Безопасность контента: проблемы и решения
Контентная фильтрация почтового трафика
Контентный анализ Web-содержимого
Решения ведущих производителей в области контентной фильтрации
нтернет позволил компаниям объединить сотрудников, партнеров и клиентов по всему миру, предоставить им возможность обмениваться информацией с немыслимой скоростью.
Однако наряду с этим возникла необходимость в качественно новом уровне корпоративной безопасности, одним из важнейших аспектов которой является проблема безопасного управления контентом.
Система безопасного управления контентом, или, как ее называют на Западе, Secure Content Management (SCM) должна обеспечивать контроль за содержанием потоков информации, передаваемых и получаемых компанией из Сети.
SCM-система должна обеспечивать управление контентом на базе определенных политик, проводимых корпорацией, и обычно включает управление Web-контентом, контроль за обменом сообщениями, защиту от вирусов и нежелательных, скачиваемых из Сети приложений.
По прогнозу IDC, общемировой спрос на системы защиты, связанные с анализом контента, превысит в 2006 году 1,5 млрд. долл. Этот сектор рынка информационной безопасности будет занимать первое место по скорости роста, поскольку, согласно оценке The Radicati Group, финансовые потери компаний от спама, составившие в 2003 году 20,5 млрд. долл., в 2007 году увеличатся до 200 млрд. долл.
В западных источниках выделяются следующие сегменты SCM-систем:
- Employee Internet Management (EIM) контроль доступа сотрудников в Интернет;
- Internet Application Security (IAS) контроль проникновения нелегального контента в корпоративную сеть;
- E-mail scan (ES) контроль утечки конфиденциальной информации из корпоративной сети и фильтрация спама;
- Virus scan (VS) контроль проникновения вирусов.
Допуская правомерность столь подробного деления задач SCM-систем, следует отметить, что в контентной фильтрации можно выделить две основные задачи: фильтрацию почтового трафика и контроль Web-трафика, которые и будут рассмотрены в данной статье.
Контентная фильтрация почтового трафика
лектронная почта является неотъемлемой частью современного бизнеса: она обеспечивает быструю связь, увеличивает производительность труда и снижает расходы. Обслуживание электронной почты занимает около 25% рабочего времени сотрудников компаний. Одновременно с этим электронная почта является источником многочисленных проблем: спам, вирусы, незаконное распространение служебной информации.
Приведем лишь один пример. После того как e-mail-обращение главы крупной корпорации к высшему менеджменту с перечислением всех недостатков в стиле руководства попало на сайт открытого доступа, акции компании существенно упали в цене.
Ежедневно в мире отправляется более 50 млрд. электронных посланий, при этом каждый сотрудник читает в день около десятка писем, не имеющих никакого отношения к его работе. Прибавьте к этому получение вирусов вместе с вложениями в электронные письма, и станет понятно, насколько важной задачей является контроль за содержанием корпоративной почты.
Комментируя вопрос, что такое спам, в чем причина его живучести и сложности его фильтрации, сотрудники IDC весьма точно подмечают: «Если бы на вопрос “Что такое спам?” существовал четкий ответ, то отделить спам от полезной почты было бы сравнительно легко». Действительно, дайте четкое определение спама, заложите его в фильтр и отделяйте нежелательную информацию от нужной на основании данного формального признака. Все дело в том, что нечеткость данного понятия создает риск удаления из почтового трафика нужных сообщений.
Тот факт, что понятие «спам» достаточно условно, следует из публикаций самой IDC. Согласно статье «Что можно и что следует делать в связи с ростом проблемы спама» М. Бьерк, Р Кристиансен («What You Can and Should Do About the Rising Cost of Spam» M.Burke, R.Christiansen), все сообщения можно разделить на три категории:
- Персонализированная почта (person-to-person e-mail) информация, отправленная целевой аудитории, с учетом знания профессии или профиля деятельности получателей.
- Уведомления (Email alerts and notifications) сообщения, генерируемые автоматически некоторым приложением, которое оповещает пользователей, подписавшихся на определенную услугу. Например, уведомление об обновлении раздела Web-сайта.
