Защита корпоративных данных

Защита информации включает в себя защиту от внешних (вредоносный код, спам и т.д.) и от внутренних угроз (утечка данных). Каждый бизнес-процесс должен быть оценен с точки зрения сохранности его данных, особенно это важно для функций, требующих взаимодействия с клиентами или компаниями-партнерами. При этом для внешнего взаимодействия требуется компромисс между удобством и безопасностью – непросто заставить внешних контрагентов соблюдать внутренние распорядки другой компании и нагружать их необходимостью выполнять дополнительные операции.

Решения Trend Micro строятся на базе панели Control Manager, предоставляющей доступ ко всем продуктам компании с целью организации защиты в гетерогенной сети любого масштаба (см. рисунок). Панель обеспечивает централизованное распространение обновлений, сбор протоколов о работе продуктов, формирование отчетов, а также настройку продуктов на выполнение функций отражения угроз.

Безопасность электронной почты

Электронная почта давно стала одним из основных средств коммуникации в современной бизнес-среде, и неудивительно, что с ней связано большое количество самых разнообразных угроз. Некоторые угрозы актуальны для большинства компаний, другие же возникают только при определенных способах использования электронной почты, например при пересылке конфиденциальных сведений за пределы корпоративной сети.

Защищенная рассылка конфиденциальных данных

Казалось бы, задача шифрования электронной почты уже была решена в 1991 году, когда Филипп Циммерман разместил в Сети свою программу PGP, но это не так. В PGP используется классическая технология открытого и закрытого ключа, предполагающая, что закрытый ключ доступен только получателю защищенного сообщения, а открытый – всем желающим. Трудность не в сохранности закрытого ключа, а в доступности открытого ключа всем желающим. Тогда была предложена инфраструктура открытых ключей PKI (Public Key Infrastructure), но внедрить и сопровождать ее можно только в рамках одной организации – многие задачи, например массовая рассылка зашифрованной почты, подобные системы решить не могут. Обычный пользователь не в состоянии подключить свой компьютер к системе PKI – это сложно, а главное, требует предварительной настройки до получения первого зашифрованного сообщения.

Для решения проблемы доступности открытого ключа всем желающим была создана криптографическая система IBE (Identity Based Encryption), и теперь для отправки кому-либо зашифрованного письма требуется лишь наличие у получателя адреса электронной почты. Если получатель в состоянии подтвердить, что адрес действительно его, он может без установки дополнительных программ расшифровать послание непосредственно в окне браузера. Расшифровщик написан на JavaScript и загружается в Web-странице. Разумеется, каждый раз расшифровывать в окне браузера не очень удобно, поэтому предлагается небольшая бесплатная программа, которая интегрируется в почтовую программу, и тогда расшифровка почты становится совершенно прозрачной.

Продукт Trend Micro Mail Encrypter позволяет обеспечить защищенную передачу данных, в том числе и при массовой рассылке сведений конфиденциального характера, что предоставляет, например, частным клиникам возможность отправки своим пациентам результатов анализов с соблюдением всех требований конфиденциальности, а банкам – рассылки вкладчикам отчетов по состоянию счетов.

Архивация корпоративной переписки

Продукт Trend Micro Message Archiver позволяет сохранить всю корпоративную переписку в едином хранилище с возможностью сквозного поиска. Каждый пользователь может найти сообщение в своей корреспонденции даже в том случае, если из его почтового ящика нужное сообщение уже удалено.

Каждое входящее письмо проходит несколько стадий обработки: снятие его цифрового отпечатка, индексирование, сжатие, шифрование и помещение в хранилище. Сообщения посредством криптографии защищаются от посторонних глаз, но при этом авторизованным лицам обеспечивается возможность поиска по содержимому сообщений. Предусмотрено также сжатие, позволяющее поддерживать минимальный размер хранилища.

Отметим, что Trend Micro Message Archiver не заменяет традиционные системы резервного копирования – продукт сохраняет все сообщения до момента их размещения в почтовом ящике. Традиционные системы резервного копирования обычно периодически (например, раз в сутки) сохраняют состояние почтовой системы, и у пользователя есть возможность удалить компрометирующее его сообщение. С Trend Micro Mail Archiver такой возможности нет.

Комплексная защита почты

В современных условиях архивация всей входящей почты осложняется тем, что в электронной корреспонденции очень много спама, поэтому для блокировки сорных писем и устранения других угроз в электронной почте (почтовые черви, вирусы, фишинг-атаки) разработчики Trend Micro предложили семейство продуктов для защиты электронной почты.

InterScan Messаging Security – семейство продуктов, выполняющих, в частности, функции антивируса для электронной почты и антиспама. В семейство входит программа InterScan Messaging Security Suite, антиспам-продукт Spam Prevention Solution, SaaS-решение InterScan Messaging Security Hosted и виртуальное устройство (приставка) InterScan Messaging Security Virtual Appliance. Преимуществом шлюзового антивируса является не только поддержка широкого спектра платформ, но и наличие уникальной системы блокировки угроз еще до их попадания в шлюз.

