Актуальность защиты периметра сети

В наши дни интернет-угрозы все чаще и интенсивней наносят вред компаниям. Нежелательная почта создает огромные проблемы для всех предприятий либо в виде угроз безопасности, перегружая сетевые ресурсы и занимая много места на серверах, или снижая продуктивность сотрудников, попадая в их почтовые ящики в огромном количестве.

Согласно Messaging Anti-Abuse Working Group (MAAWG), 82-87% всей входящей почты следует признать спамом или нежелательной почтой. Объем спама – огромный, и кроме того, с каждым годом его значение постоянно растет:

• 1978 – Спам был разослан по 600 электронным адресам
• 1994 – Первая широкомасштабная волна спама была разослана по 6000 группам новостей, охватывающим несколько миллионов пользователей
• 2005 – (Июнь) 30 миллионов нежелательных писем рассылались ежедневно
• 2006 – (Июль) 55 миллионов нежелательных писем рассылались ежедневно
• 2006 – (Декабрь) 85 миллионов нежелательных писем рассылались ежедневно
• 2007 – (Февраль) 90 миллионов нежелательных писем рассылались ежедневно
• 2008 – До 90% всей входящей корпоративной почты – спам.

Направленные интернет-угрозы безопасности встречаются реже, чем спам, но являются более опасными. Подобные угрозы обычно наносят финансовый ущерб. В свое время бюро новостей BBC публиковало статью, в которой эта тема была хорошо отражена. В частности, был проведен эксперимент, в рамках которого компьютер с установленной системой Windows XP подключили к интернету без файервола или какой-либо антивирусной защиты, чтобы определить, сколько времени пройдет до момента, когда данный компьютер будет атакован. И уже в течение восьми секунд незащищенный ПК был атакован червем Sasser – одним из самых быстро распространяющихся червей в интернет-пространстве!

Многие современные угрозы имеют свое происхождение во внутренней сети, а потому ценная информация, хранящаяся в локальной сети, может стать объектом атаки для многих компаний. Потеря важной корпоративной информации может значительно навредить организации. Личная или финансовая информация, попавшая за пределы сети компании, может повлечь за собой колоссальный юридический или экономический ущерб. Подобного ущерба можно избежать в результате внедрения корпоративной политики безопасности при помощи мощного и стратегически правильно выбранного инструмента.

С другой стороны, выбранное решение безопасности в любом случае должно гарантировать доставку важной информации, иначе из-за ложных срабатываний при обнаружении спама или потенциально опасного контента подобное решение может причинить дополнительные проблемы, провоцируя потерю важной информации и постоянные задержки в ее доставке.

Кроме того, входящий и исходящий трафик в компаниях ежедневно растет, что делает шлюз уязвимым элементом сети, который нуждается в устройстве безопасности, способное одновременно обеспечить целостность трафика и прозрачность защиты.

Устройства класса SCM (Secure Content Management)

Программно-аппаратные устройства на периметре сети могут осуществлять эффективную защиту от проникновения в корпоративную сеть различных интернет-угроз.

Существуют категории устройств, работающих только с определенным типом вредоносного ПО. Некоторые устройства предлагают защиту от контентных угроз, другие – от сетевых угроз.

Устройства, специализирующиеся на защите от контентных угроз, известны под названием «Устройства класса SCM (Secure Content Management)» или устройства для управления безопасностью контента. Очень мало разработчиков предлагают целый комплекс защит для специализированной корпоративной IT-безопасности.

Некоторые разработчики предлагают устройства для защиты от какого-либо одного типа интернет-угроз, например спама. Другие компании предлагают решения, специализирующиеся на защите разных протоколов. Такие устройства способны сканировать лишь один тип трафика, например, почтовый (SMTP, POP3 или IMAP).

Учитывая всю сложность и многообразие конентных интернет-угроз, можно сделать вывод о том, что разработчики ИT-решений для безопасности периметра сети должны сосредоточиться на создании полноценной комплексной защиты от всевозможных контент-ориентированных угроз, объединенной в едином устройстве:

Среди представленных на рынке SCM-устройств заслуживает внимания устройство Panda GateDefender Performa, которое является высокопроизводительным программно-аппаратным устройством для защиты от проникновения в корпоративную сеть контентных Интернет-угроз (вредоносное ПО, потенциально опасный контент, спам и нежелательные web-страницы). Устройство сочетает в себе реактивную защиту с превентивным эвристическим обнаружением, что гарантирует защиту даже от новых, еще не изученных и неизвестных Интернет-угроз.

Вся линейка устройств Panda GateDefender Performa новой серии 9000 построена на базе серверов SUN.