- Спам незапрашиваемая массовая рассылка (unsolicited bulk e-mail), включающая две подкатегории:
- массовые сообщения, отправляемые легальными службами директ-маркетинга и рекламирующие реальные продукты и услуги;
- массовые сообщения, отправляемые нелегальными службами и индивидуумами, которые продают фальшивые электронные товары, несуществующие услуги, рассылают вирусы и т.п.
Важным условием для выявления обеих категорий спамеров является использование автоматизированной массовой рассылки, которая заранее предполагает низкую цену подготовки сообщений и небольшой процент отклика по сравнению с традиционными кампаниями директ-маркетинга.
Прогнозы распространения вышеуказанных категорий нежелательных сообщений показаны на рис. 1.
Рис. 1. Прогнозы распространения спама (источник: IDC)
Сложность идентификации спама (и его отделения) обусловлена трудностью определения терминов «массовый» и «незапрашиваемый» в отношении рассылки писем.
Общеизвестно, что Интернет изначально создавался как демократичная среда, делающая возможным обращение к неизвестной аудитории. Одна из сильных сторон Интернета состоит в том, что массовый характер обсуждений обеспечивает уникальную экспертизу глобального масштаба в виде коллективных форумов, групп новостей, Web-чатов и т.д. При этом, чем многочисленнее аудитория профессионалов, к которой можно обратиться с вопросом, тем более ценно выработанное решение, больше отдача. Данное свойство сети иллюстрируется известным законом Меткалфа, согласно которому ценность сети нелинейно увеличивается в зависимости от числа ее пользователей. Суть закона иллюстрируется схемой, представленной на рис. 2: в группе из двух членов возможна одна коммуникация, в группе из пяти членов число возможных коммуникаций возрастает до десяти и т.д.
Рис. 2. Схема, иллюстрирующая принцип Меткалфа
Однако утверждение об увеличении ценности сети по мере роста числа коммуникаций справедливо лишь в том случае, если коммуникации позволяют накапливать полезную информацию, не отвлекая при этом аудиторию. Когда пользователи (помимо их воли) начинают получать не нужную им рекламу от огромного числа спамеров, Сеть теряет свои преимущества.
Причиной живучести спама является наличие устойчивой спам-экосистемы. Суть этого понятия, предложенного IDC, раскрывается на рис. 3. На схеме окружности представляют игроков спам-рынка. Серые сплошные линии спам, черные пунктирные линии запросы на борьбу с ним.
Рис. 3. Схема спам-экосистемы (источик: IDC)
Дело в том, что пользователи электронной почты это разнородная аудитория, которая ведет себя двояко. С одной стороны, люди пользуются предложениями спамеров и таким образом генерируют их бизнес, а с другой недовольные большим объемом спама, они обращаются к разного рода организациям: сервис-провайдерам, ИТ-корпорациям, провайдерам антиспам-решений и государственным органам с просьбой принять антиспам-меры. Государство вводит санкции против спамеров, штрафует их. В результате спамеры выплачивают часть денег, полученных от e-mail-пользователей, на штрафы. Сервис-провайдеры и ИТ-корпорации обращаются к провайдерам антиспам-решений, которые создают антиспам-решения и живут за счет антиспам-бизнеса. Сервис-провайдеры предлагают своим пользователям решения, ограничивающие спам, фильтруют спам-сообщения, блокируют домены спамеров, ведут «черные» списки и соответственно получают деньги за дополнительные услуги.
Спамеры пытаются обмануть фильтры, придумывают новые формы сообщений, невидимые для фильтров, в надежде сохранить свой бизнес. В результате идет эволюция спам-фильтров и параллельно эволюционируют средства доставки спама, а оплачивается этот процесс на деньги, получаемые от e-mail-пользователей.
Проблема состоит еще и в том, что спам тоже разнороден: одни сообщения представляют угрозу заражения вирусами и троянцами, другие просто отвлекают пользователей, поскольку маскируются под важные для них сообщения, третьи, не выдаваемые за что-то другое, не отнимают у получателей много времени.
Таким образом, антиспам решение (как и антивирус) нельзя создать раз и навсегда это результат непрерывного процесса накапливания сведений о спаме, его анализа и модернизации улавливающих его фильтров.
