|
|
Обзор подготовлен
Поиск компаниями баланса оптимальной эффективности и производительности в производственных процессах заставляет их переходить к стратегии вертикальной дезинтеграции для всех функций, не связанных с их основной деятельностью. Здесь им могут помочь решения компании Panda Security.
Конкурентоспособность и выживаемость предприятий сегодня зависят от модернизации всех аспектов их бизнеса. А также от их подключения к сети интернет для того, чтобы стать частью глобальной экономики. К сожалению, когда компания выходит во всемирную паутину, она становится уязвима для ИТ-угроз. В этом случае предприятие обязано внедрить процессы ИТ-безопасности, чтобы избежать нежелательного ущерба со стороны соответствующих рисков.
Сегодня угрозы более опасны, чем когда-либо. Они более сложные. Они более быстрые. Они очень часто разрабатываются для кражи конфиденциальной информации или денег. Они могут быть даже разработаны по специальному заказу для применения против конкретной жертвы. В итоге риск стал более значительным, чем когда-либо.
Когда предприятие внедряет решение безопасности, оно должно выбрать продукт, который обеспечит адекватную защиту и способен адаптироваться к специфическим производственным характеристикам каждой компании. Новое поколение вредоносных программ становится в большей степени изощренным, в силу чего борьба с такими программами все более сложна.
Традиционная модель безопасности, основанная на постоянном обновлении файла, содержащего сигнатуры всех известных вредоносных кодов, с некоторого времени стала неэффективной для предотвращения проблем с безопасностью. Это произошло по причине более стремительного распространения вредоносного ПО. В то время, пока антивирусные лаборатории получают и изучают каждый экземпляр вируса, после чего создают соответствующее обновление сигнатурного файла, новая угроза способна заразить тысячи компьютеров. Следовательно, традиционной защиты, состоящей из антивирусной и антишпионской защиты, и даже файервола, более недостаточно.
Функциональная структура традиционной защиты
Источник: Panda Security, 2007
Также недостаточным будет и дополнительное внедрение HIPS. Хост-ориентированная система предотвращения вторжений HIPS (Hosted Intrusion Prevention Systems) - это технологии для обнаружения и блокировки неизвестных угроз, основанные на анализе их поведения. Panda Security, выпустив технологии TruPrevent™, стала лидером в сегменте проактивной защиты.
Комбинация технологий HIPS с традиционными системами защиты может значительно увеличить уровень безопасности компании. Но это не решит проблему целиком. Для того, чтобы поддержать корректный баланс между производительностью и ложными срабатываниями, уровень чувствительности не может быть слишком высоким. И, следовательно, конкретные типы вредоносных программ могут преодолеть систему защиту (прежде всего потому, что новое поколение вредоносных программ использует технологии маскировки).
Функциональная структура PIPS
Источник: Panda Security, 2007
Получается, что проблему, возникшую при появлении новых типов вредоносных программ, следовало бы решить путем применения более развитой модели безопасности, основанной на комбинировании резидентных систем защиты, PIPS, с периодическими аудитами, осуществляющимися по запросу. Основываясь на таком подходе, Panda Security разработала ряд специальных сервисов. Один из них - Malware Radar.
Функциональная структура сервиса Panda Malware Radar
Источник: Panda Security, 2007
Panda Malware Radar продемонстрировал, что он имеет более высокую способность обнаружения, чем традиционные системы защиты, представленные на рынке. Он способен обнаруживать и уничтожать вредоносное ПО и другие уязвимости, которые проскользнули мимо обычного решения защиты. Это подтверждается результатами, полученными в результате проверки ряда компаний, которые осуществили аудит своей сети с помощью Malware Radar.
Это новый онлайновый, работающий по запросу сервис аудита информационной безопасности. Он специализируется на обнаружении и уничтожении вредоносных программ и других проблем безопасности, которые остались незамеченными со стороны традиционных систем ИБ, установленных в компаниях.
С его помощью возможно дополнить и усилить традиционные системы защиты, которые не способны предложить действительно эффективное решение по борьбе с новой динамикой вредоносного ПО. Причина: теперь его значительно сложнее обнаруживать: он создаются в массе своей хакерами, мотивированными исключительно финансовыми целями и пытающимися затруднить работу антивирусных лабораторий.
Malware Radar обнаруживает больше вредоносных программ, чем традиционные решения безопасности потому, что он использует самые современные технологии и самые чувствительные эвристики. Сервис основан на принципе «коллективного разума» - подходе, разработанном в Panda Research. Система анализирует данные, получаемые в PandaLabs от сообщества пользователей, и автоматически выносит им вердикт (вредоносное ПО или нет). Это позволяет значительно увеличивать способность обнаружения в сравнении с традиционными антивирусными подходами.
