Найти и обезвредить

(Врез)

Несмотря на разнообразие предлагаемых на ИТ-рынке решений, проблема борьбы со спамом приобретает все более ощутимые масштабы -- с уровня конечных пользователей она перемещается на уровень всей компании. Реализованный специалистами компании КРОК проект по очистке почтового трафика внутренней корпоративной сети в Генеральной Дирекции и ленинградском областном филиале российского оператора связи «Северо-Западный Телеком» позволил существенно повысить эффективность работы. На  базе решения, установленного в Ленинградском областном филиале компании, была также внедрена система очистки Web-трафика и открыты новые перспективы  для расширения перечня коммерческих услуг.

Цифры свидетельствуют

По данным аналитической компании IDC, в 2002 г. во всем мире было отправлено 7 млрд спамовых писем. В 2005 г. их было уже 23 млрд, а в 2008 г. ожидается более 42 млрд. Общемировой ущерб от вирусов в 2004 г. (по данным mi2g) был равен 184 млрд долларов, от спама – 144 млрд долларов, от фишинга – 47 млрд долларов. Специалисты по безопасности указывают: спам-письма часто становятся разносчиком вируса. Поэтому спамеры и вирусописатели объединяют усилия с целью создания и распространения новых вредоносных угроз, а фишинг нередко осуществляется через рассылку спама, приходится констатировать, что спам становится мишенью в борьбе не только за сокращение напрасных издержек, но и предотвращение угроз.

Несмотря на все предпринимаемые меры борьбы с навязчивыми электронными сообщениями  спаммеры не сдают свои позиции: по данным группы аналитиков «Лаборатории Касперского», в 2006 г. доля спама в почтовом трафике Рунета составила не менее 70% от общего почтового трафика. Мимикрия спамовых писем стала столь изощренной, что пользователям часто трудно «отделить зерна от плевел» и они легко становятся жертвами собственного неведения или любопытства. Спамеры постоянно совершенствуют способы привлечения внимания пользователей. Технологическим прорывом в августе 2006 года стал анимированный спам. Основную массу спама в Рунете в 2006 году составили предложения медикаментов типа виагры (товары и услуги для здоровья), дешевого ПО, картриджей для принтеров, реклама образовательных курсов, отдыха и туризма, предложения о покупке акций.

Проблема спама имеет серьезный экономический аспект -- из-за больших объемов почтового мусора крупные компании несут ощутимые материальные издержки – большая часть почтовой инфраструктуры, включая серверные мощности и человеческие ресурсы, работает на передачу и хранение электронного мусора. Спамеры уже научились эксплуатировать SMS-сервисы и обманывать мобильных пользователей. Помимо напрасной траты денежных средств из-за спама зачастую страдает и репутация компаний, которые не по своей воле становятся источником рассылки электронного мусора.

Эксперты отмечают, что большая часть спама поступает с компьютеров пользователей, зараженных вредоносным кодом, который устанавливает в системе специальную программу «бот». Объединенные в так называемые ботнеты, -- сети с единым центром управления, -- такие компьютеры сами становятся источниками рассылки спама. Поскольку пользователи не подозревают о существовании ботов на своих компьютерах, на их уровне проблема спама уже не решается: она становится головной болью почтового администратора, задачи которого существенно усложняются. За последние два-три года ситуация изменилась: с уровня конечных пользователей проблема борьбы с навязчивой корреспонденцией  переместилась на уровень компании, предоставляющей пользователю почтовый ящик. Результат не заставил себя долго ждать – сегодня защита от спама становится обязательным элементом общей политики защиты инфраструктуры организации и предприятия.

Одним выстрелом две цели

Как и во многих других компаниях, проблема спама начала беспокоить пользователей компании OAO «Северо-Западный Телеком» еще два года назад, и определенным образом решалась имеющимися средствами. Однако когда количество нежелательной корреспонденции достигло критического объема, это стало мешать эффективной работе пользователей и прибавило хлопот ИТ-администраторам. Появилась необходимость в выборе серьезного комплексного технического решения, способного максимально обезопасить и сделать комфортной работу сотрудников и руководства компании.

В процессе выбора решения специалисты заказчика протестировали несколько вариантов фильтрации контента почтового трафика и остановились на продукте eSafe израильской компании Aladdin, впервые появившемся на мировом рынке десять лет назад, а на российском – около двух лет. Поясняя выбор данного решения, заместитель генерального директора по безопасности OAO «Северо-Западный Телеком» С. К. Новгородский подчеркнул: «К проблеме спама неизбежно присовокупляется задача очистки входящего и исходящего Web-трафика, который также несет в себе угрозы для пользователей корпоративной сети – вирусы, трояны, фишинг, шпионское ПО и прочие изобретения современной киберпреступной индустрии. Поэтому при тестировании продукта мы учитывали его возможности по фильтрации не только входящей и исходящей электронной почты, но также Web-трафика. В расчете на перспективу мы проявили предусмотрительность: помимо качества очистки большое внимание было уделено скорости обработки больших объемов передаваемого трафика, поскольку это «узкое место» многих существующих на рынке решений».