Контентный анализ Web-содержимого
ецелевое использование Интернета на рабочем месте приводит к существенным потерям в производительности и финансах. Интерактивные аукционы, чаты, музыкальные порталы и онлайн-игры отвлекают сотрудников от их прямых обязанностей и затрудняют работу корпоративной сети. Как свидетельствуют исследования, проведенные в странах Запада, примерно 25% офисных служащих читают новости только в Интернете на работе. Согласно американской статистике, примерно 30-40% просматриваемых сайтов не имеют отношения к трудовой деятельности сотрудника. В США 60% офисных служащих в рабочее время используют Интернет в личных целях.
Интернет весьма соблазнительный способ получения различной, не относящейся к делу информации: результаты сыгранных накануне спортивных матчей, онлайн-игры, котировки акций и т.д. Использование Интернета сотрудником компании, не связанное с его служебной деятельностью, на Западе получило название «киберслэкинг» (от англ. cyberslacking дословно «кибербездельничание»).
Организации во всем мире заинтересованы в блокировании нежелательного Web-трафика, который может не только отвлекать сотрудников, но и привести к серьезным нарушениям закона. Наличие в корпоративной сети запрещенной законом информации (детская порнография; материалы, разжигающие расовую ненависть, и т.д.) может повлечь за собой различные меры наказания и парализовать на какое-то время бизнес.
Изначально компании просто пытались закрывать доступ к нежелательным ресурсам, блокируя определенные IP-адреса. Однако эта задача оказалась далеко не простой. В результате появились компании, которые стали профессионально заниматься контролем доступа сотрудников к Интернет-ресурсам. Возникло новое направление бизнеса Employee Internet Мanagement business (EIM): EIM-продукты отслеживают перемещения и активность сотрудников на просторах Всемирной паутины с помощью специальных программ.
Данные программы избирательно блокируют доступ к различным ресурсам в зависимости от профиля деятельности сотрудника. Например, сотруднику отдела кадров может быть разрешен доступ к сайту поиска работы job.ru, а сотрудникам других отделов нет.
Решения ведущих производителей в области контентной фильтрации
Cobion AG
Немецкая компания Cobion предлагает комплексные решения в области контент-секьюрити. В прошлом году Cobion AG была приобретена компанией Internet Security Systems (ISS) (www.iss.net). В результате ISS получила права на технологию контентного анализа компании Cobion, а также ее глобальный центр данных.
Технология контентного анализа компании Cobion, именуемая Premier Content Technology, использует суперкомпьютерный центр данных, который занимается пополнением крупнейшей в мире базы данных по спаму и содержимому Web-сайтов.
Приобретение компании Cobion предпринято в соответствии со стратегией конвергенции технологий, провозглашенной компанией ISS. В связи с покупкой компании Cobion продукты Cobion OrangeBox Web и Cobion OrangeBox Mail сменились продуктами Proventia Web Filter и Proventia Mail Filter.
Proventia Mail Filter
Proventia Mail Filter это наиболее полное средство антиспама и фильтрации электронной почты, которое позволяет повысить производительность работы сотрудников, освобождает ресурсы сети и защищает конфиденциальную информацию. Proventia Mail Filter анализирует входящую и исходящую почту для полной защиты от спама и утечки корпоративной информации. Кроме спама, программа блокирует вирусы, порнографию и MP3-файлы.
Наиболее совершенные средства анализа в Proventia Mail Filter сочетаются с базой из более чем 200 тыс. наиболее распространенных примеров спама. Продукт не допускает блокирования нужных писем благодаря использованию 10-ступенчатого анализа письма, включая сравнение сообщения с базой спама и сравнение URL в e-mail-сообщениях с адресами Web-сайтов, занесенными в базу.
Процесс 10-ступенчатого анализа Proventia Mail Filter значительно превосходит аналоги, такие как включение в «черный» список и поиск по ключевым словам. Функция Proventia Mail Filter Spam Learn постоянно обновляет базу, которая четыре раза в день рассылает обновления конечным пользователям для обеспечения защиты в реальном времени.
Proventia Mail Filter анализирует исходящие e-mail-сообщения и блокирует письма с нежелательным содержимым, сохраняя интеллектуальную собственность и конфиденциальные документы. Программа анализирует текст сообщения, изображения и вложенные документы независимо от формата. Кроме того, она позволяет создавать специальные почтовые политики, устанавливать правила для входящих и исходящих e-mail.
