Спаму и вирусам - надежный барьер | Windows IT Pro/RE | Издательство «Открытые системы»

Стратегия и инструменты для малых и средних предприятий

Для надежной безопасности необходима эшелонированная оборона - защитные барьеры на каждом уровне сети. Хотя бюджет, персонал, ресурсы и требования малого и среднего бизнеса несопоставимы с возможностями крупных предприятий, общие потребности безопасности компаний разных размеров весьма сходны. В данной статье речь пойдет о двух видах обороны — защите от спама и вирусов — и способах их развертывания в небольших компаниях. Сначала я расскажу о некоторых принципах, общих для этих видов защиты, а затем представлю конкретные стратегии, направленные на обеспечение максимально эффективной защиты на рубль вложений в сетевые ресурсы.

«Плохой» и «хороший» контент

У программ для борьбы с вирусами и спамом — общая основная функция: они проверяют сообщения, файлы и другие объекты, чтобы классифицировать их как «плохие» и «хорошие». Эти слова заключены в кавычки, так как элементы, определенные как «плохие» в соответствии с одним набором правил безопасности, могут оказаться «хорошими» по другим критериям. Например, наша компания занимается проектированием программ, поэтому сотрудники часто пересылают друг другу сценарии по электронной почте. Присоединенный файл VBScript, вполне приемлемый для пересылки между двумя внутренними пользователями, может быть отмечен как «плохой», если он получен от внешнего отправителя.

Процесс тестирования объектов на соответствие заранее подготовленному набору правил для инструментов борьбы со спамом и вирусами в целом один и тот же. Типичные программы обоих типов позволяют удалять подозрительный контент (без извещения отправителя, получателя или владельца файла или с извещением), отправлять его в карантин для дальнейшего исследования или отмечать специальной меткой. Различия между инструментами двух классов в основном заключаются в способах тестирования и применении правил.

Организация многоуровневой защиты

Большинство администраторов понимают углубленную защиту как несколько пересекающихся возможностей для защиты сети. Эти возможности могут составлять несколько уровней защиты от одной угрозы или обеспечивать защиту от нескольких различных угроз. Располагая средствами защиты как от спама, так и от вирусов, можно организовать линии обороны в трех основных местах.

На сетевом периметре. Инструменты сканирования, работающие на внешнем рубеже, не должны пропускать опасный контент в сеть, отвергая его, прежде чем он будет доставлен или сохранен на серверах предприятия. Пример - антивирусный сканер, интегрированный с брандмауэром Microsoft ISA Server, или специальный сервер-мост SMTP с фильтром спама.
На серверах. Серверные инструменты для борьбы с вирусами и спамом фильтруют вредный контент или спам, доставленный на серверы, и препятствуют его проникновению на отдельные сетевые клиентские системы. Пример - программа поиска вирусов для Exchange, которая проверяет сообщения, поступающие в Information Store (IS).
На клиенте. Клиентские инструменты для борьбы со спамом и вирусами функционируют по-разному. Клиентские программы для борьбы со спамом позволяют локально определять, что есть "хорошо" и "плохо", а клиентские антивирусные продукты помогают предотвратить распространение вирусов с зараженного компьютера на другие системы. Комбинируя различные виды обороны от вирусов и спама, можно добиться высокой надежности защиты. Здравый смысл подсказывает, что следует разместить средства защиты от спама и вирусов на всех трех рубежах и использовать различные инструменты сканирования на каждом из них. Однако, комбинируя два уровня антивирусной защиты - на периметре и на клиентской системе, большинство малых и средних компаний могут построить достаточно надежную защиту при приемлемых затратах.

Почему можно отказаться от серверного компонента? Ответ прост: при наличии клиентской защиты клиенты не смогут поместить зараженные файлы или сообщения на серверы. А серверы обработки сообщений защищены сканером на периметре сети, который должен остановить большинство «вредителей», поступающих извне.

