Обзор и тестирование сервиса Kaspersky Hosted Security

Обзор и тестирование сервиса Kaspersky Hosted Security



В данной статье сделан обзор функций и возможностей нового сервиса Kaspersky Hosted Security (mailDefend) от Лаборатории Касперского, а также приведены результаты его тестирование на реальном потоке электронной почты домена @anti-malware.ru.

Сертификат AM Test Lab

Номер сертификата: 59

Дата выдачи: 16.11.2006

Срок действия: 16.11.2011

Реестр сертифицированных продуктов »

 

1. Введение

2. Подключение Kaspersky Hosted Security

3. Возможности Kaspersky Hosted Security

4. Интерфейс и настройки Kaspersky Hosted Security

5. Эффективность работы Kaspersky Hosted Security

6. Выводы

 

1. Введение

В настоящее время электронная почта - это удобный и быстрый способ коммуникации, который, наверное, используют все без исключения современные компании. В тоже время, популярность электронной почты все больше привлекает к ней внимание киберпреступности. Через e-mail распространяется огромное количество вредоносных программ и спама, что делает защиту этого канал распространения информации критически важным для бизнеса.

Небольшие и средние предприятия (с количеством рабочих станций от 10 до 250) во многих случаях не могут инвестировать большие средства в построение собственной инфраструктуры информационной безопасности и самостоятельно заниматься ее управлением. Часто такие компании не имею штатного системного администратора вовсе или его загрузка не позволяет ему в полной мере адекватно выполнять обязанности, связанные с защитой комплекса информационной безопасности.

Таким образом, предприятия малого и среднего бизнеса по факту бывают практически не защищены перед киберпреступниками, тратят серьезные по своим меркам ресурсы на устранение последствий вирусных эпидемий и разбор потока спама.

Выходом из этой сложной ситуации для малого и среднего бизнеса является аутсорсинг функций по обеспечению информационной безопасности. В частности для защиты электронной почты можно подписаться на специальный сервис, например Kaspersky Hosted Security (mailDefend) от Лаборатории Касперского, речь о котором и пойдет далее в этой статье.

В основе сервиса Kaspersky Hosted Security (http://www.hostedsecurity.ru/) лежит аутсорсинг антивирусной и антиспам фильтрации почтового трафика, которая производится за пределами корпоративной сети клиента. Иными словами данный сервис выводит защиту электронной почты за пределы ИТ-инфраструктуры клиента, полностью освобождая заказчика от заботы заниматься этим своими силами. При этом полностью исчезают затраты на администрирование и поддержку системы информационной безопасности, на обновление и модификацию программного обеспечения.

Что не мало важно, в случае использования такого сервиса, зашита почты всегда будет находиться в актуальном состоянии, так как сама система фильтрации находится на стороне вендора (в нашем случае в Лаборатории Касперского) и все необходимые обновления устанавливаются автоматически сразу же после их создания.

2. Подключение Kaspersky Hosted Security

Подключение сервиса производится достаточно легко. Для этого необходимо только изменение MX записи в DNS для почтового домена клиента. После чего вся электронная почта клиента будет сначала поступать на сервер Kaspersky Hosted Security для фильтрации вирусов и спама, а после этого уже чистый трафик пересылается клиенту.

При этом у клиента может быть любой почтовый сервер, работающий на любой операционной системе, никакого значения это не имеет. Подробнее схему работы Kaspersky Hosted Security можно посмотреть на следующем рисунке.

Рисунок 1: Схема работы Kaspersky Hosted Security

Схема работы Kaspersky Hosted Security

 

Сам процесс подключения сервиса занимает всего несколько минут, что, согласитесь, выгодно отличает его от процесса установки программного или аппаратного комплекса, на развертывание и конфигурирование которых может потребоваться до нескольких рабочих дней.

Если компания не имеет своего почтового сервера, а пользуется услугами интернет-провайдера, то перед подключением необходимо уточнить, есть ли возможность изменения MX записи в DNS и сколько это будет стоить. Некоторые провайдеры берут доп. плату за возможность редактирования клиентом записей DNS, но ее размер составляет, как правило, всего несколько долларов. Например, за изменение MX записи для домена @anti-malware.ru (и алиаса @antimalware.ru) приходится платить компании masterhost, которая является нашим провайдеров, 2 USD ежемесячно.

