Традиционные шлюзовые антивирусы не способны защитить от сложных и таргетированных атак. Для этого нужны принципиально другие технологии анализа. В Blue Coat Content Analysis System при помощи технологий от «Лаборатории Касперского» удалось реализовать уровень защиты, ранее недоступный на уровне интернет-шлюзов. О том, что из этого вышло, расскажем в данной статье.

50 оттенков зловредства

Сегодня специалисты по информационной безопасности понимают, что  существующими методами борьбу с киберпреступностью не выиграть.

Не стоит думать, что мы хуже соображаем, хуже работаем, или хуже финансируемся, чем кибер-злодеи. Всё проще: сейчас даже не обязательно быть программистом или хакером, чтобы начать распространять вирусы и пожинать плоды неправедного труда. В Интернете полно хакерских форумов и «чёрных» магазинов приложений, где любой может купить кастомизированных троянцев или даже SDK для их разработки. Конечно, путь начинающего киберпреступника непрост и можно запросто самому лишиться денег, но это не останавливает толпы начинающих «хакеров», мечтающих о лёгкой наживе.

Поэтому, если называть вещи своими именами, индустрия информационной безопасности проигрывает кибервойну, потому что нас мало, а врагов - Легион. В индустрии кибербезопасности по всему миру работают десятки тысяч человек – умных, опытных, образованных специалистов.  В мире ежедневно обнаруживается более 315 000 новых уникальных образцов вредоносного ПО. И остановить подобный вал вредоносных программ в настоящее время практически невозможно – если только не отключить интернет или не запретить компьютеры, но гильотина как средство от головной боли автору этих строк не кажется оптимальным лекарством.

Впрочем, не всё так плохо. Главная тайна индустрии информационной безопасности – то, что совершенно необязательно быть на 100% защищённым, чтобы избежать 99,9% вирусов и попыток взлома.

В большинстве случаев это совершенно разумная идея. Подавляющее большинство преступников идут «на дело» с целью заработка. Поэтому при прочих равных условиях их целью станет наименее защищённая жертва – зачем тратить время и силы на взлом сложной системы безопасности, если рядом полно горе-бизнесменов, не пользующихся антивирусами и не признающих паролей длиннее шести символов? Поэтому первый совет любому человеку, которому есть что терять, – перестать быть лёгкой жертвой.Эволюция антивирусной защиты на уровне интернет-шлюза

Если ваш бизнес более технологичен, чем торговля укропом с лотка на колхозном рынке за наличные, то вы, несомненно, давно знаете, что все компьютеры и серверы, входящие в локальную сеть компании, должны быть защищены антивирусными решениями. Более того, поскольку вы сейчас читаете эту статью, рискнём предположить, что в вашей среде уже установлен комплекс «антивирус / межсетевой экран», который даже в одиночку способен нейтрализовать до 95% низкотехнологичных зловредов и попыток взлома.

Обладающие углублёнными знаниями о борьбе с киберугрозами также вспомнят о более современном подходе – многоуровневой защите, где, наряду с антивирусами на отдельных компьютерах, во всех точках входа в сеть извне установлены специальные интернет-шлюзы.

Преимущество наличия отдельного защищённого интернет-шлюза (Secure Web Gateway, SWG) заключается в том, что он, как правило, позволяет нейтрализовать инсайдерскую халатность или злой умысел – даже если сотрудник по какой-либо причине отключит антивирус на своём компьютере, шлюз всё равно сможет перехватить входящий вирус или пресечёт попытку соединиться с вредоносным сетевым ресурсом.

Буквально несколько лет назад этого было достаточно для обеспечения практически стопроцентной защиты от подавляющего большинства попыток взлома или заражения компьютеров. Увы, но теперь это не так: законы эволюции неумолимы и действуют даже в киберпространстве. Как широкое использование антибиотиков привело к появлению устойчивых к ним бактерий, так и хакеры, столкнувшись с эффективными средствами защиты, начали создавать вредоносные программы, специально «заточенные» на преодоление наиболее популярных антивирусных решений и фаерволов. А затем продавать их любому, готовому заплатить.

Осознавая эту проблему, Blue Coat, крупная компания-разработчик аппаратных и программных средств киберзащиты, создала продукт под названием Content Analysis System (система анализа контента, CAS) – первый представитель нового поколения защитных решений, сочетающий в себе традиционную пассивную защиту с более эффективными средствами обнаружения атак, их нейтрализации и устранения последствий.

