Программная и аппаратная защита компьютера

       Не стоит игнорировать тот факт, что брандмауэры никогда не решали внутренних проблем, связанных с физическим доступом к серверам и рабочим станциям неуполномоченных лиц, слабыми паролями, вирусами с дискет пользователей и многим другим.

       Но из всего вышесказанного отнюдь не следует, что их использование абсолютно бессмысленно и неэффективно. Наоборот, применение брандмауэров - необходимое условие обеспечения безопасности сети, однако нужно помнить, что всех проблем они не решат.

IV.                   Компании, поставляющие продукт аппаратного решения для предотвращения несанкционированного доступа к информации.

Компания InfoWatch

Российская компания InfoWatch, поставляет комплексное решение InfoWatch Enterprise Solution (IES), предназначенное для выявления и предотвращения утечек конфиденциальной информации, а также обеспечения совместимости с требованиями российских и иностранных нормативных актов.                                                                    Архитектура комплексного решения IES носит распределенный характер и включает следующие программные компоненты, также доступные в качестве автономных продуктов:

        InfoWatch Web Monitor (IWM) - программный продукт для предотвращения утечки конфиденциальной информации через Интернет, в том числе веб-почту, форумы и чаты. IWM в масштабе реального времени сканирует исходящий интернет-трафик (перехватывает POST-запросы) и блокирует пересылку пакетов, которые содержат или могут содержать конфиденциальные данные.

        InfoWatch Mail Monitor (IMM) - программный продукт для предотвращения утечки конфиденциальной информации через корпоративную почтовую систему. IMM в режиме реального времени сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные.

        InfoWatch Net Monitor (INM) - программный продукт для контроля над обращением конфиденциальной информации на рабочих станциях и файловых серверах. INM в масштабе реального времени отслеживает операции с файлами (чтение, изменение, копирование, копирование в буфер обмена, печать и др.) и сообщает сотруднику IT-безопасности о тех из них, которые не соответствуют принятой политике информационной безопасности.

        InfoWatch Mail Storage (IMS) - программный продукт для создания архива электронной корреспонденции в рамках корпоративной почтовой системы с возможностью дальнейшего анализа. IMS в режиме реального времени накапливает копии электронных писем, укладывает их в хранилище и позволяет делать аналитические выборки из него для расследования случаев утечки конфиденциальных данных.

        InfoWatch Device Monitor (IDM) - программный продукт для контроля над доступом пользователей к коммуникационным портам и устройствам ввода-вывода рабочей станции (CD, floppy-диски, съемные накопители, COM-, LPT-, USB-, IrDA-порты, Bluetooth, FireWire, Wi-Fi). Система в режиме реального времени отслеживает доступ к коммуникационным портам и блокирует операции, не соответствующие принятой политике внутренней IT-безопасности.

Схема архитектурного строения Info Watch Enterprise Solution:

Модули Web и Mail Monitor доступны в аппаратном исполнении - устройстве InfoWatch Security Appliance (IWSA). Данный продукт создан совместными усилиями компаний InfoWatch и "ГЕЛИОС КОМПЬЮТЕР".

Продукт IWSA в масштабе реального времени фильтрует трафик, передаваемый по протоколам SMTP и HTTP, предотвращает неавторизованную пересылку документов через корпоративный почтовый шлюз, веб-почту, форумы, чаты и другие сервисы в Интернете. В случае обнаружения фактов несоблюдения корпоративной политики конфиденциальности система оперативно сообщает об инциденте сотруднику IT-безопасности, блокирует действия нарушителя и помещает подозрительные объекты в область карантина.                              Устройство IWSA легко интегрируется в существующую IT-инфраструктуру: система устанавливается в качестве дополнительного relay-сервера корпоративной сети, принимает перенаправленные потоки SMTP и HTTP, а после фильтрации возвращает данные отправителю. В составе комплексного решения IES или при использовании IWSA отдельно доступно средство централизованного управления, позволяющее осуществить настройку и контроль над работой устройства, как из офиса, так и удаленно, через защищенный канал с консоли сотрудника IT-безопасности головного офиса.

IWSA может похвастаться не только быстрым развертыванием, но и высокой производительностью благодаря аппаратному форм-фактору. Устройство использует 64-разрядный сервер HELiOS Fortice IFS на базе процессора Intel Xeon с тактовой частотой до 3,60 ГГц, поддержкой технологии Hyper-Threading и Intel Extended Memory 64 Technology, кэш-памятью второго уровня объемом 2 Мбайт, 800-МГц системной шиной, 12 Гбайт ОЗУ, массивом до 10 жестких дисков SCSI. Подобные характеристики позволяют системе в рабочем режиме обрабатывать до 50 тыс. писем или 10 Гбайт трафика в день.