Автоматическое сканирование документов предотвращает утечку даже мельчайших фрагментов конфиденциальной информации, финансовых отчетов и контрактов. Proventia Mail Filter распознает более 80 различных типов файлов и проверяет гиперссылки, благодаря чему нежелательное e-mail-содержимое, например предложения о работе, гороскопы и поздравительные открытки, будет заблокировано.
Таким образом, Proventia Mail Filter обеспечивает решение четырех главных задач:
- повышение производительности сотрудников;
- снижение затрат, связанных с обслуживанием сети;
- защиту репутации компании;
- охрану служебной информации.
- Данные задачи решаются на базе использования следующего функционала:
- анализ в режиме реального времени всей электронной почты вместе с вложениями;
- процедура идентификации многоступенчатого спама;
- проверка гиперссылок (58 категорий);
- грамматический разбор и синтаксический анализ контента (важных документов);
- девять стандартных категорий текстового фильтра;
- блок проверки вложений (размер и тип файла);
- блок проверки полей сообщений;
- детектор исходного кода;
- детектор порнографии;
- распознавание форматов файлов независимо от их расширения;
- автоматическая распаковка и анализ файлов;
- удобная настройка для реализации выбранной стратегии;
- постоянный контроль и отчетность.
Proventia Web Filter
Proventia Web Filter это блокиратор нежелательного Web-содержимого.
Ежемесячно он анализирует 120 млн. Web-страниц и ежедневно добавляет в базу 100 тыс. новых и обновленных Web-страниц. Усовершенствованная технология анализа в реальном времени изображений и текста делает Proventia Web Filter наиболее мощным и точным средством фильтрации Web-содержимого. К тому же Proventia Web Filter отличается гибкостью настройки. Системный администратор компании легко может определить, какие сотрудники будут иметь доступ к какой информации и в какое время, а также какое содержимое будет блокироваться.
Технология WebLearn позволяет создавать схемы поведения сотрудников в Интернете. С ее помощью предприятия и организации могут оптимизировать и расширить фильтрующую базу данных компании Internet Security Systems для решения своих проблем. Если некоторые Web-сайты, посещаемые сотрудниками предприятия, не будут по какой-либо причине идентифицированы, то их URL-адреса автоматически и анонимно посылаются в Global Data Сenter для анализа с последующим распределением их по соответствующим категориям базы данных, которая содержит более 20 млн. URL-адресов.
Благодаря WebLearn база данных Internet Security Systems учитывает новые схемы поведения сотрудников компаний в Интернете, анализируя и распределяя по категориям посещаемые ими Web-сайты в целях совершенствования управления доступом.
Технология PassLock позволяет пользователю получить ограниченный доступ к заблокированному Web-сайту. Для этого он должен указать адрес этого сайта в обозревателе и вручную запустить PassLock, нажав на соответствующую кнопку. PassLock разрешает временный доступ к заблокированным Web-сайтам на 10 минут. При этом каждый запрос на доступ автоматически регистрируется и о нем сообщается администрации.
С помощью функции Blocking by Extension (блокирование по расширению файла) компании могут запретить сотрудникам загружать в корпоративную сеть любые файлы изображений, звуковые и видеофайлы, а также документы больших объемов.
В настоящее время доступны следующие версии Proventia Web Filter:
- Proventia Web Filter for ISA для операционной системы Windows, устанавливается как встраиваемый модуль к ISA Server;
- Proventia Web Filter for Windows для операционной системы Windows, выполняет функции прокси-сервера;
- Proventia Web Filter for Linux для операционной системы Linux, выполняет функции прокси-сервера.
SurfControl
SurfControl разработчик средств сетевого администрирования и Интернет-мониторинга.
Для защиты Web-трафика, электронной почты (в том числе антиспамовой и антивирусной защиты) и системы обмена мгновенными сообщениями продукты SurfControl комбинируются с базой данных и инструментами интеллектуального распознавания контента. SurfControl контролирует 22% мирового рынка средств Интернет-мониторинга. Среди крупнейших партнеров SurfControl Microsoft, Check Point, Cisco, IBM и Nokia. Ее клиентская база составляет более 20 тыс. фирм. В компании SurfControl работают почти 450 штатных сотрудников в 10 филиалах по всему миру.