Для создания ряда ключевых элементов CAS компания Blue Coat воспользовалась опытом и экспертизой своего технологического партнёра, «Лаборатории Касперского» – одного из самых уважаемых в мире производителей решений в области кибербезопасности. CAS реализована как в виде физического сетевого устройства, так и как виртуального, с идентичными характеристиками.

Сравнение ниже позволяет оценить отличие между CAS и традиционным антивирусом на шлюзе.

Таблица 1. Сравнение Blue Coat Content Analysis System и традиционного антивируса на шлюзе

Естественно, CAS включает в себя все «традиционные» меры безопасности – сканирование на вирусы всего входящего/исходящего трафика и блокирование попыток соединиться с веб-ресурсами, входящими в «чёрный список». Но наряду с ними, новое решение Blue Coat обладает рядом новых возможностей, которые ранее никогда не были реализованы на сетевом шлюзе.

С помощью Blue Coat Content Analysis System – в сочетании с Malware Analysis Appliance (устройством для анализа вредоносных программ) и шлюзом Blue Coat Proxy SG возможно автоматизировать защиту от сложных типов угроз на шлюзе.Особенности Blue Coat Content Analysis System

Целью Blue Coat было построить систему, которая могла бы не только блокировать известные угрозы, но и реализовать политику «белых списков», а также оценивать вредоносный потенциал неизвестных файлов. Последнее особенно актуально, если учесть, что сегодня на свет ежедневно появляется порядка 315 000 уникальных вредоносных программ. Аналогичные решения для Windows-платформ существуют уже пару лет, но, собрав все эти эффективные средства безопасности в одном сетевом устройстве, – а значит, обеспечив возможность защитить не один компьютер, а сразу целую сеть – компания Blue Coat создала ценнейший инструмент, позволяющий бороться как с традиционными, так и с таргетированными атаками.

Давайте рассмотрим, каким образом новые возможности Blue Coat CAS позволяют обеспечить безопасность корпоративных сетей и данных. Сама Blue Coat описывает свой трёхсторонний подход следующим образом:

• Интеллектуальная глубокая защита. Координированное применение белых списков приложений и антивирусного сканирования одним или двумя движками блокирует известные угрозы и выявляет неизвестный контент, который затем направляется на более глубокий анализ. Данный эффективный и масштабируемый подход обеспечивает обнаружение вредоносного ПО, в том числе, неизвестного, реализуя быструю и высокопроизводительную защиту от разнообразных угроз.
• Координированный анализ вредоносных программ: Будучи посредником между несколькими «песочницами», Content Analysis System одновременно отправляет неизвестные или подозрительные файлы в Blue Coat Malware Analysis Appliance (устройство для анализа вредоносного ПО), а также «песочницы» сторонних производителей. Это позволяет предприятиям оптимизировать существующую сетевую инфраструктуру, обеспечивая глубокую и комплексную защиту от вредоносного ПО.
• Защита для всей сети заказчиков: Новые данные, полученные в результате анализа неизвестных и комплексных угроз, передаются устройствам Blue Coat ProxySG, что позволяет автоматически блокировать новые угрозы на уровне шлюза. При этом платформа Security Analytics Platform строит комплексные профили угроз и оценивает полный масштаб атаки. Полученная информация автоматически распространяется по всей сети заказчиков Blue Coat, которая включает в себя более 15 000 компаний и организаций по всему миру.

Чтобы лучше понять, как работает этот подход, сначала нужно представить, как сетевые угрозы используют уязвимость традиционных средств защиты для проникновения сквозь периметр сети, и как в подобной ситуации ведёт себя CAS.

Таблица 2. Отличия в уровне защиты между Content Analysis System и традиционным антивирусом на шлюзе

Почему именно Blue Coat?

Основанная в 1996 году, компания Blue Coat всегда находится на переднем крае борьбы с самыми сложными и коварными кибергурозами. Благодаря собственной экспертизе и поддержке технологических партнёров – в том числе, «Лаборатории Касперского» – Blue Coat демонстрирует бескомпромиссную приверженность своей миссии – обеспечить безопасность компьютерных сетей и данных своих заказчиков.

Хотя ни одно существующее на свете решение не может гарантировать стопроцентную защиту от любых угроз, именно экосистема безопасности Blue Coat, как мы полагаем, даёт пользователям лучшие шансы отразить подавляющее большинство современных кибератак.

При этом нужно уточнить, что Content Analysis System не работает в одиночку – она должна функционировать в сочетании с защищённым шлюзом Blue Coat ProxySG, а для максимальной эффективности сетевая инфраструктура также должна себя включать устройства Security Analytics Platform (аналитическую платформу безопасности) и Malware Analysis Appliance (устройство анализа вредоносного ПО).

