Традиционные шлюзовые антивирусы не способны защитить от сложных и таргетированных атак. Для этого нужны принципиально другие технологии анализа. В Blue Coat Content Analysis System при помощи технологий от “Лаборатории Касперского” удалось реализовать уровень защиты, ранее недоступный на уровне интернет-шлюзов. О том, что из этого вышло, мы расскажем в данной статье.
2. Эволюция антивирусной защиты на уровне интернет-шлюза
3. Особенности Blue Coat Content Analysis System
50 оттенков зловредства
Сегодня специалисты по информационной безопасности понимают, что существующими методами борьбу с киберпреступностью не выиграть.
Не стоит думать, что мы хуже соображаем, хуже работаем, или хуже финансируемся, чем кибер-злодеи. Всё проще: сейчас даже не обязательно быть программистом или хакером, чтобы начать распространять вирусы и пожинать плоды неправедного труда. В Интернете полно хакерских форумов и «чёрных» магазинов приложений, где любой может купить кастомизированных троянцев или даже SDK для их разработки. Конечно, путь начинающего киберпреступника непрост и можно запросто самому лишиться денег, но это не останавливает толпы начинающих «хакеров», мечтающих о лёгкой наживе.
Поэтому, если называть вещи своими именами, индустрия информационной безопасности проигрывает кибервойну, потому что нас мало, а врагов - Легион. В индустрии кибербезопасности по всему миру работают десятки тысяч человек – умных, опытных, образованных специалистов. Вот только по данным на ноябрь 2013 года в мире ежедневно обнаруживается более 315 000 новых уникальных образцов вредоносного ПО. И остановить подобный вал вредоносных программ в настоящее время практически невозможно – если только не отключить интернет или не запретить компьютеры, но гильотина как средство от головной боли автору этих строк не кажется оптимальным лекарством.
Впрочем, не всё так плохо. Главная тайна индустрии информационной безопасности – то, что совершенно необязательно быть на 100% защищённым, чтобы избежать 99,9% вирусов и попыток взлома.
В большинстве случаев это совершенно разумная идея. Подавляющее большинство преступников идут «на дело» с целью заработка. Поэтому при прочих равных их целью станет наименее защищённая жертва – зачем тратить время и силы на взлом сложной системы безопасности, если рядом полно горе-бизнесменов, не пользующихся антивирусами и не признающих паролей длиннее 6 символов? Поэтому первый совет любому человеку, у которого есть что терять – перестать быть лёгкой жертвой.
Эволюция антивирусной защиты на уровне интернет-шлюза
Если ваш бизнес более технологичен, чем торговля укропом с лотка на колхозном рынке за наличные, то вы, несомненно, давно знаете, что все компьютеры и серверы, входящие в локальную сеть компании, должны быть защищены антивирусными решениями. Более того, поскольку вы сейчас читаете эту статью на сайте по кибербезопасности, рискнём предположить, что в вашей среде уже установлен комплекс «антивирус / межсетевой экран», который даже в одиночку способен нейтрализовать до 95% низкотехнологичных зловредов и попыток взлома.
Обладающие углублёнными знаниями о борьбе с киберугрозами также вспомнят о более современном подходе – многоуровневой защите, где, наряду с антивирусами на отдельных компьютерах, во всех точках входа в сеть извне установлены специальные интернет-шлюзы (более подробно об этом можно почитать здесь). Преимущество наличия отдельного защищённого интернет-шлюза (Secure Web Gateway, SWG) заключается в том, что он, как правило, позволяет нейтрализовать инсайдерскую халатность или злой умысел – даже если сотрудник по какой-либо причине отключит антивирус на своём компьютере, шлюз всё равно сможет перехватить входящий вирус или пресечёт попытку соединиться с вредоносным сетевым ресурсом.
Буквально несколько лет назад этого было достаточно для обеспечения практически стопроцентной защиты от подавляющего большинства попыток взлома или заражения компьютеров. Увы, но теперь это не так: законы эволюции неумолимы и действуют даже в киберпространстве. Как широкое использование антибиотиков привело к появлению устойчивых к ним бактерий, так и хакеры, столкнувшись с эффективными средствами защиты, начали создавать вредоносные программы, специально «заточенные» на преодоление наиболее популярных антивирусных решений и фаерволов. А затем продавать их любому, готовому заплатить.
