Blue Coat Content Analysis System – новое поколение антивирусной защиты для интернет-шлюзов
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6409
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7114
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4392
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3085
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3881
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3232
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3528
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7363
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10724
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12443
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14095
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7140
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5446
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3494
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3211
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Blue Coat Content Analysis System – новое поколение антивирусной защиты для интернет-шлюзов

Статьи / Blue Coat Content Analysis System – новое поколение антивирусной защиты для интернет-шлюзов

Автор: Иван Якубович

Традиционные шлюзовые антивирусы не способны защитить от сложных и таргетированных атак. Для этого нужны принципиально другие технологии анализа. В Blue Coat Content Analysis System при помощи технологий от «Лаборатории Касперского» удалось реализовать уровень защиты, ранее недоступный на уровне интернет-шлюзов. О том, что из этого вышло, расскажем в данной статье.

50 оттенков зловредства

Сегодня специалисты по информационной безопасности понимают, что  существующими методами борьбу с киберпреступностью не выиграть.

Не стоит думать, что мы хуже соображаем, хуже работаем, или хуже финансируемся, чем кибер-злодеи. Всё проще: сейчас даже не обязательно быть программистом или хакером, чтобы начать распространять вирусы и пожинать плоды неправедного труда. В Интернете полно хакерских форумов и «чёрных» магазинов приложений, где любой может купить кастомизированных троянцев или даже SDK для их разработки. Конечно, путь начинающего киберпреступника непрост и можно запросто самому лишиться денег, но это не останавливает толпы начинающих «хакеров», мечтающих о лёгкой наживе.

Поэтому, если называть вещи своими именами, индустрия информационной безопасности проигрывает кибервойну, потому что нас мало, а врагов - Легион. В индустрии кибербезопасности по всему миру работают десятки тысяч человек – умных, опытных, образованных специалистов.  В мире ежедневно обнаруживается более 315 000 новых уникальных образцов вредоносного ПО. И остановить подобный вал вредоносных программ в настоящее время практически невозможно – если только не отключить интернет или не запретить компьютеры, но гильотина как средство от головной боли автору этих строк не кажется оптимальным лекарством.

Впрочем, не всё так плохо. Главная тайна индустрии информационной безопасности – то, что совершенно необязательно быть на 100% защищённым, чтобы избежать 99,9% вирусов и попыток взлома.

В большинстве случаев это совершенно разумная идея. Подавляющее большинство преступников идут «на дело» с целью заработка. Поэтому при прочих равных условиях их целью станет наименее защищённая жертва – зачем тратить время и силы на взлом сложной системы безопасности, если рядом полно горе-бизнесменов, не пользующихся антивирусами и не признающих паролей длиннее шести символов? Поэтому первый совет любому человеку, которому есть что терять, – перестать быть лёгкой жертвой.Эволюция антивирусной защиты на уровне интернет-шлюза

Если ваш бизнес более технологичен, чем торговля укропом с лотка на колхозном рынке за наличные, то вы, несомненно, давно знаете, что все компьютеры и серверы, входящие в локальную сеть компании, должны быть защищены антивирусными решениями. Более того, поскольку вы сейчас читаете эту статью, рискнём предположить, что в вашей среде уже установлен комплекс «антивирус / межсетевой экран», который даже в одиночку способен нейтрализовать до 95% низкотехнологичных зловредов и попыток взлома.

Обладающие углублёнными знаниями о борьбе с киберугрозами также вспомнят о более современном подходе – многоуровневой защите, где, наряду с антивирусами на отдельных компьютерах, во всех точках входа в сеть извне установлены специальные интернет-шлюзы.

Преимущество наличия отдельного защищённого интернет-шлюза (Secure Web Gateway, SWG) заключается в том, что он, как правило, позволяет нейтрализовать инсайдерскую халатность или злой умысел – даже если сотрудник по какой-либо причине отключит антивирус на своём компьютере, шлюз всё равно сможет перехватить входящий вирус или пресечёт попытку соединиться с вредоносным сетевым ресурсом.

Буквально несколько лет назад этого было достаточно для обеспечения практически стопроцентной защиты от подавляющего большинства попыток взлома или заражения компьютеров. Увы, но теперь это не так: законы эволюции неумолимы и действуют даже в киберпространстве. Как широкое использование антибиотиков привело к появлению устойчивых к ним бактерий, так и хакеры, столкнувшись с эффективными средствами защиты, начали создавать вредоносные программы, специально «заточенные» на преодоление наиболее популярных антивирусных решений и фаерволов. А затем продавать их любому, готовому заплатить.

