Лучшая практика многоуровневой защиты Sophos

03 марта 2005

Sophos, Великобритания
Январь 2005

РЕЗЮМЕ

В настоящей «белой книге» (white paper) представлены различные уровни (ярусы, слои) ИТ-инфраструктуры организации, и определены потребности в антивирусной защите для каждого пункта доступа. Рассматриваются также факторы, которые организации должны принимать во внимание, принимая решение - какие антивирусы покупать для защиты компьютеров пользователей и Интернет-шлюзов, и как ими управлять.


ИТ-инфраструктура

ИТ-инфраструктуру организации представим в виде трех уровней.

1. Компьютеры пользователей: этот уровень лежит в основе организации и включает персональные компьютеры (рабочие станции), ноутбуки и другие устройства конечного пользователя, используемые работниками компании. Сюда включаются также ноутбуки удаленно работающих или путешествующих сотрудников.

2. Локальные файловые серверы: этот уровень выше компьютеров пользователей и содержит данные и приложения, которые находятся в совместном пользовании всей организации.

3. Шлюзы/серверы электронной почты: этот уровень находится на границе сети организации и является перевалочным пунктом всего почтового трафика, идущего «из» и «в» организацию.



Характеристики каждого уровня

Уровень 1: компьютеры пользователей

Этот уровень является самой уязвимой областью в организации, т.к. в существенной мере персональными компьютерами управляет пользователи. Администраторы могут определенным образом "заблокировать" рабочую станцию пользователя, особенно если речь идет про Windows XP и Mac OS X, но, например, Windows 95/98 и более ранние версии Macintosh предоставляют гораздо меньше возможностей для контроля за ПК. Однако, что еще в большей степени делает рабочие станции и ноутбуки уязвимыми, так это то, что именно сюда стекаются все потоки данных - не только от файлового сервера или сервера электронной почты, но также через веб-трафик (HTTP-протокол), обмен файлами (FTP-протокол), CD-ROM’ы, USB-накопители, синхронизацию данных с наладонными компьютерами (Personal Digital Assistant, PDA) и т.п. Пользовательские компьютеры могут оказаться уязвимыми также и при использовании небезопасных беспроводных сетей или точек доступа Wi-Fi (hotspots) – когда беспроводной доступ к интернету доступен сотрудникам или любому желающему.

Компьютеры пользователей являются самым трудным для управления уровнем инфраструктуры из-за большого, как правило, их количества. Действительно, многим организациям трудно даже определить точное количество имеющихся компьютеров.

Уровень 2: файловые серверы

Большинство организаций имеют гораздо меньше файловых серверов, чем пользовательских компьютеров. Администраторы имеют много больше возможностей управлять содержимым серверов, а также могут более эффективно управлять доступом простых пользователей к этим компьютерам. Пользователи, работая с общими данными на этих серверах, не могут изменять их настройки. Популярными операционными системами для файловых серверов являются Unix, Windows NT/2000/2003/XP и NetWare.

Уровень 3: почтовые серверы

Почтовые серверы располагаются на шлюзе и управляют входящим и исходящим почтовым трафиком организации. Они поддерживают протоколы типа SMTP (Simple Mail Transfer Protocol), а так же такие почтовые продукты как Microsoft Exchange и Lotus Notes/Domino.

В настоящее время наиболее часто заражения вирусами, шпионскими программами и червями происходят именно через электронную почту

Колоссальные объемы мирового трафика электронной почты, активное распространение вирусов через почтовые сообщения и все усиливающее сотрудничество спамеров, хакеров и вирусописателей – все это привело к тому, что электронные сообщения стали основным каналом, по которому вирусы и другие вредоносные программы сейчас проникают в организации. Некоторые компании на уровне своих шлюзов ежедневно обезвреживают десятки или даже сотни вирусов, которые зачастую доставляются вместе со спамовыми письмами. Объем мирового спама продолжает расти, несмотря на то, что во многих странах уже приняты соответствующие антиспамовые законы. IDC (International Data Corporation) предсказывает, что к 2007 году количество отсылаемых ежедневно спамовых писем достигнет 23 миллиардов.(1)


Эффективность защиты на каждом уровне

Уровень 1: Компьютеры пользователей

Можно утверждать, что уровень персонального компьютера/ноутбука – это самый важный уровень в организации, который нужно защищать от вирусов и шпионских программ. Да, большинство современных вирусов распространяется именно через электронную почту, но не все вирусы такие. Например, червь Sasser (один из самых распространенных в 2004 году) не использовал электронную почту. То же самое можно сказать про вирусы Blaster и Nachi, которые занимали 2-е и 3-е место по распространенности в 2003 году. Многие вирусы используют множественные угрозы, распространяясь по нескольким каналам, например, через общие ресурсы локальной сети и электронную почту. И только на уровне персонального компьютера/ноутбука можно гарантировано отсканировать все данные, полученных из всех возможных источников. Как уже отмечалось выше, имеется множество разных каналов заражения. Важно отметить, что электронные письма и их вложения могут быть просканированы также и на этом уровне, поэтому, если по какой-либо причине антивирусные программы на шлюзе не установлены или не были обновлены вовремя, то вирусы все же будут тут обезврежены и не смогут заразить сеть.

Еще одной важной причиной в пользу того, что нужно использовать антивирусы на компьютерах пользователей, является то, что ПК является единственным местом, где могут быть проверены данные, зашифрованные, например, с использованием протокола SSL (Secure Sockets Layer) для проведения безопасных транзакций в Интернете. Зашифрованные файлы не могут быть проверены никаким антивирусом, пока они не расшифрованы.