Целесообразно применять продукты различных поставщиков на разных уровнях. В различных продуктах используются разные механизмы сканирования, и повышается вероятность, что хотя бы один продукт обнаружит нежелательный файл. Однако большинство поставщиков программ для борьбы со спамом и вирусами предлагают скидки, если потребитель покупает лицензии сразу на серверные и клиентские продукты, поэтому за комбинацию инструментов разных фирм, возможно, придется заплатить больше.

Фильтрация спама

Задача фильтров проста: помешать спаму попасть во входной почтовый ящик пользователя. Основная трудность — отличить спам от полезных сообщений. Решить эту задачу можно с помощью нескольких критериев. В большинстве программ фильтрации используется комбинация критериев, чтобы вычислить коэффициент доверия и сравнить его с пороговым значением. Сообщения с коэффициентом выше порога считаются спамом, а сообщения с баллом ниже порогового значения рассматриваются как полезные.

В результате проведенного в 2004 г. исследования 82 компаний из списка Fortune 500 специалисты Nucleus Research пришли к выводу, что спам обходится этим компаниям в среднем в 1394 долл. на одного сотрудника в год. Можно поспорить относительно точной цифры, но не подлежит сомнению, что плохая фильтрация спама приводит к снижению производительности труда и потере рабочего времени.

Однако проблема фильтрации спама в том, что если фильтр слишком строг, то будут потеряны (или, по крайней мере, задержится доставка) полезных сообщений от клиентов, партнеров и сотрудников. Например, дистрибьютору лекарственных препаратов вряд ли подойдет типичная система фильтрации, которая отыскивает и использует для распознавания спама названия распространенных лекарств. По этой причине общепризнанный метод — опробовать новое решение для борьбы со спамом в течение испытательного срока. В этот период следует не настраивать продукт антиспама на удаление любых сообщений, а использовать журналы и карантин для поиска ошибочно забракованных полезных сообщений.

В некоторых системах фильтрации используется технология, известная как байесова логика для статистической проверки содержания почтовых сообщений. После того как фильтр будет «обучен» на образцах вредных и полезных сообщений, его можно применить для классификации входящих сообщений. Правильно настроенные байесовы фильтры успешно блокируют спам, но одного байесова анализа недостаточно. По этой причине большинство фильтров также вычисляют вероятность спама на основе следующих критериев.

Источник сообщения. Блокирование сообщений, потому что IP-адрес отправителя принадлежит (или похоже, что принадлежит) компьютеру, известному как источник спама, - устоявшаяся традиция в Internet; за годы применения повысились как точность, так и быстродействие этих методов.
Объявленный источник сообщения. Компания Microsoft старается внедрить стандарт Sender ID, чтобы точнее определять, действительно ли сообщение поступило из домена, который указан в сообщении. Записи DNS домена-отправителя используются в Sender ID для перекрестного сопоставления исходного IP-адреса сообщения со списком IP-адресов, которые уполномочены передавать почту для этого домена.
Отправитель и получатель сообщения. Каждый час в мой рабочий домен поступает более 1000 спам-сообщений, рассылаемых словарным методом; фильтруя ложных получателей, блокировать их не составляет труда.
Содержимое строки "Тема". В прошлом можно было получить неплохие результаты, фильтруя определенные ключевые слова и фразы (например, MAKE MONEY FAST - "быстрый заработок") в строке "Тема". Сегодня большинство авторов спама действуют более хитро, но тем не менее отсутствие, искажение или нелепость данных в строке "Тема" часто свидетельствует о том, что это сообщение - спам.
Тело сообщения. Фильтрация по ключевым словам - лишь один способ проверки тела сообщения. Авторы спама часто обходят такие фильтры, изменяя написание и добавляя пробелы в слова в своих сообщениях или рассылая их в формате HTML, поэтому в большинстве современных продуктов для борьбы со спамом применяется несколько методов анализа тела сообщения. Например, во многих фильтрах вычисляются отдельные аддитивные коэффициенты для подозрительных ключевых слов, некорректно отформатированного текста HTML и текста, цвет которого сливается с фоном (скрытый текст). Недавно разработанный метод фильтрации URL чрезвычайно эффективен при использовании в объединенных фильтрах. Фильтр URL обнаруживает и перехватывает сообщения, содержащие URL Web-узлов, известных как источники спама.
"Секретные" компоненты. В фильтрах большинства поставщиков имеется по крайней мере один или два алгоритма, принцип действия которых не раскрывается. Это делается в расчете на то, что авторы спама не смогут обойти проверки, о которых не знают. К сожалению, потребителям, желающим защититься от спама, будет трудно оценить эффективность конкретного инструмента, если не знать деталей отдельных тестов.