Осознавая эту проблему, Blue Coat, крупная компания-разработчик аппаратных и программных средств киберзащиты, создала продукт под названием Content Analysis System (система анализа контента, CAS) – первый представитель нового поколения защитных решений, сочетающий в себе традиционную пассивную защиту с более эффективными средствами обнаружения атак, их нейтрализации и устранения последствий.

Для создания ряда ключевых элементов CAS компания Blue Coat воспользовалась опытом и экспертизой своего технологического партнёра, «Лаборатории Касперского» – одного из самых уважаемых в мире производителей решений в области кибербезопасности. CAS реализована как в виде физического сетевого устройства, так и как виртуального, с идентичными характеристиками.

Сравнение ниже позволяет оценить отличие между CAS и традиционным антивирусом на шлюзе.

Таблица 1. Сравнение Blue Coat Content Analysis System и традиционного антивируса на шлюзе

Естественно, CAS включает в себя все «традиционные» меры безопасности – сканирование на вирусы всего входящего/исходящего трафика и блокирование попыток соединиться с веб-ресурсами, входящими в «чёрный список». Но наряду с ними, новое решение Blue Coat обладает рядом новых возможностей, которые ранее никогда не были реализованы на сетевом шлюзе.

С помощью Blue Coat Content Analysis System – в сочетании с Malware Analysis Appliance (устройством для анализа вредоносных программ) и шлюзом Blue Coat Proxy SG возможно автоматизировать защиту от сложных типов угроз на шлюзе.Особенности Blue Coat Content Analysis System

Целью Blue Coat было построить систему, которая могла бы не только блокировать известные угрозы, но и реализовать политику «белых списков», а также оценивать вредоносный потенциал неизвестных файлов. Последнее особенно актуально, если учесть, что сегодня на свет ежедневно появляется порядка 315 000 уникальных вредоносных программ. Аналогичные решения для Windows-платформ существуют уже пару лет, но, собрав все эти эффективные средства безопасности в одном сетевом устройстве, – а значит, обеспечив возможность защитить не один компьютер, а сразу целую сеть – компания Blue Coat создала ценнейший инструмент, позволяющий бороться как с традиционными, так и с таргетированными атаками.

Давайте рассмотрим, каким образом новые возможности Blue Coat CAS позволяют обеспечить безопасность корпоративных сетей и данных. Сама Blue Coat описывает свой трёхсторонний подход следующим образом:

  • Интеллектуальная глубокая защита. Координированное применение белых списков приложений и антивирусного сканирования одним или двумя движками блокирует известные угрозы и выявляет неизвестный контент, который затем направляется на более глубокий анализ. Данный эффективный и масштабируемый подход обеспечивает обнаружение вредоносного ПО, в том числе, неизвестного, реализуя быструю и высокопроизводительную защиту от разнообразных угроз.
  • Координированный анализ вредоносных программ: Будучи посредником между несколькими «песочницами», Content Analysis System одновременно отправляет неизвестные или подозрительные файлы в Blue Coat Malware Analysis Appliance (устройство для анализа вредоносного ПО), а также «песочницы» сторонних производителей. Это позволяет предприятиям оптимизировать существующую сетевую инфраструктуру, обеспечивая глубокую и комплексную защиту от вредоносного ПО.
  • Защита для всей сети заказчиков: Новые данные, полученные в результате анализа неизвестных и комплексных угроз, передаются устройствам Blue Coat ProxySG, что позволяет автоматически блокировать новые угрозы на уровне шлюза. При этом платформа Security Analytics Platform строит комплексные профили угроз и оценивает полный масштаб атаки. Полученная информация автоматически распространяется по всей сети заказчиков Blue Coat, которая включает в себя более 15 000 компаний и организаций по всему миру.

Чтобы лучше понять, как работает этот подход, сначала нужно представить, как сетевые угрозы используют уязвимость традиционных средств защиты для проникновения сквозь периметр сети, и как в подобной ситуации ведёт себя CAS.