Продукция SurfControl защищает корпоративные сети своих клиентов от потоков нежелательного контента, помогает повысить эффективность работы сотрудников, а также защитить компанию от утечки корпоративной информации.
SurfControl Web Filter
SurfControl Web Filter средство управления доступом в Интернет в корпоративных сетях, которое позволяет увеличить размер прибыли, получаемой на инвестированный капитал, за счет сосредоточения внимания сотрудников на их непосредственных обязанностях, оптимизации использования сетевых ресурсов и снижения возможных рисков, связанных с использованием Интернета.
SurfControl Web Filter предоставляет сотрудникам компаний доступ к полезной информации в Интернете, одновременно преграждая им доступ к не относящимся к их трудовой деятельности Web-сайтам. Кроме того, вероятность потери важных данных или выхода из строя всей сети может быть снижена за счет запрещения загрузки потенциально опасных файлов, которые могут содержать вирусы или другой разрушительный или опасный программный код (файлы *.doc, *.vbs, *.elm, *.exe и *.zip).
Программа пресекает действия персонала, порождающие ненужный трафик, связанный с посещением развлекательных сетевых ресурсов, скачиванием музыки или просмотром видеоклипов, и предоставляет подробный отчет об использовании Интернета.
SurfControl Email Filter
SurfControl Email Filter это почтовый фильтр, обеспечивающий безопасность информации, снижение риска возникновения правовой ответственности и повышение производительности труда.
Программа позволяет сканировать электронную почту антивирусными средствами при прохождении ее через межсетевой шлюз, предотвращает разглашение конфиденциальной информации, блокируя послания, содержащие закрытую информацию, до тех пор, пока их отправка не будет разрешена. Зашифрованные письма, отправленные сотрудниками компании, не имеющими на это право, могут быть заблокированы, изолированы, разрешены к отправке или удалены.
SurfControl Email Filter защищает компанию от возможных судебных исков, отфильтровывая оскорбительные и неподобающие электронные сообщения.
Продукт позволяет оградить сотрудников от получения спама, а также отложить доставку несрочной корреспонденции на нерабочее время, тем самым гарантируя получение важных для ведения дел писем в течение рабочего дня.
SurfControl Email Filter предусматривает возможность удаленного администрирования.
InfoWatch
InfoWatch инновационная компания, в сферу компетенции которой входит минимизация риска неправомерных действий сотрудников в отношении корпоративной информации.
InfoWatch была основана в ноябре 2003 года и является дочерней компанией «Лаборатории Касперского». Решения компании позволяют контролировать операции с документами внутри корпоративной сети и не разрешать те из них, которые не соответствуют политике безопасности.
Infowatch Mail Monitor
Объектом мониторинга являются почтовые серверы. Функция программы состоит в выявлении в исходящем и входящем потоках электронной почты (SMTP) сообщений, которые могут представлять угрозу утечки конфиденциальной информации, и фильтрации нежелательных сообщений (спам и т.п.).
Программа определяет тематику входящих и исходящих сообщений и присваивает каждому сообщению один из следующих статусов:
- запрещенное нарушение безопасности имеется с высокой степенью вероятности;
- подозрительное есть подозрение, что сообщение содержит конфиденциальную информацию;
- разрешенное подозрительных признаков в сообщении не обнаружено.
Запрещенные и подозрительные сообщения перенаправляются на рабочее место сотрудника безопасности. Программа постоянно протоколирует активность пользователей: сохраняется информация об отправителях и получателях сообщений, о тематике сообщений, данные о действиях, выполненных сервером с каждым сообщением. Сообщения отправляются на специальные адреса с целью их архивирования.
Infowatch Web Monitor
Объектом мониторинга Web Monitor являются прокси-серверы. Программа позволяет выявлять в исходящем потоке http-данных сообщения, которые могут представлять угрозу утечки конфиденциальной информации. Кроме того, программа выполняет фильтрацию нежелательных данных (сайты развлечений и т.п.).
Аналогично программе Infowatch Mail Monitor программа Web Monitor определяет тематику входящих и исходящих сообщений и присваивает каждому из них один из следующих статусов: «Запрещенное», «Подозрительное», «Разрешенное». Сообщения пропускаются или блокируются в зависимости от статуса и настроек Web-фильтра.
