Корпорациям приходится уделять все больше внимания защите самых разных конечных сетевых устройств от всевозможных угроз. Многие средства, предназначенные для такой защиты, изначально создавались как простые антивирусные программы или сетевые брандмауэры. В ответ на появление новых угроз эти средства дополнялись новой функциональностью, в частности для контроля за приложениями, данными и устройствами, но при этом росла и их сложность. На этом фоне очень выигрышно смотрится такой комплекс для защиты конечных точек сети, как Sophos Endpoint Security and Data Protection 9: он полнофункционален и при этом изящен и прост в конфигурировании и управлении.
Данный продукт имеет очень сильные позиции на рынке средств защиты конечных точек корпоративных сетей. Его важными достоинствами являются простота развертывания и удобство управления на базе ясного и продуманного интерфейса. Стоит продукт от 40 долл. на одного клиента, при покупке большого числа клиентских мест предоставляются скидки.
Я инсталлировал Sophos Enterprise Console в системе Windows Server 2003 SE SP2, уже сконфигурированной в качестве главного контроллера домена в Active Directory. В качестве тестовых клиентов я использовал три рабочие станции на базе Windows XP Pro SP3. Все они работали как виртуальные машины в системе VMware Workstation 6.5 под управлением ОС Windows Vista 64 на компьютере с 3-ГГц процессором Intel Core 2 Quad Q6600, 8 Гб ОЗУ и диском емкостью 1,5 Тб. Инсталляция прошла более гладко, чем обычно бывает при установке ПО для защиты корпоративных систем.
При запуске Sophos Enterprise Console показывает информационную панель с предупреждениями, сообщениями об ошибках и о состоянии компьютеров, которыми система управляет. Полезность этой панели я оценил как среднюю. Но она очень удобно предоставляет общую информацию, позволяющую детализировать отдельные аспекты, чтобы предпринять необходимые действия. К примеру, я мог щелкнуть на строке с указанием числа событий, связанных с брандмауэром, и перейти к элементу управления, позволяющему проанализировать все события брандмауэра для соответствующего компьютера.
Тем не менее после того как я разобрался с панелью и со всеми предупреждениями, мне показалось более целесообразным перейти от этого инструмента к полноэкранному интерфейсу управления. В правом нижнем углу Enterprise Console имеется графический индикатор общего состояния системы. Если все в порядке, индикатор изображается в виде зеленой метки, если возникли проблемы — превращается в красный восклицательный знак. Когда это случалось в ходе моего тестирования, я двойным щелчком мыши вызывал информационную панель, чтобы посмотреть, как возникшая проблема влияет на сеть в целом. После этого можно было проследить источник проблемы вплоть до отдельного компьютера.
Выработка политики
При внедрении данного программного комплекса первой важнейшей задачей становится выработка политики для основных областей, связанных с безопасностью, в частности для антивирусного средства, HIPS (централизованной системы предотвращения вторжений), брандмауэра (межсетевого экрана), NAC (контроллера сетевого доступа), контроля за приложениями, данными и устройствами. Правда, здесь необходимо соблюдать предосторожность: всегда тестируйте выбранную политику, прежде чем начинать ее широкомасштабное развертывание. Таким образом вы сможете избежать применения политики, приводящей к нарушениям в работе сервисов, связанных с сетями, приложениями и данными, вроде правила “блокировать всех” для брандмауэра или правила для контроллера сетевого доступа, вызывающего полную изоляцию отдельных компьютеров. Этого принципа следует придерживаться при работе со всеми продуктами данного класса, но в случае с Sophos вы не получите предупреждения о возможном сбое в результате выбора той или иной политики.
Главное окно Sophos Enterprise Console разделено на три зоны. Слева представлены группы и политики, в основной зоне показаны компьютеры. Щелчок на значке компьютера вызывает более подробную информацию — либо в новой панели внизу, либо во всплывающем окне. В числе прочего там может содержаться информация о событиях, связанных с отдельными сеансами, и это может оказать неоценимую помощь при устранении сбоев.
Кроме того, щелчок правой кнопкой мыши на группе или компьютере позволяет немедленно запустить полномасштабное сканирование. Устранение неполадок существенно упрощается благодаря эффективным средствам внесения изменений, развертывания политик, а также поиска и выявления ошибок.