Таблица 2. Отличия в уровне защиты между Content Analysis System и традиционным антивирусом на шлюзе

Традиционный антивирус на шлюзе Blue Coat CAS
1 Загрузка безопасных файлов. Традиционные шлюзы одинаково обрабатывают все исполняемые файлы, т.е., сканируют даже заведомо безопасные файлы, чем замедляют работу сети. Модуль Kaspersky Whitelisting, интегрированный в CAS, быстро идентифицирует безопасные программы по «белому списку» и пропускает их без дополнительной задержки.
2 Угрозы нулевого дня. Новейшие вредоносные программы не выявляются традиционными средствами защиты на шлюзе. Уже попав в сеть, они могут быть обнаружены эвристическими средствами защиты на компьютерах пользователей. А могут и не быть. В средах, где установлена Blue Coat CAS, реализованы многочисленные способы защиты от неизвестных угроз.

В первую очередь, модуль Whitelisting может быть включён в режиме Default Deny. Это означает, что шлюз не будет пропускать никакие исполняемые файлы или скрипты, кроме тех, о которых 100% известно, что они являются «чистыми». Данный подход рекоменован для сегментов сети с критической инфраструктурой.
3 Неизвестное вредоносное ПО. Идеальных антивирусных решений не существует. Всегда есть шанс, что тот или иной вирус не будет обнаружен антивирусным движком на шлюзе. Такая угроза сможет беспрепятственно проникнуть в сеть. Неизвестные объекты можно сканировать не одним антивирусом, а сразу двумя. Реализовать подобное на ПК практически невозможно: два антивируса в одной операционной системе неизбежно будут конфликтовать. А вот архитекторы Blue Coat сделали возможным использование на CAS Антивируса Касперского совместно с продуктом одного из двух других известных разработчиков.
4 Комплексные угрозы. Наиболее опасное и совершенное вредоносное ПО часто бывает специально оптимизировано для того, чтобы казаться безопасным при сканировании антивирусом. Кроме того, подобные угрозы часто специально создаются под конкретные атаки, поэтому в антивирусных базах, скорее всего, не будет их сигнатур. Знакомьтесь, перед вами APT – комплексная долговременная угроза, худший кошмар любого современного специалиста по кибербезопасности. Если после сканирования одним или двумя антивирусами CAS всё ещё сомневается в безопасности нового файла, он отправляется в «песочницу» – безопасную, полностью контролируемую виртуальную среду, которая эмулирует компьютер с незащищённой ОС Windows. Если, попав туда, новый файл начинает вести себя так, как обычно действует вредоносное ПО, то он признаётся вредоносным и удаляется. В противном случае, файл направляется адресату.

Сегодня Blue Coat CAS – это один из очень немногих существующих шлюзовых продуктов, специально предназначенных для борьбы APT.
5 Реакция на обнаруженную угрозу. В традиционных системах обнаруженные вредоносные программы блокируются и удаляются. На этом задача антивирусного решения считается выполненной. Пользователями Blue Coat являются более 15 000 компаний и организаций по всему миру, в том числе, 86% компаний, входящих в рейтинг FORTUNE Global 500. Все обнаруженные новые угрозы обрабатываются и анализируются, после чего новые данные предоставляются всей сети пользователей компании. Спустя несколько минут каждая система, защищённая решением Blue Coat, учится распознавать новую угрозу.

Почему именно Blue Coat?

Основанная в 1996 году, компания Blue Coat всегда находится на переднем крае борьбы с самыми сложными и коварными кибергурозами. Благодаря собственной экспертизе и поддержке технологических партнёров – в том числе, «Лаборатории Касперского» – Blue Coat демонстрирует бескомпромиссную приверженность своей миссии – обеспечить безопасность компьютерных сетей и данных своих заказчиков.

Хотя ни одно существующее на свете решение не может гарантировать стопроцентную защиту от любых угроз, именно экосистема безопасности Blue Coat, как мы полагаем, даёт пользователям лучшие шансы отразить подавляющее большинство современных кибератак.

При этом нужно уточнить, что Content Analysis System не работает в одиночку – она должна функционировать в сочетании с защищённым шлюзом Blue Coat ProxySG, а для максимальной эффективности сетевая инфраструктура также должна себя включать устройства Security Analytics Platform (аналитическую платформу безопасности) и Malware Analysis Appliance (устройство анализа вредоносного ПО).