Лаборатория Касперского
Корпоративные антиспам-продукты должны обеспечивать комплексный анализ содержания таким образом, анализ текстов приобретает наиболее важное значение. Подобный анализ имеет национальную специфику, а значит, у отечественных разработчиков есть все шансы конкурировать с западными производителями, продукция которых изначально ориентировалась на западный рынок.
Из отечественных решений наиболее заметное Kaspersky Anti-Spam, единственная на рынке система защиты от русскоязычного спама, являющаяся совместной разработкой компаний «Лаборатория Касперского» (www.avp.ru) и «Ашманов и партнеры» (www.ashmanov.com).
Фильтр Kaspersky Anti-Spam это серверная программа, которая устанавливается на входе в корпорацию и фильтрует входящий поток почты. Фильтр подходит для защиты почтовой системы организации масштаба от SMB-сектора до крупной корпорации.
Программа Kaspersky Anti-Spam предназначена для распознавания и фильтрации нежелательных почтовых сообщений в процессе приема электронной почты по протоколу SMTP, то есть до того, как сообщения будут доставлены в почтовый ящик конечного получателя.
К достоинствам решения Kaspersky Anti-Spam следует отнести использование эвристических лингвистических методов анализа содержания почтовых сообщений (контентная фильтрация), постоянное ведение и обновление базы данных специализированной лингвистической лабораторией«Спамтест», выпускающей в круглосуточном режиме с интервалом три раза в час; объединение всех методов фильтрации (по формальным1 признакам и по содержанию) в едином модуле, возможность их комбинирования и централизованное управление всеми правилами фильтрации через единый Web-интерфейс.
1 Формальные методы это методы отсечения по определенному виду письма, например ввиду отсутствия отправителя или получателя, пути следования письма и пр.
Clearswift
Британская компания Clearswift предлагает продукты, позволяющие организациям защищать себя от угроз, исходящих из электронной почты и Интернета, и управлять интеллектуальной собственностью, проходящей через Cеть.
Компания выпускает следующие продукты:
- CS MAILsweeper for SMTP средство контроля внешней электронной почты, получаемой и передаваемой по протоколу SMTP;
- CS MIMEsweeper for Domino средство контроля внутренней электронной почты, получаемой, передаваемой и обрабатываемой (в том числе и хранимой) с помощью Lotus Domino;
- CS MAILsweeper for Exchange средство контроля внутренней электронной почты, получаемой, передаваемой и обрабатываемой с помощью MS Exchange;
- CS MIMEsweeper for Web средство контроля и разграничения доступа к Web, включая защиту от утечки конфиденциальных материалов через бесплатные Интернет-сервисы (например, mail.ru, чаты и доски объявлений);
- CS IMAGEmanager средство контроля передаваемых в электронной почте порнографических картинок (дополнение к CS MAILsweeper);
- CS SECRETsweeper средство контроля передаваемых в электронной почте зашифрованных сообщений, нарушающих политику безопасности компании (дополнение к CS MAILsweeper).
FutureSoft
Компания FutureSoft предлагает решения в области контентной фильтрации, позволяющие снизить риск правовых нарушений, связанных с незаконным контентом, и оптимизировать пропускную способность корпортаивной сети. Компания выпускает три независимых продукта:
- DynaComm i:filter для Интернет-фильтрации;
- DynaComm i:mail для e-mail- и spam-фильтрации;
- DynaComm i:scan для файловой фильтрации.
PureSight, Inc.
http://www.icognito.com/company/index.shtml
PureSight, Inc. разработчик решений в области распознавания контента для мобильных операторов и корпоративных пользователей. Компания создала технологию Advanced Content Recognition (ACR), которая позволяет динамически анализировать и классифицировать Интернет-контент в режиме реального времени и обеспечивает надежную контентную фильтрацию постоянно меняющегося Интернет-содержания.
К продуктам данного назначения относятся:
- PureSight Mobile Content filtering решение для фильтрации Интернет-контента для портативных мобильных устройств, имеющих WAP-фукциональность;
- PureSight Content Filtering серверное решение для фильтрации Интернет-контента, предназначенное для корпоративных пользователей, государственных и образовательных учреждений;
- PureSight PC клиентское решение для фильтрации Интернет-контента для ПК;
- PureSight Spam Protection антиспам-решение для проводных и беспроводных сетей.