По данным аналитических агентств, более 70 % всех угроз, которым подвержены корпоративные интернет-ресурсы, вызваны сетевыми атаками, причём большинство из них представляют распределённые атаки DDoS (Distributed Denial of Service). Основным отличием таких атак является сравнительно низкая эффективность противодействия им стандартных средств защиты серверов услуг.
 Семейство решений McAfee IntruShield |
Мишенями DDoS часто становятся центры обработки данных, содержащие ценную корпоративную информацию. В связи с этим значительная часть бюджетных ресурсов компаний направляется на обеспечение безопасности её сетевых активов. Кроме того, сотрудники компаний, использующих интернет в рабочих целях, не застрахованы от вирусов и интернет-червей, которые нередко проникают даже в сегменты «доверенных» сетей.
Чтобы избежать подобных проблем, многие компании добавляют в состав своих сетей системы предотвращения вторжений (Intrusion Prevention Systems, IPS). Их работа основана на статистическом анализе трафика, проходящего через устройство-сенсор. Вся корпоративная сетевая активность анализируется на предмет появления сетевых аномалий. По словам Константина Здыбеля, ведущего специалиста по продукции McAfee компании «Бакотек», некоторые атаки представляют собой последовательность разрешённых действий, которые, тем не менее, приводят к сбою услуги. Стандартными функциями защиты, такими как антивирус или firewall, распознать атаку такого типа невозможно, однако устройства IPS, отталкиваясь от введённого «сценария» вредоносных действий, способны различить аномалию и заблокировать атаку до того, как она успеет причинить вред.
Подход к разработке систем предотвращения вторжений с годами всё более становится похож на процесс разработки антивирусов. Многие известные производители IPS производят сигнатуры для своих устройств на основе разработок ведущих антивирусных компаний. Компания McAfee, известная своими антивирусными решениями, представила на рынке Украины системы IPS собственного производства.
Устройства семейства IntruShield включают в себя средства анализа аномалий в работе сетевых приложений и протоколов на основе сигнатур, а также алгоритмы shell-code, позволяющие выявлять атаки, использующие вредоносный код. Сенсоры выполняют проверку трафика с разбором протоколов до 7 уровня, что позволяет блокировать атаки в реальном времени, не затрагивая при этом полезный трафик. Устройства способны защищать как от открытых, так и от зашифрованных атак.
В устройствах применяется технология дешифровки и проверки данных, защищённых протоколом SSL. Также в сенсоры интегрирована система защиты от вредоносного ПО: принудительного показа рекламы, номеронабирателей, взломщиков паролей и программ дистанционного управления. В устройствах реализована защита веб-клиентов, что позволяет предотвратить загрузку нежелательных программ и в целом обеспечить защиту сети от несанкционированного доступа. Благодаря встроенной технологии «Защита инфраструктуры», сенсоры предупреждают атаки, представляющие угрозу для элементов сетевой инфраструктуры предприятия: маршрутизаторов, коммутаторов, брандмауэров и DNS-серверов.
В базовой конфигурации все устройства выполняют функцию «блокирование по умолчанию», в которой реализована политика «рекомендовано к блокированию». Она строится на основе сигнатур, регулярно обновляемых с сервера производителя, и позволяет осуществлять проактивную защиту от различных типов атак. Ввод в действие новых сигнатур осуществляется без перезагрузки или остановки работы сенсора, таким образом исключается простой сети во время обновления. Управление политиками может осуществляться через веб-интерфейс. Клиентское ПО, предназначенное для управления сенсорами IntruShield, поставляется с бесплатной лицензией на управление двумя сенсорами. Также допускается интеграция устройств с базами пользовательских профилей LDAP, TACACS, RADIUS и получение прав администратора из общей базы данных компании.
В устройствах реализована функция автоматического восстановления после сбоев, которая постоянно отслеживает корректность работы сенсора. При выявлении неполадок она производит восстановление сохранённой ранее конфигурации. Гибкость настройки IntruShield обеспечивается благодаря наличию возможностей виртуализации. Устройство поддерживает конфигурацию до 100 виртуальных сенсоров, на каждом из которых возможно активировать отдельную политику. Пропускная способность устройств линейки IntruShield составляет от 100 Мбит/c до 10 Гбит/c для старшей модели.
По словам г-на Здыбеля, компания McAfee обеспечивает круглосуточную техническую поддержку по телефону, электронной почте, а также через виртуальный центр поддержки на портале. Гарантия распространяется на все аппаратные элементы решения.