Рисунок 1. Схема работы Content Analysis System в связке с другими продуктами Blue Coat

 

В рамках данной экосистемы CAS реализует набор функций, с которым пока что не может состязаться ни один из конкурентов Blue Coat:

  • CAS использует сервис белых списков от «Лаборатории Касперского» – Kaspersky Whitelisting service, первый в мире продукт этого типа, получивший одобрение от AV-Test.org, независимой немецкой компании-тестировщика решений в области кибербезопасности. Сервис белых списков предназначен для классификации файлов, которые могут показаться подозрительными, но на самом деле являются безопасными. Иными словами, каждый проходящий через шлюз исполняемый файл или скрипт сравнивается с регулярно обновляемым списком, и, если совпадение обнаруживается, файл пропускается через шлюз без дополнительной антивирусной проверки. Это позволяет пользователю либо полностью запретить передачу любого активного контента, безопасность которого не гарантирована на все 100%, либо, в сетях и сегментах с менее строгими требованиями к безопасности, значительно улучшить пропускную способность шлюза, отказавшись от сканирования заведомо безопасных файлов.
  • Партнёрская стратегия Blue Coat позволила внедрить в Content Analysis System антивирусные решения лучших мировых производителей, чтобы создать надежную защиту. Передовой антивирусный движок от «Лаборатории Касперского», признанный лучшим в мире антивирусным продуктом по данным десятков независимых тестов, в сочетании с движком от одного из двух других именитых разработчиков, обеспечивают более надёжную защиту, чем даже антивирус для рабочих станций. При этом необходимо уточнить, что одновременное использование двух антивирусов снижает пропускную способность шлюза примерно на 30%, так что данный подход оправдан только в самых критичных средах и приложениях.
  • CAS может автоматически отправлять подозрительные файлы в виртуальные «песочницы» – устройство Malware Analysis Appliance (собственную разработку Blue Coat) или систему стороннего разработчика, например, FireEye. Любые действия подозрительного файла в этой виртуальной среде (например, изменения реестра, попытки связаться с вредоносными веб-ресурсами, и т.п.) немедленно регистрируются и предоставляются в виде отчёта администратору безопасности, который затем принимает необходимые меры.
  • Пользователь может выбрать как физическую (т.е., сетевое устройство), так и виртуальную версию CAS, в соответствии с собственными потребностями.

Ещё одной сильной стороной Blue Coat является комплексный подход к информационной безопасности, что позволяет построить всестороннюю защиту сетевой инфраструктуры:

  • По данным рейтингового агентства Gartner, Blue Coat ProxySG является самым мощным прокси-сервером из существующих на рынке, благодаря множеству поддерживаемых протоколов, а также многочисленным «продвинутым» опциям. Наряду с большим набором поддерживаемых протоколов реализованы эффективные средства аутентификации и интеграции каталогов.
  • Облачные средства защиты Blue Coat включают в себя шлюзы IPsec, поддерживающие множество моделей мобильных устройств.
  • В сетях, работающих под высокой нагрузкой, эффективность антивирусного сканирования может быть улучшена благодаря кэшированию результатов предыдущих проверок.
  • Система облачной безопасности WebPulse позволяет делиться результатами проверок между всеми шлюзами ProxySG, связанными с устройствами CAS.
  • Подробнее об этих и многих других преимуществах и продуктах Blue Coat можно прочитать здесь.

Выводы

Постоянно нарастающий вал вредоносных программ – это тревожный сигнал, игнорировать который, в конечном счёте, будет себе дороже. Недели не проходит, чтобы мировые СМИ не сообщили об очередном взломе крупной корпорации или бизнеса, с сопутствующими многомиллионными потерями, как вследствие прямой кражи средств, так и из-за ухода и исков пострадавших клиентов. Стоит ли ждать, пока имя вашей компании появится на подобных передовицах?

Хотя ни одно решение для информационной безопасности действительно не может обеспечить тотальную защиту, это совсем не повод упрощать жизнь киберпреступнкам. Не раз и не два проверено: криминал предпочитает обходить стороной компании, развернувшие эффективную систему защиты от лидера рынка и следующие передовым практикам кибербезопасности – ведь вокруг полно более лёгкой добычи. Так что помните о Blue Coat и Content Analysis System – они не подведут.

Иван Якубович, старший специалист
департамента технологического лицензирования 
«Лаборатории Касперского»

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru