Руководство покупателя
ПО обеспечения безопасности защищает системы от вредоносного кода из Internet
Кевин Уолтерс (PC Week Labs)
По мере того как компании переводят все большую часть своих деловых операций в электронную форму и используют технологии Internet для построения все более замечательных Web-узлов, появляется необходимость в новых видах систем обеспечения безопасности, обладающих дополнительным уровнем защиты от потенциально опасного исполняемого кода, который может быть скопирован из Internet.
Хотя эксперты расходятся во мнениях относительно того, насколько велик риск, связанный с этой опасностью, количество сообщений о происшествиях подобного рода неуклонно растет - в большинстве случаев это бывают атаки на Internet-серверы типа denial-of-service (перегрузки неправильными запросами). “Вирусы по-прежнему представляют наиболее существенную опасность, однако вредоносный код вскоре займет второе после них место”, - считает технический директор International Computer Security Association (Карлайл, шт. Пенсильвания) по вопросам ПО “вредной направленности” Роджер Томпсон.
Консоль управления SurfinGate открывает доступ к параметрам настройки системы обеспечения безопасности
Система Digitivity Cage фирмы Digitivity (Лос-Альтос, шт. Калифорния) позволяет избежать риска подвергнуться атаке подобного рода благодаря маршрутизации всего поступающего из Internet Java-кода через серверы, находящиеся снаружи брандмауэра корпоративной сети. “Вместо того чтобы полагаться на сканеры байт-кода или на традиционную безопасную "песочницу" исполняющей системы Java, когда потенциально опасный код из Internet допускается до настольных машин конечных пользователей, Digitivity Cage обеспечивает исполнение всех внешних Java-компонентов за пределами брандмауэра внутренней сети организации, так что неизвестный или неблагонадежный Java-код никогда не сможет нанести ущерба безопасности корпоративной сети”, - уверяет директор Digitivity по маркетингу Эндай Бруно.
При использовании Digitivity Cage исполнение Java-приложений переносится на специальный сервер, а на машину пользователя передается только порождаемое ими экранное изображение, воспроизводимое в окне браузера. Таким образом, за брандмауэр передаются только данные, но не код. Если обнаружится, что приложение небезопасно, его исполнение прерывается.
Кроме того, Digitivity Cage предоставляет основанный на использовании стратегий механизм выборочного блокирования ActiveX-, JavaScript-, VBScript-компонентов и дополнительных интегрируемых модулей.
Цена системы - $7500 на 25 одновременно работающих пользователей (этого количества достаточно для сети, в которой работает 100 - 200 конечных пользователей). Digitivity Cage использует маршрутизацию по нескольким серверам на основе заданных стратегий, что позволяет сетевому администратору осуществлять централизованное управление маршрутизацией Java-компонентов, исходя из степени доверия к различным источникам и необходимости равномерно распределять нагрузку на отдельные шлюзы.
В основе продукта фирмы eSafe Technologies (Сиэтл, шт. Вашингтон) eSafe Protect Enterprise лежит иной принцип. Вместо того чтобы маршрутизировать подозрительный код на серверы, расположенные за пределами корпоративного брандмауэра, он использует систему обеспечения безопасности, контролирующую доступ полученного из Internet кода к системным ресурсам по заранее определенным спискам контроля доступа. Ограничения применяются ко всему поступающему из Internet коду без учета того или иного языка программирования.
“Основная идея "вандалоустойчивой защиты" eSafe - полный карантин, обеспечивающий ограничение доступа по конкретным приложениям, - говорит старший менеджер по продукту в eSafe Джерри Хай. - Поскольку активно поступающая информация из Internet не заслуживает особого доверия, eSafe Protect ограничивает возможности Java-компонентов, ActiveX-элементов управления, сценариев и других активных элементов в пользовательской сети”.
Кроме того, eSafe Protect включает полнофункциональный коммуникационный фильтр, образующий дополнительный брандмауэр на уровне настольной машины. Используя этот фильтр, можно ограничить доступ к узлам Web и группам новостей по критериям ключевых слов и категорий. Кроме того, пользователь может блокировать доступ к узлам по таким признакам, как их имена и IP-адреса.
