Потоковый антивирус что это

Обновлено: 03.07.2024

Наше новое сравнение шлюзов информационной безопасности поможет заказчикам выбрать наиболее подходящий инструмент фильтрации интернет-трафика. Мы уделили внимание как классическим SWG (Kaspersky Web Traffic Security, Solar webProxy, Check Point Secure Gateway и пр.), так и альтернативам из сегмента UTM / NGFW (Ideco UTM, Traffic Inspector Next Generation, UserGate). В материале рассмотрены в общей сложности восемь прокси-серверов от разных производителей, существующие как в окружении собственных экосистем, так и в отрыве от них.

1. 3.1. Общие сведения
2. 3.2. Базовая функциональность
3. 3.3. Сетевая функциональность
4. 3.4. Мониторинг и отчётность
5. 3.5. Контентная и контекстная аналитика
6. 3.6. Разное

Введение

Защищённые прокси-серверы Secure Web Gateway (SWG) существуют продолжительное время и предназначены для борьбы с интернет-угрозами в корпоративной инфраструктуре. Такие продукты решают свою узкую задачу с помощью потоковой фильтрации интернет-трафика и установки ограничений для пользователей. Однако со временем этот сегмент рынка претерпел значительные изменения под давлением новых видов универсальных устройств, способных делать то же самое, но имеющих при этом много дополнительных функций.

Давайте разберём, какие продукты в настоящее время могут решать задачи потоковой фильтрации интернет-трафика и управлять доступом в сеть для корпоративных пользователей. В современной классификации можно выделить следующие категории:

В таком многообразии выбор продукта среди представленных вариантов базируется на особенностях вашей инфраструктуры, «вилки» бюджета и выставленных приоритетов. Тут никаких новостей — всё по-старому. Для удобства отсортируем четвёрку продуктовых категорий по парам:

• NGFW и UTM. Комбайны, для которых фильтрация на всех уровнях — задача простая и понятная. Но если это — масштабная установка, то без болезненной процедуры изменения схемы маршрутизации и переписывания пользовательских сценариев не обойтись. Если ваша компания готова к «революции в стакане», препятствий немного. Между самими двумя классами выбрать весьма просто: UTM в меньшей степени ориентирован на производительную обработку входящего трафика, поэтому чем больше объёмы, тем вероятней выглядит шаг в сторону NGFW. В обоих случаях разнесение функциональности (к примеру, фильтрация L7 с фильтрацией L4) будет совсем неочевидным (если, конечно, вы — не SDN-ready) из-за стоимости.
• SWG и CASB идут в паре, потому как часто так же и функционируют. Политика, созданная на SWG, дублируется или синхронизируется с CASB, позволяя сопровождать корпоративного пользователя по любую сторону от границы периметра. Здесь выбор между решениями — скорее в плоскости хранения данных. Если ваши сервисы не ориентированы на облачные решения или есть противоречащие регуляторные требования, то, значит, — классический SWG. При ориентации на простоту использования, отказоустойчивость и гибкость — шаг в сторону CASB.

В любом случае у каждого класса — свои преимущества, которые можно примерить только через призму задач и потребностей вашей компании. Значительными критериями, играющими в пользу SWG, являются способ лицензирования и итоговая стоимость, а также простота внедрения как наложенного средства.

Методология сравнения

Учитывая многообразие продуктов, способных решать задачи фильтрации трафика и управления доступом в интернет, мы решили в нашем сравнении сделать «микс» из продуктовых категорий и добавить к классическим SWG несколько отечественных заменителей из сегмента UTM / NGFW.

При этом среди классических SWG в сравнении участвуют разработки и отечественных, и иностранных производителей. Интересно, что продукты от McAfee и Symantec пережили неоднократную смену владельцев и переделку дорожных карт развития.

