Средства для периметральной защиты от вредоносного кода, доступные на украинском рынке
Одним из наиболее важных элементов как периметральной, так и внутренней защиты ИТ-инфраструктур современных компаний являются корпоративные антивирусные решения. На украинском рынке программного обеспечения представлены разработки крупнейших мировых компаний, позволяющих реализовать защиту от вредоносного кода в средних и крупных отечественных предприятиях.
 |
Разработчики, представляющие на украинском рынке корпоративные антивирусные средства предлагают решения для обеспечения большинства критичных узлов сетей средних и крупных компаний от атак вирусов, червей, шпионских программ и другого вредоносного кода. Отличительной чертой этих решений является также необходимость оперативного контроля и управления средствами ИТ-защиты, работающих в крупной корпоративной сети. Для реализации этих функций разработчики поставляют дополнительный инструментарий, обычно реализованный в форме администраторской консоли управления.
Большинство корпоративных антивирусных решений способны интегрироваться с работающими в компании информационными средами, что является одним из наиболее важных моментов в процессе создания целостной ИТ-инфраструктуры предприятия.
Kaspersky Corporate Suite
Как и разработки других компаний, Kaspersky Corporate Suite является набором продуктов, способных объединяться в единую систему корпоративной защиты от вредоносного кода. Состоит из нескольких категорий программных продуктов, позволяющих защищать отдельные элементы ИТ-инфраструктуры (рабочие станции, файловые и почтовые серверы, карманные компьютеры) и взаимодействовать с другими элементами информационной защиты. Также в составе Kaspersky Corporate Suite может быть поставлен Kaspersky Administration Kit — инструментарий для дальнейшего управления построенной антивирусной системой.
Защита рабочих станций реализована при помощи программного продукта, который позволяет также предохранять компьютеры от сетевых атак, угроз, исходящих из электронной почты, офисных документов и скриптов. Дополнительными возможностями модуля является исключение некоторых процессов из списка проверки, что позволяет существенно снизить потребление вычислительных ресурсов и потребление энергии мобильными компьютерами.
Модули защиты рабочих станций могут работать на компьютерах как под управлением Windows, так и под Linux.
Задачей модулей защиты файл-серверов является сканирование запущенных процессов и дисковых областей на предмет обнаружения вредоносного кода. Осуществлять проверку этот модуль может как по расписанию, так и по требованию администратора. Решение способно сканировать и лечить файлы, архивированные при помощи большинства известных механизмов, а также — защищать серверы от вредоносных скриптов благодаря технологии Script Checker, которая интегрируется в качестве фильтра, обрабатывающего код прежде, чем передать его на исполнение.
В модулях защиты файловых серверов использованы фирменные механизмы iChecker и iStreams, которые значительно повышают производительность решения, и система оповещения при атаках вредоносного кода. Продукт работает в среде Windows, Novell NetWare, Linux/Unix, Samba Server.
В состав Kaspersky Corporate Suite входят также пакеты для защиты корпоративных почтовых серверов, работающих как под Windows, так и под Linux/Unix. В первом случае антивирус может быть интегрирован в среду Microsoft Exchange или Lotus Notes/Domino и проверять как почтовый трафик (“на лету”), так и базы данных. Под Linux/Unix модуль способен работать с почтовыми серверами Sendmail, Qmail, Postfix, Exim и Sendmail с Milter API.
Kaspersky Corporate Suite может быть также интегрирован в комплексы по защите информационного периметра компаний. В качестве одной из “площадок” для этой интеграции может быть использован Microsoft ISA Server 2004 Enterprise Edition, решение, являющееся фильтром HTTP- и FTP-трафика. Модуль, работающий с ISA Server, способен определять режим его работы (Firewall, Proxy или Integrated) и использовать соответствующий набор инструментов.
Функции такого фильтра Corporate Suite может выполнять и самостоятельно, будучи интегрированным в CheckPoint Firewall. В режиме реального времени решение способно анализировать HTTP-, FTP- и SMTP-трафик, выделять и проверять находящиеся в нём потенциально опасные объекты. Более функциональным является Kaspersky Security для Microsoft Exchange Server 2003. Кроме защиты от вредоносного кода это решение способно осуществлять фильтрацию нежелательной почты, используя также механизмы Exchange 2003/Outlook 2003.
