По мере интеграции в бизнес новых возможностей Веб 2.0 ИТ-департамент уже не может ограничивать доступ пользователей к новым технологиям путем тривиальных запретов. В то же время, чтобы оценить преимущества Веб 2.0 для корпоративной среды, организациям нужно быть уверенными в том, что важная деловая информация находится под надежной защитой.
Всемирная сеть остается вектором номер один для атак
Едва ли не еженедельно увеличивается число изощренных и тщательно спланированных атак. Веб-серверы все чаще атакуются через перманентные уязвимости «Межсайтовое выполнение сценариев» (Cross-site Scripting, XSS), атаки типа SQL injection и DNS cache-poisoning. Однако источниками угроз являются как внешний мир, так и собственные сотрудники. Каждый день появляются новые вредоносные сайты, а подверженные атакам популярные сайты периодически оказываются зараженными.
Кто из пользователей ни разу ни ошибался при вводе URL-ссылки в веб-браузере? Достаточно перепутать одну букву, и серфер рискует попасть на страницу весьма сомнительного содержания. По статистике, более 80% из сотен миллионов существующих сегодня веб-русурсов являются спамерскими, фишинговыми, сайтами-однодневками или оскорбительного содержания.
Есть и другая сторона пользования Всемирной сетью. Многие сотрудники просто не в состоянии проконтролировать свое поведение в интернете. Помимо социальных сетей (таких как «В контакте», «Одноклассники»), есть масса других ресурсов, в которых может найти информацию себе по душе человек любой ментальности. Фактически для людей, активно работающих с компьютером, интернет сегодня играет более важную роль, чем телевидение: он поглощает огромное количество времени, в том числе и рабочего.
Таким образом, компания сталкивается со следующими угрозами в результате предоставления доступа своим сотрудникам в интернет:
• сбои в работе ПК или корпоративной сети в результате заражения вирусами от неблагонадежных или скомпрометированных сайтов;
• утечка коммерческой информации через каналы интернета;
• снижение пропускной способности интернет-канала в связи с использованием его не по назначению;
• уменьшение продуктивности сотрудников по причине нецелевого расходования рабочего времени.
В каждом популярном браузере обнаружились уязвимости, множество брешей было обнаружено в рамках различных мультимедиа-форматов, таких как Flash, QuickTime, Real Player и Adobe Reader. Многие хакеры атакуют всемирную сеть через скомпроментированные веб-сайты посредством SQL-инъекций или путем взлома файлов DNS-зоны и перенаправления DNS на выбранные ими машины.
Наблюдается значительное увеличение числа ложных антивирусов, которые пытаются ввести в заблуждение пользователя, сообщая ему, что во время посещения веб-сайта его ПК был инфицирован. Далее фальшивый антивирус информирует пользователя, что только с помощью этой программы можно вычистить вредоносный код из системы. Такой подложный инструмент устанавливает adware на компьютер, ворует конфиденциальную банковскую информацию или превращает ПК в бот. При этом пользователь уверен в том, что он очистил свою систему от инфекции.
Cross-site Scripting. В результате XSS-атаки атакующий передает серверу исполняемый код, который будет перенаправлен браузеру пользователя. Обычно такой код создается на языках HTML/Javascript, но могут быть также использованы VBScript, ActiveX, Java, Flash, или другие поддерживаемые браузером технологии.
Переданный код исполняется в зоне безопасности уязвимого сервера. Таким образом, вредоносная программа получает возможность читать, модифицировать или передавать различные данные, доступные с помощью браузера. Код может передаваться злоумышленником в URL, в заголовках HTTP-запроса (Cookie, User-agent, Referrer), значениях полей форм и т.д.По данным многих независимых исследований, уязвимость XSS является едва ли не самой распространенной, она присутствует почти в 60% проанализированных сайтов.
DNS cache-poisoning. Атака класса DNS cache-poisoning построена на базе генерации фальшивых DNS-запросов. Дело в том, что когда пользователь запрашивает DNS-сервер, запросу присваивается идентификационный номер (от 0 до 65535), создаваемый генератором псевдослучайных чисел. Сервер использует тот же номер для отклика, содержащего запрашиваемую информацию.
Однако генератор псевдослучайных чисел несовершенен. Кроме того, 65535 вариантов явно мало для защиты от злоумышленника. Теоретически хакер может предугадать номер и сформировать фальшивый отклик. Пользователь, введя обычный адрес, перейдет совсем на другой сервер — например, на фиктивный сервер интернет-магазина. Хакер может заставить и пользовательскую почту проходить через свой ресурс. При этом запрос остается в кэше DNS-сервера до следующего обновления. То есть результат взлома будет наблюдаться в течение как минимум нескольких часов.
SQL injection. Этот тип атак применяется для несанкционированного доступа к информации, находящейся в базе данных сайта.
Веб 2.0 — партнер или угроза?