Объединенная фильтрация резко повышает точность определения спама. Благодаря объединенным отчетам о спаме каждый участник системы комплексной фильтрации может воспользоваться опытом других участников. Одна лишь объединенная фильтрация — не идеальное решение, но она будет хорошим дополнением для фильтров других типов.

Сообщение, идентифицированное фильтром как спам, может быть блокировано, принято как сообщение, но удалено, отмечено как спам, но доставлено в почтовый ящик или рассматриваться как обычное почтовое послание. Результаты этих действий различны, в зависимости от местоположения фильтра. Например, фильтр на периметре, который блокирует спам, не пропустит его на серверы, но клиентский фильтр, который удаляет полученный спам, не снижает нагрузку на них. Важно иметь возможность настраивать действия фильтра, так как один из самых существенных изъянов фильтров спама — ошибочная выбраковка полезных сообщений.

По моему опыту предоставление пользователям возможности контроля над надстройками их собственных фильтров на самом деле усугубляет проблему. Пользователи настраивают параметры, чтобы улучшить фильтрацию, но часто при этом пропадает больше полезных сообщений, чем при исходных настройках. Эта проблема смягчается в фильтрах спама с индивидуальным карантином для каждого пользователя; пользователи помечают сообщения как спам или полезное послание, и информация об этом возвращается в механизм фильтрации.

Фильтрация вирусов

Методы защиты от вирусов послужили темой для многих статей и книг. Очевидно, что в одной только статье невозможно представить полное изложение. Однако я могу отметить несколько важных принципов, о которых полезно знать.

Антивирусные инструменты анализируют объекты (например, файлы, сообщения, исполняемые программы, диалоговые сообщения) и сравнивают их содержимое с наборами сигнатур, которые характерны для известных вирусов и их производных. Собственно процесс сопоставления сигнатур довольно сложен, так как, чтобы избежать обнаружения, во многих вирусах используются шифрование и самоизменяющийся программный код. Для потребителя важнее выяснить, что можно проверить.

Клиентские и серверные сканеры исследуют открываемые и размещенные на диске файлы программ и данных. Сканеры на периметре, в зависимости от реализации, обычно отслеживают пакеты данных, в частности SMTP- или IM-трафик, в поисках вирусных сигнатур. Конечно, простое сканирование файлов малоэффективно для приложений, в которых не используются традиционные файлы. Поэтому сканеры, размещаемые на серверах пересылки сообщений, таких как Microsoft Exchange или IBM Lotus Notes, исследуют контент сообщений с использованием API, предоставляемых поставщиком. Начинающему администратору Exchange необходимо знать, что происходит, когда сканер вирусов обнаруживает в файле журнала транзакций Exchange подозрительный блок данных и пытается очистить его: журнал транзакций оказывается испорченным и становится причиной неполадок при размонтировании и переподключении базы данных. Для других продуктов, таких как Microsoft Office SharePoint Portal Server и Live Communications Server, также имеются специализированные сканеры вирусов от различных поставщиков.

