Network World, США

Разработанное компанией FireEye устройство контроля доступа в сеть идентифицирует вредоносный трафик и противодействует ему

Дебютным продуктом недавно созданной компании FireEye стало разработанное на основе коммутатора устройство контроля доступа в сеть (network access control, NAC), с помощью которого пользователи смогут выявлять попавшие в сеть вредоносные программы, распознавать атаки и оперативно противодействовать им.

Ашер Азиз, генеральный директор FireEye, основавший эту компанию после ухода из корпорации Sun Microsystems, подчеркнул, что это NAC-устройство, пока не получившее названия, будет использовать для идентификации трафика атаки технологию виртуальных машин.

Данный подход предполагает дублирование настольных и серверных операционных систем и приложений в устройстве FireEye; устройство же будет анализировать, какое влияние может оказать на имеющуюся программную среду трафик, передаваемый через управляемый коммутатор.

«Идея заключается в том, чтобы смоделировать ситуацию и определить, насколько имеющиеся системы и приложения уязвимы к вредоносным программам», — отметил Азиз, пояснив, каким образом технология виртуальных машин была адаптирована для решения задач по обеспечению защиты в FireEye. Сейчас концепцию виртуальной машины аналогичным образом использует в своем iSolation Server только компания Avinti. (Эта компания создана Symantec с участием двух венчурных фондов венчурного капитала для разработки решений, позволяющих выявлять в сообщениях электронной почты неизвестные ранее программы-«троянцы» и программы, которые перехватывают нажатия клавиш.)

Азиз отметил, что подход, основанный на технологии виртуальных машин, будет эффективен на сетевом уровне и даст возможность быстро идентифицировать атаки и выявлять посылаемые вредоносные программы, которые могут распространиться по всей организации. Если устройство FireEye определяет трафик как потенциально опасный, оно может послать команду коммутатору о необходимости предпринять те или иные действия.

Благодаря использованию коммутации устройство FireEye не устанавливается «в линию» с производственными ИТ-системами, а потому не блокирует передаваемые по используемой в реальной работе пакеты. Тем не менее оно позволит сетевым администраторам изолировать сегменты локальной сети и таким образом защитить их от атак или на самых ранних этапах изолировать инфицированные машины, прежде чем угрозу смогут проанализировать специалисты по информационной безопасности.

Первые версии устройства будут поддерживать копии Windows-приложений, как с установленными заплатами, так и без них. Это позволит оценить, может ли входящий трафик негативно повлиять на функционирование этих приложений. Кроме того, в FireEye планируют к осени обеспечить поддержку ОС Linux.

Ашер, основавший компанию Terraspring, которая в 2002 году была продана корпорации Sun, убежден, что подход с использованием технологии виртуальных машин, реализуемый FireEye, заинтересует корпоративных пользователей, несмотря на то что рынок продуктов категории NAC очень быстро растет и производители предлагают новые продукты практически каждый день.

«Даже с самыми актуальными версиями антивирусного ПО нет гарантии, что системы не будут инфицированы новым червем, — подчеркнул Азиз. — Наша модель с помощью пассивного мониторинга в среде виртуальной машины позволяет определить, что в систему проник вирус». 


NAC-бум

Продукты контроля сетевого доступа (Network Access Control, (NAC) разрешают или отказывают в доступе к сети, основываясь на анализе доступной информации о пользователе или его машине, а также устанавливают политики, которым они должны следовать. Прогнозы продаж оборудования NAC исключительно оптимистичны. Аналитики Infonetics, к примеру, ожидают, что рынок NAC-устройств вырастет с 233 млн. долл. в 2005 году до 3,9 млрд. долл. в 2008-м. Подобный рост, считают в Infonetics, подогревается тем, что предприятия хотят реализовать соответствующую функциональность быстро, а это в большинстве случаев достигается установкой в корпоративной сети NAC-приставки. В Infonetics выделяют в инфраструктуре NAC три компонента: клиенты, которые проверяют конечные устройства на соответствие определенным требованиям, точки «принуждения» к применению политик, и серверы, которые «диктуют» эти политики. NAC-системы идентифицируют пользователей и машины, удостоверяются, что они отвечают политикам безопасности, устанавливают политики, основываясь на статусе пользователей и машин, наделяют их правом доступа к соответствующим ресурсам.