После подготовки заказчиком технического задания эксперты КРОК разработали проект, максимально учитывающий все требования к системе фильтрации. Они также выполнили пуско-наладочные работы, связанные с вводом системы в эксплуатацию взяли на себя техническую поддержку системы.

eSafe – это программный продукт модульной архитектуры, устанавливаемый на шлюзе корпоративной сети и очень гибко масштабируемый вверх (масштаб определяется количеством конкурентных сессий, которые одновременных обрабатывает система). Архитектурно фильтрация с помощью eSafe может быть решена в виде отказоустойчивой кластерной архитектуры: добавляя серверы, можно фильтровать трафик без ограничения, и при этом гибко балансировать нагрузку. Важно отметить, что даже большой объем трафика практически не оказывает влияния на скорость его обработки. Например, установленная у турецкого провайдера услуг Internet Turkish Telecom, данная система обеспечивает фильтрацию трафика для 200 тыс. коммерческих клиентов, очищая трафик объемом 500 Мбайт практически на лету. Учитывая тенденции развития потребностей в широкополосном доступе конечных заказчиков, очищенный трафик -- это большое конкурентное преимущество провайдера. К слову заметить, в настоящее время компания OAO «Северо-Западный Телеком» перешагнула 5-тысячный рубеж подключения клиентов широкополосного доступа.

Очистка почтового трафика – лишь одна, причем самая тривиальная  задача, которую выполняет этот продукт,  его функционал гораздо шире. Как подчеркивают разработчики системы, eSafe нацелен на крупных корпоративных заказчиков и провайдеров телекоммуникационных услуг, его аудитория – тысячи, десятки и даже сотни тысяч клиентов. Для своего класса это очень легкий продукт, он настраивается и эксплуатируется без особых трудностей.

«Мы приобрели достаточно полнофункциональную версию, и после предварительного полугодового тестирования на нерабочем сегменте, проанализировав эффективность его работы, приняли решение о приобретении этого комплекса для Генеральной Дирекции и для ряда филиалов, первым из которых стал Ленинградский областной филиал», -- рассказывает С. К. Новгородцев.

Работа по внедрению, настройке, конфигурации и выбору фильтров проходила в тесном сотрудничестве специалистов КРОК, Aladdin Russia, департаментов безопасности и информационных технологий OAO «Северо-Западный Телеком». В рамках проекта осуществляется фильтрация почты 350 пользователей Генеральной Дирекции и 700 пользователей филиала компании OAO «Северо-Западный Телеком», где помимо фильтрации трафика почты полнофункциональная версия eSafe также очищает трафик Web.

Функциональные возможности

Модульная архитектура системы позволяет гибко варьировать ее функционал. Выбирая функционал подсистемы борьбы со спамом, заказчик может установить антивирусное ПО, модуль защиты электронной почты, а также осуществить расширенное управление нежелательной корреспонденцией. Письмо проходит обработку примерно двадцатью фильтрами.

Принципиально важно, что с точки зрения адаптации фильтров система проактивная, она постоянно совершенствуется и на полшага опережает ухищрения спамеров, которые пытаются обойти фильтры. Обновление настроек происходит регулярно: система практически ежедневно получает новую информацию и об источниках спама и о способах его фильтрации. Сам пользователь также участвует в организации и в обеспечении фильтрации сообщений: все сообщения, которые с точки зрения системы могут являться спамом, отправляются в карантин, а их перечень регулярно доставляется пользователю в виде простой и удобной таблицы. Любое из этих сообщений пользователь может оставить в карантине, пометить как спам, либо поместить в список полезных сообщений («белый список») – в дальнейшем письма, полученные от такого адресата, отфильтровываться не будут. Вся дальнейшая корреспонденция с адресов писем, оставленных в карантине, автоматически пойдет в спам и в отчетах пользователей больше не появится. Таким образом осуществляется обратная автоматическая связь без участия системного администратора.

Первичные настройки системы были выполнены специалистами компании КРОК, осуществившей поставку всего комплекса. В ходе эксплуатации эти настройки модифицировались, дорабатывались. Случается, что изредка отдельные сообщения спама все-таки проходят мимо фильтра. Специалисты заказчика собирают эту информацию  и отправляют в  КРОК  для дальнейшего анализа.

