Компания «Северо-Западный Телеком» приступила к тестовой эксплуатации первой очереди системы обнаружения сетевых атак и противодействия угрозам. «Заслонки» для вирусов и спама — обычный инструмент отечественных провайдеров. Однако имеющиеся системы противодействия сетевым угрозам защищают преимущественно от поступающих в почтовые ящики нежелательных сообщений и зараженных файлов. СЗТ же теперь фильтрует не только входящий, но и исходящий трафик. Другими словами, оператор защищает сеть от собственных абонентов, прежде всего от их инфицированных компьютеров.
Подобная защита еще не стала нормой для провайдерв. По данным СЗТ, автоматический режим уведомления абонентов о том, что их компьютер заражен, используется в России впервые. Обычно провайдеры реагируют на жалобы и отключают «вредителей» вручную. Правда, уникальность внедренной системы подтвердить сложно: информацию об имеющихся у них подобных средствах провайдеры раскрывают крайне неохотно, опасаясь, что сведения о системе защиты могут использоваться недобросовестными абонентами для ее нейтрализации.
Очевидно поэтому в СЗТ достоянием гласности сделали лишь краткую информацию об установленном оборудовании и общие сведения о принципах организации защиты. На основных узлах сети широкополосного доступа петербургского филиала СЗТ установлены сенсоры Juniper IDP 200, проверяющие входящий и исходящий трафик. Они позволяют автоматически уведомлять пользователей о заражении их компьютеров вирусами и другими вредоносными программами. Владелец зараженного ПК при следующей попытке выхода в Internet автоматически попадает на информационный портал СЗТ, где получает исчерпывающие сведения о том, почему доступ к Internet для него временно заблокирован и что ему необходимо предпринять.
Cистема функционирует так, чтобы случайно не навредить добросовестным абонентам. Отключения на этапе тестовой эксплуатации — фактически условные. Абонент может самостоятельно разблокировать доступ либо это сделает служба технической поддержки, поверив ему на слово, что его компьютер теперь чист от вирусов. К тому же пользователи сами заинтересованы в безопасности своих компьютеров и, как утверждает СЗТ, благодарны за предупреждения. Вылечить отключенный от Internet компьютер можно, загрузив антивирусные программы (в том числе бесплатные) с сайта провайдера, который доступен даже в режиме блокировки.
За первую неделю тестовой эксплуатации служба безопасности провайдера зарегистрировала 225 тыс. тревожных сигналов от защитной системы (в филиале 300 тыс. задействованных xDSL-портов). Все инциденты подлежат дальнейшему анализу. Уведомлений о блокировке посылается значительно меньше — в среднем 100-120 в день. В компании рассчитывают, что со временем вредоносный информационный поток, исходящий от абонентов, резко сократится.
«Ранее наша компания попадала в черные списки распространителей вирусов и спама, поскольку с зараженных компьютеров многих абонентов осуществлялась рассылка вредоносного кода. Кроме того, спам дает большую нагрузку на каналы связи, а это ведет к дополнительным расходам», — пояснил целесообразность внедрения системы защиты директор департамента безопасности СЗТ Анатолий Мегвинов. Не менее важно повысить уровень удовлетворенности абонентов, компьютеры которых начинают нормально работать после поступления к ним предупреждений о заражении и обезвреживания вирусов.
Запуск системы в промышленную эксплуатацию состоится, когда в компании удостоверятся в том, что защита не будет причинять беспокойства добросовестным абонентам. Работы по внедрению аналогичных систем ведутся во всех филиалах СЗТ.