Две осенние выставки — InfoSecurity и SofTool — принесли урожай новых продуктов в области информационной безопасности. Первой была специализированная выставка по информационной безопасности, которая рассчитана на специалистов в этой отрасли, поэтому к ней компании готовили выпуск новых версий своих продуктов. SofTool же обычно собирает системных администраторов, разработчиков и представителей малого бизнеса. На этой выставке объявлений было меньше — основные события происходили на конференции, которая традиционно проводится в рамках SofTool.
Новинки удобно разделить по типу защиты. В частности, для защиты от атак вирусов, червей и других вредоносных программ было выпущено несколько обновлений клиентских продуктов. Однако появился и новый класс предложений, которые могут «вмешаться» в конкурентную борьбу провайдеров. Также этой осенью бурно обсуждаются технологии защиты конфиденциальной информации. Здесь предложения разделяются на два класса: контроль данных и шифрование информации. Технологии, относящиеся к первому классу, предназначены для лингвистического или другого контроля за перемещением информации. К ним же относятся и различные решения для управления периферийными устройствами. Второй класс объединяет технологии, предназначенные для защиты от случайных утечек информации вместе с мобильными компьютерами или съемными накопителями.
Антивирусы на местах
На InfoSecurity новые версии своих продуктов представили Dr. Web, Symantec и Trend Micro. Причем Dr. Web выпустил долгожданную версию с поддержкой Windows Vista. Такая долгая отсрочка выхода этого антивируса связана с особенностями его архитектуры. Дело в том, что сканер Dr. Web тесно интегрируется с ядром операционной системы. А поскольку в Vista манипуляции с ядром ограничены, команде разработчиков Dr. Web пришлось серьезно потрудиться, чтобы реализовать новую модель взаимодействия с ядром операционной системы. Зато теперь Dr. Web 4.44, по их уверениям, полностью поддерживает Vista.
Формально Symantec не показывала на InfoSecurity своих новых продуктов — Endpoint Protection 11.0 и Network Access Control 11.0: их российское представление было намечено на Symantec Vision, которая прошла 4 октября. Однако мировая премьера состоялась как раз во время InfoSecurity — 27 сентября. К тому же на конференции, организованной во время InfoSecurity, старший технический консультант Symantec Рамиль Яфизов прочитал доклад о возможностях Hamlet — так назывался продукт до его официального представления. Endpoint Protection сочетает в себе антивирус, межсетевой экран, средства обнаружения шпионских программ и систему защиты от вторжений. Технология Network Access Control 11.0 позволяет проверять состояние защищенности клиентов и, в зависимости от этого, ограничивать их доступ к корпоративным приложениям. Продукт совместим с Cisco NAC.
Компания Trend Micro объявила о завершении процесса локализации решения Office Scan 8.0. Его изюминкой является сервис по определению репутации сайта, который посещает сотрудник компании. Office Scan 8.0 предупреждает пользователя об опасности, если тот пытается зайти на сайт с сомнительной репутаций. А так как определение репутации URL работает в режиме реального времени, то продукт будет предупреждать об опасности даже в том случае, если пользующийся доверием сайт оказался взломан хакерами. Еще одной особенностью Office Scan 8.0 является его модульность, которая позволяет расширять возможности продукта по мере потребности в них.
Антивирусы для провайдера
От разгула киберпреступности страдают все — пользователи, бизнес, порталы и операторы. Очевидно, что пользователи Internet самостоятельно уже не могут обеспечить себе надежную защиту — им нужна поддержка оператора. Производители средств обеспечения безопасности почувствовали заинтересованность операторов и предложили им решения для защиты конечных клиентов.
Наиболее активно свои технологии продвигала компания Dr. Web, выпустившая решение AV Desk, которое позволит провайдерам предоставлять своим клиентам услуги по защите от вирусов, шпионов и спама. Впрочем, воспользоваться этим решением могут и корпоративные клиенты с распределенной сетью. Для этого достаточно подписать контракт с Dr. Web и установить в собственной сети сервер-ретранслятор.
Для предоставления услуг клиентам или сотрудникам нужно установить специальный программный агент, который состоит из антивирусного сканера, монитора файловых операций и спам-фильтра. Обновления такой агент получает с ретранслятора провайдера и тем самым обеспечивает постоянную защиту клиентов. При этом сервис предоставляется провайдером и может быть полностью бесплатным или предлагаться в качестве дополнительной услуги. Впервые эта технология была продемонстрирована весной на выставке CeBIT 2007.
Компания Trend Micro предлагает другой подход — она пока не имеет конкретного продукта, но дает возможность воспользоваться набором защитных технологий под общим названием SecureCloud. Их задача — дать операторам инструменты для блокирования эпидемий.
Одним из компонентов такой защиты является сервис репутации, хранящий сведения о том, где располагаются вредоносные коды. Работает такой сервис на основе черных списков, которые содержат информацию о зараженности страницы с указанным URL. Информация в этом списке меняется оперативно, чтобы исключить ложные срабатывания. Блокировать же можно не сам сайт, где стоит вредоносная ссылка, и даже не сервер переадресации, но именно те серверы, где реально лежат вредоносные коды. Посетители сайтов, на которых стоят вредоносные ссылки, могут и не заметить такой блокировки.