3. Возможности Kaspersky Hosted Security

Как уже говорилось выше, в рамках сервиса Kaspersky Hosted Security вся поступающая электронная почта проверяется на вирусы и спам на стороне Лаборатории Касперсого.

Антивирусная фильтрация почтового трафика, естественно, производится на движке Антивируса Касперского с использование некоторых дополнительных технологий, специально разработанных для данного сервиса. Ее можно условно разделить на несколько этапов:

  1. Фильтрация по формату (блокировка определенных типов вложений).
  2. Проверка Антивирусом Касперского.
  3. Проверка с использованием технологии BitHunt (модуль AllUnpack позволяет распаковать/расшифровать практически любой упакованный/зашифрованный исполняемый файл).

Фильтрация спама реализована на базе Kaspersky Anti-Spam версии 3.0, в дополнение к которому используется технология BitHunt (в качестве системы проактивного обнаружения угроз, использующая репутационный фильтр, который присваивает рейтинги надежности IP-адресам отправителя).

Кроме этого, Kaspersky Hosted Security может блокировать нежелательный контент - файлы определенных форматов (например, аудио- и видео-файлы), не имеющих отношения к работе. Таким образом, может быть снижено несанкционированное использование сотрудниками электронной почты компании и снижен размер входящего трафика.

4. Интерфейс и настройки Kaspersky Hosted Security

Индивидуально настроить сервис, а также получить отчеты о его работе можно с помощью удобного веб-интерфейса, авторизованный доступ к которому осуществляется по SSL-каналу.

На главной странице пользовательского интерфейса выводится основная статистика работы сервиса за последние сутки: принятые сообщения; соотношение вирусы/спам/не спам; DHA атаки (Directory Harvest Attack, проводимые с целью выявления действующих почтовых адресов).

Рисунок 2: Главная страница пользовательского интерфейса

Главная страница пользовательского интерфейса Kaspersky Hosted Security

Все заблокированные фильтрами сообщения помещаются в специальный карантин, где в любой момент можно их посмотреть. Кроме того, это очень удобно, ни одно письмо не удаляется (если для этого не выставлены соответствующие настройки). В случае чего, если есть подозрение, что какое-то письмо могло быть случайно помечено как спам, его можно быстро найти и переслать по назначению. Это полностью исключает потерю какой-то важной информации клиента.

В карантине есть возможность производить выборку сообщений по времени, защищаемым доменам или видам угроз (вирусы, спам, фишинг, нежелательный контент, ошибки пересылки (FailSafe)). Кроме этого, в нем предусмотрен удобный механизм поиска, можно применять различные фильтры, например, выбрать все заблокированные сообщения для конкретного почтового ящика (см. рисунок 3).

Рисунок 3: Карантин домена

Карантин домена Kaspersky Hosted Security

Число клиентских настроек, непосредственно относящихся к работе сервиса, минимальное, но вполне достаточное. Управление ими производится в разделе "Политики домена". Все они относятся к действиям сервиса при определенных условиях, например, при детектировании вируса, спама, фишинга, вложения запрещенного формата или DHA атаки (см. рисунок 4).

Например, для вердикта "Возможно является спамом" (Probable Spam) можно настроить, будет ли сообщение удалено, помещено в карантин, отправлено адресату с пометкой или отправлено без изменений.

Рисунок 4: Политики домена

Политики домена Kaspersky Hosted Security

Все настройки домена производятся в разделе "Настройки" и сводятся к указанию адреса, порта и MX префикса для SMTP-сервера. Клиент может самостоятельно управлять списков защищаемых доменов, если их имеется несколько, а также добавлять новых пользователей (см. рисунок 5).

Рисунок 5: Настройки домена

Настройки домена Kaspersky Hosted Security

В разделе "Пользователи" можно самостоятельно управлять списком защищаемых email-адресов: добавлять новые ящики или удалять старые. Вы можете сами решать, почту на какие ящики необходимо принимать и обрабатывать. Таким образом, можно платить только за те ящики, которые нуждаются в защите в настоящее время.

