PC Magazine/RE - Журнал PC Magazine/RE №10/2009

1. Более высокая вероятность обнаружения благодаря применению систем, созданных разными командами разработчиков и, порой, на основе разных технологических решений. Вероятность пропустить вирус уменьшается на порядок, а то и на несколько.

2. Локализация заражения. Поскольку продуктом одного разработчика защищается не вся сеть, а лишь ее часть, технические проблемы, связанные с этим продуктом (задержка с выпуском обновления, отсутствие доступа к основному серверу обновлений, ошибки в антивирусных базах), не скажутся на всей системе антивирусной защиты.

3. Более полное соответствие требованиям: поскольку для защиты каждой подсистемы сети антивирусный продукт выбирается независимо, можно полнее удовлетворить требования к системе в целом.

Недостатки гетерогенной системы антивирусной защиты по понятным причинам лежат в тех же плоскостях, что и преимущества гомогенной.

1. Сложность в освоении. Персоналу придется изучать и осваивать несколько непохожих продуктов, реализующих разные подходы к построению интерфейса и управлению.

2. Независимое управление. Вместо единой системы управления персоналу придется работать с несколькими параллельными.

3. Использование различных антивирусных баз, что неизбежно повышает нагрузку на сеть и, отчасти, персонал.

4. Потенцтальные конфликты между антивирусными продуктами.

5. Сложности в техническом сопровождении. Обслуживающему персоналу придется общаться с несколькими службами технической поддержки.

Может показаться, что у гомогенных систем больше преимуществ и меньше недостатков в сравнении с гетерогенными. При защите небольших и несложных по структуре сетей, как правило, так и есть. Но как только речь заходит о сложной сети, в силу вступает целый ряд факторов. При необходимости защиты или обеспечения совместимости с одной или несколькими редко используемыми системами подходящего гомогенного решения может просто не существовать. Когда на первый план выходит качество защиты, гетерогенные системы обладают преимуществами, которые часто перевешивают относительные недостатки. В процессе эволюции сети и системы ее антивирусной защиты постоянное соблюдение принципа «моновендорности» – довольно хлопотное дело; гораздо проще заменить один из продуктов при появлении лучшего, чем регулярно менять систему целиком. Кроме того, на практике гомогенные системы нередко обладают многими недостатками гетерогенных.

Другая опасность, с которой сталкиваются компании СМБ (и не только они), – утечка информации. Рынок DLP (Data Leak/Loss Prevention, предотвращение утечки/потери данных) развивается довольно бурно, несмотря на кризис.

Спрос на такого рода решения подстегнул федеральный закон «О персональных данных» [2], где сформулированы требования, обязывающие все юридические и физические лица, хранящие или обрабатывающие персональные данные других граждан, обеспечить конфиденциальность предоставленной им информации. Организации или граждане, нарушающие закон, могут быть привлечены к ответственности. Сегодня имеется несколько прецедентов, связанных с коммерческим использованием утечек (их, думается, гораздо больше, но по понятным причинам широкую огласку получают немногие). При выборе системы защиты от утечек важно понять, что конкретно планируется защищать [3] и как.

К настоящему моменту технологии выявления корпоративных секретов прошли две стадии эволюции. Во-первых, разработчики систем предотвращения утечек обратили внимание на вероятностные методы, суть которых состоит в использовании лингвистического анализа или «цифровых отпечатков пальцев» (Digital Fingerprints). Во-вторых, реализовали детерминистские методы, основанные на том, что каждый секретный документ должен быть специальным образом помечен.

Вероятностные методы фильтрации исходящего трафика предполагают использование лингвистических технологий или цифровых отпечатков, снятых с секретных документов. Применение лингвистического анализа подразумевает поиск в исходящих документах ключевых фраз, заданных заранее, и последующий их анализ с учетом контекста. Для этого требуется предварительное обучение фильтра на тех документах, для которых уже известно, что они являются секретными. Анализ исходящего трафика осуществляется именно с использованием этой базы. Результат анализа – вероятность того, что документ относится к секретным. Такому подходу присущи несколько недостатков. Прежде всего подобный анализ не всегда эффективен, лингвистические алгоритмы, несмотря на десятилетия развития, все еще несовершенны. Кроме того, злоумышленник может воспользоваться стеганографией и разнообразными методами кодирования. Еще одна проблема, связанная с лингвистической фильтрацией, состоит в том, что ее сложно реализовать для несетевых видов трафика. Хотя работы в этом направлении ведутся и есть определенные успехи [4].

Детерминистские технологии предполагают, что все конфиденциальные файлы должны быть специальным образом помечены (например, имена файлов формируются особо). Методы разметки могут быть более или менее изощренными, сути дела это не меняет. Очевидно, что для внедрения такой системы следует провести полную классификацию всех электронных документов в компании и соответствующим образом пометить все секретные файлы. Эффективность защиты помеченных файлов равна 100 %… А не помеченные не защищены вовсе. Кроме того, детерминистские методы беззащитны перед кражей мобильных устройств, носителей и компьютеров.

Для решения указанных проблем некоторые разработчики предлагают использовать комплексные модели защиты. В идеале схема защиты должна охватывать весь жизненный цикл секретного документа, обеспечивая как предотвращение его утечки, так и контроль использования. В частности, такая система может охватывать несколько основных этапов [5].

1. Классификация. На первом этапе построения системы защиты от утечки необходимо провести классификацию и категоризацию информации. Классифицированной информации сразу же приписываются соответствующие уровни допуска, а для вновь создаваемых и «входящих» документов описывается и настраивается процедура их учета.

2. Контроль. Вторая ступень предполагает защиту секретных документов в местах хранения и распределение прав доступа к этой информации на основе классов и уровней допуска, полученных на первом этапе. Кроме того, защита в местах хранения предполагает использование шифрования.

3. Мониторинг. Третий этап подразумевает защиту секретных документов в процессе работы служащих с конфиденциальными файлами на своих компьютерах.