Websense — защита от Web-угроз
Сегодня Интернет прочно вошел в бизнес многих современных компаний, став обыденным рабочим инструментом. Однако зачастую предоставляемые ресурсы используются сотрудниками не по назначению (иногда даже неосознанно), что приводит к непроизводительному расходу рабочего времени, снижению эффективности и продуктивности сотрудников, возникновению серьезных угроз информационной безопасности, снижению пропускной способности Интернет-канала.
Большинство компаний в настоящее время внедрили межсетевые экраны и решения для защиты от вирусов и спама, однако они все равно остаются уязвимыми, и тому есть несколько причин. Прежде всего изменился сам характер угроз — теперь злоумышленники ориентируются на «коммерческие» технологии, позволяющие получить материальное вознаграждение. К тому же все больше атак происходит в период от обнаружения уязвимости в ПО до выпуска программного патча. Помимо этого появляются все новые каналы передачи вредоносного кода и активно применяются методы социальной инженерии — пользователи до сих пор запускают присоединенные к письмам программы или выходят в Интернет по предложенным ссылкам, заражая свои компьютеры или оставляя конфиденциальную информацию на подложных фишинг-сайтах.
К сожалению, традиционные методы борьбы с этими напастями сегодня в большинстве случаев не достигают цели. Компания Websense (http://www.websense.com) для разрешения обозначенных выше проблем предлагает комплексный подход. Ее продукты ориентированы на решение задач сразу в нескольких областях: продуктивность сотрудников (контроль нецелевого использования Интернета и приложений), информационная безопасность (предотвращение доступа к вредоносным сайтам, запуска вредоносных и потенциально нежелательных программ, ограничение опасной сетевой активности), управление пропускной способностью Интернет-канала.
Продукты Websense работают на трех уровнях корпоративной сети — на границе с Интернетом, во внутренних каналах сети и на рабочих станциях. На границе осуществляется Web-фильтрация и управление доступом к сайтам; агенты внутри сети контролируют работу коммуникационных приложений, использующих различные сетевые протоколы; на рабочих станциях агенты управляют запуском приложений. При этом правила работы всех средств Websense определяются централизованно в сервере политик безопасности.
Работу по поиску и классификации Интернет-ресурсов общего характера берет на себя специализированная группа экспертов Websense. На сегодняшний день в базе Websense Master Database более 18 млн URL на более чем 50 языках, разбитых на 90 тематических категорий, база пополняется ежедневно. За счет применения технологии обратной связи WebCatcher нераспознанные сайты анонимно (и только по желанию администратора) отправляются с клиентских инсталляций в экспертное подразделение Websense на категоризацию.
Предоставление пользователям прав работы с коммуникационными протоколами также происходит на основе базы категорий. В базе содержится более 80 сигнатур протоколов, большая их часть — это реализации современных систем мгновенного обмена сообщениями и однорангового обмена файлами (BitTorrent, eDonkey, Gnutella, ICQ, Kazaa, Skype и прочие). Протоколы сгруппированы по 15 категориям.
Решение Websense Client Policy Manager проводит фильтрацию приложений на основе корпоративных политик безопасности, опирающихся на тематическую базу из более 50 категорий, в которую включено почти 2 млн известных приложений. Категории безопасности описывают множество известных вредоносных программ, и есть возможность блокировать нераспознанные приложения, предотвращая запуск новых неизвестных образцов вредоносного кода. Решение предусматривает дополнительные элементы защиты, такие, как предотвращение чтения, изменения или удаления определенных ключей регистра Windows или блокировку сменных носителей информации. Интеграция с межсетевым экраном Windows или сетевой инфраструктурой Cisco NAC решает задачи контроля доступа приложений к корпоративной сети и изоляции рабочих станций, не соответствующих политике безопасности.
Компания Websense имеет отдельную лабораторию по обнаружению и изучению Web-угроз. Распределенная сеть сканеров подразделения Websense Security Labs обходит десятки миллионов сайтов каждые 24 часа, и их содержимое исследуется специальными алгоритмами на содержание вредоносного кода. Автоматизированные средства берут на себя 99,9% работы. Нераспознанный код отправляется в лабораторию на поведенческий анализ, где запускается в специальном контролируемом окружении. Если не удается классифицировать вредоносный код, он направляется одному из экспертов по информационной безопасности. Конечный продукт данной деятельности поставляется клиенту в виде обновлений категорий безопасности в реальном времени с помощью механизма RealTime Security Updates.
Продукты Websense обеспечивают высокий уровень результативности — на тестах по обнаружению троянов, клавиатурных перехватчиков, программ-шпионов и сайтов, консолидирующих их трафик, проведенных лабораторией VeriTest в прошлом году, они показали результаты, более чем в 10 раз опережающие конкурирующие решения.
Средства отчетности Websense кардинально отличаются от традиционных сводных и детальных отчетов — портал отчетности построен по принципам аналитических OLAP-систем, и интуитивный интерфейс позволяет в считанные минуты найти информацию в огромном массиве статистики.
Важно отметить, что внедрение Websense не требует перестройки топологии сети — решение подстраивается под существующую инфраструктуру, обеспечивая интеграцию с решениями ведущих производителей маршрутизаторов, межсетевых экранов, средств кэширования и прокси-серверов. Кроме того, технологии Websense встраиваются в программно-аппаратные комплексы CrossBeam, NetworkEngines, Celestix, BlueCoat, интегрируются с корпоративными системами мониторинга событий безопасности ArcSight, LogLogic, Network Intelligence и инфраструктурами управления доступом к сети от Cisco, Microsoft, Check Point, Juniper, Citrix, 3Com.
Организации с распределенной структурой могут воспользоваться возможностями версии Corporate Edition, позволяющей делегировать полномочия управления и административного контроля на уровень филиалов, сохранив независимость в выборе провайдера связи для региональных офисов.