...
...

Информационная безопасность в Беларуси по версии компании Symantec

В результате действия как объективных, так и субъективных факторов в каждой стране формируются специфические тенденции по использованию или игнорированию продуктов тех или иных компаний. И наша страна в этом плане не является исключением. Рынок антивирусного ПО – яркий тому пример. Домашние пользователи используют продукты, которые у всех на слуху и в большинстве своем это бесплатные версии, а корпоративных пользователей в нашей стране и вовсе можно назвать консерваторами: чтобы посчитать компании, которым они доверяют безопасность своих инфраструктур, пальцев правой руки хватит с запасом.

И это вполне предсказуемо, так как для официального выхода на рынок антивирусного ПО в любой стране продукт компании должен получить сертификат соответствия. Все-таки защита данных – это вам не «Веселая ферма» на Facebook. А до недавнего времени в Беларуси почти не было серьезных игроков на рынке антивирусного ПО. И буквально в течение прошедшего года проверку прошли продукты Лаборатории Касперского и компании Доктор Веб. Антивирусные решения этих вендоров хорошо известны на постсоветском пространстве, и тот факт, что они получили «зеленый свет» на территории Беларуси только в 2010 году, вызвал у меня скорее удивление, нежели интерес. Я думаю, что они и так были основными игроками на белорусском рынке ИБ. И поэтому, когда стало известно о том, что на защиту белорусских пользователей ПК пришла такая компания с мировым именем, как Symantec, то стало ясно, что теперь за внимание потенциальных клиентов начнется серьезная борьба.

В принципе, у нас в стране продукты компании Symantec не пользовались особой популярностью. Так уж повелось. И это несмотря на тот факт, что в целом компания является мировым лидером на рынке средств информационной безопасности. А если мне не изменяет память, то этот борец с киберугрозами занимает вершину импровизированного пьедестала и пользуется на Западе большим спросом. И уж нетрудно себе представить то, как «обрадовались» появлению нового конкурента Лаборатория Касперского и компания Доктор Веб :). Но в любом случае конечные пользователи только выиграют от такой напряженной конкурентной борьбы, что не может не радовать.

Это все, безусловно, замечательно, но для защиты данных на компьютерах недостаточно просто наклеить на корпус стикер с надписью «здесь был Symantec». Хорошо бы иметь представление о тех продуктах и сервисах, которые предоставляются конечным пользователям, а не о статусе компании на мировом рынке. Так что я попытаюсь вкратце рассказать о тех решениях по обеспечению информационной безопасности, которые предлагает компания Symantec своим клиентам.





Начнем с корпоративного сектора

Для защиты информации в сложных гетерогенных системах компания развивает два основных направления: защита информации от утечек и внешних угроз и защита от потери данных, посредством своевременного бэкапа. За первое направление в обеспечении безопасности отвечает программный комплекс Symantec Protection Suite, а за второе – Symantec Backup Exec (для систем под управлением Windows) и Symantec NetBackup (для систем под управлением Linux).

Само собой разумеется, что конечный функционал продукта выбирается довольно гибко и зависит от требований к безопасности системы, которые актуальны в том или ином случае. Но если рассматривать самую продвинутую версию защитного комплекса, а именно Symantec Protection Suite Enterprise Edition, то в этом случае компания может похвастаться всесторонним подходом к защите вычислительных систем: защита от вирусов и программ-шпионов, система предотвращения вторжений, функция блокирования уязвимостей, проверка соблюдения политик контроля доступа к сети, предотвращение потери данных, а также защита от фишинговых атак и спама. Понятное дело, что в целом функционал схож с предлагаемыми решениями по обеспечению информационной безопасности от конкурентов. И как любая уважающая себя компания, парочку «тузов в рукаве» Symantec все-таки имеет.