Для использования сервиса не требуется что-либо устанавливать также, как и не требуется поддерживать постоянную архитектуру клиент-сервер или деинсталлировать текущие сетевые решения защиты. В результате сканирования предоставляется два полных отчета, содержащих всю информацию о результатах работы. Там указывается: какой вредоносный код был обнаружен, как много, и где он расположен, а также статус ПО безопасности.
Существует два документа: «Исполнительный отчет» с основной статистикой и «Технический отчет» со всеми детальными данными по каждому просканированному компьютеру. Эти отчеты дают полный набор рекомендаций для каждого случая со всех точек зрения, что помогает расставить приоритеты и перефокусировать стратегию безопасности, принимая во внимание соответствующие корректирующие меры.
Malware Radar предоставляет централизованное и быстрое сканирование всех рабочих станций и файловых серверов (не важно, фиксированных или мобильных) в корпоративном ИТ-хозяйстве, или рабочих станций, которые полностью отделены от сети. Для распространения анализа на все компьютеры могут использоваться любые широко используемые средства распространения (логин-скрипты, Tivoli, средства SMS, электронная почта, ручные методы, и т.д.). Тем не менее, продукт также содержит и встроенное средство распространения, благодаря которому можно быстро и просто выбрать сетевые компьютеры, которые необходимо сканировать. После чего процесс автоматически распространится на выбранные ПК.
Все остальное происходит в автоматическом режиме. Централизованно, в режиме on-line администратор может увидеть, как осуществляется тестирование, количество обнаруженных вредоносных программ и уязвимостей, статус защиты, также как и список компьютеров, где происходит или осталось провести сканирование. При этом все процессы происходят и заканчиваются без потребности в установке какого-либо ПО на сканируемые ПК.
Malware Radar обнаруживает критические уязвимости, создающие дыры безопасности, которые могут использоваться вредоносными программами для получения доступа в сеть. В данном случае детальные отчеты предоставят информацию о найденных уязвимостях и предложат решение, которое может быть применено для каждой из них.
Сервис способен обнаруживать вредоносные программы, которые существуют в ИТ-системе (неважно, известные или неизвестные для текущего решения безопасности, т.е. представлены или нет в его сигнатурном файле). Это может быть активное (выполняющееся) или скрытое (присутствующее, но не выполняющееся) вредоносное ПО. Оно может оставаться незамеченным со стороны резидентного решения безопасности (даже без выдачи предупреждения) потому, что оно является неизвестным для него. Оно и было разработано таким образом, чтобы оставаться скрытым (через руткиты), или потому что корпоративное антивирусное решение не обновляется или не установлено на компьютере.
Malware Radar не устанавливается на системах, где он осуществляет сканирование. Когда сервис завершает работу, он полностью удаляет себя с компьютера, не оставляя какого-либо агента.
Продукт способен обнаруживать высококритичное или чрезвычайно опасное вредоносное ПО. Также он способен находить атаки направленного действия, разработанные для получения экономических выгод, которые молча и незаметно крадут информацию, причиняя жертве экономические потери. При этом здесь не идет речь о каких-то массированных атаках, потому что данные атаки должны поразить только компьютеры жертвы, а не все возможные компьютеры.
Авторы подобного типа атак могут использовать любой тип вредоносных программ для достижения своих целей: троянцы, боты, шпионы и т.д. Более распространена ситуация, когда автор является вором или специализированным шпионом, а третья сторона использует его услуги. Для борьбы с данными типами атак традиционные антивирусные решения не являются эффективными.
Malware Radar также предлагает возможность автоматического лечения найденного вредоносного ПО. Администратор будет способен скачать лечащего клиента и распространить на рабочие станции в сети, где найдено вредоносное ПО. Как только все рабочие станции будут «пролечены», администратору будет предоставлен «Технический отчет» с результатами лечения каждого компьютера. Будет также проверен статус средств защиты (антивирус, антишпион, персональный файервол и хост-ориентированная система предотвращения вторжений HIPS, превентивные технологии, основанные на поведенческом анализе), их установки и степень обновляемости.
Явная и все возрастающая тенденция в секторе малого и среднего бизнеса – это делегирование решения задач ИТ-безопасности экспертам. Такой процесс известен как сервис аутсорсинга и обычно применяется во многих сферах деятельности в различных секторах экономики.
Аутсорсинг или субподряд сервисов заключается в делегировании всех или части корпоративных или организационных функций внешним специалистам. Аутсорсинг – это формула, которая позволяет компаниями контролировать затраты, всецело фокусироваться на своей основной деятельности и значительно увеличивать свои активы, а также повышать качество сервиса для клиентов. Для компании все дороже и дороже становится ее автономность во всех ИТ-зонах без технологического отставания. Поиск компаниями баланса оптимальной эффективности и производительности в своих производственных процессах заставляет их переходить к стратегии вертикальной дезинтеграции для всех функций, не связанных с их основной деятельностью.