Технологии обнаружения конфиденциальных данных, реализованные в IWSA, основаны на сканировании пересылаемых данных для выявления определенных ключевых слов и фраз. При этом фильтр умеет обрабатывать такие форматы данных, как Plain Text, HTML, Word, Excel, PowerPoint, PDF, RTF, различные архивы (ZIP, RAR ARJ). Дальнейший лингвистический анализ позволяет учесть контекст, в котором используются ключевые слова и фразы, и тем самым существенно повысить точность анализа. На соответствие политике безопасности проверяются и атрибуты сообщения, например, размер письма, адрес DNS-сервера отправителя, соответствие черным и белым спискам, наличие шифрования или неопознанных форматов вложенных файлов. Вдобавок используется распознавание шаблонов, что позволяет детектировать неразрешенную пересылку структурированных данных. Наконец, процесс фильтрации включает сравнение каждого исходящего сообщения с его атрибутами и образцов, представленных в базе данных, содержащей постоянно обновляемые "прототипы" конфиденциальных сообщений, специфичных для каждого конкретного заказчика. Таким образом, IWSA позволяет выявлять чувствительные сведения почти при полном отсутствии ложных срабатываний.

В зависимости от выбранной аппаратной конфигурации ориентировочная стоимость решения в расчете на 100 пользователей составляет $10-15 тыс. Кроме этого, заказчику предлагается воспользоваться услугами по созданию специализированной фильтрационной базы данных, учитывающей специфику деловой терминологии организации, и технической поддержкой.

Пользователям комплексного решения IES компания InfoWatch предлагает такие возможности, как тренинг персонала, модификация отдельных модулей под специфические требования заказчика, анализ и аудит ITинфраструктуры, создание политики IT-безопасности, разрешение юридических вопросов и модификация трудовых договоров.

Компания Tizor

Североамериканская компания Tizor поставляет аппаратное решение TZX 1000, позволяющее предотвратить утечку конфиденциальной информации по внутренним сетевым каналам и обеспечить совместимость с нормативными требованиями США. Продукт контролирует доступ к серверам, на которых расположены критически важные данные. Это могут быть серверы приложений, файловые серверы или серверы баз данных. Аппаратный форм-фактор позволяет подключать TZX 1000 к сети нелинейно, а та же не снижать ее пропускной способности при анализе данных.

В основе выявления утечек лежит запатентованная технология Behavioral Fingerprinting. С помощью данной технологии продукт в состоянии предотвратить хищение конфиденциальной информации, не осуществляя контентной фильтрации. Суть подхода состоит в построении шаблонов, описывающих активность пользователей. Каждый такой шаблон - своего рода цифровой отпечаток пальцев соответствующего пользователя, однако определение аномалий в рамках совершаемых людьми действий в любом случае носит вероятностный и статистический характер. Другими словами, в основе продукта компании Tizor лежит эвристический анализатор. Каждый раз, когда пользователь обращается к одному из защищенных серверов, TZX 1000 анализирует запрос и принимает решение на основе заданных политик. В сам продукт уже заложены некоторые политики для удовлетворения требований законодательных актов США, но для выполнения положений корпоративной политики IT-безопасности требуется специальная настройка.

Схема Tizor: активный аудит онлайн.

Впрочем, у продукта есть и слабая сторона - это отсутствие комплексности. В частности, в состав решения не входят программные компоненты, которые могли бы предотвратить утечку через коммуникационные порты рабочей станции, принтеры, приводы и т. д. То есть, если конфиденциальная информация покидает сервер и достигает персонального компьютера, она становится полностью беззащитной.

TZX 1000 практичен в использование в тех случаях, когда все информационные активы предприятия сосредоточены в базах данных или файловых серверах.

Компания Proofpoint

Продукт компании Proofpoint - Proofpoint Messaging Security позволяет обеспечить полный контроль над электронной почтой. С помощью этого устройства можно проверить сообщения на вирусы и спам, предотвратить нецелевое использование почтовых ресурсов и утечку конфиденциальной информации через них.

Защита от утечки конфиденциальных данных построена на базе механизма контентной фильтрации. Так, вся передаваемая информация заранее распределена по нескольким тематическим категориям. Фильтр способен проанализировать более 300 типов вложений, включая популярные форматы Microsoft Word, Adobe PDF, ZIP и другие.