Составляющей Kaspersky Corporate Suite также является модуль защиты наладонных компьютеров. Он способен обеспечивать оберегать КПК от проникновения вредоносного кода при передаче файлов и синхронизации, сканировать внутреннюю память и флэш-карты, обновлять антивирусные базы, а также защищать информацию в устройстве от несанкционированного доступа. Модуль работает с устройствами Pocket PC, Palm OS и Microsoft Smartphone 2002/Windows Mobile 2003.
Управляющим механизмом, поставляемым с Kaspersky Corporate Suite, является Administration Kit. Этот инструментарий позволяет централизованно управлять корпоративной антивирусной защитой, удалённо устанавливать и настраивать антивирусные продукты “Лаборатории Касперского” на рабочие места под управлением Windows, обновлять программные модули и сигнатурные базы, собирать и анализировать отчёты с рабочих станций и серверов, настраивать модель реакции на инциденты. “ЛК” предлагает также набор курсов обучения этому продукту для системных администраторов.
Symantec AntiVirus Enterprise Edition
 |
Традиционно объектами защиты являются серверы, рабочие станции, интернет-шлюзы, среды Domino и Exchange. Решение способно фильтровать на предмет наличия вредоносного кода HTTP- и FTP-трафик на шлюзах, блокировать нежелательное содержимое и инфицированные аттачменты в электронной почте, выявлять, лечить или удалять вирусы, черви, шпионское ПО в файловых хранилищах серверов и рабочих станций. Дополнительными функциями пакета является возможность выявления аномалий в почтовом трафике и блокировка массовых нежелательных рассылок.
Решение состоит из нескольких программных продуктов, защищающих отдельные структурные элементы. В их числе — консоль управления антивирусной защитой компании, позволяющая администраторам удалённо инсталлировать пакеты, создавать политики борьбы с угрозами, выявлять бреши в защите сети, обновлять сигнатурные базы, а также создавать шаблоны настроек продуктов для быстрой установки необходимого уровня защиты каждого из элементов.
В составе консоли управления разработчики предоставили инструментарий, который, по их мнению, способен существенно снизить стоимость владения антивирусным решением и снизить потребление вычислительных ресурсов компании.
Защита корпоративных сред Domino/Exchange реализована при помощи решения Symantec Mail Security (входит в состав AntiVirus Enterprise Edition), которое позволяет администраторам удалённо создавать правила поведения системы при выявлении потенциальных угроз, обновлять исполняемые модули и сигнатурные базы без остановки сервисов, блокировать опасные объекты, как во вложениях, так и в теле письма. Также существует версия этого решения для работы с другими корпоративными почтовыми серверами.
Функции фильтрации web-трафика выполняет входящее в AntiVirus Enterprise Edition решение Symantec Web Security. Контролируя HTTP- и FTP-трафик на интернет-шлюзе, Web Security может использовать эвристические и контекстные анализаторы для выявления скрытых угроз. Особенностью этого решения является возможность интеграции с корпоративными сервисами. Такими, например, как защита сотрудников, работающих с использованием безопасных SSL-соединений с внешними сервисами (LDAP, Active Directory и пр.).
В качестве дополнительного модуля к Symantec AntiVirus Enterprise Edition можно приобрести Symantec Premium AntiSpam. Согласно оценкам Yankee Group, этот аддон является одним из лучших в отрасли и позволяет отсеивать 95% спама при 99.9999% вероятности ложных срабатываний.
Symantec AntiVirus Enterprise Edition способен работать с Winodws- и Novell NetWare-сетями, серверами под 64- и 32-битными версиями Winodws, Sun Solaris, а также защищать рабочие станции под управлением операционных систем Microsoft.
