Информация сегодня фактически стала важнейшим активом для любого бизнеса. От надежности защиты информационной структуры подчас зависит не только стабильное функционирование организации, оперативность обработки запросов клиентов, качество сервисов, развитие и прибыльность, но и репутация компании. Осознавая это, руководители уделяют особое внимание актуализации систем защиты информации и средств компьютерной безопасности.

ИТ-инфраструктура становится все более сложной, а ее защита — все более дорогостоящей. Но оправдывает ли себя стоимость обслуживания и владения такой системой безопасности? На этот вопрос довольно сложно ответить однозначно, однако сейчас на российском рынке стали появляться продукты, позволяющие оценить степень защищенности инфраструктуры, показать действительно реальную картину происходящего в сети организации, и дать ответ на ключевой вопрос: так ли безопасна корпоративная ИТ-среда?

Для проверки эффективности работы уже установленных и функционирующих в сети комплексов антивирусных решений компания Aladdin (www.aladdin.com) создала программно-аппаратную систему eSafe Web Threat Analyzer (WTA), предназначенную для аудита сетевого трафика. С помощью этого решения можно получать детальную статистику по тем угрозам безопасности, которые сопряжены с активным использованием Интернета сотрудниками компании. Примеры таких угроз — доступ к сайтам сомнительного содержания, загрузка зараженных файлов, выполнение на компьютерах пользователей нежелательных приложений, таких как шпионское ПО, клиенты пиринговых сетей, Интернет-пейджеры и т. п. Результаты такого аудита дают организации возможность идентифицировать угрозы, прошедшие через периметр защиты сети, выявить их последствия и оценить степень риска, который представляют эти угрозы для бизнеса компании.

Основная задача продукта сводится к детальному анализу степени защищенности корпоративных информационных систем от различного вида угроз со стороны активного вредоносного контента, распространяемого через Интернет. В числе угроз безопасности, анализируемым в ходе аудита, на сегодняшний день особо актуальны следующие:

  • эксплойты;
  • исполняемые файлы (бесплатные и условно-бесплатные приложения, содержащие рекламные, а часто и шпионские компоненты);
  • документы Microsoft Office (могут содержать вредоносный исполняемый файл, который может быть встроен в изображение типа JPG или WMF и использоваться для атаки на систему);
  • активные объекты (объекты ActiveX, сценарии на Java и Visual Basic, Java-апплеты и т. д.);
  • вирусы и черви;
  • шпионские и рекламные приложения (spyware и adware);
  • троянские приложения и боты;
  • неразрешенные приложения (P2P-клиенты типа KaZaaa, eMule, eDonkey, BitTorrent, программы для мгновенного обмена сообщениями, чаты и приложения для удаленного доступа).

Для отслеживания подобного вредоносного контента eSafe WTA инспектирует 100% входящего и исходящего Интернет-трафика, выявляет в корпоративной сети зараженные компьютеры, содержащие spyware/adware и генерирующие паразитный и/или подозрительный трафик, а также выявляет сами угрозы и источники заражения и атак. Продукт фиксирует попытки перенаправления на сайты, с которых идет заражение spyware, попытки загрузки нежелательного ПО, а также попытки установления соединения и передачи информации вовне со стороны spyware, находящегося на зараженном компьютере, или извне (команды удаленного управления на зараженный компьютер).

Продукт eSafe WTA способен анализировать состав используемых сотрудниками предприятия Интернет-приложений и выявлять запрещенные в соответствии с политиками информационной безопасности (например, использование P2P, Skype, IM, потокового видео/аудио и т. п.). Детально отслеживая всю сетевую активность пользователей, eSafe сортирует и ранжирует наиболее часто посещаемые сайты по 62 категориям (таким, как поиск работы, наркотики, магазины, порно и т. п.), фиксирует используемые Интернет-приложения, объем и характер загружаемых и передаваемых файлов по протоколу ftp. Кроме того, продукт Aladdin способен выявлять уязвимости используемых на предприятии средств контентной фильтрации, что дает возможность экспертам, проводящим аудит, получать и консолидировать всю необходимую информацию для выдачи рекомендаций по устранению найденных уязвимостей.

Устройство eSafe WTA интегрируется в любую сетевую инфраструктуру, не требуя внесения изменений, и не оказывает влияния на работу сетевого оборудования и сетевых приложений. Накапливаемые в процессе работы данные аудита сохраняются на встроенном жестком диске и по завершении работы удаляются. Время, рекомендованное для аудита, составляет от 1 до 7 дней в зависимости от конкретного предприятия.

Принципиально важная особенность eSafe WTA — «пассивность» устройства в процессе работы. Система работает на «зеркалированном» или «отображенном» трафике, не оказывая на проверяемую информационную систему никакого влияния. Устройство подключается к соответствующему порту коммутатора или маршрутизатора и «слушает» трафик, накапливая и анализируя информацию. По завершении процесса аудита и обработки результатов информация консолидируется в подробный отчет.

Возможностями eSafe WTA могут воспользоваться и аудиторские компании. Продукт можно неоднократно использовать для корректировки и соответствующей настройки средств безопасности, установленных в сети организации. Уничтожив данные прямо в присутствии заказчика, аудитор гарантирует отсутствие их утечки, что в нынешних условиях немаловажно. Возможность многократного использования устройства может стать хорошим аргументом в его пользу для многофилиальных компаний. С помощью eSafe WTA можно оценить соответствие уровня защищенности сети каждого филиала принятой в организации централизованной политике безопасности. Подобные проверки гарантируют поддержку необходимого уровня защиты всех филиальных и аффилированных структур на приемлемом для интегрированной ИТ-инфраструктуры уровне.