В прошлом значительная доля ресурсов Всемирной сети была статичной и предсказуемой. Сегодняшняя реальность – это динамический веб-контент, который создается и изменяется пользователями, даже на так называемых «доверенных» сайтах. Самые популярные ресурсы, которые генерируют наибольшее количество трафика и активнее всего используют динамический контент Веб 2.0, также являются наиболее уязвимыми для атак. Так, согласно исследованию Websense, проведенному еще в первой половине 2008 г., более 60% сайтов, входящих в список 100 самых посещаемых ресурсов, содержали вредоносный контент либо скрытые механизмы перенаправления на сайты повышенного риска.
Динамический контент Веб 2.0 не может отслеживаться существующими технологиями безопасности, такими как базы данных репутаций и системы URL-фильтрации. Это ставит перед отделами информационной безопасности сложную задачу: предоставить сотрудникам возможность использования мощного потенциала второго поколения Веба и, в то же время, обеспечить безопасность сети, рабочих мест и корпоративных данных.
Пути решения проблемы
Необходимо заметить, что управление доступом в интернет мало чем отличается от управления другими корпоративными ресурсами. Понятно, что сотрудники будут злоупотреблять доступом в интернет, если его никак не ограничить. Наиболее действенным будет следующий комплекс организационных и технических мер:
• развернуть технические средства управления доступом к веб-ресурсам;
• обеспечить контроль соблюдения политики доступа пользователями.
Первая мера позволяет позволяет принудительно ограничить веб-серфинг сотрудниками рамками принятой компанией политики, вторая дает возможность ИТ-администратору получать детальный отчет и распределении израсходованного трафика. Несомненно, что дисциплина повысится, если еженедельно предоставлять сотруднику и его руководителю персональный отчет о посещенных пользователем веб-ресурсах с указанием даты и времени.
Штатные и коммерческие средства анализа веб-контента
Для контроля доступа в интернет можно воспользоваться средствами обычного прокси-сервера, который наверняка применяется в каждой компании. Однако в этом случае системным администраторам придется вести достаточно большой перечень посещаемых веб-сайтов. Обычно в компании разрешают своим сотрудникам все веб-ресурсы, кроме небольшого перечня сайтов, пользующихся популярностью. Есть и другой, более жесткий вариант: запретить доступ ко всем веб-ресурсам, кроме некоторого количества сайтов, необходимых для бизнеса.
Однако более оптимально задачу постоянного категорирования миллионов веб-сайтов переложить на плечи разработчика средств контроля доступа в интернет. Подобные решения сегодня выпускают многие ведоры в области безопасности: Clearswift, CheckPoint, GFI Software, McAfee, Websense и другие.
Эти производители сформировали и поддерживают свои базы фильтрации, в которых перечислены миллионы сайтов, каждому из которых присвоена репутация и одна из целевых категорий, соответствующих предназначению сайта. Например: новостные, поисковые порталы, веб-почта, сайты, посвященные информационным технологиям, социальные сети, сайты-анонимайзеры. Такие решения прекрасно встраиваются в существующую инфраструктуру компании, автоматизируют управление доступом пользователей в интернет, защищают корпоративную сеть компании и предоставляют удобные инструменты формирования итоговых отчетов о целевом/нецелевом использовании веб-ресурсов.
С помощью подобных систем для анализа динамического контента в реальном времени подразделения ИБ могут обеспечивать доступ к новейшим инструментам и приложениям Веб 2.0, одновременно ограждая сеть организации от атак. Это позволяет организациям оптимально применять технологии Веб 2.0 без угрозы для бизнеса.
Рентабельность систем анализа веб-трафика
Финансовый эффект от применения коммерческих систем веб-фильтрации заключается как в надежной защите бизнес-среды от различных веб-угроз, так и в возможном сокращении непродуктивного использования рабочего времени сотрудников. Если предположить, что среднемесячная зарплата офисного работника составляет $700, то серфинг в течение 10 часов в неделю обходится компании в $2200 за год на одного работника. Естественно внедрение ПО для веб-фильтрации обойдется компании в десятки раз дешевле.
Кроме того, компания получает дополнительную защиту от внешних угроз и выгоду за счет непрерывности бизнеса и уменьшения объема работы системных администраторов, потраченного на восстановление после сбоев. Ведь после внедрения подобных систем количество проникающих из интернета угроз и заражений резко снижается.
Подход компании Clearswift
MIMEsweeper for Web
Корпоративная система предотвращения проникновения угроз в ИT-среду компании через HTTP-трафик. Останавливает проникновение вирусов, троянского кода, spyware и adware через HTTP-соединения. MIMEsweeper for Web анализирует веб-контент и блокирует страницы или файлы, которые запрещены политиками безопасности компании. Каждая веб-страница или загружаемый документ проходят пять различных стадий анализа, плюс стадия URL-фильтрации.
Среди ключевых возможностей: полная проверка входящего и исходящего веб-трафика на базе технологии MIMEsweeper; продвинутый URL-фильтр; комплексная защита Web 2.0; легкая интеграция с лучшими мировыми антивирусными средствами, такими как Command Software Systems, F-Secure, Avira (H+BEDV), Kaspersky, McAfee, Norman, Sophos и Symantec; мощная система отчетности и мониторинга использования интернет-ресурсов.
