IT & systémy | IT bezpečnosť

Filtrovanie škodlivého obsahu v podniku

Metódy, riešenia, prehľad a hodnotenie dodávateľov

30.01.2014 | Zdroj: Infoware

Ľuboslav Lacko 

Článok bol pôvodne publikovaný na portáli Infoware.

Inter­net sa čas­to zneu­ží­va na rôz­nu ne­ka­lú, ba až tres­tnú čin­nosť, nap­rík­lad krá­de­že iden­ti­ty, krá­de­že stra­te­gic­ky dô­le­ži­tých úda­jov, zneu­ží­va­nie vý­poč­to­vej ka­pa­ci­ty na­pad­nu­tých po­čí­ta­čov (zom­bies), prí­pad­ne vy­ko­ná­va­nie dis­tri­buo­va­ných úto­kov DoS. Kľú­čo­vým at­ri­bú­tom je roz­poz­na­nie úto­ku, nap­rík­lad na bá­ze ur­či­tých at­ri­bú­tov sie­ťo­vej pre­vádz­ky.

Škod­li­vý ob­sah vy­uží­va rôz­ne pro­to­ko­ly sie­tí vrá­ta­ne P2P, rôz­ne sa pri­tom mas­ku­je, nap­rík­lad ako pa­ket z pre­hlia­da­ča. Pre­ná­ša­né dá­ta spra­vid­la ob­sa­hu­jú ne­ja­kú cha­rak­te­ris­ti­ku. Aj mal­vér vy­uží­va­jú­ci šif­ro­va­nie má ur­či­té cha­rak­te­ris­tic­ké at­ri­bú­ty sprá­va­nia sa (veľ­kosť pa­ke­tov, frek­ven­cia ich pre­no­su, ad­re­sát...), pod­ľa kto­rých sa dá od­ha­liť.

Sys­té­my na roz­poz­na­nie škod­li­vé­ho ob­sa­hu sa ozna­ču­jú akoIDS(In­tru­sion De­tec­tion Sys­tems). Nov­šia ge­ne­rá­cia proak­tív­nych rie­še­ní sa ozna­ču­jeIPS(In­tru­sion Pre­ven­tion Sys­tems) a slú­ži aj na auto­ma­tic­kú ochra­nu pred prie­nik­mi. Nás­tro­je IDS a IPS sa de­lia na sie­ťo­véNIDS, ur­če­né na ochra­nu ce­lých sie­tí, a hos­ťov­ské HIDS, špe­ciál­ne navr­hnu­té na ochra­nu dô­le­ži­tých ale­bo expo­no­va­ných server­ov or­ga­ni­zá­cie. NIDS sa ty­pic­ky (v du­chu prin­cí­pu „de­fen­ce in depth") na­sa­dzu­jú za fi­rewall or­ga­ni­zá­cie, kde pred­sta­vu­jú ďal­šiu úro­veň ochra­ny pred exter­ný­mi hroz­ba­mi, a HIDS sa in­šta­lu­jú vo for­me agen­tov pria­mo na chrá­ne­ný server ale­bo des­ktop.

Za­bez­pe­če­nie webo­vých brán

Rie­še­niaSWG(Se­cu­re Web Ga­teways) vy­uží­va­jú filtro­va­nie URL, de­tek­ciu mal­vé­ru a tech­no­ló­gie na kon­tro­lu ap­li­ká­cií s cie­ľom ochra­ny a vy­nú­te­nia dodr­žia­va­nia zá­sad pou­ží­va­nia inter­ne­tu. SWG sa do­dá­va­jú jed­nak ako on-pre­mi­ses za­ria­de­nia (har­dvér), jed­nak for­mou clou­do­vých slu­žieb. Do­dá­va­te­lia stá­le viac in­teg­ru­jú do rie­še­ní SWP aj mo­du­ly pre­ven­cie stra­ty dát (DLP) na mo­ni­to­ro­va­nie cit­li­vých úda­jov. Clou­do­vé služ­by sú za­me­ra­né na ochra­nu mo­bil­ných za­ria­de­ní a za­bez­pe­če­né vzdia­le­né pri­po­je­nie.

