Устройство eSafe WTA для аудита защиты сети

Информация сегодня фактически стала важнейшим активом для любого бизнеса. От надежности защиты информационной структуры подчас зависит не только стабильное функционирование организации, оперативность обработки запросов клиентов, качество сервисов, развитие и прибыльность, но и репутация компании. Осознавая это, руководители уделяют особое внимание актуализации систем защиты информации и средств компьютерной безопасности.

ИТ-инфраструктура становится все более сложной, а ее защита — все более дорогостоящей. Но оправдывает ли себя стоимость обслуживания и владения такой системой безопасности? На этот вопрос довольно сложно ответить однозначно, однако сейчас на российском рынке стали появляться продукты, позволяющие оценить степень защищенности инфраструктуры, показать действительно реальную картину происходящего в сети организации, и дать ответ на ключевой вопрос: так ли безопасна корпоративная ИТ-среда?

Для проверки эффективности работы уже установленных и функционирующих в сети комплексов антивирусных решений компания Aladdin (www.aladdin.com) создала программно-аппаратную систему eSafe Web Threat Analyzer (WTA), предназначенную для аудита сетевого трафика. С помощью этого решения можно получать детальную статистику по тем угрозам безопасности, которые сопряжены с активным использованием Интернета сотрудниками компании. Примеры таких угроз — доступ к сайтам сомнительного содержания, загрузка зараженных файлов, выполнение на компьютерах пользователей нежелательных приложений, таких как шпионское ПО, клиенты пиринговых сетей, Интернет-пейджеры и т. п. Результаты такого аудита дают организации возможность идентифицировать угрозы, прошедшие через периметр защиты сети, выявить их последствия и оценить степень риска, который представляют эти угрозы для бизнеса компании.

Основная задача продукта сводится к детальному анализу степени защищенности корпоративных информационных систем от различного вида угроз со стороны активного вредоносного контента, распространяемого через Интернет. В числе угроз безопасности, анализируемым в ходе аудита, на сегодняшний день особо актуальны следующие:

• эксплойты;
• исполняемые файлы (бесплатные и условно-бесплатные приложения, содержащие рекламные, а часто и шпионские компоненты);
• документы Microsoft Office (могут содержать вредоносный исполняемый файл, который может быть встроен в изображение типа JPG или WMF и использоваться для атаки на систему);
• активные объекты (объекты ActiveX, сценарии на Java и Visual Basic, Java-апплеты и т. д.);
• вирусы и черви;
• шпионские и рекламные приложения (spyware и adware);
• троянские приложения и боты;
• неразрешенные приложения (P2P-клиенты типа KaZaaa, eMule, eDonkey, BitTorrent, программы для мгновенного обмена сообщениями, чаты и приложения для удаленного доступа).

Для отслеживания подобного вредоносного контента eSafe WTA инспектирует 100% входящего и исходящего Интернет-трафика, выявляет в корпоративной сети зараженные компьютеры, содержащие spyware/adware и генерирующие паразитный и/или подозрительный трафик, а также выявляет сами угрозы и источники заражения и атак. Продукт фиксирует попытки перенаправления на сайты, с которых идет заражение spyware, попытки загрузки нежелательного ПО, а также попытки установления соединения и передачи информации вовне со стороны spyware, находящегося на зараженном компьютере, или извне (команды удаленного управления на зараженный компьютер).

Продукт eSafe WTA способен анализировать состав используемых сотрудниками предприятия Интернет-приложений и выявлять запрещенные в соответствии с политиками информационной безопасности (например, использование P2P, Skype, IM, потокового видео/аудио и т. п.). Детально отслеживая всю сетевую активность пользователей, eSafe сортирует и ранжирует наиболее часто посещаемые сайты по 62 категориям (таким, как поиск работы, наркотики, магазины, порно и т. п.), фиксирует используемые Интернет-приложения, объем и характер загружаемых и передаваемых файлов по протоколу ftp. Кроме того, продукт Aladdin способен выявлять уязвимости используемых на предприятии средств контентной фильтрации, что дает возможность экспертам, проводящим аудит, получать и консолидировать всю необходимую информацию для выдачи рекомендаций по устранению найденных уязвимостей.

Устройство eSafe WTA интегрируется в любую сетевую инфраструктуру, не требуя внесения изменений, и не оказывает влияния на работу сетевого оборудования и сетевых приложений. Накапливаемые в процессе работы данные аудита сохраняются на встроенном жестком диске и по завершении работы удаляются. Время, рекомендованное для аудита, составляет от 1 до 7 дней в зависимости от конкретного предприятия.

Принципиально важная особенность eSafe WTA — «пассивность» устройства в процессе работы. Система работает на «зеркалированном» или «отображенном» трафике, не оказывая на проверяемую информационную систему никакого влияния. Устройство подключается к соответствующему порту коммутатора или маршрутизатора и «слушает» трафик, накапливая и анализируя информацию. По завершении процесса аудита и обработки результатов информация консолидируется в подробный отчет.

Возможностями eSafe WTA могут воспользоваться и аудиторские компании. Продукт можно неоднократно использовать для корректировки и соответствующей настройки средств безопасности, установленных в сети организации. Уничтожив данные прямо в присутствии заказчика, аудитор гарантирует отсутствие их утечки, что в нынешних условиях немаловажно. Возможность многократного использования устройства может стать хорошим аргументом в его пользу для многофилиальных компаний. С помощью eSafe WTA можно оценить соответствие уровня защищенности сети каждого филиала принятой в организации централизованной политике безопасности. Подобные проверки гарантируют поддержку необходимого уровня защиты всех филиальных и аффилированных структур на приемлемом для интегрированной ИТ-инфраструктуры уровне.