Осознавая эту проблему, Blue Coat, крупная компания-разработчик аппаратных и программных средств киберзащиты, создала продукт под названием Content Analysis System (система анализа контента, CAS) – первый представитель нового поколения защитных решений, сочетающий в себе традиционную пассивную защиту с более эффективными средствами обнаружения атак, их нейтрализации и устранения последствий.
Для создания ряда ключевых элементов CAS компания Blue Coat воспользовалась опытом и экспертизой своего технологического партнёра, «Лаборатории Касперского» – одного из самых уважаемых в мире производителей решений в области кибербезопасности. CAS реализована как в виде физического сетевого устройства, так и как виртуального, с идентичными характеристиками.
Сравнение ниже позволяет оценить отличие между CAS и традиционным антивирусом на шлюзе.
Таблица 1. Сравнение Blue Coat Content Analysis System и традиционного антивируса на шлюзе
Традиционный антивирус на шлюзе |
Blue Coat CAS | |
Антивирусное сканирование трафика | + | + |
URL-фильтрация | + | + |
Сканирование трафика двумя и более антивирусами | - | + |
Белые списки файлов | - | + |
Интеграция с «виртуальной песочницей» | - | + |
Естественно, CAS включает в себя все «традиционные» меры безопасности – сканирование на вирусы всего входящего/исходящего трафика и блокирование попыток соединиться с веб-ресурсами, входящими в «чёрный список». Но наряду с ними, новое решение Blue Coat обладает рядом новых возможностей, которые ранее никогда не были реализованы на сетевом шлюзе.
С помощью Blue Coat Content Analysis System – в сочетании с Malware Analysis Appliance (устройством для анализа вредоносных программ) и шлюзом Blue Coat Proxy SG возможно автоматизировать защиту от сложных типов угроз на шлюзе.
Особенности Blue Coat Content Analysis System
Целью Blue Coat было построить систему, которая могла бы не только блокировать известные угрозы, но и реализовать политику «белых списков», а также оценивать вредоносный потенциал неизвестных файлов. Последнее особенно актуально, если учесть, что сегодня на свет ежедневно появляется порядка 315 000 уникальных вредоносных программ. Аналогичные решения для Windows-платформ существуют уже пару лет, но, собрав все эти эффективные средства безопасности в одном сетевом устройстве – а значит, обеспечив возможность защитить не один компьютер, а сразу целую сеть – компания Blue Coat создала ценнейший инструмент, позволяющий бороться как с традиционными, так и с таргетированными атаками.
Давайте рассмотрим, каким образом новые возможности Blue Coat CAS позволяют обеспечить безопасность корпоративных сетей и данных. Сама Blue Coat описывает свой трёхсторонний подход следующим образом:
- Интеллектуальная глубокая защита. Координированное применение белых списков приложений и антивирусного сканирования одним или двумя движками блокирует известные угрозы и выявляет неизвестный контент, который затем направляется на более глубокий анализ. Данный эффективный и масштабируемый подход обеспечивает обнаружение вредоносного ПО, в том числе, неизвестного, реализуя быструю и высокопроизводительную защиту от разнообразных угроз.
- Координированный анализ вредоносных программ: Будучи посредником между несколькими «песочницами», Content Analysis System одновременно отправляет неизвестные или подозрительные файлы в Blue Coat Malware Analysis Appliance (устройство для анализа вредоносного ПО), а также «песочницы» сторонних производителей. Это позволяет предприятиям оптимизировать существующую сетевую инфраструктуру, обеспечивая глубокую и комплексную защиту от вредоносного ПО.
- Защита для всей сети заказчиков: Новые данные, полученные в результате анализа неизвестных и комплексных угроз, передаются устройствам Blue Coat ProxySG, что позволяет автоматически блокировать новые угрозы на уровне шлюза. При этом платформа Security Analytics Platform строит комплексные профили угроз и оценивает полный масштаб атаки. Полученная информация автоматически распространяется по всей сети заказчиков Blue Coat, которая включает в себя более 15 000 компаний и организаций по всему миру.
Чтобы лучше понять, как работает этот подход, сперва нужно понять, как сетевые угрозы используют уязвимость традиционных средств защиты для проникновения сквозь периметр сети, и как в подобной ситуации ведёт себя CAS.