Panda GateDefender Performa – первая линия проактивной защиты

Panda GateDefender Performa предлагает компаниям любого размера высоко масштабируемую и полноценную защиту периметра сети от всевозможных контентных угроз.

Благодаря своей модульной структуре, Panda GateDefender Performa предлагает более комплексное решение по сравнению с другими специализированными решениями безопасности: в зависимости от потребностей защиты сети, можно приобрести Антивирусный и/или Антиспамовый модуль, а также модуль Web-фильтрации. Таким образом, устройство способно адаптироваться к потребностям любой компании.

Модули, входящие в состав Panda GateDefender Performa

Модули Panda GateDefender Performa	Виды защиты
Антивирус	Антивирус
	Контент-фильтр
Анти-спам	Защита от нежелательной почты
Web-фильтрация	Фильтрация P2Pи IM
	Web-фильтрация

Виды защиты периметра сети

1. Защита от вредоносных программ: GateDefender Performa обнаруживает и блокирует все типы опасных угроз до их проникновения в корпоративную сеть. Файлы, содержащие неизвестное вредоносное ПО или не поддающиеся лечению, помещаются в специальный карантин, где могут быть обезврежены позже. Подозрительные файлы без вмешательства администратора автоматически отправляются в PandaLabs для их анализа, классификации и последующего лечения.

Основные характеристики работы данного модуля:

• Сканирует входящий и исходящий трафик сети
• Сочетает проактивный и реактивный анализы. Высокая эффективность обнаружения вредоносных программ
• Обновляет вирусные сигнатурные файлы каждые 90 минут
• Широкий набор настроек позволяет максимально эффективно настроить работу модуля. При этом устройство позволяет применять различные действия по отношению к обнаруженным угрозам: лечение, хранение в карантине подозрительных и не поддающихся лечению файлов, удаление
• Если угроза поступает в виде вложения в SMTP, то можно удалить инфицированный файл или сообщение целиком

2. Контент-фильтр: GateDefender Performa позволяет администраторам установить политику безопасности, фильтруя потенциально опасный контент и предотвращая утечку конфиденциальной корпоративной информации.

• Отдельная настройка сканирования для файлов и сообщений
• Фильтрация в соответствии с множеством критерий
• Модуль позволяет фильтровать сообщения, вложенные сообщения и вложения в них
• Специфический карантин для элементов, блокированных контент-фильтром

3. Защита от спама: Устройство проверяет весь входящий и исходящий почтовый трафик во всех широко распространенных почтовых протоколах. Каждое сообщение классифицируется как "Спам", "Возможно спам" и "Не спам". Широкий набор используемых техник проверки, а также ежеминутное обновление антиспамовых баз с активным применением "облачных" технологий позволяет максимально повысить уровень обнаружения спама с минимальным уровнем ложных срабатываний. Более того, в антиспамовом фильтре можно настроить чувствительность модуля для почты каждого сетевого пользователя в отдельности, белые и черные списки и многое другое.

4. Блокировка P2P и IM: Приложения типа Peer-To-Peer (P2P) могут "съедать" Интернет-канал и представлять собой значительную уязвимость, так как файлы, передающиеся при помощи таких соединений, обычно маленького размера и не могут быть просканированы. Программы для обмена мгновенными сообщениями также снижают уровень производительности труда и часто используются сотрудниками для личных целей, никак не связанных с работой. Использование данных типов программ может быть ограничено внутри сети при помощи Panda GateDefender Performa.

Блокировка может работать на двух уровнях:

• Доступ к P2P-серверам
• Соединения между конечными P2P-пользователями

Могут блокироваться следующие P2P-протоколы:

BitTorrent      (Azureus, BitComet, Shareaza, MlDonkey…)

eDonkey       (eDonkey2000, MlDonkey)

FastTrack      (Kazaa. Grokster, iMesh, MlDonkey)

Gnutella        (BearShare, Shareaza, Casbos, LimeWire, MlDonkey…)

Gnutella2      (Shareaza, Trustyfiles, Kiwi Alpha, FileScope, MlDonkey…)

OpenNap      (Napster, Lopster, Teknap, MlDonkey)

Устройство позволяет настроить уровень блокировки, определить баланс между Производительностью и Безопасностью, а также запланировать время блокировки.

Устройство позволяет блокировать следующие IM-приложения:

• ICQ/AOL
• IRC
• MSN Messenger
• Windows Messenger
• MSN Messenger File Transfer
• MSN Web Messenger
• Yahoo! Messenger
• Skype
• Jabber (Google Talk)

Каждый из них может блокироваться независимо от других. Планируемое время для блокировки может устанавливаться администратором.

5. Веб-фильтрация: Модуль веб-фильтра позволяет сетевым администраторам легко ограничить доступ к веб-страницам, которые содержат не относящийся к работе контент. Для этого достаточно только выбрать соответствующие категории веб-сайтов. При помощи данной опции можно также настраивать белые и черные списки разрешенных или запрещенных веб-страниц соответственно. В результате, устройство позволяет оптимизировать использование ресурсов и повысить производительность сотрудников. Функция ограничивает доступ к нежелательным веб-страницам.

• Ежедневно свыше 100 000 сайтов классифицируются по категориям и добавляются в базу веб-сайтов
• Модуль веб-фильтра осуществляет глубокий анализ текстов и изображений. В частности, тексты в картинках идентифицируются с помощью OCR, а изображения анализируются с помощью идентификации следующих объектов:
• лица
• логотипы
• обнаженные части тела
• образы, формы
• Для более эффективной работы модуля используется целый набор технологий и различных методов, которые облегчают и ускоряют процессы классификации веб-страниц по категориям с максимально высокой точностью

Если в компании не используется какой-либо протокол, то GateDefender Performa предлагает опцию отключения защиты для любого из шести протоколов: HTTP, FTP, SMTP, POP3, IMAP4 и NNTP. Если сканируется меньшее число протоколов, то производительность устройства увеличивается. С другой стороны, при необходимости остается возможность защиты этих протоколов в будущем, когда такая потребность возникнет. Компании в любое время могут воспользоваться этой возможностью и усилить свою IT-защиту.

Panda GateDefender Performa обеспечивает самую актуальную защиту периметра сети, благодаря автоматическим и не заметным для пользователя обновлениям сигнатурного файла и списком классифицированных URL каждые 90 минут, в то время как обновления в анти-спамовом фильтре происходят постоянно в режиме реального времени, что обеспечивает быстроту реакцию Panda Security на любую новую интернет-угрозу. Кроме того, устройство в своих модулях использует технологии ведущих производителей: антивирусный модуль разработан компанией Panda Security, антиспамовый движок – от Cloudmark, а классификацию веб-сайтов в модуле веб-фильтрации поддерживает компания Cobion.

Panda GateDefender Performa позволяет настраивать профили пользователей для реализации и адаптации политики безопасности к потребностям каждого пользователя или групп пользователей, что делает защиту гибкой, мощной и адекватной каждой конкретной ситуации.

Основные характеристики устройства

• Принцип "Установил и забыл": Panda GateDefender Performa способен работать в режиме прозрачного моста. Таким образом, его можно установить между корпоративной сетью и Интернетом. Прозрачный мост – это самостоятельно настраиваемая система, не требующая перенаправления сетевого трафика. После установки Panda GateDefender Performa проверяет входящий и исходящий трафик между сетью и Интернетом.
• Превентивная защита: Panda GateDefender Performa сочетает сигнатурное обнаружение с эвристическими технологиями, что обеспечивает возможность обнаружения неизвестных, еще не изученных Интернет-угроз. В дополнение к этому, сигнатурный файл является постоянно обновленным, благодаря новой системе безопасности, основанной на принципе Коллективного Разума.
• Полноценная защита самых распространенных протоколов: Panda GateDefender Performa работает с самыми распространенными протоколами (HTTP, FTP, SMTP, POP3, IMAP4 и NNTP) на предмет поиска всевозможных вредоносных кодов, спама или нежелательного веб-контента. Компании могут также указывать дополнительные порты для каждого протокола.
• Отдельный карантин: Panda GateDefender Performa предоставляет три типа карантина для вредоносных файлов, спама и объектов, заблокированных при помощи контент-фильтра, что позволяет гарантировать получение всей важной информации.
• Балансировка нагрузки: Panda GateDefender Performa по умолчанию содержит встроенную систему автоматической балансировки нагрузки. Несколько параллельно установленных устройств в сети могут распределять нагрузку между собой, адаптируясь к компаниям любого размера. Это позволяет увеличить производительность защиты периметра сети от вирусов, спама и нежелательного контента.
• Высокая производительность: Panda GateDefender Performa предлагает исключительно высокую производительность и возможность сканирования до 550 сообщений в секунду (SMTP) и до 700 MБит в секунду HTTP-трафика, причем совершенно незаметно для пользователей сети.
• Интеграция LDAP/AD: Panda GateDefender Performa включает интеграцию со службами каталогов для упрощения соотношения событий на периметре сети с группами пользователей. Данная характеристика обеспечивает администратора информацией об активности пользователей, что важно для последующего определения и реализации политик безопасности, а также адаптации к постоянно меняющимся условиям.
• Профили пользователей: Panda GateDefender Performa позволяет создавать особые условия работы для разных групп сетевых пользователей.
• Подробные отчеты и настраиваемые предупреждения: Panda GateDefender Performa предлагает подробные графические отчеты об обнаружениях вирусов и спама, а также блокировки нежелательного веб-трафика. Данные отчеты можно использовать для подтверждения правильности финансовых вложений в безопасность, предоставляемую Panda GateDefender Performa. Устройство также предлагает настраиваемые предупреждения и уведомления о сетевой активности.
• Мониторинг в режиме реального времени: Консоль Panda GateDefender Performa предлагает графическое отражение изменений сетевой активности. Устройство позволяет также осуществлять удаленное и централизованное управление всеми защитными модулями при помощи SNMP и Syslog.
• Минимальное влияние на производительность сети: Полоса пропускания является самым уязвимым и затратным элементом для компаний. GateDefender Performa обеспечивает максимальную производительность с минимальным потреблением сетевых ресурсов и минимальным влиянием на работу сети.
• Удаленное администрирование: Управление всеми защитными модулями Panda GateDefender Performa можно осуществлять при помощи единой консоли централизованного управления. Администратор может получить доступ к данной консоли с любого компьютера, имеющего веб-браузер.

