Как сэкономить на Web-трафике сотрудников
Сервисы и техническая поддержка
По данным компании IDC, свыше 40% обращений к Интернету с рабочего места никак не связано с профильным бизнесом, а согласно исследованиям компании WEBSENSE, из-за нецелевого использования Интернета сотрудниками во время работы американские организации теряют более 85 млрд. долл. в виде упущенной выгоды от снижения производительности труда. По информации ФБР, в 78% компаний, подвергшихся проверке, сотрудники нарушали правила пользования Интернетом, практикуя скачивание на рабочем месте порнографии и пиратского ПО. Вышеупомянутые нарушения могут не только привести к потерям, связанным с нецелевым использованием рабочего времени и с оплатой лишнего трафика, но и повлечь за собой судебные иски за использование контрафактного ПО или запрещенного контента. Кроме того, нецелевое использование Web-ресурсов это также поиск в Сети дополнительной (или альтернативной) работы и доступ к Web-чатам и Web-почте, через которые к посторонним лицам вполне могут уходить закрытые корпоративные данные. Отметим также, что вирусы, трояны, шпионские программы и иные вредоносные коды тоже могут легко передаваться через Web.
чевидно, что и в нашей стране нарушения, о которых идет речь, распространены не в меньшей степени и что потери работодателей при этом довольно значительны. Для ограничения нецелевого использования Интернета на рабочих местах существует целый ряд технических решений как отечественного, так и западного производства. Обзор данных решений мы и приводим в данной статье.
Proventia Web Filter
Разработчик: Internet Security Systems (www.iss.net)
Сайт программы: http://www.iss.net/products_services/webfilter/
Proventia Web Filter (Технология, положенная в основу данного продукта, была приобретена у компании Cobion) это блокиратор нежелательного Web-содержимого, который ежемесячно анализирует 120 млн. Web-страниц и ежедневно добавляет в базу 100 тыс. новых и обновленных Web-страниц. Блокиратор отличается гибкостью настройки, так что системный администратор компании легко может определить, какие сотрудники будут иметь доступ к какой информации в какое время, а также какое содержимое будет блокироваться.
При анализе того или иного сайта программа принимает решение о том, к какой категории его следует отнести (рис. 1). Всего рассматривается 58 категорий (Порнография/Откровенное фото/Образование/Религия и т.д.). Технология фильтрации основана на анализе текста и распознавании графики.
Рис. 1. Схема классификации Интернет-контента по категориям
Технология WebLearn позволяет создавать схемы поведения сотрудников в Интернете. С ее помощью предприятия и организации могут оптимизировать и расширять фильтрующую базу данных компании Internet Security Systems для решения своих специфических проблем. Если некоторые Web-сайты, посещаемые сотрудниками, не будут по какой-либо причине идентифицированы, то их URL-адреса автоматически и анонимно посылаются в Global Data Сenter для анализа с последующим распределением их по соответствующим категориям базы данных, которая содержит более 20 млн. URL-адресов. Благодаря WebLearn база данных Internet Security Systems учитывает новые схемы поведения сотрудников компаний в Интернете, анализируя и распределяя по категориям посещаемые ими Web-сайты в целях совершенствования управления доступом.
С помощью функции Blocking by Extension (блокирование по расширению файла) руководство может запретить своим работникам загружать в корпоративную сеть любые файлы изображений, звуковые и видеофайлы, а также документы больших объемов.
В настоящее время доступны следующие версии Proventia Web Filter:
- Proventia Web Filter for ISA для Windows, устанавливается как встраиваемый модуль к ISA Server;
- Proventia Web Filter for Windows для Windows, выполняет функции прокси-сервера;
- Proventia Web Filter for Linux для Linux, выполняет функции прокси-сервера.
В России данное ПО продвигает компания CPS (http://www.cps.ru/content/view/430/58/).
CS MIMEsweeper for Web
Разработчик: Clearswift (www.clearswift.com)
Сайт программы: http://www.clearswift.com/products/msw/web.aspx
CS MIMEsweeper for Web средство контроля и разграничения доступа к Web, обеспечивающее в том числе защиту от утечки конфиденциальных материалов через бесплатные Интернет-сервисы Web-почту, чаты и доски объявлений. Эта программа защищает от распространения вирусов через Web, от потери конфиденциальной информации, от запрещенного серфинга, от нецелевых скачиваний и помещения нелегальной информации на внешние Web-ресурсы.