Oboj­smer­ná de­tek­cia mal­vé­ru v SWG je kri­tic­ká, pre­to­že mal­vér na­ďa­lej vy­uží­va webo­vé dis­tri­bú­cie a rie­še­nia En­dpoint Pro­tec­tion sa sna­žia dr­žať krok s ob­je­mom a so­fis­ti­ko­va­nos­ťou hro­zieb. Fir­my a or­ga­ni­zá­cie mu­sia sta­ros­tli­vo zhod­no­tiť de­tek­čné schop­nos­ti sú­čas­ných aj bu­dú­cich rie­še­ní, aby si za­bez­pe­či­li schop­nosť za­sta­viť mo­der­né cie­le­né úto­ky.

Aj me­nej skú­se­ní hac­ke­ri si mô­žu útok pre­na­jať, prí­pad­ne za re­la­tív­ne níz­ku ce­nu kú­piť tzv. at­tack kit pro­du­ku­jú­ci je­di­neč­ný, kva­lit­ný mal­vér. Tým­to ki­tom sa pri­pi­su­jú dve tre­ti­ny všet­kých webo­vých hro­zieb. Hac­ke­ri vy­uží­va­jú prá­cu skú­se­ných prog­ra­má­to­rov a vy­tvo­ri­li svo­je ​​vlas­tné pod­ni­ka­nie for­mou fran­ší­zy.

Gar­tner od­ha­du­je tr­žby v seg­men­te SWG v ro­ku 2012 na 1,18 mi­liar­dy do­lá­rov (on-pre­mi­ses + cloud), pri­čom z vý­poč­tu bo­li vy­lú­če­né rie­še­nia, kto­ré ne­pos­ky­tu­jú kom­plet­né SWG, ale iba časť, nap­rík­lad filtro­va­nie URL ale­bo len proxy pre­dá­va­né bez anti­mal­vé­ro­vej ochra­ny ). Trh v po­rov­na­ní s pred­chá­dza­jú­cim ro­kom vzrás­tol prib­liž­ne o 15 %. V ro­ku 2013 je pred­pok­lad 13 až 15-per­cen­tné­ho ras­tu.

Osem z 13 pre­daj­cov už po­nú­ka mul­ti­te­nan­tné clou­do­vé služ­by, no tr­hu stá­le do­mi­nu­jú on-pre­mi­ses rie­še­nia s po­die­lom 86 %, SWG ako služ­ba pred­sta­vu­je zvy­šok tr­hu (14 %). Rie­še­nia pre SMB sú navr­hnu­té na jed­no­du­ché pou­ži­tie s oh­ľa­dom na nák­la­do­vú efek­tív­nosť. Pos­ky­tu­jú zá­klad­né za­bez­pe­če­nie. Veľ­ké pod­ni­ko­vé rie­še­nia chrá­nia aj pro­ti so­fis­ti­ko­va­nej­ším hroz­bám vrá­ta­ne mož­nos­ti zis­te­nia cie­le­ných úto­kov.

V sú­čas­nos­ti sa vo vzá­jom­nej kom­bi­ná­cii naj­viac vy­uží­va­jú tie­to me­tó­dy de­tek­cie:

Zoz­na­my blo­ko­va­ných adries- ob­sa­hu­jú zná­me URL ale­bo IP ad­re­sy vy­uží­va­né na ší­re­nie škod­li­vé­ho ob­sa­hu. Vy­tvá­ra­jú sa po­čas pre­hlia­da­nia webu pri hľa­da­ní mal­vé­ru ale­bo pri fo­ren­zných ana­lý­zach mal­vé­ro­vých úto­kov. Aby ta­ké­to zoz­na­my bo­li uži­toč­né, mu­sia byť ak­tua­li­zo­va­né. Sťa­ho­va­nie zo server­ov zná­mych hos­ťo­va­ním škod­li­vé­ho ob­sa­hu je znám­ka to­ho, že moh­lo dôjsť k na­pad­nu­tiu po­čí­ta­čov vo vnú­tor­nej sie­ti fir­my.

