Пограничный контроль: как шлюзовый антивирус защищает вход в корпоративную сеть
С онлайн-сервисами работает почти любой бизнес. Приложения для бухгалтерского учёта, интернет-банкинг и облачные системы документооборота — лишь небольшая часть инструментов, с которыми постоянно взаимодействуют компании. Доступ сотрудников к этим ресурсам обеспечивает корпоративный интернет-шлюз — именно через него проходит весь исходящий и входящий трафик. Пока эти данные никак не проверяются, шлюз служит открытыми воротами для киберугроз.
Стоит одному сотруднику временно отключить антивирус или попасться на уловки мошенников, как под угрозой окажется вся корпоративная ИТ-инфраструктура. Шлюзовый антивирус существенно сокращает риски бизнеса, ведь он обнаруживает и устраняет проблему ещё до того, как она окажется внутри сети.
Почему обычного антивируса недостаточно
Антивирусы для файловых серверов и рабочих станций есть, наверное, в каждой компании. Они работают на корпоративных компьютерах и обычно хорошо защищают их от вредоносных программ. Зачем тогда нужно ещё одно решение для защиты сети, раз с задачей справляются и привычные всем антивирусные службы? Всё дело в рисках. Надёжность любого ПО зависит от многих факторов: программного окружения, действий пользователей и заданных настроек. С небольшой долей вероятности на одном из компьютеров в корпоративной сети что-то может пойти не так. Вот пара жизненных примеров, наблюдать которые можно во многих организациях:
- Сотрудник отключил антивирус. Когда компьютер работает медленно, пользователям это кажется разумным решением. В теории предотвратить эти действия проще простого, но на практике у сотрудников за корпоративными компьютерами часто оказываются права администратора;
- Произошёл сбой в работе ПО. К сожалению, иногда это происходит. Причины могут быть разными — например, ошибки в работе антивируса или конфликт с другим программным обеспечением, установленным пользователем;
- Устарели антивирусные базы. Сотруднику достаточно заболеть или уйти в отпуск на пару недель, чтобы базы устарели и стали неэффективными. Поскольку обычно обновление происходит по определённому расписанию, какой-то период с момента включения компьютера система на нём будет уязвима к новым угрозам.
Вероятность возникновения этих проблем не так высока. Однако, чем крупнее ИТ-инфраструктура компании, тем больше шансов, что в какой-то момент один из компьютеров окажется не защищён. Чтобы уязвимость отдельного узла не превратились в полноценную угрозу безопасности сети, важно по максимуму сократить количество попадающих в неё вредоносных программ.
Какие угрозы блокирует шлюзовый антивирус
Антивирус для шлюза — это первый уровень защиты от вредоносного ПО. Он мешает проникновению вирусов, шифровальщиков и троянов в сеть организации. Для этого программа перехватывает трафик из интернета и проверяет его на наличие всевозможных угроз. Анализу подвергаются все данные, поступающие по популярным сетевым каналам:
- Для выявления вирусов и троянских программ антивирусную проверку проходит весь трафик, поступающий по основным интернет-протоколам: HTTP, HTTPS, FTP, TCP, UDP;
- Чтобы предотвратить успешное применение методов социальной инженерии по отношению к сотрудникам компании, данные, поступающие по почтовым протоколам SMTP и POP3, также подвергаются анализу, а сообщения с подозрительными файлами помещаются в карантин;
- Для большей безопасности при просмотре веб-страниц выявляется и блокируется загрузка, а также выполнение любого потенциально вредоносного кода.
Таким образом антивирус для шлюза выявляет, блокирует и удаляет угрозы, поступающие во входящем интернет-трафике по любым распространённым каналам. Проверка осуществляется вне зависимости от политик безопасности, действующих для пользователей, — её полностью контролирует администратор сети. Для большей надёжности шлюз обычно оснащают несколькими антивирусными модулями, которые можно использовать одновременно или по отдельности.