Решение Proofpoint является классическим примером продукта, предназначенного для защиты одного конкретного канала передачи данных, - электронной почты. Такой подход, конечно же, не создает комплексной защиты, однако может быть использован в тех случаях, когда основным предназначением становится фильтрация спама и выявление вирусов, а предотвращение утечек - всего лишь приятное дополнение.

Компания Tablus

Североамериканская компания Tablus поставляет комплексное решение для выявления и предотвращения утечек -Tablus Content Alarm Solution, в состав которого входят аппаратные модули Content Alarm NW, контролирующие сетевые каналы, и Content Alarm DT, осуществляющие мониторинг за рабочими станциями.

Многомодульный продукт Content Alarm NW предназначен для выявления утечек по сетевым каналам. В его состав входят средства управления политикой и классификации данных, сенсоры пассивного мониторинга, почтовый фильтр для предотвращения утечек по каналам электронной почты, фильтры пересылаемых данных и графический клиент для централизованного управления.

Процесс выявления утечки основан на контентной фильтрации, в ходе которой производится лингвистический анализ, поиск чувствительных данных по сигнатурам, анализ ключевых слов и фраз, поиск по шаблонам, анализ атрибутов пересылаемых данных. В целом в решении Tablus реализован стандартный многоступенчатый механизм контентной фильтрации, применяемый сегодня в большинстве фильтров нежелательной корреспонденции.

В составе комплексного решения предусмотрен и аппаратный модуль Content Alarm DT, контролирующий операции на рабочих станциях с помощью программных агентов, которые внедряются в операционную систему, следят за действиями пользователя и проверяют их на соответствие политики. Аппаратная же часть продукта необходима для того, чтобы осуществлять через нее централизованное управление.

Агенты, размещенные на рабочих станциях, помогают контролировать следующие операции пользователей: запись данных на CD, копирование файлов на USB-устройства, вывод информации на принтер, работу с буфером обмена (операции копировать и вставить), создание снимка с экрана, отправку сообщений электронной почты за пределы корпоративной сети, присоединение файлов к средствам обмена мгновенными сообщениями (IM).

Таким образом, к сильным сторонам решения Tablus можно отнести некоторую комплексность, выражающуюся в защите как сетевых каналов, так и рабочих станций. Однако у продукта есть и слабые стороны: неполный контроль над рабочей станцией (совершенно не защищены беспроводные возможности - IrDA, Bluetooth, Wi-Fi, как и все остальные порты, кроме USB) и негибкое использование аппаратных компонентов даже для контроля над рабочими станциями.

Компания Hackstrike

Израильская компания Hackstrike поставляет многофункциональный аппаратный продукт Fortress-1. Типовой вариант решения включает несколько объединенных модулей: маршрутизатор, брандмауэр, антивирус, фильтр спама, контентный фильтр, URL-фильтр, VPN, систему обнаружения и предотвращения вторжений, средство формирования трафика для поддержки требуемого уровня качества обслуживания и модуль для защиты документов.

На последнем модуле следует остановиться подробнее, так как он имеет прямое отношение к предотвращению утечек. В основе подобной функциональности - система SDAS (Secure Digital Asset System), разработанная компанией Hackstrike. В потоке пересылаемых данных продукт может отыскать конфиденциальные документы благодаря этой технологии. Метод поиска сочетает анализ цифровых водяных знаков и сигнатурное сравнение. Расстановка же цифровых водяных знаков и взятие сигнатур происходит с помощью специального дополнительного модуля, который подключается к Microsoft Office и позволяет нажатием одной кнопки на панели инструментов пометить документ как конфиденциальный. Дополнительно технология SDAS позволяет осуществлять поиск по заданным ключевым словам, например, можно запретить пересылку всех документов, содержащих конкретную фразу.

Безусловно, решение Hackstrike нельзя сравнивать с конкурентными продуктами по комплексности в выявлении и предотвращении утечек. Так, ресурсы рабочих станций остаются вообще бесконтрольными, а любой пользователь может легко обойти цифровые водяные знаки и сигнатуры, просто скопировав данные через буфер обмена в новый документ и преобразовав его в другой формат (например, Adobe PDF). Тем не менее именно аппаратный продукт Hackstrike может подойти малому бизнесу, который помимо простейшей функциональности по предотвращению утечек получит в свое распоряжение маршрутизатор, брандмауэр, антивирус и многое другое.