Pod­pis- či­že cha­rak­te­ris­tic­ká sek­ven­cia umož­ňu­jú­ca od­ha­liť zná­my mal­vér. Tie­to „pod­pi­sy" sú ulo­že­né v da­ta­bá­zach. Naj­väč­ší prob­lém je la­ten­cia, hlav­ne pre veľ­mi veľ­ké sú­bo­ry. Ďal­ší prob­lém je, že pod­pis má 95 % účin­nosť na zná­my škod­li­vý kód a len asi 20 % až 50 % účin­nosť na no­vé va­rian­ty. So­fis­ti­ko­va­ný mal­vér prav­de­po­dob­ne tes­tom vy­uží­va­jú­cim ske­no­va­nie pod­pi­su prej­de.

Re­pu­tá­cia do­mé­ny ale­bo IP- na zá­kla­de ana­lýz sa od­ha­ľu­jú a do zoz­na­mov za­ra­ďu­jú strán­ky so „zlou re­pu­tá­ciou". Sú to strán­ky, kto­ré mo­men­tál­ne nie sú hod­no­te­né ako škod­li­vé, ale na zá­kla­de vý­vo­ja ich ak­ti­vít v mi­nu­los­ti ale­bo iných ak­ti­vít mož­no pred­pok­la­dať, že mô­žu byť ne­bez­peč­né v bu­dúc­nos­ti. Ana­lý­zy za­me­ra­né na re­pu­tá­ciu vy­uží­va­jú mno­ži­ny cha­rak­te­ris­tík na ur­če­nie tak­zva­né­ho re­pu­tač­né­ho skó­re.

Ana­lý­za zra­ni­teľ­nos­ti- ana­lý­za kó­du, kto­rý sa za­me­ria­va na od­ha­ľo­va­nie špe­ci­fic­kých miest zra­ni­teľ­nos­ti.

Dy­na­mic­ká ana­lý­za kó­du- ale­bo ana­lý­za sprá­va­nia. Pri tej­to me­tó­de sa škod­li­vý kód na úče­ly ana­lý­zy sprá­va­nia a je­ho dôs­led­kov spúš­ťa vo vir­tuál­nom po­čí­ta­či, kde ne­mô­že na­pá­chať reál­ne ško­dy. Ak sprá­va­nie po­ru­šu­je vop­red de­fi­no­va­né pra­vid­lá, po­doz­ri­vý kód za­blo­ko­va­ný. Pre­to­že ten­to pos­tup je re­la­tív­ne po­ma­lý, no veľ­mi účin­ný, vy­uží­va sa v la­bo­ra­tó­riách na špe­ci­fic­ké prí­pa­dy po­doz­ri­vé­ho kó­du, nap­rík­lad ak útoč­ní­ci pou­ži­jú ako mas­ko­va­nie dl­hú la­ten­ciu.

Ana­lý­za sie­ťo­vej pre­vádz­kyumož­ňu­je od­ha­liť škod­li­vý kód , nap­rík­lad trój­ske ko­ne s di­aľ­ko­vým prís­tu­pom, ana­lý­zou ko­mu­ni­ká­cie me­dzi útoč­ník­mi a po­čí­tač­mi ich obe­tí . Aby bo­lo mo­ni­to­ro­va­nie efek­tív­ne, mu­sí pre­bie­hať na­prieč všet­ký­mi por­tmi a pro­to­kol­mi vrá­ta­ne šif­ro­va­nej pre­vádz­ky SSL. Ten­to typ ana­lýz je čo­raz ná­roč­nej­ší, pre­to­že útoč­ní­ci uk­rý­va­jú inštruk­cie v HTTP GET a POST hla­vič­kách, kto­ré je ťaž­ké od­lí­šiť od ty­pic­kej webo­vej pre­vádz­ky.

Ob­sa­ho­vá ana­lý­za- ana­lý­za pre­ná­ša­né­ho ob­sa­hu umož­ňu­je od­ha­liť vy­ná­ša­nie cit­li­vých in­for­má­cií, ako sú hes­lá, ale­bo do­ku­men­tov. So­fis­ti­ko­va­ná kon­tro­la do­ká­že od­ha­liť aj tak­zva­nú ste­ga­nog­ra­fiu, keď sa cit­li­vý ob­sah skrý­va vnút­ri iných ty­pov neš­kod­né­ho ob­sa­hu.