Это ПО вписывается в общую схему комплексного обеспечения безопасности в послойной схеме обеспечения безопасности (Layered Security Аpproach; рис. 2).
Рис. 2. Схема послойной безопасности Layered Security Аpproach
SurfControl Web Filter
Разработчик: SurfControl (www.surfcontrol.com)
Сайт программы: http://www.surfcontrol.ru/web_filter.shtml
SurfControl Web Filter средство управления доступом в Интернет в корпоративных сетях, которое позволяет увеличить размер прибыли, получаемой на инвестированный капитал, за счет сосредоточения внимания сотрудников на их непосредственных обязанностях, посредством оптимизации использования сетевых ресурсов и снижения возможных рисков, связанных с использованием Интернета.
Программа предоставляет сотрудникам компаний доступ к полезной информации в Интернете, одновременно преграждая им доступ к Web-сайтам, не относящимся к их трудовой деятельности. Кроме того, вероятность потери важных данных или выхода из строя всей сети может быть снижена за счет запрещения загрузки потенциально опасных файлов, которые могут содержать вирусы либо другой разрушительный или опасный программный код (файлы *.doc, *.vbs, *.elm, *.exe и *.zip).
Фильтр пресекает действия персонала, ведущие к увеличению трафика вследствие посещения развлекательных сетевых ресурсов, скачивания музыки или просмотра видеоклипов, и составляет подробный отчет об использовании Интернета.
DynaComm i:filter
Разработчик: FutureSoft (www.futuresoft.com)
Сайт программы: http://www.dciseries.com/products/ifilter/
Компания FutureSoft предлагает решение для контентной фильтрации, позволяющие снизить риск правовых нарушений, связанных с незаконным контентом, и оптимизировать пропускную способность корпоративной сети. DynaComm i:filter генерирует точные отчеты о нарушении правил посещения запрещенных категорий ресурсов. Система может также выдавать предупреждения в режиме реального времени.
Сегодня в базе программы более 9 млн. сайтов, разбитых на категории, в том числе: Adult (для взрослых), Anti-Social Rhetoric (антисоциальная риторика), Chat Rooms, Forums & Online Communities (чат-комнаты, форумы и онлайновые сообщества), Employment & Jobs (поиск занятости и работы), Entertainment (развлечения), Financial Services (финансовые сервисы), Gambling (азартные игры), Hacker & Cracker Activities/Information (хакерская и крэкерская информация), Health & Medical (здоровье и медицина), News & Weather (новости и погода), Dating & Personal Web Sites (персональные странички знакомств), Political (политика), Potentially Offensive (потенциально оскорбительные ресурсы), Religion & Spirituality (религиозные и духовные материалы), Reproductive Health & Sexuality (вопросы секса и состояния репродуктивных функций), Shopping (покупки), Sports & Hobbies (спорт и хобби) Terrorism (терроризм), Travel & Tourism (путешествия и туризм).
PureSight Content filtering
Разработчик: PureSight, Inc. (http://www.icognito.com/company/index.shtml)
Сайт программы: http://www.icognito.com/company/index.shtml
Компания PureSight, Inc. предлагает целый набор решений для контентной фильтрации Web-трафика. Фирменная технология Advanced Content Recognition (ACR) позволяет динамически анализировать и классифицировать Интернет-контент в режиме реального времени и обеспечивает надежную фильтрацию постоянно меняющегося содержания Сети.
PureSight Mobile Content filtering служит для фильтрации Интернет-контента для портативных мобильных устройств, имеющих WAP-функциональность. Технология PureSight Active Content Recognition (ACR) может быть легко интегрирована в мобильные решения, обеспечивая услуги контентной безопасности. Продукт Classification Software Development Kit (CSDK) от PureSight позволяет осуществлять бесшовную интеграцию ACR-технологии в различные прикладные решения, предоставляя возможность интегрировать в различные продукты и службы высококачественные технологии распознавания контента на лету. Решение PureSight Mobile Content filtering снимает головную боль у провайдеров беспроводных служб и подписчиков этих служб на базе анализа, фильтрации и, если необходимо, предотвращения доступа к оскорбительному контенту посредством мобильных карманных беспроводных устройств.