McAfee System Protection
Как и решения “Лаборатории Касперского” и Symantec, корпоративный антивирус от McAfee состоит из отдельных пакетов, защищающих определенные элементы инфраструктуры. Для интеграции этих пакетов в единое решение в его составе может быть предоставлен программный продукт ePolicy Orchestrator, способный управлять защитой, как всей инфраструктуры, так и отдельных её элементов. В отличие от других продуктов, он способен работать с антивирусными решениями других производителей. Функциональность ePO позволяет системным администраторам сканировать ИТ-инфраструктуру компании для обнаружения установленного ПО и заплаток на рабочих станциях и серверах, удалённо устанавливать программные продукты, генерировать графические отчёты, создавать карантинные зоны, оперативно управлять корпоративными политиками безопасности.
Набор инструментов для реализации корпоративной информационной защиты, предлагаемый компанией, обеспечивает отдельный подход к большинству элементов ИТ-инфраструктуры. Так, например, McAfee является едва ли не единственным крупным разработчиком, представившим на украинский рынок производительные средства для антивирусной защиты фильтров NetApp.
Основным решением для защиты рабочих станций и файл-серверов, предлагаемым компанией, является VirusScan Enterprise 8.0i, который ориентирован на Windows-платформу. Кроме обычной сигнатурной защиты этот пакет реализует линейку дополнительных защитных механизмов, которые закрывают пути проникновения и распространения вредоносного кода в корпоративной сети. Такой подход позволяет без использования сигнатур исключать возможность заражения системы вирусами, использующими популярные бреши (такие как, например, переполнение буфера), способен обнаруживать аномальную активность приложений, выявлять необоснованные обращения к файлам с ключевой информацией (пароли, registry и пр.). Разработчики предусмотрели защиту от кода, использующего бреши в системе безопасности более 20 популярных сервисов и приложений, входящих в состав Windows, MS Office (Internet Explorer, Word, Outlook) и пр.
Эти механизмы позволяют устранять некоторые угрозы ещё до выхода сигнатурных баз. Для этих целей в решении предусмотрены фильтры для мониторинга и “умного” блокирования портов (как в брандмауэре), почтовых машин, файлов или папок, а также общего доступа к этим ресурсам, отслеживания инфекций для последующего их устранения. Особое внимание разработчики обратили на защиту от инфраструктурных угроз, таких как SQLSlammer. Решение способно производить мониторинг почтового трафика в средах, работающих под управлением Exchange и Domino. Реализована защита от скрипт-атак, активно использующихся в червях (Nimda, LoveLetter). Решение оптимизировано для работы на мобильных компьютерах.
Корпоративные заказчики, использующие в своих сетях не-Windows серверы и рабочие станции, могут воспользоваться решениями Virex for Macintosh, LinuxShield, NetShield for NetWare.
Для корпоративных сред, в которых используется Microsoft SharePoint, McAfee предлагает разработку, которая обеспечивает всестороннюю защиту информации и контента. McAfee PortalShield является решением, позволяющим обнаруживать вредоносный код в трафике и хранилищах, а также управлять контентом (индексирование и пр.).
В числе угроз, которые способно обнаруживать PortalShield, атаки DDoS (distributed denial-of-service), бэкдор, скрытые средства удалённого администрирования, сети-зомби и пр.
Та , музыка, видео) для более эффективного распределения ресурсов.
Для защиты интернет-шлюзов McAfee предлагает два решения: универсальное — McAfee WebShield SMTP, и специализированное — McAfee SecurityShield for Microsoft ISA Server. Оба позволяют бороться с вредоносным кодом (в текстах писем, вложениях) и с нежелательной почтой. Решения способны обнаруживать вирусы, макро-вирусы, черви, трояны, вредоносные ActiveX и Java-приложения.
Как и “Лаборатория Касперского”, McAfee уделяет значительное внимание защите мобильных устройств. McAfee Mobile Security for Carriers способно обнаруживать и устранять угрозы, исходящие из электронной почты, сервисов мгновенных сообщений, SMS, MMS, загрузок из интернета, сканировать трафик во время сеансов связи через Wi-Fi и Bluetooth.