Kon­tro­la dodr­žia­va­nia po­li­tík- kon­tro­lu­je sa dodr­žia­va­nie pred­de­fi­no­va­ných pra­vi­diel, kto­ré za­bra­ňu­jú po­ten­ciál­nym úto­kom. Mô­že to byť kon­tro­la ob­me­dzenia pou­ží­va­nia ur­či­tých ty­pov pre­hlia­da­čov ale­bo špe­ci­fic­kých ap­li­ká­cií (Sky­pe, Log­MeIn... ) .

Mo­der­né rie­še­nia SWG sú schop­né chrá­niť kon­co­vé bo­dy pro­ti čo­raz roz­ma­ni­tej­šie­mu spek­tru so­fis­ti­ko­va­ných úto­kov ale­bo as­poň pos­kyt­núť včas­né va­ro­va­nie pri na­ru­še­ní. Väč­ši­na IT od­de­le­ní fi­riem sa za­me­ria­va na ochra­nu po­čí­ta­čov s Win­dows, ale naj­nov­šie skú­se­nos­ti pou­ka­zu­jú aj na zra­ni­teľ­nosť plat­for­my Mac OS. V bu­dúc­nos­ti sa oča­ká­va viac hro­zieb sme­ro­va­ných na mo­bil­né plat­for­my - na tab­le­ty s iOS, An­droi­dom a Win­dows 8 a smar­tfó­ny všet­kých plat­fo­riem.

No SWG mô­žu byť účin­né len vte­dy, ak sú za­ra­de­né do prís­tu­po­vej „ces­ty" po­ten­ciál­nej hroz­by.

Za­bez­pe­če­nie e-mai­lov

Príj­my v seg­men­te SEG (Se­cu­re Email Ga­teways) vzrást­li v ro­ku 2012 o 1,9 % na 1,4 mi­liar­dy do­lá­rov. Gar­tner aj na­ďa­lej pred­pok­la­dá níz­ky jed­no­ci­fer­ný (2 % až 3 %) rast cel­ko­vé­ho tr­hu. Hlav­nou hna­cou si­lou ras­tu sú dopl­nko­vé služ­by, ako je DLP a šif­ro­va­nie, za­tiaľ čo príj­my za tra­dič­né rie­še­nia pos­ky­tu­jú­ce filtro­va­nie ví­ru­sov a spa­mu kle­sa­jú. Bu­dú­ci rast a veľ­kosť tr­hu je ťaž­ké pred­po­ve­dať, keď­že gi­gan­ty ako Goog­le či Mic­ro­soft sa sna­žia zvý­šiť svoj ​​po­diel na tr­hu SEG na úkor os­tat­ných, pre­to­že tie­to služ­by sú do­dá­va­né v rám­ci ich clou­do­vých mai­lo­vých slu­žieb.

Zvy­šu­je sa ak­cep­tá­cia pos­ky­to­va­nia SEG for­mou SaaS. Na­vy­še prib­liž­ne 80 % do­py­tov zá­kaz­ní­kov sme­ru­je k to­mu, ke­dy bu­de vhod­né prejsť na SaaS. Mo­men­tál­ne je SaaS viac at­rak­tív­ne pre men­šie fir­my a veľ­ké kor­po­rá­cie. Stred­ne veľ­ké fir­my (na ame­ric­ké po­me­ry, to zna­me­ná 5000 - 20 000 za­mes­tnan­cov) za­tiaľ ne­vi­dia žiad­ne vý­znam­né vý­ho­dy či ús­po­ry a na­vy­še pretr­vá­va­jú oba­vy o za­cho­va­nie dô­ver­nos­ti.

Líd­ri tr­hu

V na­šom struč­nom preh­ľa­de uvá­dza­me líd­rov tr­hu v jed­not­li­vých seg­men­toch v abe­ced­nom po­ra­dí, tak ako ich vy­hod­no­til Gar­tner.

Se­cu­re Web Ga­teways

Blue Coat Sys­tems- v de­cem­bri 2012 zís­ka­la spo­loč­nosť ak­vi­zí­ciou plat­for­mu Bla­de­Server, kto­rá in­teg­ru­je fi­rewall, sys­tém pre­ven­cie na­ru­še­nia (IPS) a ďal­šie bez­peč­nos­tné kom­po­nen­ty. Spo­loč­nosť pre­vádz­ku­je aj cloud-ba­sed služ­by SWG. V má­ji 2013 zís­ka­la rie­še­nie SSL ak­vi­zí­ciou Net­ro­no­me a sna­ží sa zís­kať aj So­le­ra Networks. Blue Coat je veľ­mi dob­rý kan­di­dát pre väč­ši­nu veľ­kých pod­ni­ko­vých zá­kaz­ní­kov.