Цены на Protect Enterprise начинаются от $49,95 на одного пользователя, если их число не превышает 10.
Пакет SurfinGate 3.0 фирмы Finjan (Санта-Клара, шт. Калифорния) обеспечивает безопасность, проводя тщательную инспекцию каждого поступающего в корпоративную сеть Java-компонента. “Система SurfinGate подобна сотруднику службы безопасности, обыскивающему пассажиров в европейском аэропорту. Если какой-либо фрагмент мобильного кода из Internet требует пропуска в защищаемую сеть, SurfinGate пропускает все через металлоискатель, вручную просматривает чемоданы, задает кучу вопросов, затем отводит в сторону для полного личного обыска, - объяснил вице-президент Finjan по маркетингу и развитию бизнеса Пенни Ливи. - Если только другая специальная служба не выдаст вам индивидуального разрешения как особо важной персоне (VIP), SurfinGate проведет полную инспекцию содержимого и задействует все ограничения доступа”.
Чтобы не закрывать путь из Internet в корпоративную сеть всем приложениям, администраторы могут с помощью SurfinGate тщательно проинспектировать каждый класс Java-компонента и его устройство в целом, а также способы его взаимодействия с любыми другими компонентами. Этот анализ выполняется на уровне шлюза, из которого нет доступа к критически важным системным ресурсам, после чего компонент может быть запущен в сеть.
“SurfinGate 3.0 - единственный продукт, выполняющий первоначальную проверку ActiveX-компонентов на уровне шлюза, что позволяет контролировать доступ такого компонента к системным ресурсам в зависимости от его фактического содержания”, - говорит Ливи. Цена пакета варьируется от $1250 до $18 500, в зависимости от платформы и числа пользователей.
Контроль в реальном масштабе времени
Пакет SafeGate 1.2 фирмы Security-7 Software (Вуберн, шт. Массачусетс) основан на еще одном возможном подходе - инспекции всех проходящих через корпоративный брандмауэр активных компонентов в реальном масштабе времени.
“SafeGate сканирует весь трафик на уровне сети. При обнаружении заголовка исполняемого кода он анализирует данные всех последующих пакетов, сравнивая содержащийся в них объект с описанными в составленной администратором стратегии, - пояснил вице-президент Security-7 по сбыту Ричард Косински. - Если исследуемый код пытается нарушить установленные в стратегии ограничения, SafeGate разрывает соединение с ним”.
Режим Learn Mode (обучения) системы eSafe служит для анализа поступающих
из WWW приложений и установки параметров безопасности
В отличие от других систем аналогичного назначения, SafeGate гарантирует, что нежелательный объект не будет исполняться ни на настольной машине конечного пользователя, ни в среде шлюза. В то время как решения уровня серверов-посредников требуют, чтобы объект исследования был скопирован из сети полностью, SafeGate осуществляет проверку в реальном масштабе времени по мере поступления из сети одного пакета за другим.
Кроме того, SafeGate наделен функционально полным механизмом контроля цифровых подписей, основанных на технологии шифрования с открытым ключом, имеет хранилище для сертификатов уже прошедших проверку компонентов, а также независимые средства контроля сертификатов Java- и ActiveX-компонентов, поддержку сертификатов, издаваемых различными центрами, и механизм автоматического обновления списков отозванных сертификатов.
Стартовая цена составляет $1990 за шлюз на 25 рабочих станций.
В дополнение к системам уровня шлюзов многие из упомянутых выше компаний выпускают также средства защиты на уровне настольной машины. Например, фирма Cybermedia (Санта-Моника, шт. Калифорния) предлагает продукт Guard Dog Deluxe стоимостью $59,95. Это полностью автономное средство защиты для настольных машин, рассчитанное на применение в удаленных офисах и на индивидуальное использование.
“Компонент Internet Guardian нашей системы Guard Dog работает в фоновом режиме, контролируя индивидуальные сеансы Internet-доступа на наличие потенциально опасных элементов”, - рассказал генеральный менеджер группы ПО Internet-безопасности в фирме Cybermedia Марк Карлсон.