Panda Security предлагает собственное решение - Panda WebAdmin, разработанное в соответствии с требованиями рынка. Этот продукт демонстрирует преимущества революционной технологии обновления "peer-to-peer", а также опыт Panda и ее сервисы в антивирусной защите для того, чтобы отвечать потребностям клиентов.
Это решение является скорее административным инструментом, чем просто антивирусным решением. Оно достаточно легко (буквально, в течение нескольких минут) устанавливается с любого компьютера, имеющего интернет-подключение, автоматически обновляется без вмешательства администратора и позволяет осуществить персонализацию настроек для любого типа пользователя.
WebAdmin содержит антивирусного клиента, устанавливаемого локально на компьютеры, и уникальную систему централизованного управления, через которую администратор может удаленно установить, настроить и поддерживать защиту всей организации через интернет. Комплексная защита от интернет-угроз при этом предоставляется без инвестиций в выделенные серверы и базы данных. Сервис также содержит автоматические обновления без вмешательства со стороны администратора или пользователя, позволяя им сфокусироваться на приоритетных задачах.
Эта структура идеальна для компаний, которые предоставляют услуги ИТ-безопасности, или компаний с многочисленными удаленными офисами или мобильными компьтерами. Т.к. в этом случае администратор может удаленно управлять безопасностью всех этих ПК через интернет, сохраняя до 80 процентов времени, которое могло бы потребоваться на решение проблем, связанных с управлением ИТ-безопасностью.
WebAdmin не только защищает от вирусов, червей и троянцев, но также и от новых интернет-угроз (шпионов, рекламного ПО, дозвонщиков, хакерских утилит и шуточного ПО) и системных уязвимостей, предлагая защиту от рисков безопасности. Благодаря уникальным технологиям администратор может удаленно устанавливать, настраивать и наблюдать за защитой всей организации с любого компьютера, имеющего доступ в интернет. Это снижает расходы, связанные с развертыванием, управлением и поддержкой ИТ-безопасности. Администратор с единого компьютера может организовать централизованный контроль над защитой всей компании, включая защиту компьютеров, расположенных в удаленных офисах, и мобильных компьютеров, находящихся за пределами локальной сети.
Сервис включает настраиваемые отчеты о вирусных событиях и обновлениях, предоставляя администратору текущий глобальный взгляд на всю организацию. ПО автоматически обновляется без вмешательства со стороны пользователя или администратора как минимум один раз в сутки или более, если он настроит обновления подобным образом. WebAdmin устанавливает на компьютеры легкий антивирусный клиент, который тратит меньше ресурсов CPU, чем другие корпоративные антивирусные продукты, снижая тем самым влияние на производительность системы. Более того, сервис не требует выделенных ресурсов или баз данных для управления защитой, что в результате также снижает полную стоимость владения.
Таким образом, возможности удаленного инсталлирования и управления в WebAdmin комбинируются с его автоматическими обновлениями, что позволяет администратору уменьшить потребность в физическом доступе к компьютерам в связи с управлением антивирусом и сфокусироваться на приоритетных задачах.
В последнее время в России все большей популярностью стали пользоваться сервисы очистки почты от спама и вирусов. Panda Security также предоставляет клиентам сервис фильтрации электронной почты. TRUSTLAYER MAIL - это услуга, разработанная для сервис-провайдеров, таких как ISP (Internet Service Providers), ASP (Application Service Providers), телекоммуникационных операторов, а также для предприятий и организаций любых размеров и форм собственности.
Это полностью управляемый в режиме 24x7 сервис от Panda Security, гарантирующий "чистоту" почты благодаря антивирусу, антиспаму и фильтрации контента. Сервис использует технологии TruPrevent™, гарантирует безопасность корпоративной электронной почты, хранение сообщений в течение нескольких дней в случае (если сломался почтовый сервер). Он также содержит систему балансировки нагрузки для сглаживания пиков потребления трафика, позволяет обслуживать несколько миллионов почтовых ящиков.
Сервис TrustLayer Mail содержит самый мощный антивирус с технологиями превентивного обнаружения TruPrevent™, способными находить как известные, так и неизвестные угрозы. Вместе с системой управления карантином, данный сервис позволяет обеспечить абсолютную защиту от вирусов, червей и троянцев.
Сообщения с вирусами хранятся в системном карантине в течение 30 дней. Исключение составляют известные массово рассылаемые от лица ложных отправителей черви, которые автоматически удаляются. При этом информация о них записывается в лог-файл для предоставления статистики. По окончании предустановленного времени хранения в карантине, письма автоматически удаляются. Вложения, которые, возможно, содержат неизвестный вирус, отправляются в PandaLabs для детального анализа (если клиент подписался на этот антивирусный сервис). Как правило, в течение 24 часов по отношению к ним применяется соответствующее действие: разблокировка или подтверждение статуса инфицированного файла.