Продукты семейства InterScan Messging Security работают на платформах Windows, Linux, Solaris, sendmail, postfix, а также на программных приставках (software appliances), сочетающих в себе преимущества аппаратных решений с гибкостью программных продуктов. По сути, такие устройства представляют собой дистрибутив операционной системы вместе с предустановленным продуктом InterScan Messaging Security, что позволяет оперативно развернуть продукт на сервере без установки ОС и получить фактически аппаратное решение, не требующее обслуживания. С другой стороны, в отличие от аппаратного решения, в данном случае нет никаких препятствий для наращивания производительности аппаратной платформы в случае необходимости.

Имеется еще более быстрый способ развертывания Interscan Messaging Security, воспользовавшись виртуальным устройством (Virtual Appliance), представляющим собой готовый образ системы для платформы виртуализации VMware. Для развертывания продукта достаточно переписать файл с образом системы на сервер с установленной системой VMware ESX Server. При такой схеме инсталляции становятся доступными все дополнительные возможности, представляемые платформой VMware, например распределение нагрузки и построение отказоустойчивых решений.

Почта с хорошей репутацией

Продукт Email Reputation входит в состав технологий, предлагаемых компанией в рамках решения для облачных сервисов – Trend Micro Smart Protection Network. Продукт обеспечивает блокировку вредоносных писем и спама по IP-адресу отправителя еще до попадания тела письма на почтовый сервер. В базах Trend Micro ведется учет 1,6 млрд IP-адресов, для каждого из которых хранится информация по его уровню угроз. Содержимое базы адресов обновляется в реальном времени путем мониторинга трафика в магистральных сетях Internet на предмет обнаружения спама, а также путем корреляции информации с другими репутационными базами, которые входят в Smart Protection Network (база с оценками Web-сайтов и файлов). Например, при обнаружении в Internet-трафике сообщения с присоединенным файлом, имеющим плохую репутацию в базе репутации файлов, IP-адрес отправителя попадает в базу репутации электронной почты с низким рейтингом репутации.

Технологию Email Reputation можно использовать вместе с любым продуктом защиты от спама, например с бесплатным Spam Assasin или вместе с почтовым сервером, что позволяет на 50-70% снизить количество мусора в почте.

Защита корпоративных систем обмена сообщениями

К сожалению, шлюзовые средства не обеспечивают защиту внутренней переписки сотрудников компании, поэтому было разработано семейство продуктов ScanMail для защиты платформ Exhange и Domino, а также Portal Protect для Microsoft SharePoint. Удобным свойством ScanMail является поддержка множества платформ, что упрощает его разворачивание в гетерогенной сети. Например, ScanMail для MS Exchange поддерживает все роли серверов MS Exchange 2007, а ScanMail для Domino поддерживает все семь операционных систем, которые поддерживает эта платформа.

Защита Web-трафика

Кроме угроз электронной почте, корпоративные данные в не меньшей, а то и в большей степени подвержены угрозам со стороны Web, для защиты от которых разработчики Trend Micro предлагают семейство InterScan Web Security, включающее продукт InterScan Web Security Suite для платформ Windows, Linux и Solaris, а также виртуальное устройство InterScan Web Security Virtual Appliance. Данное семейство дополняет продукты InterScan Messaging Security.

Кроме проверки содержимого Web-страниц на присутствие вредоносного кода, InterScan Web Security позволяет также ограничить посещения пользователями сайтов с сомнительным содержимым, а также объем загружаемых данных. Интересной возможностью является блокировка сайтов, уличенных в краже информации, а также сайтов хакеров, аккумулирующих краденые данные пользователей. Уникальность подхода к формированию списка сайтов, подлежащих блокировке, в том, что в качестве основного критерия используется не наличие вредоносного кода, а оценка его репутации. Действительно, многие опасные для посещения сайты вообще не содержат вредоносного кода, который бы можно было обнаружить, а на сайтах, накапливающих украденную у пользователей информацию, обычно нет никаких вирусов, действительно, зачем хакерам заражать собственные сайты?

Потенциальная опасность сайтов определяется на основе анализа предыстории Web-ресурса – в базах компании Trend Micro постоянно фиксируются изменения владельцев Web-ресурсов, изменения адресов сайтов и другие параметры. Например, если сайт новый или постоянно меняет свое географическое положение — а подобным образом ведут себя только вредоносные сайты злоумышленников с целью обмануть встроенную защиту, которая присутствует в ряде популярных браузеров, – то доступ к таким сайтам блокируется.

Кроме традиционных операционных систем, таких как Windows, Linux и Solaris, продукт InterScan Web Security поддерживает работу с программными и виртуальными устройствами, а также интегрируется с такими популярными шлюзовыми решениями, как Microsoft ISA Server, squid, Cisco CE.