Классические SWG

1. Kaspersky Web Traffic Security («Лаборатория Касперского»)
2. Solar webProxy («Ростелеком-Солар»)

1. Check Point Secure Gateway
2. McAfee Web Gateway (ранее — Webwasher)
3. Symantec ProxySG and Advanced Secure Gateway (ранее — BlueCoat)

Альтернативные российские продукты (UTM / NGFW)

1. Ideco UTM («Айдеко»)
2. Traffic Inspector Next Generation («Смарт-Софт»)
3. UserGate («Юзергейт»)

Сравнение производится по набору критериев. Для удобства мы объединили их в несколько категорий:

1. Общие сведения
2. Базовая функциональность
3. Сетевая функциональность
4. Мониторинг и отчётность
5. Контентная и контекстная аналитика
6. Разное

Поскольку в сравнении участвуют продукты разных классов, некоторые функции отнесены не к основным, а к категории «Разное».

Для выбора оптимального SWG или его заменителя для решения конкретной задачи мы рекомендуем выделить необходимые критерии и проставить для них «весовые значения» по собственному мнению. Далее следует просуммировать эти значения и таким образом вывести индивидуального лидера, лучше всего отвечающего задачам вашей компании. Подробнее этот алгоритм описан в статье «Методика выбора оптимального средства защиты информации».

Результаты сравнения

Общие сведения

Базовая функциональность

Сетевая функциональность

Мониторинг и отчётность

Контентная и контекстная аналитика

Разное

Выводы

При подготовке этого сравнения мы не ставили перед собой задачу выявить однозначного лидера среди представителей класса Secure Web Gateway (SWG). Основная цель была иной: помочь организациям понять функциональность современных SWG и их заменителей класса UTM / NGFW, а также предоставить компаниям, которые ознакомились с нашими критериями оценки и результатами сравнения, возможность самостоятельно решить, какой из рассмотренных продуктов, с каким функциональным наполнением, какого именно вендора лучше всего охватывает их насущные потребности. Это даёт нам право предположить, что данное сравнение будет отличным источником информации для составления актуальных списков ожиданий, позволит проводить внутренние сравнительные анализы, эффективные «пилоты» и в итоге поможет прийти к правильному выбору нужного инструмента.

В то же время, исходя из собственной практики, мы выделили несколько важных особенностей SWG, которые значительно облегчают их эксплуатацию. К таковым относятся:

Другие критерии, помещённые в категорию «Разное», весьма специфичны, но могут быть актуальными для ряда компаний:

• Морфологический анализ веб-контента. По сути — фрагментированная функция DLP-решений, нацеленная на блокировку страниц по набору слов в регулярном выражении.
• Применение политик по требованиям регуляторов. Предустановленный набор политик, который способен облегчить первичную настройку и дальнейшее обеспечение соответствия требованиям. Может быть достигнуто комбинацией существующих параметров других продуктов в сочетании с эксплуатацией API.

Отношение к перечисленным функциям — вполне субъективное, в этом мы отдаём себе отчёт, но оно основано на опыте внедрения по нескольким из приведённых классов.

Елена Вешнякова, руководитель направления маркетинга (Enterprise), «Лаборатория Касперского»

Олег Митичкин, старший менеджер по почтовым продуктам и продуктам для защиты веб-трафика, «Лаборатория Касперского»

Ольга Горшкова, руководитель направления продуктового PR, «Ростелеком-Солар»

Ольга Исаева, ведущий бизнес-аналитик, «Ростелеком-Солар»

Гуля Салахова, региональный маркетолог, Check Point Software Technologies в России

Сергей Забула, руководитель группы системных инженеров по работе с партнерами, Check Point Software Technologies в России

Андрей Черняков, системный инженер по работе с партнерами, Check Point Software Technologies в России

Антон Тихонов, ведущий инженер решений McAfee, ГК «Монт»

Ксения Маценко, менеджер по работе с партнерами, McAfee LLC

Павел Катунькин, ведущий инженер, Web Control

Татьяна Шифон, руководитель отдела маркетинговых коммуникаций, Web Control

Кирилл Керценбаум, директор по продажам, Symantec A Division of Broadcom

Константин Челушкин, старший технический консультант, Symantec A Division of Broadcom

Дмитрий Хомутов, заместитель директора по развитию, "Айдеко"

Ирина Пенькова, заместитель генерального директора по маркетингу, «СМАРТ-СОФТ»

Перед каждым системным администратором рано или поздно встает вопрос об эффективности имеющихся средств сетевой защиты. Как проверить, что межсетевой экран настроен достаточно безопасно? Нужен ли потоковый антивирус и отрабатывает ли IPS? Защищена ли почта? Как правило для решения таких вопросов предлагают провести тест на проникновение (Penetration Test). Однако это либо слишком дорого, либо слишком сложно (если выполнять самому), да и не всегда нужен такой глубокий анализ. К счастью существуют online ресурсы, которые позволяют провести базовые проверки ваших средств защиты (в основном проверка межсетевого экрана и средств антивирусной защиты). Это конечно не может заменить полноценный PenTest, однако дает представление о том, насколько защищена ваша сеть от самых простых и одновременно самых распространенных типов атак.

