Веб-безопасность

Современные решения веб-безопасности обеспечивают безопасное использование ресурсов Интернета сотрудниками организации, в том числе эффективное использование динамических ресурсов Web 2.0 – платформ для ведения блогов, социальных сетей, форумов. Контролируемый доступ в Интернет позволяет защитить корпоративную сеть организации от направленных атак (APT - Advanced Persistent Threat) и проникновения вредоносного кода, предотвратить кражу персональных данных и ограничить доступ сотрудников на нежелательные и вредоносные сайты.

Технологии Web 2.0

Современные технологии Web 2.0 – социальные сети, блог-платформы, порталы – меняют способы взаимодействия организаций с клиентами и предоставляют новые возможности для ведения бизнеса. Это отличный инструмент привлечения и удержания клиентов, быстрый и удобный способ обмена информацией. Бизнес регулярно использует известные социальные сети, такие как Facebook, Twitter, ВКонтакте. Аудитория социальных сетей в России составляет не менее 37 млн. человек. Однако ресурсы Web 2.0 несут не только новые возможности, но и высокие риски информационной безопасности, часто являются средой распространения вредоносного кода и причиной утечки ценной информации. Установленные технологии защиты корпоративной сети (антивирусное сканирование и веб-фильтрация) не могут надежно защитить организацию от современных интернет-угроз, исходящих от динамического контента Web 2.0.

Характеристики современных угроз

Аналитики отмечают, что в последние несколько лет произошли изменения в инструментарии, используемом киберпреступниками. Вредоносный код по-прежнему распространяется преимущественно через веб-ресурсы и электронную почту, но характер атак приобрел новые черты.

Основная цель хакеров – сайты с положительной репутацией. По разным аналитическим данным, до 80 процентов вредоносного кода размещается именно на подобных легитимных сайтах. Заражение происходит через интернет-рекламу и сайты с высокой посещаемостью (поисковые машины, популярные порталы).

Атаки направлены против конкретного бизнеса и могут включать целенаправленные рассылки почты с вредоносными ссылками адресатам выбранной организации.

Для преодоления защиты и захвата управления компьютером вредоносный код использует от 3 до 20 уязвимостей нулевого дня одновременно. Вредоносные программы применяют средства активного и пассивного противодействия обнаружению и исследованию: сокрытие кода, ведение учета зараженных машин с целью предотвращения повторной отгрузки кода, и т.д.

Атаки имеют четко поставленные цели: кража персональных данных, реквизитов карт, электронных денег, логинов и паролей – любых конфиденциальных данных; расширение бот-сетей с последующим использованием зараженных машин для трансляции спам-рассылок или проведения массированных DDoS-атак на другие организации.

Высокая организованность и технологическая оснащенность злоумышленников, доступность готовых платных инструментов делает атаки с целью хищения данных регулярной и массовой угрозой.

Средства обеспечения интернет-безопасности

Технологии предыдущего поколения – антивирусные сканеры и URL-фильтры

Антивирусные средства на рабочих местах сотрудников используют варианты сигнатурного и эвристического анализа. На интернет-шлюзах для сканирования контента применяются быстрые сигнатурные методы из-за высоких требований к скорости обработки трафика. Злоумышленники активно используют отставание производителей антивирусных средств в обновлении сигнатур. Хакеры помещают вредоносный код в специальную маскирующую программную «обертку» и перед выпуском проверяют всеми известными сканерами, чтобы избежать обнаружения. Типичная задержка в выпуске сигнатур (окно уязвимости) может составлять от нескольких часов до нескольких дней. В течение всего окна уязвимости вредоносный код остается совершенно невидимым ни для одного из известных антивирусов.