PureSight PC for ISP решение для фильтра Интернет-контента для ISP, позволяющее пользователям ограничить доступ к Web-ресурсам и управлять им на основе пользовательских списков, создавать до 10 пользовательских профилей (каждый с собственным паролем, логином и индивидуальным профилем фильтрации), определять различные профили фильтрации. Данное решение дает возможность управлять доступом к Web-ресурсам в зависимости от времени суток. Кроме того, составляются отчеты о том, какой пользователь пытался посетить ту или иную страницу.
Webwasher URL Filter
Разработчик: CyberGuard Corporation (http://www.cyberguard.com)
Сайт программы: http://www.cyberguard.com/products/webwasher/webwasher_products/url_filter/index.html
Применение Webwasher URL Filter резко сокращает нецелевое использование Web-ресурсов за счет блокировки определенных категорий сайтов, например из разделов Shopping и Entertainment. Система также предотвращает возможность скачивания файлов определенных расширений, в частности MP3.
В результате применения данного продукта обеспечиваются снижение показателя «цена/производительность» и рост производительности сотрудников, а сами они ограждаются от неверного, вредоносного и оскорбительного контента. При этом реализуется возможность определять политики, непосредственно привязанные к корпоративным требованиям. Есть возможность составлять отчеты корпоративного уровня с помощью Webwasher Content Reporter.
Данное решение рассчитано на 200 тыс. и более пользователей и легко интегрируется в ИТ-структуру предприятия.
Websense Enterprise
Разработчик: Websense (www.websense.com)
Сайт программы: http://www.websense.com/global/en/ProductsServices/WebsenseEnterprise/
По данным компании Websense, несмотря на то, что 99% компаний используют антивирусное ПО, 78% из них, тем не менее, поражаются вирусами, червями и другими вредоносными кодами. К тому же в более 72% компаний сотрудники используют трафикоемкие процедуры скачивают видеоролики, фильмы, музыку.
Websense Enterprise защищает организации от вышеназванных угроз за счет фильтрации Web-трафика. Программа Enterprise легко интегрируется в популярные сетевые среды и использует одну из наиболее полных в индустрии баз данных Websense Master Database, а также набор инструментов составления отчетов Websense Reporting Tools.
Smartfilter Web filtering 4.1
Разработчик: Secure Computing Corporation
Сайт программы: http://www.securecomputing.com/index.cfm?skey=85
Программа защищает предприятия от рисков, связанных с нерегламентированным использованием Интернета, позволяя повысить безопасность, поднять производительность и ограничить трафик. SmartFilter предоставляет базу данных, содержащую миллионы Web-сайтов, на которые следует ограничивать доступ, по более чем 70 категориям. Над базой работает команда аналитиков с помощью многоязычного анализа Web-ресурсов.
SmartFilter отлично вписывается в сетевую среду организации и работает с большинством популярных прокси-серверов, брандмауэров и аппаратных решений в области безопасности.
InfoWatch Web Monitor
Разработчик: InfoWatch (www.infowatch.ru)
Сайт программы: http://www.infowatch.ru/solution?chapter=147150837
InfoWatch Web Monitor (IWM) (Разработка компании InfoWatch, которая занимается минимизацией риска неправомерных действий сотрудников в отношении корпоративной информации. InfoWatch была основана в ноябре 2003 года и является дочерней компанией «Лаборатории Касперского». Решения InfoWatch позволяют контролировать операции с документами внутри корпоративной сети и не разрешать те из них, которые не соответствуют политике безопасности) служит для предотвращения утечки конфиденциальной информации через Интернет, в том числе через Web-почту и сетевые форумы. IWM в масштабе реального времени сканирует исходящий Интернет-трафик (POST-запросы), определяет подозрительную или запрещенную активность пользователей, блокирует пересылку пакетов, которые содержат или могут содержать конфиденциальные данные. Система ведет отчет о произведенных операциях и сообщает о нарушении политики внутренней безопасности.