Щелкнув мышью на кнопке Find New Computers (найти новые компьютеры), я импортировал свои тестовые машины в новую группу под названием Testmachines (организации могут создавать группы в соответствии с местоположением подразделений). Компьютеры объединяются в группы, к группам применяются назначенные политики. В моих тестах весь процесс потребовал всего нескольких нажатий правой кнопки мыши — после этого все оказалось налаженным и готовым к работе. С помощью функции Find New Computers можно также сканировать сеть в поисках компьютеров, которые не управлялись через ActiveDirectory.
Я создал набор подходящих политик для компьютеров, подключенных к внутренней сети. Кстати, все правила, действующие в сети, можно конфигурировать по отдельности в зависимости от местоположения. К примеру, ноутбук можно настроить таким образом, чтобы в офисе на нем было доступно совместное использование файлов Windows, а в каких-либо прочих местах — нет.
При выборе политики для антивирусных средств и HIPS я использовал стандартные настройки. Брандмауэр у меня был настроен так, чтобы протоколировать исключения, но не прибегать к блокировке. В результате я мог просматривать журналы и корректировать политику для брандмауэра, не блокируя идущий трафик.
Самое интересное начинается, когда дело доходит до контроля за приложениями. Вы можете либо запрещать инсталляцию и выполнение приложений и групп приложений, либо просто протоколировать эти действия. На вкладке авторизации в редакторе политики контроля за приложениями можно выбрать группы, наличие которых на рабочей станции неоправданно, например все, что связано с совместным доступом или играми. Когда пользователь пытается получить доступ к такому неавторизованному приложению, ему выдается сообщение, содержание которого допускается настраивать. При этом можно также организовать оповещение о событии через SMTP и электронную почту. Предусмотрено и усовершенствование политики обновления приложений. Например, вы можете разрешить обновление для Firefox версии 3, но не 1 или 2. Политика блокировки приложений по признаку включения в список Sophos задается не здесь, а в настройках брандмауэра.
В этой версии пакета впервые появились функции контроля за данными. Sophos приспособила свои инструменты распознавания зловредных программ для поиска определенных слов и сочетаний в документах и Web-формах. При необходимости можно запретить передачу документа с найденными сочетаниями либо запротоколировать ее. Средство контроля за данными сканирует контент в поисках заданных сочетаний и затем предпринимает адекватное действие: выдает пользователю предупреждение (если передача данных была санкционированной) или блокирует этого пользователя.
Средство составления отчетов отличается гибкостью, причем разработчики сумели существенно упростить соответствующие процедуры. В комплекте поставки имеется девять типовых отчетов, которые можно использовать в качестве образцов при настройке.
Весьма полезным мне показался отчет Alert and Event History (история предупреждений и событий), позволяющий фиксировать события, касающиеся безопасности сети. Благодаря ему я без труда мог увидеть, на каком компьютере делается попытка передать критически важные корпоративные данные.
Отчеты выдаются поверх остальной информации. Это показалось мне неудобным, поскольку я предпочитал просматривать отчеты, закрывать их, чтобы проверить свои настройки, а затем запускать отчет заново. Можно составлять отчеты регулярно на основе расписания, можно также рассылать их по электронной почте. Кроме того, почтовые сообщения и предупреждения на основе SNMP вы можете рассылать в случае превышения допустимого уровня ошибок, связанных с различными факторами.
После установки политики безопасности я проверил, насколько хорошо защищены мои рабочие станции. В целом все функционировало так, как положено. При тестировании антивирусных средств и HIPS система заблокировала и не дала загрузить 9 из 15 зловредных программ. Из оставшихся шести одной не было позволено инсталлироваться, а еще четырем был запрещен запуск. Система контроля за приложениями не позволяла мне запускать приложения для пиринговых сетей и игровые программы. Средство контроля за устройствами также работало в соответствии с конфигурацией, и в определенных случаях пользователи получали всплывающие окна с сообщениями, например о том, что диск заблокирован.
Средства контроля за данными тоже функционировали хорошо. Я без труда блокировал загрузки файлов, имеющих определенный тип и содержащих определенные сочетания данных. Скажем, я включил в список слова, по которым срабатывала система блокировки, комбинацию eweek (для текстовых файлов), а также порядка десяти номеров социального страхования (для файлов Excel).
Мэтью Саррел — исполнительный директор нью-йоркской компании Sarrel Group, специализирующейся на тестировании ИТ-систем и консалтинге.