URL-фильтрация

Современные интернет-шлюзы обладают функцией ограничения доступа к нецелевым и потенциально опасным сайтам на основе базы URL, обновляемой производителем. Веб-фильтрация избавляет специалистов организации от необходимости самостоятельно вести базу нежелательных сайтов, но не снижает риски заражения вредоносным кодом. Уже с 2007 года аналитики отмечают, что именно легитимные сайты все чаще используются для размещения вредоносного кода или ссылок. Каждое внедренное решение веб-фильтрации содержит базу исключений, состоящую из открытых по требованию бизнеса и классифицированных вручную сайтов. Работа по обновлению собственных классификаторов неизвестных сайтов ведется непрерывно специалистами ИТ по заявкам сотрудников. Оценка сайта, как правило, выполняется администратором однократно и субъективно. После добавления сайта в список разрешенных дальнейший его мониторинг не проводится, что несет угрозу безопасности в случае взлома сайта. В крупной организации непроизводительный расход ресурсов подразделения ИТ на ручную классификацию интернет-ресурсов является заметным фактором, подлежащим оптимизации.

Современные требования к системам защиты

Аналитики рынка ИБ рекомендуют крупным организациям внедрять решения защиты периметра сети, реализующие сочетание следующих методов защиты:

  • фильтрация по категориям URL;
  • обнаружение и блокировка неизвестных угроз: декомпозиция страниц;
  • обнаружение попыток сокрытия вредоносного кода;
  • сканер Flash, Java, Silverlight, PDF, и т.д.;
  • URL-фильтр; сигнатуры веб-атак, получаемые путем глобального мониторинга;
  • экранирование уязвимостей;
  • детектирование инструментального вредоносного кода;
  • анализ активных сценариев на странице;
  • сигнатурное обнаружение известных угроз;
  • обнаружение и блокировка исходящего шпионского трафика.

 

McAfee Web Protection - система, предназначенная для защиты различных устройств (мобильные, рабочие станции, серверы) от самых сложных интернет-угроз. Решение блокирует вредоносный код «нулевого дня» еще до того, как он попадет на рабочий компьютер или мобильное устройство. Надежная защита пользователей обеспечивается независимо от их местоположения благодаря применению облачных технологий. Пред-интеграция и постоянный обмен информацией с другими решениями ИБ повышают эффективность реагирования на инциденты, сокращают объем работы по устранению уязвимостей

Комплексные решения безопасности Forcepoint TRITON APX обеспечивают защиту веб, электронной почты и корпоративных данных, включают возможности предотвращения утечек корпоративной информации и поддерживают гибридные схемы развертывания, использующие компоненты, установленные как в организации, так и в облаке.

Решения безопасности Forcepoint TRITON APX построены на единой архитектурной платформе и используют систему классификации Forcepoint ACE (Advanced Classification Engine) для анализа контента в процессе его передачи по сети. Алгоритмы ACE оценивают контент по семи шкалам безопасности и вычисляют результирующий балл, позволяющий оценить степень риска. В основе защитных алгоритмов ACE лежит сеть Forcepoint ThreatSeeker – самая крупная сеть сканеров Интернета, а также опыт и наработки специалистов лаборатории Forcepoint Security Labs.

В направление TRITON APX входит пакет TRITON APX Enterprise Bundle, продукты TRITON AP-WEB, TRITON AP-EMAIL, TRITON AP-DATA, TRITON AP-ENDPOINT.

Продукт для  веб-безопасности  TRITON AP-WEB  успешно отражает современные комплексные направленные атаки и защищает от кражи данных злоумышленниками, превосходя технологии антивирусного сканирования и URL-фильтрации.

Анализатор угроз Forcepoint TRITON ThreatScope, используемый в модулях Threat Protection Appliance и Threat Protection Сloud — это дополнительный слой защиты от направленных атак и угроз информационной безопасности, которые стремятся проникнуть в сеть через веб-каналы или электронную почту. Поведенческий анализ загружаемого кода в изолированной среде и отчеты о фишинговой активности помогают организовать упреждающую защиту в одном высокоэффективном решении.