Если говорить об антивирусном компоненте защиты, то не стоит забывать тот факт, что компания Symantec одна из первых в мире (если не первая), предложила технологию оценки репутации файлов и программ. Эта технология позволяет более оперативно реагировать на появление новых угроз, даже если образцы «вредоносов» еще не успели попасть в руки исследователей, но «засветились» в качестве нежелательного ПО в глазах пользователей продуктов компании. С другой стороны, эта «фича» позволяет не распылять внимание антивирусного сканера и поведенческого анализатора на заведомо безопасные файлы и программы. Само собой, что этот функционал поддерживается всеми антивирусными продуктами компании, которые, в свою очередь, являются базовым компонентом любого из вариантов защитного комплекса. Плюс к этому, стоит также отметить фирменный поведенческий анализатор SONAR, который на основании поведения программы и данных, полученных из «облака», выносит вердикт по поводу безопасности работающей в данный момент программы. С учетом современной тенденции к ежедневному появлению огромного количества новых вариантов вредоносного ПО, свежие подходы к поиску «вредоносов» просто необходимы, так как обработка такого потока вирусов невозможна силами сотрудников даже такого гиганта, как Symantec.

Следующим поводом для гордости является компонент защиты Data Loss Prevention (DLP), который отвечает за сохранность конфиденциальной информации и защищает от ее утечек, а также контролирует соблюдение установленных внутри организации политик по работе с конфиденциальными данными. По заверениям представителей компании, особый интерес вызывает алгоритм работы этого компонента, а именно поиск и определение той информации, доступ к которой должен быть в той или иной мере ограничен. В частности, одним из интересных моментов является возможность идентификации найденной информации как конфиденциальной на основании некоторых шаблонов. То есть нет необходимости каждый раз указывать «статус секретности» однотипных документов, достаточно указать программе «стопку» конфиденциальных документов и не конфиденциальных, а уже разницу она найдет сама. Потом только в процессе работы в течение некоторого времени надо будет указывать ей на возникающие ошибки. И с учетом своих ошибок DLP система будет самообучаться. Такой вот ИИ-подход, который явно упростит работу сотрудников, отвечающих за предотвращение утечек данных.

С покупкой компании Verisign у Symantec появилась возможность использовать ее наработки в области защиты от несанкционированного доступа к информации. Продукты, основанные на технологиях Verisign, позволяют осуществлять проверку подлинности авторизующихся в системе пользователей. А недавняя сделка с компанией Intel позволит интегрировать Verisign Identity Protection напрямую в платформу Intel Identity Protection Technology в процессорах семейства Core. Две компании намерены создать систему аутентификации прямо на чипсете Intel, который будет получать VIP-ключ от аппаратного ключа, имеющегося у сотрудника. В Symantec говорят, что такой подход предоставляет гораздо более высокий уровень защиты конечных пользователей по работе с публичными ресурсами.

Плюс ко всему в продуктах компании Symantec реализована защита от эксплуатации уязвимостей в стороннем ПО. Для этих целей используются как собственные наработки, так и база знаний проекта Metasploit. Это позволяет регистрировать и предотвращать эксплуатацию критических багов в наиболее популярном ПО.

Что касается системы Backup Exec 2010 R2, то эта система развивается под слоганом: «Защищать лучше, хранить меньше, экономить больше!». Ну, что тут скажешь? Хороший слоган. Особенно учитывая фирменную технологию дедупликации, которая позволяет избавиться от избыточности сохраняемых резервных копий и не хранить одинаковую информацию, полученную из разных источников. Причем дедупликация может проводиться на стороне клиента, на стороне backup-сервера, а также на промежуточном сервере дедупликации. Эта возможность позволяет балансировать нагрузку между различными узлами сети. Ну, я думаю понятно, что если дедупликация осуществляется на стороне клиента, то расходуются ресурсы клиентской машины, если дедупликация осуществляется на backup-сервере, то уже он будет «пыхтеть» над этим процессом. А в целом занятная технология, которая действительно позволяет хранить меньше. И, конечно же, в наше время нельзя забывать про виртуальные машины, поэтому поддержка VMware и Microsoft Hyper-V также имеется. А что поделать? Спрос рождает предложение.