Устройство Panda GateDefender Performa, созданное на базе серверов SUN, представлено в трех моделях. Такой подход обеспечивает гибкость управления угрозами и возможность перехода от одной модели устройства к другой для лучшей адаптации к потребностям различных компаний.

Сравнение четырех моделей Panda GateDefender Performa

Таблица производительности	GateDefender Performa 9100	GateDefender Performa 9500 Lite	GateDefender Performa 9500 Large
HTTP (Мбит/сек)	400	500	700
SMTP (сообщ./сек)	220	400	550
Количество параллельных соединений	9800	18000	18000

Преимущества использования

Устройство Panda GateDefender Performa выгодно использовать в организации любого размера:

• Обеспечивает простоту использования, так как работает в режиме прозрачного моста и незаметен для пользователей, просто устанавливается и не требует изменения сетевых настроек.
• Повышает производительность сотрудников, потому что блокирует нежелательную почту, приложения IM/P2P и ограничивает доступ к нежелательным веб-страницам.
• Снижает операционные расходы, так как постоянно обновляется в автоматическом режиме, что позволяет устройству после его установки непрерывно и самостоятельно работать.
• Помогает компании реализовать политику безопасности и соответствовать ей, т.к. препятствует утечке ценной конфиденциальной корпоративной информации, а также личной информации каждого пользователя.
• Усиливает систему управления рисками безопасности благодаря своей превентивной способности самостоятельно обнаруживать и обезвреживать неизвестные интернет-угрозы на периметре сети без вмешательства администратора.
• Обеспечивает непрерывность бизнеса, снижая нагрузку на полосу пропускания и блокируя нежелательный интернет-трафик (около 70%) еще до того момента, как он проникнет в сеть.

Сравнение GateDefender Performa с другими решениями безопасности для защиты контента на периметре сети

Сравнивая с …	Panda GateDefender Performa имеет …
Другими выделенными SCM-устройствами	Самую высокую на рынке производительность
Другими выделенными специализированными устройствами (защита от отдельных видов угроз)	Лучшую производительность
	Повышенную масштабируемость, благодаря возможности расширения модулей защиты
Другими выделенными специализированными устройствами (защита отдельных протоколов)	Одинаковую производительность
	Более широкие возможности защиты
UTM-устройствами	Лучшую производительность
	Более высокий уровень безопасности благодаря использованию отдельных устройств

Заключение

GateDefender Performa – это высокопроизводительное устройство класса SCM, разработанное компанией Panda Security и предназначенное для защиты периметра сети. Включает мощную и комплексную защиту от любого типа вредоносного ПО. Благодаря защитным модулям, входящих в его состав (Антивирус, Антиспам и Веб-фильтр), устройство отвечает требованиям самых разных компаний, обнаруживая все контентные интернет-угрозы, удаляя нежелательную почту и ограничивая доступ сотрудников к непродуктивным веб-страницам.

Кроме того, устройство проверяет и исходящий трафик, что обеспечивает защиту от утечки важной корпоративной информации и предотвращает рассылку спама или вредоносного ПО с адресов сотрудников, что может являться причиной заражения информационных систем партнеров или клиентов компании.

В дополнение к вышесказанному, в устройстве существует возможность настройки профилей пользователей, что гарантирует гибкое и в то же время строгое соблюдение корпоративной политики безопасности.