Защита конечных узлов

Шлюзовые средства безопасности не в состоянии на 100% оградить корпоративную сеть от внешних угроз, и в первую очередь это связано с тем, что многие виды трафика не поддаются эффективному анализу на уровне шлюза, например зашифрованный трафик. Кроме того, часть сотрудников в компании работает вне корпоративной сети и оказывается вообще без шлюзовой защиты. Если средства безопасности на шлюзе не предотвращают проникновения угрозы внутрь периметра корпоративной сети, то необходимы специализированные средства защиты конечных узлов корпоративной сети: рабочих станций, файловых серверов, мобильных устройств сотрудников.

Защита от вредоносного кода

Для защиты конечных узлов корпоративной сети от вредоносного кода, компания Trend Micro предлагает специальный продукт OfficeScan Client/Server Edition, позволяющий из единой панели управления управлять защитой узлов любого типа.

Продукт использует сервис сети Smart Protection Network для обеспечения каждого компьютера и ноутбука корпоративной сети такими возможностями защиты, как Web-репутации. Это позволяет оградить от Web-угроз даже работающий вне корпоративной сети ноутбук. Что же касается технологии репутации файлов, то эта составляющая Smart Protection Network обеспечивает сверку каждого неизвестного файла с централизованной базой Trend Micro, хранящей сведения о всех файлах, которые проходят анализ в антивирусных лабораториях компании. Таким образом, исключается задержка по времени, обычно вносимая традиционным подходом, при котором антивирусные обновления загружаются периодически с сайта антивирусной компании.

Возможности продукта могут быть расширены при помощи подключаемых модулей. Сейчас доступны четыре таких модуля, добавляющих новое измерение к системе защиты компании.

1. Intrusion Defense Firewall – персональный межсетевой экран с усиленной системой предотвращения удаленного взлома. Этот продукт обеспечивает защиту от проникновения вредоносного кода узлы, на которых не установлены свежие заплаты по безопасности, что позволяет аккуратнее и без спешки производить развертывание заплат в крупной корпоративной сети.
2. Trend Micro Mobile Security – средство защиты для смартфонов на платформах Windows Mobile и Symbian. Модуль обеспечивает не только антивирусную и сетевую защиту, но и предлагает посредством криптографии защитить все данные на устройстве, например адресную книгу, переписку и другие ценные сведения, которые могут быть потеряны в случае кражи или утери устройства.
3. TMAgent Manager – модуль, обеспечивающий распространение в корпоративной сети агентов BigFix, позволяющих эффективно распространять обновления и заплаты ОС в корпоративных сетях любого масштаба.
4. Trend Micro Endpoint Recovery – средство для сохранения резервных копий критичных системных данных и файлов, позволяющее восстановить работоспособность рабочей станции даже в случае, если она не загружается.

Еще одной интересной возможностью OfficeScan Client/Server Edition является гибкая система распространения антивирусных обновлений, которая позволяет превратить любой компьютер удаленного офиса в промежуточный сервер обновлений. Это позволяет сэкономить трафик в канале до удаленного офиса, так как все компьютеры этого офиса смогут забирать обновления со своего промежуточного сервера обновлений.

Защита от утечек

К сожалению, угрозы со стороны вредоносного кода – не единственные каналы утечки ценных данных. На каждой рабочей станции в корпоративной сети и на каждом ноутбуке есть USB-накопители, CD или DVD, и без наличия интеллектуальной обработки данных на каждом компьютере в сети нельзя быть уверенным, что все ценные данные находятся в сохранности. Для борьбы с такими угрозами потери конфиденциальной информации используется продукт LeakProof, появившийся в портфеле решений компаний Trend Micro после поглощения компании Provilla.

LeakProof работает с данными на конечном узле – только на компьютере пользователя можно понять, что, собственно, происходит с данными. Например, можно определить, что пользователь пытается неавторизованно зашифровать конфиденциальные данные, и лишить его этой возможности либо заблокировать ее несанкционированную пересылку по почте. В LeakProof встроена возможность принудительного шифрования конфиденциальных данных при размещении на USB-накопителе, что предотвратит утечку данных в случае утери или кражи носителя.

На компьютере пользователя устанавливается агент, который следит за соответствием действий сотрудника принятым политикам обеспечения информационной безопасности. В случае обнаружения несоответствий все действия блокируются, а на центральном сервере фиксируется факт попытки кражи данных. Агент контролирует действия пользователя автономно, и его можно использовать на портативных рабочих местах (ноутбуках) – сигнатуры всех конфиденциальных документов агент хранит на конечном узле, и связь с центральным сервером требуется только для получения новых политик.

Для защиты от инсайдеров агент прячется на конечном узле, оставаясь предельно незаметным и не давая злоумышленнику намека на то, какой продукт контролирует его деятельность и какими способностями этот продукт обладает.

Комплексная защита корпоративной сети

Разумеется, современного заказчика не интересуют отдельные продукты. Чаще всего клиенты ориентируются на комплексные решения, которые позволяют получить все средства защиты в едином пакете. У компании Trend Micro таким пакетом является востребованный на российском рынке продукт NeatSuite Advanced Edition, включающий в себя все основные продукты Trend Micro.

Михаил Кондрашин (mkondrashin@apl.ru) – руководитель центра компетенции и дистрибуции ЗАО «АПЛ» (Москва).