Система может быть настроена таким образом, чтобы получатели могут видеть логи сообщений в своем вирусном карантине, хотя они не имеют доступа к данным сообщениям. Лог может содержать следующую информацию: отправитель (From), получатель (To), тема, дата и время, а также название обнаруженного вируса или причина для помещения письма в карантин. Сочетая в себе различные инструменты и процедуры, решение TrustLayer Mail защищает от атак типа DoS (атака на отказ в работе, denial of service), вторжений и т.д.
В наши дни спам представляет собой рекламные или нежелательные коммерческие сообщения, которые заполонили системы электронной почты во всем мире. За последние годы наблюдается головокружительный рост числа спамовых сообщений. И сегодня он причиняет серьезные неудобства для компаний, т.к. он способен парализовать работу их ИТ-систем и значительно снизить производительность труда сотрудников.
Согласно Ferris Research (консультант в этой области), стоимость спама для компаний в 2003 году составила 10 миллиардов долларов США. Спам отправляют по финансовым соображениям. Различные исследования показывают, что около 6% получателей спама отвечают на него. В итоге спамеры получают экономические выгоды. Согласно статье "You CAN-SPAM", опубликованной в Internet News в 2004 году, спамер способен отправить 240 миллионов сообщений в течение 4 рабочих дней с последующим возможным заработком от 40.000 до 1 млн. долларов США. Хотя 40% спама приходит из США, другие страны также стараются не отставать.
Система фильтрации от Panda Security способна обнаружить от 92% до 99% спама. Основная проблема заключается в том, что само понятие спама различается для разных людей. Например, широко распространяемые новости или информационные бюллетени для одних людей являются спамом, а для других нет. Увеличение "аккуратности" фильтрации приводит к увеличению количества ложных. Требуется некий баланс. Существует возможность достижения количества ложных срабатываний на уровне менее, чем 1 на 100 тыс. в диапазоне точности между 92% и 95%.Пользователи могут сами повысить точность фильтрации, вводя адреса в свои белые или черные списки.
Система фильтрации спама основана на технологии MailShell. Также включает черные списки, управляемые компанией Panda Security. Благодаря процедурам искусственного интеллекта, система компилирует и выполняет свыше 300 тыс. проверок для определения, является ли сообщение спамом или нет.
При этом проверяется, было ли данное сообщение отправлено массово. Изучается его сходство с другой почтой и наличие идентификатора сообщения (fingerprint). Кроме того, выявляется, вызывает ли сомнения отправитель или IP адрес, откуда оно было отправлено. Позже анализируются структура сообщения, формат и его содержание (включая гиперссылки) для определения того, посчитает ли большинство людей содержание такого сообщения нужным для себя. В конечном счете, выявляются все трюки, обычно используемые спамерами для преодоления антиспамовых фильтров.
Администратор домена может определить правила, которые необходимо применять при фильтрации спама. Эти правила позволяют настроить действия, которые следует применять по отношению к сообщениям, в которых был обнаружен спам. Среди возможных действий: удаление сообщения, помещение на карантин, пометка заголовка файла или вставка специального заголовка непосредственно в текст сообщения. Конечный пользователь может также получить доступ к своим сообщениям, помещенным на карантин, через веб-консоль или благодаря специальной конфигурации системы, которая может периодически отправлять итоговое сообщение со статусом карантина и ссылкой на соответствующую веб-консоль TrustLayer Mail.
Система фильтрации контента способна установить серии политик для корректного использования электронной почты. С одной стороны, сервис может фильтровать сообщения с вложениями, которые, по мнению компании, не связаны с работой (например, музыкальные файлы MP3 или видео в форматах Divx). В любом случае, администратор домена способен настроить систему таким образом, чтобы применить требуемое действие на основании установленной в их компании политики: удалить вложения, удалить сообщения, известить отправителя и т.д.
Почему это важно? В некоторых странах неспособность применять необходимые меры для защиты сотрудников от нежелательного контента (секс, расизм, оскорбление и т.д.) может означать, что компания несет ответственность перед законом. Более того, нежелательный или не связанный с работой контент может поглощать значительное количество ресурсов (память, пропускная способность и т.д.), а также снижать ее продуктивность, увеличивая корпоративные расходы.
Для того чтобы фильтровать вложения, могут быть установлены расширения и MIME-типы. Администратор может настроить действия, которые будут применяться в случае, если сообщение будет отнесено к нежелательному сообщению, либо оно будет содержать недоступные файлы.
Непрерывность получения почты: этот сервис хранит почту в случае, если сервер клиента не доступен, и отправляет ее клиенту сразу же, как только связь будет восстановлена. При этом гарантируется хранение на срок до 5 дней.