Статья

Blue Coat CAS: новый уровень защиты сети

B2BSecurity

Несмотря на то, что большинство киберпреступников сейчас охотится за деньгами неосторожных пользователей, таргетированные атаки никуда не исчезли. Согласно опросу «Лаборатории Касперского», за последний год от APT-атак пострадало 10% российских компаний.

Классический состав контура информационной безопасности компании – антивирусная система и защищенный веб-шлюз – Secure Web Gateway, SWG. Шлюзы обезопасят компьютеры от вирусов или заблокируют контакт с подозрительным сайтом даже в случае, когда антивирус выключен. Однако в последнее время такого подхода недостаточно – киберпреступники тоже совершенствуют свои средства атак, преодолевая наиболее популярные системы безопасности.

Как себя защитить

Компания Blue Coat Systems, проанализировав все существующие системы безопасности для Microsoft Windows, решила создать комплексную программу, позволяющую обезопасить целую корпоративную сеть не только от стандартных, но и от таргетированных атак. Такая программа должна блокировать угрозы, оценивать опасность подозрительных файлов, поддерживать политику «белых списков». Это особенно актуально на фоне того, что, по данным «Лаборатории Касперского», за один только день обрабатывается около 315 тыс. уникальных вредоносных программ.

Итогом разработок стала система анализа контента – Content Analysis System, CAS. Сейчас она представлена в моделях Content Analysis System S400 и недавно вышедшей CAS S500. При ее создании использовался опыт профессионалов в области кибербезопасности и технологического партнера Blue Coat Systems – компании «Лаборатория Касперского».

Сравнение возможностей традиционного антивируса и Blue Coat CAS

Традиционный антивирус на шлюзе Blue Coat CAS
Антивирусное сканирование трафика V V
URL-фильтрация V V
Сканирование трафика двумя антивирусами X V
Белые списки файлов X V
Интеграция с «виртуальной песочницей» X V

Источник: Blue Coat, 2014

CAS включает в себя традиционные меры безопасности – сканирование на вирусы всего входящего и исходящего трафика, блокирование попыток соединиться с веб-сайтами из «черного списка», работа с «белым списком». Кроме этого система имеет новый функционал, который ранее не был реализован на сетевом шлюзе.

Преимущества Blue Coat CAS

Есть три составляющих, позволяющих Blue Coat CAS быть самой эффективной системой безопасности класса SWG. Во-первых, это интеллектуальная многоуровневая защита. На первых рубежах система фильтрует угрозы с помощью «белых списков» и антивирусного сканирования трафика. Далее выявленный подозрительный контент отправляется на более глубокий анализ. Такое комплексное применение сразу нескольких инструментов позволяет выявить все известные вредоносные программы и защитить от абсолютного большинства сетевых угроз.

Вторая составляющая – координированный анализ вредоносных программ. CAS направляет неизвестные или подозрительные файлы в Blue Coat Malware Analysis Appliance (система анализа вредоносного ПО) или в «песочницы» сторонних производителей.