Многие вирусы распространяются не через электронную почту, а другими путями, например, через общие ресурсы в локальной сети. Следовательно, для организаций по-прежнему актуальна задача защиты файловых серверов и пользовательских компьютеров.

Трудности сканирования на этом уровне ИТ-инфраструктуры являются результатом общих трудностей администрирования компьютерами пользователей. Как было описано ранее, большое число компьютеров может стать причиной появления ошибок при выполнении этой задачи. Если настройки администратора не применяются строго и им не следуют беспрекословно, то пользователи имеют возможность тайно изменить настройки и поставить тем самым под угрозу защиту сети в целом. Есть прописная истина, что антивирусные программы работают эффективно и должным образом, только если они постоянно обновляются.

Уровень 2: Файловые серверы

Обеспечение антивирусной защиты на уровне файлового сервера является более простым делом, так как серверов меньше, чем рабочих станций, и администратору проще управлять им. Сканируя файл-серверы, антивирусные программы смогут отловить и появление таких вирусов, аналогичных вирусам семейства Netsky, которые энергично распространяются в рамках сети организации как через общие ресурсы, так и через электронную почту и веб-сайты. Минусом сканирования на уровне файлового сервера является то, что, как описано выше, не все данные тут могут быть проверены - файлы с CD ROM/DVD, HTTP/FTP трафик и другие данные поступают непосредственно на компьютер пользователя.

Уровень 3: почтовые серверы

Шлюз электронной почты – это место, через которое в организацию проникают с каждым годом все более сложные и разнообразные угрозы. Спам, фишинг-атаки, трояны, вирусы и черви – эти вредоносные программы могут просочиться в ИТ-инфраструктуру организации через сообщения электронной почты индивидуально или, что становится все более частым явлением, в виде комбинации из нескольких угроз. Эта тенденция находит свое подтверждение в конвергенции спамовых и вирусных угроз – успех спам-бизнеса объединил хакеров, вирусописателей и спамеров в рамках подпольной экономики, основанной на распространении незапрашиваемых писем. После появления червя-макровируса для Word - WM97/Melissa в марте 1999 года, число вирусов и червей, распространяющихся по электронной почте, сильно возросло, и наиболее яркими примерами в наши дни могут служить вирусы семейств MyDoom и Bagle. Эти вирусы и черви распространяются несколькими способами, но наиболее часто они рассылают свои копии через почтовые вложения нескольким или всем адресатам из адресной книги, найденной на пользовательском компьютере. Таким образом, сотни тысяч пользователей могут быть заражены за очень короткое время.

Использование пакетов программ, обеспечивающих защиту от разных вредоносных программ на уровне шлюза, дает несколько преимуществ. Обезвреживание вирусов и спама до того, как они могут проникнуть в сеть организации и достигнуть пользовательских компьютеров, обеспечивает экономию ресурсов сети и администратора, а также предотвращает потерю производительности. При этом сотрудники будут защищены и от назойливого спама, и от обмана, аналогичного фишингу. Антивирусное программное обеспечение на шлюзе сканирует входящие и исходящие электронные письма и их вложения. Однако, такие продукты как Sophos PureMessage обеспечивают также режим сканирования почтового ящика и хранилищ писем. Это означает, что, даже если вирусы не были обнаружены при изначальном сканировании в реальном масштабе времени «по доступу» (например, если была задержка с обновлением антивирусного продукта), - они будут обнаружены во время следующей антивирусной проверки «по расписанию» или «по требованию».

Таким образом, с точки зрения времени, ресурсов, предотвращения преступлений, затрат и репутации компании, очень важно проводить сканирование электронной почты при ее отправке и получении. Но, напоминаем еще раз, что сканирование на шлюзе не обеспечивает просмотр всех данных, т.е. некоторые другие данные пользователя и шифрованные письма необходимо проверять непосредственно на компьютере пользователя.


Выбор правильной защиты

Учитывая разнообразие и сложность угроз, жизненно необходима защита как пользовательских компьютеров и файл-серверов, так и шлюзов сети.

Угрозы безопасности корпоративным сетям растут как по числу и скорости распространения, так и по разнообразию путей их возможной кооперации. Это делает задачу защиты бизнеса еще более сложной проблемой, которая может быть решена только за счет защиты всех точек доступа в корпоративную сеть. Чтобы защитить организации от все более сложного угрожающего окружения, самое лучшее решение – это использовать консолидированное решение, которое обеспечивает защиту как шлюзов/почтовых серверов, так и файл-серверов и пользовательских компьютеров.

Продукты Sophos Anti-Virus, SAV Interface и Sophos PureMessage от компании Sophos предоставляют интегрированное, общее решение, которое обеспечивает высокий уровень защиты для компаний любого размера и при использовании разных платформ. Эти решения основываются на 24-часовой технической поддержке, глобальной системе обнаружения новых угроз и глобальной системе исследовательских лабораторий, обеспечивающих экспертизу и быстрый ответ на самый новые угрозы. Хотя все основные поставщики антивирусных продуктов обеспечивают практически одинаково высокий уровень обнаружения угроз и для поддержки этого сотрудничают между собой, различие между ними состоит в уровне и качестве поддержки, которую они предлагают, а также в мощности и глубине поставляемой защиты.

Источники:

1. IDC - ”Worldwide Secure Content Management 2004-2008 Forecast Update and 2003 Vendor Shares: A Holistic View of Antivirus, Web Filtering and messaging Security” , by Brian E Burke.

203
Подписаться на новости
;