения с использованием сетевых сигнатур TrendLabs с дальнейшим удалением зараженных пакетов. Антивирусные продукты работают совместно с функциями сетевого сканирования и обнаружения, помогая идентифицировать вирусы на уровне приложения для всесторонней антивирусной защиты.
Совместные решения с Cisco
Обеспечение безопасности современных информационных систем — задача сложная и многогранная. Ее решение требует объединения усилий поставщиков различных компонентов корпоративных решений. Так, традиционные антивирусные технологии сами по себе не способны решить проблему сложных и постоянно обновляющихся сетевых вирусов. В этом направлении Trend Micro уже давно сотрудничает с ведущим поставщиком решений в области сетевой инфраструктуры Cisco Systems (http://www.cisco.com).
Взгляды Trend Micro и Cisco на перспективы развития систем безопасности и сетевой инфраструктуры во многом совпадают. Объединение этих независимых друг от друга сфер открывает перед корпоративными заказчиками новые возможности в части повышения безопасности сетей (рис. 2). Интегрированные решения Trend Micro и Cisco позволяют обезопасить все уровни сетевой инфраструктуры и обеспечивают защиту от вирусов и червей.
Рис. 2. Взаимное сближение сфер безопасности и сетевой инфраструктуры.
В данном тандеме вклад Trend Micro — это опыт и знания в сфере профилактики распространения вредоносного кода, исследование и анализ вирусов, разработку политик и оперативное реагирование на проявления вирусной активности в любой точке земного шара. Cisco же привносит в сотрудничество свой опыт в таких сферах сетевой инфраструктуры, как реализация политик, анализ и управление трафиком, контроль транзакций и доступа.
В дополнение к стратегии Trend Micro корпорация Cisco предлагает Self-Defending Network — многофазную инициативу в области безопасности, значительно расширяющую стратегию интеграции служб безопасности во всех сетях, использующих протокол IP, за счет обеспечения антивирусной защиты на системном уровне. Всеобъемлющая защита на уровнях безопасности и сетевой инфраструктуры позволяет блокировать доступ к сети устройств, не отвечающих определенным требованиям, сдерживать и уничтожать сетевые черви и вирусы, а также централизованно проводить действия по защите от эпидемии, направленные на предотвращение или смягчение атак.
На демонстрации в Москве было представлено совместное решение для контроля доступа к сети на базе технологии Cisco Network Admission Control (NAC), которая в совокупности с антивирусным ПО Trend Micro OfficeScan (защита настольных ПК) обеспечивает проверку систем безопасности клиентского ПО на сетевом уровне. Интегрируясь с Cisco Trust Agent, OfficeScan передает информацию о состоянии антивирусной защиты клиентского компьютера устройствам, поддерживающим Cisco NAC, тем самым позволяя контролировать доступ к сети клиентов с устаревшим защитным ПО.
В арсенале двух компаний есть и другие совместные предложения. Так, Cisco и Trend Micro сотрудничают в области обнаружения и предотвращения вторжений, предлагая решения для всесторонней профилактики эпидемий вирусов и червей. Антивирусные сигнатуры Trend Micro интегрированы в ПО Cisco Intrusion Detection and Prevention System, которым комплектуются маршрутизаторы на основе ПО Cisco IOS, коммутаторы Cisco Catalyst и сетевые защитные устройства. Благодаря этому заказчики получают продвинутую интеллектуальную систему борьбы с угрозами безопасности сети и дополнительный уровень защиты в режиме реального времени от известных и неизвестных вирусов и червей.
В сфере реализации службы контроля инцидентов совместными усилиями Cisco и Trend Micro выпущено новое решение — система контроля инцидентов Cisco Incident Control System (Cisco ICS). Система начинается с мощной первой линии защиты, обеспечиваемой за счет получения из TrendLabs наборов профилактических правил для борьбы с конкретными вирусами, позволяющих предотвращать или сдерживать эпидемии до появления новых сигнатур. Эти правила помогают устранять уязвимости, защищаться от заражения и обеспечивать бесперебойную работу сети. Сразу после появления новой сигнатуры Cisco ICS может оперативно установить ее на имеющиеся в сети продукты Cisco IPS и удалить временную политику.