Еще недавно основными объектами атак вредоносных программ были  частные пользователи и сети "гражданских" предприятий, однако история с червем Stuxnet показала, что атаки можно вести и на защищенные корпоративные сети. Для этого могут, как обычно, использоваться зомби-сети из зараженных компьютеров. Распределенные атаки, построенные на основе таких сетей, практически гарантируют обнаружение слабого звена информационной обороны, поэтому компаниям необходимо строить защиту не от отдельных типов угроз, а создавать комплекс информационной безопасности, состоящий из решений разных производителей. В этом могут помочь не отдельные разработчики средств защиты, а так называемые интеграторы безопасности.

В России одним из таких интеграторов является компания «Информзащита", она предоставляет услуги как построения системы информационной безопасности, так и сопровождения, вплоть до отражения целенаправленных атак. В 2011 году компания планирует провести серию семинаров, на которых специалисты производителей средств защиты будут рассказывать о своих корпоративных продуктах. На первом семинаре, прошедшем 10 февраля, свои продукты представила "Лаборатория Касперского".

Поскольку корпоративные сети должны противостоять зомби-сетям, которые находятся под контролем нападающих, то и их защита должна быть построена на аналогичных принципах. Зомби-сеть состоит из большого числа агентов, внедренных злоумышленником в разнообразные компьютеры по всему Интернету и координирующихся с помощью специальных контрольных серверов. Поэтому по аналогичной технологии должна быть построена и защита. В продуктовом ряду "Лаборатории Касперского" агент на клиентской машине называется Endpoint Security, а сервер управления, контролирующий поведение отдельных агентов, — AdminKit. Сейчас ЛК обновила версию корпоративных продуктов до 8.0, внедрив в него новое антивирусное ядро, такое же как в персональных продуктах с индексом 2011. Новая версия Endpoint Security поддерживает не только Windows, но и Mac OS, и Linux, для которых  реализован в том числе и эвристический анализатор. При этом управляются они тем же AdminKit 8.0, позволяющим централизованно координировать действия корпоративных системы безопасности.

"Лаборатория" предлагает не только продукты для защиты корпоративных рабочих станций, но и новый сервис по защите от DDoS-атак корпоративных веб-приложений. Для этого компания создала систему центров очистки трафика, такие центры позволят отфильтровать паразитные запросы и пропустить пакеты от реальных пользователей. Система будет работать лучше, если компания-клиент поставит на обслуживание свои сервера, еще не находясь под атакой, тогда у специалистов ЛК будет возможность построить профиль легитимных запросов и не блокировать их даже во время атак. Центры очистки находятся на высокоскоростных каналах связи с точками обмена трафиком в Москве и Новосибирске, и компания будет увеличивать количество этих центров по всему миру. Контракт с ЛК позволит клиенту в случае атаки переадресовать свой трафик на ближайший центр очистки и тем самым снизить нагрузку на сайт.

Для эффективной защиты от вредоносного воздействия  нужно, чтобы работу защитных механизмов кто-то контролировал и вмешивался в нее в случае необходимости. Для этого любая компания может построить собственный оперативный центр безопасности, где будут дежурить специалисты по реагированию на целенаправленные атаки. Если же компания не в состоянии создать подобный центр самостоятельно, то его можно взять в аренду, например, у компании "Информзащита". Специалисты интегратора могут удаленно контролировать работу корпоративной защиты и оперативно реагировать на нападения. В частности, при DDoS-атаке на сайт важно быстро включить центры очистки, чтобы не подвергать основной сайт чрезмерной нагрузке. "Информзащита» заявила, что берет на поддержку не только собственные проекты, но и системы, построенные другими компаниями.

Поделитесь материалом с коллегами и друзьями