Прогулки в Паутине

Как уже упоминалось, одной из привлекательных возможностей eSafe является очистка Web-трафика. Базовые модули (Gateway, Web, Mail) очищают трафик от всех видов злонамеренного кода.  URL-фильтр управляет доступом к сайтам по категориям, AppliFilter блокирует доступ к Интернет неавторизованных приложений (IM, P2P, потокового видео и аудио, нескольких сот тысяч мутаций spyware, adware, удаленного управления, HTTP туннелирования etc.), Advanced Antispam эффективно борется со спамом, Spyware Neutraliser очищает ПК пользователи от spyware.  Всего для борьбы с угрозами реализовано более 20 методов, часть из которых запатентована.

Внедренная в Ленинградском областном филиале система eSafe помимо фильтрации электронного трафика выполняет регулирующие функции  для использования служебно-технических средств по назначению. Она позволяет фильтровать непосредственно 60 категорий сайтов, в том числе на русском языке, и запрещает доступ к сайтам, демонстрирующим порнографию, секс, насилие и т. д. (Сайты, посвященные погоде, туризму, развлечениям, и т. д. остаются доступны сотрудникам филиала.) Кроме экономии рабочего времени принятые меры уберегут пользователей от создания угрозы для внутренней корпоративной сети и от содержания в исходящем трафике каких-либо угроз. Все модули eSafe – оригинальная разработка компании Aladdin. Исключение составляют только базы URL и спамерских адресов, которые Aladdin лицензирует у компании ISS (до приобретения ISS – Cobion). Всего каталогизировано порядка 98% сайтов Internet. Регулярные обновления приходят 8 раз в сутки.

При попытке зайти по адресу, относящемуся к категории запрещенных, она напоминает: «Политикой безопасности доступ к сайту запрещен». Если предупреждение не оправдано, адрес сайта можно переместить в «белый» список. Для руководства компании это важно в первую очередь потому, что посещение тех или иных сайтов сотрудников не будет сопровождаться приобретением опасного вируса, насаждением шпиона, не превратит компьютер пользователя в элемент бот-сети и проч. «Фильтрация входящего и исходящего Web трафика  посредством  внедренной системы осуществляется в полном соответствии с  внутренней политикой безопасности компании и гарантирует, что почтовый адрес компании не попадет в RBL-списки и репутация компании не пострадает», -- комментирует результат  внедрения системы С. К. Новгородцев.

Кроме того, eSafe открывает заманчивые перспективы в плане коммерческого применения: многим клиентам провайдера Internet необходима функция «родительский контроль», чтобы, например,  спокойно допустить детей к компьютеру, имеющему доступ в Internet и быть уверенным, что прогулка по Всемирной Паутине не закончится посещением сайтов сомнительного содержания, а сам компьютер не станет объектом для насаждения программ-«дозвонщиков», изменяющих параметры сетевого соединения и подключающих компьютер пользователя к Internet через каких-нибудь «гондурасских провайдеров». Результатом может стать получение астрономических счетов за международные звонки.

Учитывая, что функциональные возможности продукта обеспечивают решение проблем не только со спамом, но и, в первую очередь, очисткой контента от  злонамеренного кода, eSafe предпочтительно использовать в качестве шлюза Web-трафика. Сценариев подключения этого продукта существует множество; важно отметить, что продукт предоставляет возможность оставить существующую инфраструктуру системы без изменений. Например,  eSafe можно подключить «в разрыв» и таким образом инспектировать весь трафик, не меняя внутренней структуры сети, так чтобы весь входящий и исходящий из локальной сети трафик проходил через этот внешний сервер (см. Рисунок). Либо на него можно направить только электронную почту. Обычно eSafe устанавливается за межсетевым экраном, перед входом в корпоративную сеть. Проектом было предусмотрено техническое реконфигурирование узла внешнего доступа к локальной сети заказчика.

Стоит отметить также хорошо проработанную систему отчетов, которые с множества машин собирают информацию – она  предоставляет основу для дальнейшего анализа.

Постскриптум

Оценивая эффективность внедрения системы фильтрации электронной почты (количество времени, затраченного на открытие навязчивой корреспонденции умножается на усредненную зарплату  одного сотрудника), эксперты подчитали, что только для   Генеральной дирекции реальная экономия составила 20 тыс долларов в год – затраты там уже полностью себя окупили.  Расчеты также показали, что если бы eSafe была установлена в каждом филиале компании, то реальная экономия достигла бы 250 тыс долларов в год.

Переход к системе фильтрации  занял менее суток. Это было связано лишь с  изменением маршрутизации трафика, поскольку процедура внедрения eSafe не предполагает коренной перестройки инфраструктуры. В процессе установки системы ни одного сообщения не было потеряно.

«Опыт использования подобных систем фильтрации и очистки трафика в дальнейшем будет использоваться не только для решения внутрикорпоративных проблем, но и для очистки трафика коммерческих клиентов, -- делится планами С. К. Новгородцев. После оценки эффективности использования системы очистки трафика наших клиентов мы собираемся провести тестирование этого решения на базе одного из наших крупных  филиалов – Петербургского».