Аналогичное средство есть и для почтового протокола, но использовать его предлагается по-другому. Он содержит IP-адреса, с которых датчики Trend Micro фиксируют активную рассылку спама. Это, как правило, означает, что данный компьютер или целая сеть являются частью зомби-сети. Эти сведения выдаются любому оператору или компании, которые докажут, что имеют право администрировать определенный диапазон IP-адресов. В отчете указываются «подозрительные» адреса, а какие санкции применят владельцы к нарушителям — это уже на их усмотрение.
Trend Micro также ведет список управляющих серверов для зомби-сетей. С помощью блокирования коммуникаций между командным сервером и зомби-компьютером можно выключить такой компьютер из системы, и он перестанет обновляться, участвовать в атаках и рассылать спам. Если же он не будет обновляться, то очень скоро он будет узнан антивирусом и удален. Зная IP-адрес командного сервера, оператор может с помощью маршрутизатора блокировать обращение к нему для всех своих клиентов. Таким образом, операторы, особенно обслуживающие много частных пользователей, могут принять самое активное участие в борьбе с вирусами.
Контроль данных
Большой популярностью на обеих выставках пользовались технологии защиты от утечек конфиденциальных данных. Они делятся на два касса: средства контроля за распространением данных и средства шифрования важной информации. В частности, компания McAfee представила на InfoSecurity новый продукт для обеспечения конфиденциальности информации — Data Loss Protection, позволяющий контролировать распространение конфиденциальной информации за счет отслеживания доступа приложений к файлам, которые помечены как конфиденциальные.
На выставке была впервые представлена компания WebSense, у которой тоже есть продукт для контроля распространения конфиденциальной информации. Он снимает с последней своеобразные «отпечатки» и по ним определяет, не передавалась ли такая информация за пределы компании. Другой продукт WebSense позволяет сканировать корпоративную сеть и определить, где хранится конфиденциальная информация. Сочетание шлюзового и корпоративного использования поможет не только сохранить данные от утечек, но и определить, кто из сотрудников нарушает политику распространения информации.
Российские разработчики не отстают от западных коллег. На конференции, состоявшейся в рамках SofTool, о своей технологии контроля за конфиденциальной информацией рассказала компания SoftInform. Ее технология основана на методе фразового поиска, который используется в поисковом продукте SearchInform. Этот модульный продукт позволяет контролировать передачу данных по различным протоколам — Web, IM, электронной почте и другим, а также способен анализировать распределение конфиденциальной информации по всему предприятию с помощью уже известного сервера корпоративного поиска SearchInform. Во всех этих источниках продукт SoftInform может найти конфиденциальные документы по заданному образцу. Причем использованные компанией сигнатуры достаточно устойчивы к зашумлению посторонним текстом.
Шифрование данных
Для сохранения конфиденциальных данных можно воспользоваться системами шифрования. Правда, шифрование помогает обмануть и системы контроля данных, которые описаны выше. Таким образом, отмечается явный конфликт между системами контроля данных и защиты их с помощью шифрования. Скорее всего, это приведет к их слиянию и выработке комплексного решения, но пока они развиваются раздельно. В частности, системы шифрования в основном развиваются в сторону упрощения управления и прозрачности шифрования.
Так, компания «Концептуальные системы» объявила на SofTool о выпуске нового продукта для шифрования пользовательских данных под названием Atlansys Bastion Pro. В нем, как и в Atlansys Bastion, реализованы защищенные паролем контейнеры для данных, которые могут быть созданы с помощью широкого спектра алгоритмов шифрования. В продукте реализована также система надежного уничтожения данных по одному из шести международных стандартов. Новой в версии Pro является возможность шифрования логических разделов дисков, съемной флэш-памяти и других сменных носителей информации. К тому же данные, помещенные в защищенный контейнер, могут быть проверены специальным антивирусным модулем от «Лаборатории Касперского». А на InfoSecurity компания SecureIT анонсировала выпуск новой версии ZServer Suite 5.0. Среди его новшеств — многопоточное шифрование, аппаратное генерирование ключа шифрования, ограничение приложений в доступе к зашифрованной информации и улучшения по настройке и управлению. В качестве аппаратного генератора ключа продукт может использовать звуковую плату или специальный аппаратный генератор. ZServer Suite 5.0 можно интегрировать с Active Directory для управления и распространения продукта. Кроме того, компания объявила о выпуске новой версии средства контроля периферийных устройств ZLock 1.3, поддерживающей ОС Windows Vista. В ZLock 1.3 реализован контроль беспроводных устройств, передающих данные по протоколам Wi-Fi, Bluetooth и с помощью инфракрасного порта, а также имеется поддержка Active Directory.
Компания SmartLine показывала на InfoSecurity новую версию средства контроля за распространением информации — DeviceLock 6.2. В этой версии появился контроль информации, передаваемой на КПК, с теневым копированием на центральный сервер, поддержка шифрования посредством утилиты PGP Whole Disk Encryption или на специальной флэш-памяти Lexar SAFE PSD, а также реализована система задания настроек DeviceLock с помощью XML-файлов, которая может использоваться при массовой установке продукта или клонировании конфигураций. Корпоративная версия позволяет с помощью специального инструмента DeviceLock Service Settings Editor разрабатывать файл настройки, который будет в дальнейшем распространен по всему предприятию. В новой версии также появилась возможность включить сжатие информации при ее теневом копировании на центральный сайт.