На самом деле, функционал корпоративных продуктов включает в себя самые передовые разработки компании, о которых любой представитель пресс- службы может говорить часами, используя множество красочных эпитетов и восторженных отзывов. И если уж какие-то представители малого, среднего или крупного бизнеса заинтересуются программными решениями этой компании, то лучше обращаться сразу к официальным дистрибьюторам. На территории РБ таким дистрибьютором является ИООО «Софтпром-Бел». Там вам все расскажут, покажут, установят и, так сказать, внедрят.

Продолжим решениями для персональных пользователей

К сожалению, я не отношусь к элитной касте «одминов» и поэтому не имел возможности «пощупать» реально работающие корпоративные решения. Я лишь написал о самом интересном из того, что услышал на пресс-конференции. Но вот персональный продукт Norton Internet Security 2011 я вполне себе могу попробовать в деле. Пусть это и всего лишь маленький кусочек от большого пирога Symantec, но равнодушным он меня не оставил.

Знакомство с программой началось очень позитивно: этот защитный комплекс реально устанавливается одним щелчком мышки! Последний раз я испытывал такие приятные ощущения, когда устанавливал Opera 11, и до этого момента я не мог себе представить, что инсталлятор антивируса тоже может быть таким минималистичным. И этот приятный штрих характеризует весь дизайн данного ПО: вся работа с программой рассчитана на простого пользователя. NIS 2011 действительно является продуктом для домашнего использования, так сказать, для «простых смертных». Кстати, забыл предупредить, что это мое первое знакомство с антивирусом семейства Norton за последние лет 6. Так что извините мне мои восторженные возгласы, ведь с предыдущими версиями я не знаком. Далее я был приятно удивлен тем, что после установки NIS не пытался вызвать у своего пользователя чувство паники: не было никаких ужасающих напоминаний о том, что «компьютер в опасности», «базы устарели», «сканирование еще не осуществлялось». Все ОК. Все работает. Пять минут – полет нормальный. Правда, когда я вручную начал его обновлять, то размер обновлений был раза в два больше, чем установочный файл самого антивируса: где-то мегабайт 150 в общей сложности. Этим, конечно, грешат многие антивирусы, но NIS побил все рекорды.

Главное окно программы явно носит сугубо эстетическую нагрузку, так как попытки произвести гибкую настройку компонентов антивирусной защиты не увенчались успехом. Такое ощущение, что весь интерфейс программы является не более чем красивым муляжом. Никаких тебе «ползунков», выставляющих уровень защиты; традиционные во многих продуктах «уровень чувствительности эвристики» и «настройка проактивной защиты» также отсутствуют. Здесь в принципе нельзя внести коррективы в механизмы проверки и защиты. Можно только посмотреть некоторую сводную информацию, либо отключить вообще отдельные компоненты программы. Вот каким должен быть продукт для домашнего использования. В процессе работы программа вообще ни о чем постороннем не спрашивает. Только сигнализирует о детекте угроз. Свою роль в этом играет подход, при котором в базе знаний находятся не только вирусы, но и вполне себе нормальные программы. Поэтому встроенный firewall не будет задавать глупых вопросов и пытаться заблокировать Skype или Pidgin, а поведенческий анализатор не смутится от работы Punto Switcher или программы для создания скриншотов. Самым эффектным и самым бесполезным является элемент интерфейса, на котором изображена карта мира. Щелкнув по интересующей вас зоне, можно узнать города, в которых количество угроз в данный момент наибольшее. Непонятно только, почему территория России носит статус «Азия». Наверное, это намек на число пользователей в этой стране :).

Еще NIS может продемонстрировать, что не так уж много ресурсов он потребляет. Во вкладке «Быстродействие» на наглядном графике можно увидеть текущую нагрузку на систему и вклад в это дело программы Norton Internet Security. В целом – терпимо.