Защита «под ключ»: что входит в универсальные шлюзы безопасности
Для выявления и устранения вирусов, троянов и другого вредоносного ПО нужна антивирусная защита, для предотвращения несанкционированного доступа к устройствам в сети — межсетевые экраны, а для обнаружения и предотвращения хакерских атак — системы IDS и IPS. Сборка такой многоуровневой системы защиты из разнородных решений плохо сказывается на её стабильности и дорого обходится бизнесу. Нередки случаи, когда приложения начинают конфликтовать друг с другом. Чтобы таких проблем не возникало, в корпоративных сетях используют UTM-системы — универсальные шлюзы безопасности.
Такой шлюз представляет собой программно-аппаратный комплекс, в котором есть всё необходимое для защиты сети. Обычно в состав входят следующие решения:
- Межсетевой экран;
- Шлюзовый антивирус;
- Система обнаружения и предотвращения вторжений (IDS/IPS);
- Сканер безопасности.
Между собой UTM-системы отличаются встроенными компонентами и дополнительными возможностями. В состав некоторых универсальных шлюзов входит VPN, фильтр URL, антивирусный фильтр и защита от шпионского ПО, а также другие опции. От «комплектации» зависят возможности UTM-системы: например, наличие шейпера позволяет контролировать пропускную способность канала для работы пользователей и приоритизировать трафик приложений, а L7-фильтрация — легко блокировать программы вроде Skype и BitTorrent.
От систем из разнородных решений, по сути являющихся комплектами «сделай сам», универсальные шлюзы безопасности отличает глубокая интеграция оборудования и программных средств между собой. При работе с ними не нужно беспокоиться о проблемах совместимости и сложностях настройки — в UTM-системах заранее предусмотрены инструменты для централизованного управления службами и мониторинга сети.
Какие задачи выполняют UTM-системы
Универсальный шлюз безопасности разворачивается на границе сети и служит входной точкой в неё. Система контролирует все потоки между корпоративной ИТ-инфраструктурой и интернетом. С её помощью можно решить следующие задачи:
- Организовать доступ в интернет по учётным записям, задать пропускную способность канала, построить VPN-сеть и настроить аутентификацию пользователей нужным способом — например, по локальной базе, SMS, ваучерам для Captive Portal и другими методами;
- Защититься от сетевых угроз, предотвратить несанкционированный доступ к корпоративной сети и наладить работу надёжной антивирусной защиты;
- Создать политики веб-доступа для борьбы с нецелевым использованием интернета сотрудниками, ограничения доступа к заданным ресурсам и фильтрации трафика.
Многоуровневая система безопасности, реализованная в UTM-системах, позволяет останавливать атаки на шлюзе, не прерывая рабочий процесс. Блокировка происходит на первом уровне защиты — там же, где вредоносное ПО только пытается проникнуть в корпоративную сеть. Поскольку в такой системе разные уровни защиты работают совместно, уже проверенные по заданным критериям данные не нужно подвергать повторному анализу. Благодаря этому чувствительные к скорости трафика приложения всегда остаются доступными для работы.
Чтобы установить и развернуть UTM-систему, достаточно воспользоваться помощью «мастеров»: возможность выбора оптимальных настроек «по умолчанию» и наличие других автоматизированных средств управления позволяет быстро внедрить шлюз безопасности в текущую инфраструктуру. Фактически, такая система поставляется в конфигурации «под ключ» и нуждается лишь в детализации данных о сетевом окружении.
Что выбрать: обычный антивирус или шлюзовый?
Выбирайте оба. Работа шлюзового антивируса никак не мешает установленным на корпоративных компьютерах защитным решениям, но и не делает их ненужными. Вредоносное ПО может появиться в корпоративной сети как из интернета, так и, например, с «флешки» сотрудника. Поэтому лучший способ всесторонне защитить инфраструктуру компании — одновременно задействовать и шлюзовый антивирус, и средства антивирусной проверки, установленные непосредственно на компьютерах.