Различия в функционале традиционного антивируса и Blue Coat CAS

Традиционный антивирус на шлюзе Blue Coat CAS
1. Загрузка безопасных файлов Традиционные шлюзы одинаково обрабатывают все исполняемые файлы, сканируя даже заведомо безопасные, чем замедляют работу сети. Модуль Kaspersky Whitelisting, интегрированный в CAS, быстро идентифицирует безопасные программы по «белому списку» и пропускает их без дополнительной задержки.
2. Угрозы нулевого дня Современные вредоносные программы не выявляются традиционными средствами защиты на шлюзе. Уже попав в сеть, они могут быть обнаружены эвристическими средствами защиты на компьютерах пользователей, но могут и не быть обнаруженными. Модуль Whitelisting может быть включен в режиме Default Deny. Это означает, что шлюз не будет пропускать никакие исполняемые файлы или скрипты, кроме тех, о которых 100% известно, что они являются чистыми. Данный подход рекомендован для сегментов сети с критической инфраструктурой.
3. Неизвестное вредоносное ПО Идеальных антивирусных решений не существует. Всегда есть шанс, что тот или иной вирус не будет обнаружен антивирусным движком на шлюзе. Такая угроза сможет беспрепятственно проникнуть в сеть. Неизвестные объекты можно сканировать не одним антивирусом, а сразу двумя. Реализовать подобное на ПК практически невозможно: два антивируса в одной операционной системе неизбежно будут конфликтовать. Однако в Blue Coat CAS возможно использование Kaspersky Anti-Virus совместно с продуктом одного из двух других известных разработчиков.
4. Комплексные угрозы Наиболее опасное и совершенное вредоносное ПО часто бывает специально оптимизировано для того, чтобы казаться безопасным при сканировании антивирусом. Кроме того, подобные угрозы часто специально создаются под конкретные атаки, поэтому в антивирусных базах, скорее всего, не будет их сигнатур. Если, после сканирования одним или двумя антивирусами, CAS сомневается в безопасности нового файла, его отправляют в «песочницу» – безопасную, полностью контролируемую виртуальную среду, которая эмулирует конкретный компьютер с незащищенной ОС Windows. Если, попав туда, новый файл начинает вести себя так, как обычно действует вредоносное ПО, то он признается вредоносным и удаляется. В противном случае, объект направляется адресату.
5. Реакция на обнаруженную угрозу В традиционных системах обнаруженные вредоносные программы блокируются и удаляются. На этом задача антивирусного решения считается выполненной. Все обнаруженные новые угрозы обрабатываются и анализируются, после чего новые данные предоставляются всей сети пользователей компании. Спустя несколько минут каждая система, защищенная решением Blue Coat, учится распознавать новую угрозу.

Источник: Blue Coat, 2014

И третий компонент – это защита всей сети заказчиков. Полученная в ходе анализа угроз информация отправляется в систему Blue Coat ProxySG, которая автоматически блокирует новые угрозы на уровне шлюза. Кроме этого, система Security Analytics Platform (аналитическая платформа безопасности) строит комплексные профили угроз и оценивает полный масштаб атаки. Далее данные рассылаются всем 15 тыс. компаниям – клиентам Blue Coat Systems по всему миру в виде обновлений.

Комплексный подход Blue Coat Systems

Итак, эффективнее всего Blue Coat CAS работает в комплексе с защищенным шлюзом Blue Coat ProxySG. А для максимальной защиты системы могут дополняться устройствами Security Analytics Platform и Malware Analysis Appliance. Так все три устройства плюс шлюз Proxy SG автоматически защищают от угроз на шлюзе, включая неизвестное вредоносное ПО.

Сетевая инфраструктура Blue Coat Systems

Источник: Blue Coat, 2014

Столь мощная защита объясняется еще несколькими особенностями Blue Coat CAS, которые пока не реализованы в других системах безопасности. Так, система работает с «белыми списками» компании «Лаборатория Касперского». Эта функция используется для создания списка файлов, которые могут показаться подозрительными, но на самом деле таковыми не являются. Это работает следующим образом: файл анализируется программой, сравнивается со списком контрольных сумм доверенных объектов, и, если совпадает с какой-либо позицией из него, то пропускается программой безопасности без последующей антивирусной проверки. Так можно либо запретить передачу любого активного контента, безопасность которого не гарантирована, либо, в сетях и сегментах с менее строгими требованиями к безопасности, значительно улучшить пропускную способность шлюза, отказавшись от сканирования заведомо безопасных файлов.

CAS объединяет все передовые разработки мировых вендоров. По результатам многочисленных независимых тестов, антивирусная система от «Лаборатории Касперского» признается лучшим на мировом рынке антивирусным продуктом. Использование защиты такого класса на шлюзе дополняет антивирусы для рабочих станций, и может быть усилено в CAS технологиями других вендоров. Следует иметь в виду, что одновременное использование двух антивирусов снижает пропускную способность шлюза до 30%, поэтому обычно такую систему используют в самых критичных средах и приложениях.

В заключение упомянем несколько приятных для пользователей бонусов. Клиент может выбрать как физическую (сетевое устройство), так и виртуальную версию CAS, в соответствии с собственными потребностями. Система облачной безопасности WebPulse позволяет делиться результатами проверок между всеми шлюзами ProxySG, связанными с устройствами CAS. Облачные средства защиты включают в себя шлюзы IPsec, поддерживающие множество моделей мобильных устройств. Наконец, в сетях с высокой нагрузкой эффективность антивирусного сканирования можно дополнительно улучшить с помощью кэширования результатов предыдущих проверок.

Подробнее об этих и многих других преимуществах и продуктах Blue Coat можно прочитать здесь.