Несмотря на то, что большинство киберпреступников сейчас охотится за деньгами неосторожных пользователей, таргетированные атаки никуда не исчезли. Согласно опросу «Лаборатории Касперского», за последний год от APT-атак пострадало 10% российских компаний.
Классический состав контура информационной безопасности компании – антивирусная система и защищенный веб-шлюз – Secure Web Gateway, SWG. Шлюзы обезопасят компьютеры от вирусов или заблокируют контакт с подозрительным сайтом даже в случае, когда антивирус выключен. Однако в последнее время такого подхода недостаточно – киберпреступники тоже совершенствуют свои средства атак, преодолевая наиболее популярные системы безопасности.
Как себя защитить
Компания Blue Coat Systems, проанализировав все существующие системы безопасности для Microsoft Windows, решила создать комплексную программу, позволяющую обезопасить целую корпоративную сеть не только от стандартных, но и от таргетированных атак. Такая программа должна блокировать угрозы, оценивать опасность подозрительных файлов, поддерживать политику «белых списков». Это особенно актуально на фоне того, что, по данным «Лаборатории Касперского», за один только день обрабатывается около 315 тыс. уникальных вредоносных программ.
Итогом разработок стала система анализа контента – Content Analysis System, CAS. Сейчас она представлена в моделях Content Analysis System S400 и недавно вышедшей CAS S500. При ее создании использовался опыт профессионалов в области кибербезопасности и технологического партнера Blue Coat Systems – компании «Лаборатория Касперского».
Сравнение возможностей традиционного антивируса и Blue Coat CAS
Источник: Blue Coat, 2014
CAS включает в себя традиционные меры безопасности – сканирование на вирусы всего входящего и исходящего трафика, блокирование попыток соединиться с веб-сайтами из «черного списка», работа с «белым списком». Кроме этого система имеет новый функционал, который ранее не был реализован на сетевом шлюзе.
Преимущества Blue Coat CAS
Есть три составляющих, позволяющих Blue Coat CAS быть самой эффективной системой безопасности класса SWG. Во-первых, это интеллектуальная многоуровневая защита. На первых рубежах система фильтрует угрозы с помощью «белых списков» и антивирусного сканирования трафика. Далее выявленный подозрительный контент отправляется на более глубокий анализ. Такое комплексное применение сразу нескольких инструментов позволяет выявить все известные вредоносные программы и защитить от абсолютного большинства сетевых угроз.
Вторая составляющая – координированный анализ вредоносных программ. CAS направляет неизвестные или подозрительные файлы в Blue Coat Malware Analysis Appliance (система анализа вредоносного ПО) или в «песочницы» сторонних производителей.
Различия в функционале традиционного антивируса и Blue Coat CAS
Источник: Blue Coat, 2014
И третий компонент – это защита всей сети заказчиков. Полученная в ходе анализа угроз информация отправляется в систему Blue Coat ProxySG, которая автоматически блокирует новые угрозы на уровне шлюза. Кроме этого, система Security Analytics Platform (аналитическая платформа безопасности) строит комплексные профили угроз и оценивает полный масштаб атаки. Далее данные рассылаются всем 15 тыс. компаниям – клиентам Blue Coat Systems по всему миру в виде обновлений.
Комплексный подход Blue Coat Systems
Итак, эффективнее всего Blue Coat CAS работает в комплексе с защищенным шлюзом Blue Coat ProxySG. А для максимальной защиты системы могут дополняться устройствами Security Analytics Platform и Malware Analysis Appliance. Так все три устройства плюс шлюз Proxy SG автоматически защищают от угроз на шлюзе, включая неизвестное вредоносное ПО.
Сетевая инфраструктура Blue Coat Systems
Источник: Blue Coat, 2014
Столь мощная защита объясняется еще несколькими особенностями Blue Coat CAS, которые пока не реализованы в других системах безопасности. Так, система работает с «белыми списками» компании «Лаборатория Касперского». Эта функция используется для создания списка файлов, которые могут показаться подозрительными, но на самом деле таковыми не являются. Это работает следующим образом: файл анализируется программой, сравнивается со списком контрольных сумм доверенных объектов, и, если совпадает с какой-либо позицией из него, то пропускается программой безопасности без последующей антивирусной проверки. Так можно либо запретить передачу любого активного контента, безопасность которого не гарантирована, либо, в сетях и сегментах с менее строгими требованиями к безопасности, значительно улучшить пропускную способность шлюза, отказавшись от сканирования заведомо безопасных файлов.
CAS объединяет все передовые разработки мировых вендоров. По результатам многочисленных независимых тестов, антивирусная система от «Лаборатории Касперского» признается лучшим на мировом рынке антивирусным продуктом. Использование защиты такого класса на шлюзе дополняет антивирусы для рабочих станций, и может быть усилено в CAS технологиями других вендоров. Следует иметь в виду, что одновременное использование двух антивирусов снижает пропускную способность шлюза до 30%, поэтому обычно такую систему используют в самых критичных средах и приложениях.
В заключение упомянем несколько приятных для пользователей бонусов. Клиент может выбрать как физическую (сетевое устройство), так и виртуальную версию CAS, в соответствии с собственными потребностями. Система облачной безопасности WebPulse позволяет делиться результатами проверок между всеми шлюзами ProxySG, связанными с устройствами CAS. Облачные средства защиты включают в себя шлюзы IPsec, поддерживающие множество моделей мобильных устройств. Наконец, в сетях с высокой нагрузкой эффективность антивирусного сканирования можно дополнительно улучшить с помощью кэширования результатов предыдущих проверок.
Источник: CNews