MIMEsweeper for SMTP
MIMEsweeper тщательно проверяет все содержимое элетронной почты и останавливает все виды угроз (вирусы, спам, вредоносный код, adware) на SMTP-шлюзе еще до начала их вредоносного действия.
Продукт обеспечивает централизованное управление и систему отчетности, управление всеми почтовыми шлюзами с центральной консоли и эвристическую защита от Zero-Day атак. Беспрецедентная масштабируемость: от 50 до 100000 пользователей в защищаемом периметре.
Подход компании Websense
Компания Websense анализирует как контент, так и контекст интернета с помощью технологии ThreatSeeker Network и использует полученные данные для обновлений всех своих решений по безопасности. Решения Websense сканируют трафик на уровне шлюзов с использованием технологии ThreatSeeker и обеспечивают динамическую адаптивную защиту от новых угроз и классификацию неизвестного контента. Анализ контента в реальном времени сочетается с мощными средствами защиты от вредоносных программ, защиты на основе репутации и фильтрации URL. Решения Websense превентивно блокируют вредоносный контент до того, как традиционные ИБ-решения смогут его обнаружить.
Websense ThreatSeeker Network
Адаптивная технология безопасности Websense ThreatSeeker Network использует свыше 50 млн. активных систем сбора данных, которые проводят непрерывный мониторинг угроз в интернете, в том числе в его новом динамическом контенте. Информация, собранная и проанализированная сетью Websense ThreatSeeker Network, распространяется по установленным решениям защиты Web Security, Messaging Security и Data Security. В результате решения Websense адаптируется к стремительным изменениям интернета быстрее, чем традиционные решения безопасности веб и электронной почты.
Websense Web Security Gateway
Websense Web Security Gateway расширяет возможности продуктов Websense Web Security и Websense Web Filter функциями сканирующего прокси-сервера для анализа веб- и SSL-трафика. Это дает возможность не только мгновенно определять категории новых сайтов и динамического контента, но и обнаруживать новейшие угрозы безопасности в реальном времени, блокируя враждебный код. Websense Web Security Gateway включает в себя модули Active Security и Content Gateway.
Модуль Active Security реализует на интернет-шлюзе аналитические возможности технологии ThreatSeeker, позволяющие обнаруживать, блокировать или удалять вредоносный код до того, как он попадает во внутреннюю сеть организации. Мощные средства эвристического анализа, правила, сигнатуры и методы поведенческого обнаружения интегрированы в глобальную сеть мониторинга ThreatSeeker Network, обеспечивающую постоянные обновления для клиентов для детектирования новейших угроз.
Модуль Content Gateway обеспечивает прямую классификацию нового контента и возможность проверки SSL-трафика. Этот модуль использует мощную платформу веб-кэширования и способен обнаруживать попытки обхода прокси-серверов, материалы для взрослых, хакерские сайты и т. д., защищая пользователей от потенциальных рисков, связанных с новым неизвестным веб-контентом.
Websense Web Security Gateway сочетает в себе мощные средства веб-безопасности и непревзойденную легкость в управлении и эксплуатации. Интуитивная панель управления обеспечивает мгновенную обратную связь для администраторов по текущему уровню безопасности, обнаружению угроз, загруженности канала и активности пользователей. Интегрированная консоль управления политиками и отчетности значительно сокращает TCO решения, а возможности делегирования прав по администрированию и отчетности – существенно повышают масштабируемость. Продукт Web Security Gateway содержит функционал Web Security и Web Filter.
Websense Web Security
Продукт Websense Web Security (прежнее название – Websense Web Security Suite) сочетает в себе передовые возможности фильтрации URL и широкий набор средств веб-безопасности. Это решение включает в себя службы веб-репутации и полный набор URL-категорий безопасности: бот-сети, шпионские программы, фишинг и мошенничество, перехватчики клавиатуры, вредоносные веб-сайты и потенциально нежелательные программы. Websense Web Security сводит к минимуму уязвимость перед новейшими угрозами за счет обновлений, передаваемых технологией ThreatSeeker Network в течение нескольких минут после обнаружения угроз.
В пакет Websense Web Security входят сервисы Web Protection Services, которые ведут непрерывный мониторинг веб-сайтов, торговых брендов организации, а также собственных URL организации, для предотвращения их использования в мошеннических целях. Продукт Web Security содержит функционал Web Filter.
Websense Hosted Web Security
Для организаций с распределенной структурой и большим количеством удаленных офисов и мобильных пользователей Websense предлагает хостинг-услугу веб-безопасности Websense Hosted Web Security, превентивно обнаруживающую и блокирующую угрозы на уровне интернета и избавляющую организации от необходимости развертывать решение на внутренних площадках. Данная хостинг-услуга централизует веб-защиту для множества офисов и мобильных пользователей, предотвращая веб-угрозы до их проникновения в сеть организации. Центры обработки данных компании Websense сертифицированы по стандарту ISO 27001, а хостинг-услуга предоставляется в соответствии с жесткими требованиями о качестве обслуживания, что гарантирует высокие показатели безотказной работы и времени восстановления.
