Уделяя информационной безопасности серьёзное внимание, многие предприятия уже внедрили у себя и межсетевые экраны, и несколько антивирусов от разных производителей, и средства обнаружения вторжений, системы контентной фильтрации, антиспамовые продукты и т. д. На создание такой системы защиты затрачивается немало сил и средств. Но как оценить — эффективно ли все это?
Летом на отечественном рынке появился аппаратно-программный комплекс eSafe WTA (Web Threats Analyzer), разработанный израильской компанией Aladdin Knowledge Systems и предназначенный для аудита степени защищённости информационных систем предприятий от различного вида угроз со стороны активного вредоносного контента, распространяемого через Интернет.
По словам Владимира Бычека, руководителя направления контент-безопасности российской компании Aladdin Software Security R.D. (она свыше десяти лет является официальным дистрибьютором Aladdin Knowledge Systems на территории Российской Федерации и стран ближнего зарубежья), eSafe WTA позволяет инспектировать 100% входящего и исходящего интернет-трафика, выявлять в корпоративной сети заражённые компьютеры, содержащие вредоносное ПО классов spyware (шпионящее ПО) и adware (ПО-рекламщик) и генерирующие паразитный или подозрительный трафик, выявлять угрозы и источники заражения и атак. В последнем случае фиксируются попытки перенаправления на сайты, с которых производится заражение вредоносным ПО класса spyware, загрузки spyware, а также установления соединений и передачи информации вовне со стороны spyware, находящегося на зараженном компьютере, или извне (по командам дистанционного управления, направляемым на заражённый компьютер).
Новинка позволяет анализировать состав интернет-приложений, используемых сотрудниками предприятия, и выявлять те из них, которые запрещены для использования в соответствии с принятой на предприятии политикой информационной безопасности (пиринговые сети, интернет-пейджеры и пр.).
Комплекс eSafe WTA может классифицировать интернет-сайты, посещаемые сотрудниками аудируемого предприятия, по 62 категориям (например, поиск работы, наркотики, магазины, порно и т. д.). Таким образом, комплекс eSafe WTA позволяет выявлять уязвимости средств контентной фильтрации, используемых на предприятии, и давать экспертам, проводящим аудит, информацию для выработки рекомендаций по устранению найденных уязвимостей.
Владимир Бычек сообщил, что комплекс eSafe WTA работает под управлением ОС Linux Red Hat, легко интегрируется в любую сетевую инфраструктуру, не имеет ограничений по размеру проверяемой сети и представляет собой модификацию решения eSafe Web Pack HG-200-W Appliance (известного также под именем eSafe Hellgate 200). В свою очередь, eSafe WTA можно рассматривать как модифицированный вариант системы комплексного обеспечения проактивной безопасности информации в корпоративной сети на уровне интернет-шлюзов и почтовых серверов eSafe (в мае текущего года вышла версия 6,1 этой системы), “переработанной” таким образом, что она ничего не лечит и не блокирует, а лишь фиксирует различные подозрительные случаи. Благодаря этому с его помощью можно эффективно и без вмешательства в структуру сети заказчика проводить аудит информационной защиты компании и получать детальную статистику по тем угрозам, которые сопряжены с активным использованием Интернета сотрудниками предприятия.
Эта статистика представляет собой отчёт, содержащий анализ рисков по тридцати основным “срезам” относительно текущего состояния сети и допускающий гибкую настройку по тем параметрам, которые интересуют службу безопасности предприятия. С помощью данного отчёта можно, например, выявить первую двадцатку самых злостных нарушителей принятой в организации политики в области ИБ.
Принципиально важной особенностью eSafe WTA является “пассивность” устройства в процессе работы. Оно функционирует на “зеркалированном”, или “отображённом” трафике, поэтому не оказывает на проверяемую информационную систему никакого влияния. eSafe WTA подключается к соответствующему порту коммутатора или маршрутизатора и “слушает” трафик, накапливая и анализируя информацию (за 1—7 дней). По завершении процесса аудита и обработки результатов информация с устройства надёжно удаляется.