Cis­co- po­nú­ka za­ria­de­nie na bá­ze SWG a tzv. cloud-ba­sed služ­by SWG. V ro­ku 2012 doš­lo k pre­me­no­va­niu rie­še­ní Cis­co. Iron Port má te­raz ná­zov Web Se­cu­ri­ty Ap­plian­ce a clou­do­vá služ­ba Scan­Sa­fe bo­la pre­me­no­va­ná na Cloud Web Se­cu­ri­ty. Cis­co WSA je veľ­mi vhod­ný kan­di­dát pre väč­ši­nu stred­ných a veľ­kých pod­ni­kov, za­tiaľ čo služ­ba Cloud Web Se­cu­ri­ty je vhod­ná pre všet­ky pod­ni­ky.

En­terpri­se Network Fi­rewalls

Check Point Software Tech­no­lo­gies- má naj­väč­ší po­diel na tr­hu fi­rewallov, je to dôs­le­dok nie­len kva­li­ty rie­še­ní, ale aj sil­nej pod­po­ry. Check Point dr­ží krok s vý­vo­jom tren­dov a ar­chi­tek­túr, prík­la­dom je Se­cu­re Ga­teway Vir­tual Edi­tion [VE] - rie­še­nie ur­če­né do vir­tua­li­zo­va­né­ho pros­tre­dia. Spo­loč­nosť aj na­ďa­lej roz­ši­ru­je svoj sof­tvér po­mo­cou „bla­de" stra­té­gie (pre­din­šta­lo­va­né sof­tvé­ro­vé ​​mo­du­ly, sprís­tup­ne­né pros­tred­níc­tvom pred­plat­né­ho kľú­čov).

Pa­lo Al­to Networks- k ma­sív­ne­mu prie­ni­ku na tr­hy mi­mo USA doš­lo v jú­li 2012, keď spo­loč­nosť us­po­ria­da­la pr­vú pou­ží­va­teľ­skú kon­fe­ren­ciu.

McA­fee- dcér­ska spo­loč­nosť In­te­lu po­nú­ka on-pre­mi­ses pro­duk­ty SWG McA­fee Web Ga­teway [MWG], clou­do­vé služ­by SaaS Web Pro­tec­tion. Za­ria­de­nia sa pre­važ­ne pou­ží­va­jú ako proxy, aj keď mô­žu byť pou­ži­té v iných re­ži­moch. Vo feb­ruári 2013 McA­fee ozná­mil ak­vi­zí­ciu Va­li­dEd­ge, čím zís­kal za­ria­de­nia na de­tek­ciu mal­vé­ru a pok­ro­či­lých cie­le­ných úto­kov. Rie­še­nia McA­fee sú vhod­né pre väč­ši­nu pod­ni­ko­vých zá­kaz­ní­kov, naj­mä tých, kto­rí už pou­ží­va­jú McA­fee ePo­li­cy Or­ches­tra­tor.

Web­sen­se- po­nú­ka za­ria­de­nia (har­dvér a sof­tvér) a cloud-ba­sed služ­by. V ja­nuá­ri 2013 spo­loč­nosť ozná­mi­la ak­vi­zí­ciu Vista Equi­ty Par­tners. Pod­ľa Gar­tne­ru je Web­sen­se veľ­mi dob­rý kan­di­dát pre väč­ši­nu pod­ni­ko­vých zá­kaz­ní­kov.

Zsca­ler- pos­ky­to­va­teľ cloud-ba­sed slu­žieb SWG. Spo­loč­nosť je aj na­ďa­lej je­den z naj­rý­chlej­šie ras­tú­cich vý­rob­cov na tom­to tr­hu. Vzhľa­dom na uce­le­nosť ví­zie a rých­le tem­po ino­vá­cií je Zsca­ler veľ­mi dob­rý kan­di­dát pre väč­ši­nu pod­ni­kov.