Решение InfoWatch Web Monitor является единственной отечественной разработкой в нашем обзоре, поэтому о нем мы расскажем подробнее.
Схема работы
IWM перехватывает пользовательские POST-запросы, обрабатываемые корпоративным прокси-сервером (Microsoft ISA Server), с целью выявления запрещенной к пересылке информации и для предотвращения ее утечки (рис. 3), причем в будущих версиях продукта будет внедрена поддержка прокси-сервера Squid.
Рис. 3. Схема работы InfoWatch Web Monitor
Сначала модуль фильтрации POST-запросов, встроенный в корпоративный прокси-сервер, осуществляет перехват всех запросов типа POST, из которых формирует специальное почтовое сообщение и направляет его на фильтрующий почтовый сервер. Затем фильтрующий почтовый сервер производит комплексный анализ сообщения, в том числе поиск в текстах и во вложенных объектах слов и словосочетаний, характерных для конфиденциальной информации. После этого сообщение классифицируется по видам (рубрикам) в соответствии с их принадлежностью к секретным данным.
Правила классификации сообщений регулируются:
- общими и персональными профилями, определяющими методы классификации сообщений по формальным признакам, а также устанавливающими правила маршрутизации сообщений (управление профилями сервера осуществляется с помощью менеджера профилей);
- базой фильтрации, задающей набор категорий, по которым производится классификация сообщений, набор терминов и образцов сообщений, по которым производится классификация (база создается и модифицируется с помощью менеджера категорий). Если сообщение распознано как конфиденциальное, то модуль бизнес-логики фильтрующего сервера выполняет следующие действия:
- подает команду модулю фильтрации POST-запросов блокировать отправку запроса. В этом случае происходит немедленное прекращение обработки запроса прокси-сервером, вследствие чего никакая информация из запроса пользователя на внешний сервер не передается,
- в соответствии с настройками направляет письмо на рабочее место сотрудника, отвечающего за безопасность (в дальнейшем он именуется «офицером безопасности»), который дает окончательное заключение о том, действительно ли имело место нарушение.
Если в результате анализа POST-запроса офицер безопасности приходит к выводу, что сообщение нарушает политику безопасности, то формируется заключение о нарушении, которое пересылается менеджеру, принимающему окончательное решение о соответствующих мерах.
Если сообщение не распознано как подозрительное, то фильтр разрешает модулю фильтрации POST-запросов пропустить запрос на внешний сервер, и тогда обработка запроса продолжается естественным путем, то есть происходят передача информации на внешний сервер и трансляция клиенту его ответа. В системе ведется протокол Интернет-активности пользователей, где фиксируются информация об отправленных запросах, семантические метки и данные о выполненных действиях, которые используются для построения сводных отчетов об активности пользователей в модуле статистики сообщений.
Функциональные модули
Основными функциональными модулями IWM являются:
- модуль фильтрации POST-запросов;
- фильтрующий почтовый сервер;
- менеджер профилей;
- рабочее место офицера безопасности;
- статистика сообщений;
- менеджер категорий.
Рассмотрим данные модули подробнее.
Модуль фильтрации POST-запросов
Модуль фильтрации POST-запросов осуществляет перехват запросов, содержащих сообщения, отправляемые на сайты веб-почты, форумы и т.д.
Из перехваченных запросов формируются почтовые сообщения, которые пересылаются на фильтрующий почтовый сервер. По результатам классификации POST-запросов сервер пропускает либо блокирует отправку пользовательского запроса на внешний сервер.
Фильтрующий почтовый сервер
Фильтрующий почтовый сервер специализированная почтовая система в виде выделенного Relay-сервера под управлением операционной системы Linux или FreeBSD. Данный сервер является составной частью InfoWatch Mail Monitor и выполняет функции фильтрации конфиденциальной информации в электронной почте.
В соответствии с установленными правилами фильтрации фильтрующий почтовый сервер выполняет следующие функции:
- осуществляет тематическую классификацию POST-запросов;
- выделяет POST-запросы, содержащие признаки конфиденциальной информации;
- перенаправляет офицеру безопасности для дальнейшего анализа все POST-запросы, содержащие признаки нарушения.