Check Point CheckMe – Мгновенная проверка безопасности
Начать обзор хотелось бы с инструмента, который делает комплексный анализ уровня защищенности вашего межсетевого экрана (будь то UTM или NGFW). Это Check Point CheckMe.

Данный сервис включает в себя серию тестов, которая проверяет ваш компьютер и сеть на уязвимость от вымогателей, фишинга, атак нулевого дня, бот сетей, инъекций кода, использования анонимайзеров и утечки данных.Перед каждым системным администратором рано или поздно встает вопрос об эффективности имеющихся средств сетевой защиты. Как проверить, что межсетевой экран настроен достаточно безопасно? Нужен ли потоковый антивирус и отрабатывает ли IPS? Защищена ли почта? Как правило для решения таких вопросов предлагают провести тест на проникновение (Penetration Test). Однако это либо слишком дорого, либо слишком сложно (если выполнять самому), да и не всегда нужен такой глубокий анализ. К счастью существуют online ресурсы, которые позволяют провести базовые проверки ваших средств защиты (в основном проверка межсетевого экрана и средств антивирусной защиты). Это конечно не может заменить полноценный PenTest, однако дает представление о том, насколько защищена ваша сеть от самых простых и одновременно самых распространенных типов атак.

Антивирусная защита корпоративных сетей сегодня равна защите бизнеса. Угрозы из интернета - это реальность текущего дня. Управление бизнес-процессами, бухучет и операционная деятельность зачастую ведутся в сети в электронных системах. Работа онлайн с банками и налоговой - тоже обычное дело для современного предприятия. Подставить компанию под удар может любой сотрудник, который "снес" со своего компьютера антивирус или выключил его, чтобы тот не тормозил систему. Чтобы купировать проблему, нужен антивирус для шлюза. Он позволяет выявить угрозы на первом уровне защиты, еще до того, как они дотянутся до компьютеров локальной сети.

Чем полезен антивирус для шлюза и как он работает

Шлюзовый антивирус перепроверяет наличие вредоносного кода в любой точке его возможного входа: с рабочих станций, мобильных устройств, порталов, корпоративных почтовых систем и так далее. Проверку контролирует администратор и она не зависит от политик безопасности, созданных для пользователей.

Что делает антивирус для шлюза? Он перехватывает и анализирует данные (то есть трафик) из Интернета. Если данные выглядят подозрительно и представляют угрозу, шлюз блокирует их поступление на корпоративные компьютеры и другие устройства.

Сетевая антивирусная защита от Смарт-Софт

Универсальный шлюз безопасности (UTM) и система обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.

Антивирусная проверка трафика в Traffic Inspector Next Generation:
технические характеристики и настройки >>

Антивирусная проверка в данном решении может быть реализована следующими способами:

1. Платный "Антивирус Касперского", установленный на аппаратной платформе Traffic Inspector Next Generation. Плагин поддерживает проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump). Взаимодействие данного плагина с прокси-сервером Squid осуществляется по протоколу ICAP (Internet Content Adaptation Protocol).
2. Бесплатный антивирус ClamAV, также установленный на аппаратной платформе Traffic Inspector Next Generation. Поддерживает проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump). Взаимодействие данного плагина с прокси-сервером Squid осуществляется по протоколу ICAP через посредника - службу C-ICAP. ClamAV не поддерживается ICAP нативно.
3. Внешний антивирус, работающий на стороннем хосте "Лаборатории Касперского". Данный способ заключается в настройке веб-прокси Squid для взаимодействия с внешним антивирусом на удаленном хосте по протоколу ICAP.