Рисунок 6: Пользователи домена

Пользователи домена Kaspersky Hosted Security

Отдельного внимания заслуживает возможность генерации всевозможных отчетов о работе сервиса. Можно получить статистику по суммарному объему входящего и исходящего трафика, заблокированных вирусах, спаме или фишинге за период от одного дня до года (см. рисунок 7).

Рисунок 7: Отчету по домену (центральная страница)

Отчету по домену (центральная страница)

В отчете по вирусам приводятся данные по наиболее активным отправителям, получателям, а также Top 10 наиболее активных вирусов (см. рисунок 8).

Рисунок 8: Отчету по домену (вирусы)

Отчету по домену (вирусы)

Отчет по спаму в целом идентичен вирусному, за тем лишь исключением, что вместо Top 10 вирусов приводится данные по наиболее популярным категориям приходящего Вам спама (см. рисунок 9).

Рисунок 9: Отчету по домену (спам)

Отчету по домену (спам)

Отчет по карантину представляет собой простую сводку по количеству и объему писем, находящихся сейчас в карантине, а также их среднее значение в расчете на день (см. рисунок 10).

Рисунок 10: Отчету по домену (карантин)

Отчету по домену (карантин)

 

Существует также возможность быстрого получения отчета о карантине (т.н. дайджест карантина) по какому-то конкретному ящику клиента. Для этого нужно указать название email в специальной форме на сайте Kaspersky Hosted Security.

5. Эффективность работы

Тестирование проводилось с 4 октября по 14 октября 2006 года.

Всего за этот период на адреса домена @anti-malware.ru было получено 20667 писем, из которых передано по назначению было только 1305, все остальные сообщения были признаны спамом или были заражены вирусами.

Вирусы

Всего за время тестирования на ящики домена @anti-malware.ru попало 13 вирусов (0.09% от всего почтового трафика), все они (включая несколько вариантов червя Email-Worm.Win32.Warezov) были успешно детектированы сервисом Kaspersky Hosted Security и помещены в карантин. Уровень детектирования вирусов - 100%.

Благодаря используемой проактивной технологии BitHunt, были детектированы и обезврежены две рассылки еще не известных на тот момент модификаций червя Email-Worm.Win32.Warezov.

Спам

Всего было получено 19710 спамовых сообщений, из которых 19129 (92.5% от всего почтового трафика) были успешно детектировано Kaspersky Hosted Security и помещены в карантин, т.е. уровень детектирования оказался очень высоким - 97%.

Пропущено было 581 писем спама, что составляет 3% от общего количества. Ложное срабатывание антиспама было зарегистрировано один раз (0.005% от общего количества спама), когда нормальное письмо было ошибочно отнесено в категорию "Probable Spam".

За время тестирования сервисом было заблокировано 1624 DHA-атак.

Фишинг

Фишинговых писем на домен @anti-malware.ru за период тестирования не поступало.

6. Выводы

Приведенные в этой статье данные и конкретные цифры позволяют считать проведенное тестирование сервиса Kaspersky Hosted Security успешным. Никаких серьезных нареканий, касаемо подключения, качества работы сервиса или удобства пользовательского интерфейса у нас не возникало.

Kaspersky Hosted Security показал свою 100% надежность в защите от вирусов и очень высокий уровень детектирования спама - 97%. Благодаря этому был существенно снижен объем входящего почтового трафика и устранены затраты, связанные с ежедневным разбором сотен писем спама.

Есть и небольшие минусы. За время тестирования было пропущено большое количество графического спама (движок Kaspersky Anti-Spam 3.0 не детектирует спам с использованием анимированных GIF изображений), иначе процент детектирования спама был бы заметно выше.

В целом данные сервис можно рекомендовать для малого и среднего бизнеса, как отличную альтернативу существующим софтверным решениям для защиты электронной почты от вирусов и спама. Особенно для тех компаний, которые смотрят в сторону аутсорсинга и не готовы тратить на обеспечение безопасности внутренние ресурсы компании.

 

 

 

 

Дополнительная информация:

http://www.hostedsecurity.ru/

 

Автор: Сергей Ильин

Основатель проекта Anti-Malware.ru

16.11.2006

Реестр сертифицированных продуктов »

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.