Рисунок 1. Схема работы Content Analysis System в связке с другими продуктами Blue Coat

В рамках данной экосистемы CAS реализует набор функций, с которым пока что не может состязаться ни один из конкурентов Blue Coat:

• CAS использует сервис белых списков от «Лаборатории Касперского» – Kaspersky Whitelisting service, первый в мире продукт этого типа, получивший одобрение от AV-Test.org, независимой немецкой компании-тестировщика решений в области кибербезопасности. Сервис белых списков предназначен для классификации файлов, которые могут показаться подозрительными, но на самом деле являются безопасными. Иными словами, каждый проходящий через шлюз исполняемый файл или скрипт сравнивается с регулярно обновляемым списком, и, если совпадение обнаруживается, файл пропускается через шлюз без дополнительной антивирусной проверки. Это позволяет пользователю либо полностью запретить передачу любого активного контента, безопасность которого не гарантирована на все 100%, либо, в сетях и сегментах с менее строгими требованиями к безопасности, значительно улучшить пропускную способность шлюза, отказавшись от сканирования заведомо безопасных файлов.
• Партнёрская стратегия Blue Coat позволила внедрить в Content Analysis System антивирусные решения лучших мировых производителей, чтобы создать надежную защиту. Передовой антивирусный движок от «Лаборатории Касперского», признанный лучшим в мире антивирусным продуктом по данным десятков независимых тестов, в сочетании с движком от одного из двух других именитых разработчиков, обеспечивают более надёжную защиту, чем даже антивирус для рабочих станций. При этом необходимо уточнить, что одновременное использование двух антивирусов снижает пропускную способность шлюза примерно на 30%, так что данный подход оправдан только в самых критичных средах и приложениях.
• CAS может автоматически отправлять подозрительные файлы в виртуальные «песочницы» – устройство Malware Analysis Appliance (собственную разработку Blue Coat) или систему стороннего разработчика, например, FireEye. Любые действия подозрительного файла в этой виртуальной среде (например, изменения реестра, попытки связаться с вредоносными веб-ресурсами, и т.п.) немедленно регистрируются и предоставляются в виде отчёта администратору безопасности, который затем принимает необходимые меры.
• Пользователь может выбрать как физическую (т.е., сетевое устройство), так и виртуальную версию CAS, в соответствии с собственными потребностями.

Ещё одной сильной стороной Blue Coat является комплексный подход к информационной безопасности, что позволяет построить всестороннюю защиту сетевой инфраструктуры:

• По данным рейтингового агентства Gartner, Blue Coat ProxySG является самым мощным прокси-сервером из существующих на рынке, благодаря множеству поддерживаемых протоколов, а также многочисленным «продвинутым» опциям. Наряду с большим набором поддерживаемых протоколов реализованы эффективные средства аутентификации и интеграции каталогов.
• Облачные средства защиты Blue Coat включают в себя шлюзы IPsec, поддерживающие множество моделей мобильных устройств.
• В сетях, работающих под высокой нагрузкой, эффективность антивирусного сканирования может быть улучшена благодаря кэшированию результатов предыдущих проверок.
• Система облачной безопасности WebPulse позволяет делиться результатами проверок между всеми шлюзами ProxySG, связанными с устройствами CAS.
• Подробнее об этих и многих других преимуществах и продуктах Blue Coat можно прочитать здесь.

Выводы

Постоянно нарастающий вал вредоносных программ – это тревожный сигнал, игнорировать который, в конечном счёте, будет себе дороже. Недели не проходит, чтобы мировые СМИ не сообщили об очередном взломе крупной корпорации или бизнеса, с сопутствующими многомиллионными потерями, как вследствие прямой кражи средств, так и из-за ухода и исков пострадавших клиентов. Стоит ли ждать, пока имя вашей компании появится на подобных передовицах?

Хотя ни одно решение для информационной безопасности действительно не может обеспечить тотальную защиту, это совсем не повод упрощать жизнь киберпреступнкам. Не раз и не два проверено: криминал предпочитает обходить стороной компании, развернувшие эффективную систему защиты от лидера рынка и следующие передовым практикам кибербезопасности – ведь вокруг полно более лёгкой добычи. Так что помните о Blue Coat и Content Analysis System – они не подведут.

Иван Якубович, старший специалист
департамента технологического лицензирования 
«Лаборатории Касперского»