Резюме

Работа шлюзовых антивирусов не влияет на работу антивирусов, установленных на компьютерах пользователей и не конфликтует с ними. Можно ли вообще отказаться от последних? Нет, ведь вредоносное ПО сотрудник может принести на "флешке", и тогда антивирус, установленный на шлюзе, окажется беспомощен. Лучшее решение для защита корпоративных сетей - это совместная работа шлюзового антивируса и антивирусов, установленных на компьютерах.

потоковое сканирование (Kaspersky SafeStream) на вирусы на шлюзе ZYXEL - имеет смысл?

Итак, прошу высказать мнения о целесообразности такого сканирования на шлюзе. Не стесняйтесь!

1. Как происходит сканирование? Если я, например, качаю вирус, на шлюзе он же проходит в виде нескольких пакетов - как шлюз их "склеивает", чтобы сравнить сигнатуры? Или он по кускам определяет? Тогда как качество обеспечивается, за счет чего?

Есть плюсы это точно. Большая часть атак ищет с веба по статистике, подавляющая часть. Веб-антивирус срежет уже на шлюзе очень большой % известных атак, разгрузив от необходимости делать ту же самую работу на вашем ПК. Эффект становится интереснее при наличии в сетке нескольких машин (если на шлюзе кэшируется трафик).

2. Анонсы эти прошли лет 5 назад, потом все как-то стихло, но в продаже есть - кто-то использует?

Это легко объяснить, так как шлюзовой антивирус в настоящее время неполноценный. Нельзя на шлюзе держать трафик долго, будут лаги в передаче трафика. Поэтому там обычно используется минимальная проверка, чтобы так сказать "пройтись по верхам". Кроме того, там нет пока таких модных вещей как репутационные фильтры, поведенческий анализ (эмуляция запуска файла в изолированной среде), песочница, HIPS и т.п. Все это может быть реализованно только на конечном ПК увы.

Именно по этому сейчас нет особой целесообразности использовать такой антивирус на уровне шлюза, если нормальная защита есть на уровне конечных точек. Так что мода как бы прошла Сейчас веб-антивирус ставят и используют в компаниях, он режет большой % атак, как я уже сказал, но больше используется уже для построения многоуровневой защиты.

Это понравилось:

Ilya Shabanov, спасибо, тема актуальна!
По сути, вопрос и идет о целесообразности многоуровневой (и многовендорной) защиты в таком виде. Хочется подстраховать TrendMicro, ибо вопрос возник после того, как пользователь заразился Trojan-Ransom.Win32.Rector.dt, который был в базе Касперского, но благополучно пропустился TrendMicro Worry-Free BSS. Но и в этом TrendMicro, насколько я понимаю, нет модных вещей о которых Вы пишете. Вот и вопрос - усилит ли Касперский на шлюзе защиту или такой относительно простой метод как потоковое сканирование мой TrendMicro и так обеспечивает и я зря выброшу деньги?

По сути, вопрос и идет о целесообразности многоуровневой (и многовендорной) защиты в таком виде. Хочется подстраховать TrendMicro

Да, получается такой здравый многоуровневый мультивендорный подход, это правильно на самом деле. Есть используете корп. продукты, то в Trend Micro OfficeScan начиная с версии 10 (сейчас в бете уже 11.0) используется подход SPN. Если говорить кратко, это облачные репутационные технологии для файлов, URL, почты. Проблема только в том, что это по старинке никто не использует толком

Для более надежной защиты с Trend Micro на рабочих станциях действительно стоит на шлюз поставить того же Касперского, будет точно надежнее.

Но если нужно сэкономить деньги и компания небольшая, то можно рассмотреть вариант покупки нового Kaspersky Endpoint Protection 8.0, долгожданная версия, там очень много вкусностей. Самое прикольное - это возможность использования принципиального иного подхода - работы по белым спискам. Есть там и всякие доп. фичи интересные типа контроля подключения внешних устройств, например.

Читайте также:

  
• Как правильно играть в апекс на ps4
  
• Как настроить видеоконференцсвязь на компьютере с судом
  
• Как сохранить контакты с майл почты на файл
  
• Обзор электронной книги pocketbook 627
  
• Сравнение матриц фотоаппаратов dxomark