Контентная фильтрация на предприятии
Статья Владимира Бычека, руководителя направления контент-безопасности (eSafe) компании "Аладдин Р.Д."
Сегодня защита IT-ресурсов от вредоносных программ является одной из ключевых задач любой организации. Руководители, умеющие просчитывать риски, понимают, что легкомысленное отношение к вопросу безопасности может привести как к финансовым, так и к репутационным потерям.
В общем случае атака происходит в два этапа:
- Инфицирование — пользователь переходит по ссылке на страницу, содержащую вредоносный код, либо загружает инфицированный файл на свой компьютер.
- Выполнение полезной нагрузки — вредоносная программа отправляет в центр управления (С&C) документы, пароли, снимки экранов, последовательности нажатий клавиш и тому подобные вещи с целью получения коммерческой выгоды абсолютно незаконным путем, либо выполняет команды владельца бот сети (DDoS, спам).
Наилучший результат в борьбе с компьютерным криминалом дает сочетание персональных и шлюзовых средств защиты.
Огромные усилия прилагаются для предотвращения проникновения вредоносного кода на атакуемые хосты. Несмотря на эти усилия, по ряду объективных причин, предотвратить инфицирование удается далеко не всегда. В чем же причина?
Во-первых, авторы вредоносных программ всеми имеющимися средствами пытаются предотвратить детектирование вредоносного кода популярными антивирусными средствами и тестируют его на актуальных версиях решений ведущих компаний разработчиков антивирусных средств.
Во-вторых, часто довольно трудно отличить вредоносный код от легитимного.Неплохим примером подобного кода является переадресация (drive by) на «заряженную» атакующим кодом Web-страницу. Сам по себе переход по ссылке безопасен, однако перестает быть таковым, когда ведет на зараженный вредоносным кодом ресурс. В данном случае важно то, что пользователь, как правило, даже не подозревает о том, что между делом посетил какой то неизвестный ему Web-ресурс и вернулся оттуда с «подарком» от неизвестных хакеров, который может принести компании немало неприятностей.
Современные решения для контентной фильтрации хороши тем, что работают прозрачно для пользователя и не нагружают ни его самого, ни компьютер, не влияя на продуктивность работы сотрудника. Все решения принимаются и все действия выполняются на шлюзе без участия и, в большинстве случаев, без ведома пользователя.
Для того, чтобы проиллюстрировать подход нашей компании к необходимой функциональности контентного фильтра, приводим обобщенную схему уровней, на которых работает популярное решение eSafe: уровень доступа к контенту, уровень фильтрации активного контента, уровень анализа файлов, уровень фильтрации трафика приложений.