Каждый POST-запрос проверяется на его соответствие политике корпоративной безопасности на основании атрибутов запроса (адреса отправителя и получателя, размер, заголовки, количество и тип файлов-вложений) и с помощью контентного анализа содержания запроса и вложенных файлов, основанного на сравнении с письмами-образцами и на поиске характерных терминов (слов и словосочетаний).
На уровне проверки атрибутов письма фильтр выявляет следующие ситуации:
- наличие адресов отправителей или получателей в черных списках и их отсутствие в белых списках;
- наличие IP-адреса отправителя в черных списках и его отсутствие в белых списках;
- отсутствие сервера отправителя в DNS;
- соответствие одного из заголовков письма заданному шаблону;
- слишком большой размер письма;
- письмо зашифровано (S/MIME или PGP);
- письмо имеет вложения неконтролируемого формата, а имя или тип файла вложения соответствует заданному шаблону.
POST-запросы, не подпадающие под действие какого-либо правила или алгоритма контентной фильтрации, отправляются адресатам в неизменном виде. Если же в письмах обнаружены те или иные признаки нарушения политики информационной безопасности, то они пересылаются на рабочее место офицера безопасности для анализа и принятия решения о дальнейших действиях.
Менеджер профилей
Менеджер профилей (правил фильтрации; рис. 4) консоль управления, позволяющая задать действия, которые нужно выполнить с сообщением в зависимости от его содержания, формальных характеристик (размер, адреса отправителя и получателя, значения технических заголовков сообщения и т.п.) либо вследствие нарушения конфиденциальности пересылаемого документа или текста.
Рис. 4. Менеджер профилей
Система управления профилями позволяет описать действия типа: отклонить сообщение, перенаправить или скопировать сообщение на другой адрес либо группу адресов, модифицировать технические заголовки сообщения.
Работа с менеджером профилей осуществляется удаленно посредством любого Web-браузера.
Рабочее место офицера безопасности
Рабочее место офицера безопасности представляет собой консоль управления теми почтовыми сообщениями, в которых были обнаружены признаки нарушения политики внутренней безопасности. Консоль позволяет просматривать подозрительные сообщения и анализировать, по каким признакам сообщение было опознано как конфиденциальное. Работа осуществляется удаленно посредством любого Web-браузера.
Статистика сообщений
Статистика сообщений функциональный модуль IWM, который позволяет накапливать и анализировать информацию о событиях в почтовой системе, в частности формировать список наиболее распространенных категорий, отправителей и получателей как для всего потока писем, так и для писем отдельного отправителя, получателя или категории сообщения.
Статистические отчеты формируются за указанный период и могут быть экспортированы в отдельные файлы формата HTML или Microsoft Excel для проведения более подробного ретроспективного анализа.
Работа в данном модуле осуществляется удаленно посредством любого Web-браузера.
Менеджер категорий
Менеджер категорий является утилитой для создания и тестирования базы фильтрации, по которой Фильтр производит классификацию сообщений. С помощью этого модуля можно определять классы конфиденциальных документов и задавать формальные признаки (ключевые слова, фразы или образцы документов), которые характеризуют различные категории документов.
Сервисы и техническая поддержка
Компания обеспечивает аудит безопасности информационной системы заказчика, разработку рекомендаций по ее модернизации, создание нормативной базы, а также предоставляет услуги по установке, настройке, поддержке продуктов InfoWatch и обучению персонала.
Каждому клиенту назначается специальный менеджер технической поддержки, способный оказывать консультационную и экстренную помощь 24 часа в сутки.
***
В заключение хочется привести одно невеселое соображение, которое приходит на ум после рассмотрения всех перечисленных продуктов. Конечно, корпорации должны блюсти свои интересы. Но ведь свою безопасность должно обеспечивать и государство. Технологии, которые позволяют это делать, постоянно совершенствуются, и возникает резонный вопрос: не наступит ли такой день, когда всех нас посчитают сотрудниками одной большой организации, которая будет получать отчеты о профилях нашей активности в Сети, о том, куда ходили, где что просматривали, что купили, кому написали?
Автор благодарит компанию InfoWatch (http://www.infowatch.ru) за предоставленные материалы.