Как и в фильтрах спама, действия в отношении подозрительного элемента зависят от местоположения и настроек антивирусной программы. Фильтры на периметре обычно блокируют или направляют подозрительные элементы в карантин, а серверные и клиентские фильтры могут помещать в карантин или удалять отмеченные элементы либо пытаются очистить их (не всегда успешно). Очень важна функция оповещения, чтобы администраторы знали об обнаружении вируса. Менее полезны предупреждения, которые сообщают отправителю о том, что его сообщение было заражено. Злоумышленники часто подделывают информацию об отправителе, и предупреждение поступает невиновному лицу, увеличивая объем непрошеных посланий в его почтовом ящике.

Выбираем антивирусное решение

Рынок антивирусных программ сформировался и вполне стабилен. Главные роли на рынке программ для предприятий играют несколько крупных поставщиков, такие как Computer Associates, McAfee и Symantec. Проблема вирусов возникла в начале 1980-х, и методы перехвата зараженных объектов достаточно хорошо разработаны, поэтому основные различия между антивирусными продуктами заключаются в дополнительных возможностях и цене, а не в базовой функциональности.

Существует две проблемы, ключевые для эффективной борьбы с вирусной инфекцией: быстрое обновление сигнатур и быстрое сканирование по требованию во время вирусной вспышки. Следует также учесть следующие факторы.

Стоимость обслуживания. Начальные затраты на приобретение - лишь часть общей стоимости в период эксплуатации. Чтобы получать обновленные сигнатуры, необходимо оформить подписку на услуги поставщика.
Механизмы. Некоторые поставщики антивирусных программ лицензируют механизмы других компаний. В этом нет ничего плохого, если потребителю известно, какой механизм он приобретает. В некоторых продуктах можно использовать несколько механизмов одновременно; этот метод достоин внимания, хотя грозит существенным снижением производительности компьютеров.
Частота обновления сигнатур. Следует выяснить, насколько быстро выбранный поставщик выпускает обновленные сигнатуры. Скорость - решающий фактор, так как новые вирусы распространяются быстро.
Управление обновлением. Практически все антивирусные пакеты могут загружать обновленные сигнатуры по расписанию. Полезна возможность принудительно обновить сигнатуры на всех компьютерах организации; единственная зараженная машина может привести к большим неприятностям даже в малой сети.
Управление оповещением. Гибкая программа позволяет выбирать типы предупреждений, которые получает администратор, и место, в которое они направляются. Известия о настоящей вирусной вспышке должны распространяться безотлагательно, а отдельные зараженные сообщения или файлы, захваченные на периметре сети или в клиентском компьютере, дают меньше оснований для беспокойства.

Выбираем решение для борьбы со спамом

По сравнению с рынком антивирусных программ рынок спама напоминает Дикий Запад, на котором новички соседствуют с авторитетными фирмами. Все они предлагают необъятное множество брандмауэров, серверных и клиентских фильтров. Многие поставщики даже комбинируют эти продукты, и большинство утверждают, что их технология более точная и быстрая.

Следует помнить, что одна из важнейших характеристик фильтров спама — гибкость. Способность авторов спама адаптироваться к ситуации выше, чем у тараканов. Технология фильтрации, которую нельзя без труда перестроить самостоятельно или нерегулярно обновляемая поставщиком, вряд ли принесет удовлетворительные результаты. Однако неизбежен компромисс между гибкостью и временем, которое администратор может уделить настройке и обслуживанию продукта борьбы со спамом. Инструмент с немногочисленными параметрами, устанавливаемыми по умолчанию, или требующий длительного обучения, может оказаться не лучшим вариантом для предприятия. Следует оценить и другие факторы.