Таблица 2. Отличия в уровне защиты между Content Analysis System и традиционным антивирусом на шлюзе
№ | Традиционный антивирус на шлюзе | Blue Coat CAS |
1 | Загрузка безопасных файлов. Традиционные шлюзы одинаково обрабатывают все исполняемые файлы, т.е., сканируют даже заведомо безопасные файлы, чем замедляют работу сети. | Модуль Kaspersky Whitelisting, интегрированный в CAS, быстро идентифицирует безопасные программы по «белому списку» и пропускает их без дополнительной задержки. |
2 | Угрозы нулевого дня. Новейшие вредоносные программы не выявляются традиционными средствами защиты на шлюзе. Уже попав в сеть, они могут быть обнаружены эвристическими средствами защиты на компьютерах пользователей. А могут и не быть. | В средах, где установлена Blue Coat CAS, реализованы многочисленные способы защиты от неизвестных угроз.В первую очередь, модуль Whitelisting может быть включён в режиме Default Deny. Это означает, что шлюз не будет пропускать никакие исполняемые файлы или скрипты, кроме тех, о которых 100% известно, что они являются «чистыми». Данный подход рекоменован для сегментов сети с критической инфраструктурой. |
3 | Неизвестное вредоносное ПО. Идеальных антивирусных решений не существует. Всегда есть шанс, что тот или иной вирус не будет обнаружен антивирусным движком на шлюзе. Такая угроза сможет беспрепятственно проникнуть в сеть. | Неизвестные объекты можно сканировать не одним антивирусом, а сразу двумя. Реализовать подобное на ПК практически невозможно: два антивируса в одной операционной системе неизбежно будут конфликтовать. А вот архитекторы Blue Coat сделали возможным использование на CAS Антивируса Касперского совместно с продуктом одного из двух других известных разработчиков. |
4 | Комплексные угрозы. Наиболее опасное и совершенное вредоносное ПО часто бывает специально оптимизировано для того, чтобы казаться безопасным при сканировании антивирусом. Кроме того, подобные угрозы часто специально создаются под конкретные атаки, поэтому в антивирусных базах скорее всего не будет их сигнатур. Знакомьтесь, перед вами APT – комплексная долговременная угроза, худший кошмар любого современного специалиста по кибербезопасности. | Если после сканирования одним или двумя антивирусами CAS всё ещё сомневается в безопасности нового файла, он отправляется в «песочницу» – безопасную, полностью контролируемую виртуальную среду, которая эмулирует компьютер с незащищённой ОС Windows. Если, попав туда, новый файл начинает вести себя так, как обычно действует вредоносное ПО, то он признаётся вредоносным и удаляется. В противном случае, файл направляется адресату.Сегодня Blue Coat CAS – это один из очень немногих существующих шлюзовых продуктов, специально предназначенных для борьбы APT. |
5 | Реакция на обнаруженную угрозу. В традиционных системах обнаруженные вредоносные программы блокируются и удаляются. На этом задача антивирусного решения считается выполненной. | Пользователями Blue Coat являются более 15 000 компаний и организаций по всему миру, в том числе, 86% компаний, входящих в рейтинг FORTUNE Global 500. Все обнаруженные новые угрозы обрабатываются и анализируются, после чего новые данные предоставляются всей сети пользователей компании. Спустя несколько минут каждая система, защищённая решением Blue Coat, учится распознавать новую угрозу. |
Почему именно Blue Coat?
Основанная в 1996 году, компания Blue Coat всегда находится на переднем крае борьбы с самыми сложными и коварными кибергурозами. Благодаря собственной экспертизе и поддержке технологических партнёров – в том числе, «Лаборатории Касперского» – Blue Coat постоянно демонстрирует бескомпромиссную приверженность своей миссии – обеспечить безопасность компьютерных сетей и данных своих заказчиков.
Решения Blue Coat продаются в России через сеть официальных дистрибьюторов. Например, одним из крупнейших среди них является компания Web Control, работающая на этом рынке с 2008 года. Наряду с поставкой решений и оборудования заказчикам, Web Control также осуществляет всестороннюю поддержку партнеров (прямая поддержка продаж, техническая поддержка и тренинги, демооборудование, выгодные коммерческие условия).
Хотя ни одно существующее на свете решение не может гарантировать стопроцентную защиту от любых угроз (кстати, стоит держаться подальше от любого, кто утверждает, что способен это обеспечить – в лучшем случае, они просто некомпетентны, а скорее – мошенники), именно экосистема безопасности Blue Coat, как мы полагаем, даёт пользователям лучшие шансы отразить подавляющее большинство современных кибератак.