Guard Dog защищает пользовательский ПК путем построения персонального “брандмауэра” вокруг наиболее важных и конфиденциальных файлов, например содержащих списки паролей и финансовую информацию. Он открывает доступ к этим файлам только из авторизованных приложений.
Руководство покупателя. Шлюзы Java- и ActiveX-компонентов
Компания | Продукт | Дата начала поставок, месяц/год | Поддерживаемые виды мобильного кода | Поддерживаемые платформы | Инспекция всех классов в каждом Java-компоненте; инспекция всех Java-классов на уровне шлюза/специального сервера; инспекция ActiveX-элементов на уровне шлюза | Поддержка цифровых подписей; БД известных вредоносных компонентов, которые не должны пропускаться через шлюз; контроль за исполнением мобильного кода в среде пользовательского браузера в реальном масштабе времени | Интеллектуальная фильтрация записи в cookie-файлы; управление исполнением мобильного кода с центральной консоли; возможность установления особой стратегии для каждой из настольных машин | Поддержка списков “благонадежных” компонентов | Возможность установления особой стратегии для каждого из подразделений; возможность установления особой стратегии для каждого из пользователей | Возможность блокирования или освобождения от проверки компонентов кода по признаку имени; регистрация деятельности контролируемого кода | Цена; гарантии; бесплатная поддержка пользователей |
CONTENT TECHNOLOGIES Керкленд, шт. Вашингтон (800) 982-6109 www.mimesweeper.com | MIME-sweeper 3.2 | 4/98 | ActiveX, Java, cookie-файлы | Windows NT | Нет; да; да | Нет; да; нет | Нет; да; да | * | Да; да | Да; да | От $25 на пользователя; 30 дней; 30 дней |
DIGITIVITY Лос-Альтос, шт. Калифорния (650) 947-1900 www.digitivity.com | Digitivity Cage 2.5 | 4/98 | ActiveX, Java, JavaScript, VBScript, дополнительные интегрируемые модули к браузерам | Unix, Windows NT | Да; неприменимо; да | Да; неприменимо; нет | Нет; да; нет |
| Да; да | Да; да | $7500 на 25 одновременно работающих с виртуальной машиной пользователей, что соответствует численности пользователей сети 100 - 200 человек;1 год; нет |
ESAFE TECHNOLOGIES Сиэтл, шт. Вашингтон (206) 524-9159 www.esafe.com | eSafe Protect Enterprise | 12/97 | ActiveX, Java, JavaScript, дополнительные интегрируемые модули к браузерам, VBScript, любые самостоятельно исполняемые программы | DOS, NetWare, Windows 3.x, 95, NT | Да; да; да | Нет; да; да | Нет; да; да |
| Да; да | Да; да | От $10 до $55 на рабочую станцию;30 дней; 1 год |
FINJAN Санта-Клара, шт. Калифорния (408) 727-8120 www.finjan.com | SurfinGate 3.0 | 2/98 | ActiveX, cookie-файлы, Java, JavaScript, дополнительные интегрируемые модули к браузерам, VBScript | Unix, Windows NT | Да; да; да | Да; да; да | Да; да; да | * | Да; да | Да; да | От $1250 до $18 500, в зависимости от платформы и числа пользователей; 30 дней; 90 дней |
NETWORK ASSOCIATES Санта-Клара, шт. Калифорния (408) 988-3832 www.nai.com | WebShield Proxy | 12/97 | ActiveX, Java, JavaScript | Windows NT | Да; да; да | Да; да; да | Нет; да; да | * | Нет; да | Да; да | $17 на пользователя при числе пользователей порядка 1000; 2 года; 2 года |
SECURITY-7 SOFTWARE Вуберн, шт. Массачусетс (781) 932-9300 www.security7.com | SafeGate | 10/97 | ActiveX, Java, DLL-библиотеки, любые исполняемые и снабженные подписями файлы | Windows 95, NT | Да; да; да | Да; да; нет | Нет; да; да |
| Да; да | Да; да | От $1990 на 25 пользователей, $4990 на 250 пользователей; 90 дней;90 дней |
Таблица не является исчерпывающей. Вся информация предоставлена производителями. Рассматривались только шлюзы, защищающие системы от проникновения вредоносного кода из Internet.
Таблица составлена Кевином Уолтерсом