En­dpoint Se­cu­ri­ty Software

Kas­per­sky Lab- aj na­ďa­lej je­den z naj­rý­chlej­šie ras­tú­cich veľ­kých pre­daj­cov. Rov­na­ko ras­tie aj po­ve­do­mie o tej­to znač­ke, a to aj mi­mo Euró­py. Fir­ma neus­tá­le roz­ši­ru­je svo­ju po­nu­ku o inter­ne vy­vi­nu­té fun­kcie, in­teg­ro­va­né do klien­tskej aj správ­cov­skej kon­zo­ly. Na rie­še­nia Kas­per­sky Lab sa orien­tu­jú nap­rík­lad aj zá­kaz­ní­ci, kto­rí hľa­da­jú al­ter­na­tív­ne­ho do­dá­va­te­ľa k tra­dič­ným fir­mám.

McA­fee- má dru­hý naj­väč­ší po­diel na sve­to­vom tr­hu EPP. Po­nú­ka ši­ro­ké por­tfó­lio rie­še­ní in­for­mač­nej bez­peč­nos­ti, McA­fee ePo­li­cy Or­ches­tra­tor (EPO), rie­še­nie na sprá­vu po­li­tík a re­por­ting. Na pro­duk­ty McA­fee sa orien­tu­jú veľ­ké pod­ni­ky, kto­ré hľa­da­jú so­líd­ne rie­še­nie na ši­ro­ké spek­trum rôz­no­ro­dých bez­peč­nos­tných kon­trol.

Sop­hos- jed­na z má­la vý­znam­ných spo­loč­nos­tí, kto­rá pre­dá­va vý­hrad­ne na pod­ni­ko­vých tr­hoch. Sil­né pro­duk­ty a neus­tá­ly vý­voj pos­ky­tu­jú zá­kaz­ní­kom zá­ru­ku dos­ta­toč­nej ochra­ny aj pre kri­tic­ké sce­ná­re. Sop­hos má obzvlášť sil­nú po­zí­ciu v Euró­pe a po­ma­ly zís­ka­va sig­ni­fi­kant­ný po­diel na tr­hu v Se­ver­nej Ame­ri­ke. Pre­daj­ca pre­dov­šet­kým ape­lu­je na zá­kaz­ní­kov, kto­rí chcú zjed­no­du­še­nú sprá­vu a kva­lit­nú pod­po­ru.

Sym­an­tec- spo­loč­nosť po­nú­ka ši­ro­ké por­tfó­lio bez­peč­nos­tných rie­še­ní pre pod­ni­ky aj bež­ných spot­re­bi­te­ľov. Vlaj­ko­vým pro­duk­tom je Sym­an­tec En­dpoint Pro­tec­tion, v sú­čas­nos­ti vo ver­zii 12. Pre server­y po­nú­ka Sym­an­tec ďal­ší ba­lí­ček Sym­an­tec Cri­ti­cal Sys­tem Pro­tec­tion. Sym­an­tec je dob­rá voľ­ba pre akú­koľ­vek fir­mu ale­bo or­ga­ni­zá­ciu, kto­rá hľa­dá pre­dov­šet­kým sil­nú anti­mal­vé­ro­vú ochra­nu.

Trend Mic­ro- tre­tí naj­väč­ší do­dá­va­teľ anti­mal­vé­ru s ce­los­ve­to­vou pô­sob­nos­ťou. Pri­már­ne je za­me­ra­ný na Áziu/Ti­cho­mo­rie a EMEA. Trend Mic­ro po­nú­ka dve zá­klad­né pro­duk­to­vé ro­di­ny En­dpoint Pro­tec­tion - Of­fi­ceS­can pre kon­co­vé sta­ni­ce a Deep Se­cu­ri­ty pre server­y. In­teg­ru­jú­ci fak­tor je kon­zo­la Con­trol Ma­na­ger. Trend Mic­ro je dob­rý kan­di­dát pre zá­kaz­ní­kov hľa­da­jú­cich pre­dov­šet­kým anti­mal­vé­ro­vé schop­nos­ti.

V člán­ku bo­li pou­ži­té pod­kla­dy ne­zá­vis­lej ana­ly­tic­kej spo­loč­nos­ti Gar­tner.