При этом нужно уточнить, что Content Analysis System не работает в одиночестве – она должна функционировать в сочетании с защищённым шлюзом Blue Coat ProxySG, а для максимальной эффективности сетевая инфраструктура также должна себя включать устройства Security Analytics Platform (аналитическую платформу безопасности) и Malware Analysis Appliance (устройство анализа вредоносного ПО).
Рисунок 1. Схема работы Content Analysis System в связке с другими продуктами Blue Coat
В рамках данной экосистемы CAS реализует набор функций, с которым пока что не может состязаться ни один из конкурентов Blue Coat:
- CAS использует сервис белых списков от «Лаборатории Касперского» – Kaspersky Whitelisting service, первый в мире продукт этого типа, получивший одобрение от AV-Test.org, независимой немецкой компании-тестировщика решений в области кибербезопасности. Сервис белых списков предназначен для классификации файлов, которые могут показаться подозрительными, но на самом деле являются безопасными. Иными словами, каждый проходящий через шлюз исполняемый файл или скрипт сравнивается с регулярно обновляемым списком, и, если совпадение обнаруживается, файл пропускается через шлюз без дополнительной антивирусной проверки. Это позволяет пользователю либо полностью запретить передачу любого активного контента, безопасность которого не гарантирована на все 100%, либо, в сетях и сегментах с менее строгими требованиями к безопасности, значительно улучшить пропускную способность шлюза, отказавшись от сканирования заведомо безопасных файлов.
- Партнёрская стратегия Blue Coat позволила внедрить в Content Analysis System антивирусные решения лучших мировых производителей, чтобы создать надежную защиту. Передовой антивирусный движок от «Лаборатории Касперского», признанный лучшим в мире антивирусным продуктом по данным десятков независимых тестов, в сочетании с движком от одного из двух других именитых разработчиков, обеспечивают более надёжную защиту, чем даже антивирус для рабочих станций. При этом необходимо уточнить, что одновременное использование двух антивирусов снижает пропускную способность шлюза примерно на 30%, так что данный подход оправдан только в самых критичных средах и приложениях.
- CAS может автоматически отправлять подозрительные файлы в виртуальные «песочницы» – устройство Malware Analysis Appliance (собственную разработку Blue Coat) или систему стороннего разработчика, например, FireEye. Любые действия подозрительного файла в этой виртуальной среде (например, изменения реестра, попытки связаться с вредоносными веб-ресурсами, и т.п.) немедленно регистрируются и предоставляются в виде отчёта администратору безопасности, который затем принимает необходимые меры.
- Пользователь может выбрать как физическую (т.е., сетевое устройство), так и виртуальную версию CAS, в соответствии с собственными потребностями.
Ещё одной сильной стороной Blue Coat является комплексный подход к информационной безопасности, что позволяет построить всестороннюю защиту сетевой инфраструктуры:
- По данным рейтингового агентства Gartner, Blue Coat ProxySG является самым мощным прокси-сервером из существующих на рынке, благодаря множеству поддерживаемых протоколов, а также многочисленным «продвинутым» опциям. Наряду с большим набором поддерживаемых протоколов реализованы эффективные средства аутентификации и интеграции каталогов.
- Облачные средства защиты Blue Coat включают в себя шлюзы IPsec, поддерживающие множество моделей мобильных устройств.
- В сетях, работающих под высокой нагрузкой, эффективность антивирусного сканирования может быть улучшена благодаря кэшированию результатов предыдущих проверок.
- Система облачной безопасности WebPulse позволяет делиться результатами проверок между всеми шлюзами ProxySG, связанными с устройствами CAS.
Выводы
Постоянно нарастающий вал вредоносных программ – это тревожный сигнал, игнорировать который, в конечном счёте, будет себе дороже. Недели не проходит, чтобы мировые СМИ не сообщили об очередном взломе крупной корпорации или бизнеса, с сопутствующими многомиллионными потерями, как вследствие прямой кражи средств, так и из-за ухода и исков пострадавших клиентов. Стоит ли ждать, пока имя вашей компании появится на подобных передовицах?
Хотя ни одно решение для информационной безопасности действительно не может обеспечить тотальную защиту, это совсем не повод упрощать жизнь киберпреступнкам. Не раз и не два проверено: криминал предпочитает обходить стороной компании, развернувшие эффективную систему защиты от лидера рынка и следующие передовым практикам кибербезопасности – ведь вокруг полно более лёгкой добычи. Blue Coat и Content Analysis System не подведет.