Затраты на обслуживание. Некоторые фильтры спама располагают базовым набором правил, которые настраиваются пользователем, поэтому после покупки фильтра не требуются дополнительные расходы. В других случаях приходится оформлять подписку на услуги поставщика для обновления фильтра. Такие услуги помогают избавиться от спама, но стоимость подписки может быть немалой.
Интеграция с клиентом. При использовании периметрического или серверного решения необходимо видеть сообщения, отмеченные как спам, чтобы отыскать забракованные полезные послания. Пользователям некоторых решений предоставляется Web-интерфейс для проверки поступивших в их адрес сообщений; в других продуктах отмеченные как спам сообщения доставляются клиенту, где их можно автоматически направлять в папку Junk E-Mail программы Microsoft Outlook (или другую папку по выбору пользователя). В некоторых инструментах клиент даже может известить о сообщении как о спаме, и такие сообщения не будут доставляться другим пользователям в организации.
Диапазон настройки фильтрации. На мой взгляд, чем больше параметров фильтрации в программе, тем лучше. Благодаря разнообразным параметрам фильтр можно настроить с учетом других используемых на предприятии мер защиты. Например, если для периметрической фильтрации используется хост-служба, то не нужно проверять IP-адреса отправителя на сервере.
Ограничения фильтра. Некоторые серверные решения подключаются к службе SMTP Exchange. Другие используют собственный механизм SMTP и не могут функционировать параллельно с Exchange, а третьи могут работать как автономно, так и с Exchange. Аналогично некоторые клиентские фильтры работают только с определенными версиями Outlook или Windows.

К счастью, существует множество разнообразных хороших и недорогих фильтров, таких как Power Tools компании Nemx, инструментов фильтрации для Outlook компании Cloudmark и хост-служб MessageLabs и Symantec Brightmail. Информацию о продуктах защиты электронной почты можно найти в статье «Комплексы защиты электронной почты», опубликованной в Windows IT Pro/RE № 3 за 2004 год. Сведения о фильтрах спама для предприятия — в статье «Корпоративные фильтры для спама», Windows IT Pro/RE № 3 за 2003 год.

Продукты Microsoft

Microsoft акцентировала внимание на безопасности своих продуктов, она постоянно совершенствует процесс разработки, тестирования и технической поддержки. Эти усилия уже принесли плоды — достаточно сравнить число уязвимых мест в Windows Server 2003 и Windows 2000 по отчетам Secunia. Компания Microsoft способствует ускорению прогресса, выпуская новые продукты и предоставляя функции, ориентированные на безопасность.

Для борьбы с вирусами Microsoft приобрела малоизвестную в США румынскую компанию GECAD Group (признанного поставщика успешных антивирусных решений) и антивирусную компанию Sybari Software. С тех пор корпорация объявила о выпуске продукта Client Protection для настольных компьютеров и переименовала Sybari Antigen в Microsoft Antigen — вероятный прототип будущих серверных продуктов.

Для борьбы со спамом в Outlook 2003 и Exchange Server 2003 были реализованы мощные функции фильтрации спама. Комбинация Outlook 2003 и Exchange Intelligent Message Filter (IMF) обеспечивает отличную фильтрацию на основе анализа огромного количества спама, собранного через службу MSN Hotmail. Такая комбинация клиентского и серверного фильтров удобна для малых предприятий, так как не требует дополнительных затрат на покупку лицензий. Однако фильтры Outlook и Exchange не отличаются высокой гибкостью, а частота обновления со времени выпуска продуктов уменьшилась. Другие решения обеспечивают более глубокое управление процессом фильтрации.

Продуманный выбор

Число рабочих станций в малых и средних компаниях, конечно, меньше, чем в крупных, но со стороны вирусов и спама им грозит такая же опасность. Для построения многоуровневой защиты требуется тщательный подбор продуктов, соответствующих требованиям предприятия. Результатом усилий будет эффективная защита.

Поль Робишо - Ведущий инженер компании 3sharp, имеет сертификаты MCSE и Exchange MVP. Автор нескольких книг, в том числе The Exchange Server Cookbook (издательство O?Reilly and Associates); создатель Web-узла http://www.exchangefaq.org. troubleshooter@robichaux.net