Отдельный интерес вызывает модуль родительского контроля. В качестве логотипа выбран «супер-пес в маске, желтом плаще и в желтых сапожках». На первый взгляд, вполне себе дружелюбная зверюшка… но это лишь на первый взгляд. Для управления данным компонентом необходимо иметь учетную запись пользователя NIS, к которой в последующем привязывается web-панель управления. Кстати, по мере ознакомления с программой выяснилось, что «Родительский контроль» в целом бесплатен, и его можно использовать отдельно. Для этого на компьютер ребенка устанавливается отдельный компонент, именуемый Safety Minder. Если он пользуется тем же компьютером, что и родители, то можно указать конкретную учетную запись в системе. Несмотря на то, что компонент называется «Родительский контроль», я бы назвал его «Злая мачеха». Я честно пытался протестировать его работу, но после того, как «добрый пес в желтом плаще» не пустил меня на http://itcomm.by, то я разозлился и прибил добрую собачку. В понимании Safety Minder, социальные сети – это зло. И, судя по реакции на вышеуказанный ресурс, этот защитник детей особо не парится, определяет версию CMS и банит все, что хоть немного похоже на соцсети. Да и вообще, он банит больше, чем разрешает. Не спасает даже возможность для некоторых сайтов отправить запрос родителям и продолжить использование подозрительного ресурса. Если сомневается, то запретит. Так что, либо ребенок возненавидит своих заботливых родителей, либо достанет их своим нытьем, что будет способствовать удалению данного online-надзирателя с компьютера. Но главным поводом для удаления послужил тот факт, что где-то в 22:00 серверы Symantec просто не отвечали на запросы. Вообще. Поэтому ни web-панель, ни встроенные в NIS «отключатели» родительского контроля просто не могли работать. Очень странная ситуация для такой серьезной компании.

Еще меня действительно порадовал компонент, предназначенный для защиты аккаунта на Facebook. С его помощью можно сканировать стену и входящие сообщения на наличие вредоносных ссылок. Весьма полезная в нынешних реалиях фича. Этот маленький сюрприз был воспринят мной как признак того, что Symantec идет в ногу со временем. Но при этом в голове непроизвольно промелькнула мысль: «А когда отечественные антивирусы обзаведутся подобным функционалом для социальной сети ВКонтакте?». Вопрос, конечно, наивный :). Но в реалиях современного Интернета подобные плагины для основных генераторов трафика просто необходимы. Ведь ссылка на «стене» несет угрозу не только непосредственному хозяину странички, но и всем его посетителям. Может быть, это и не самый важный и сложный компонент, но при этом очень даже уместный.

Что касается Интернета, то в NIS также реализован плагин для IE и Firefox, который «пробивает» посещаемые сайты по базе вредоносных сайтов. Также в нем реализована система хранения паролей и управление ими на различных сайтах. Но, поскольку я отношусь к пользователям Google Chrome и частично Opera, то подобное дополнение меня совсем не обрадовало. Какая-то дискриминация получается.

Вот и подошла к концу краткая характеристика продуктов компании-новичка на антивирусном рынке Беларуси и маститого security вендора мирового масштаба. Для корпоративных клиентов значимым является статус компании. Все-таки, как ни крути, но в лидеры просто так не выбиваются. А домашним пользователям продукт может приглянуться своей простотой, но при этом не в ущерб функциональности. На мой взгляд, антивирусная программа для персонального использования должна тихонько выполнять свои задачи, а не вести себя как капризный ребенок, который требует к себе повышенного внимания. Что же касается всяких там уровней детекта и степени защиты, то советую вам использовать информацию для размышления от независимых тестеров, а не основываться лишь на мнении друзей и соседей. Хотя, как показывает практика, даже самый хороший антивирус, который при этом надоедает своим предупреждениями, рискует рано или поздно быть отключенным. Так что, когда будете выбирать антивирус своей маме или девушке, то лишний раз подумайте на эту тему. :)

Андрей Акрушко



© Компьютерная газета

полезные ссылки
Обзор банков Кипра
Обзор банков Кипра