Шлюз для защиты от вирусов

Обновлено: 25.04.2024

С онлайн-сервисами работает почти любой бизнес. Приложения для бухгалтерского учёта, интернет-банкинг и облачные системы документооборота — лишь небольшая часть инструментов, с которыми постоянно взаимодействуют компании. Доступ сотрудников к этим ресурсам обеспечивает корпоративный интернет-шлюз — именно через него проходит весь исходящий и входящий трафик. Пока эти данные никак не проверяются, шлюз служит открытыми воротами для киберугроз.

Стоит одному сотруднику временно отключить антивирус или попасться на уловки мошенников, как под угрозой окажется вся корпоративная ИТ-инфраструктура. Шлюзовый антивирус существенно сокращает риски бизнеса, ведь он обнаруживает и устраняет проблему ещё до того, как она окажется внутри сети.

Почему обычного антивируса недостаточно

Антивирусы для файловых серверов и рабочих станций есть, наверное, в каждой компании. Они работают на корпоративных компьютерах и обычно хорошо защищают их от вредоносных программ. Зачем тогда нужно ещё одно решение для защиты сети, раз с задачей справляются и привычные всем антивирусные службы? Всё дело в рисках. Надёжность любого ПО зависит от многих факторов: программного окружения, действий пользователей и заданных настроек. С небольшой долей вероятности на одном из компьютеров в корпоративной сети что-то может пойти не так. Вот пара жизненных примеров, наблюдать которые можно во многих организациях:

• Сотрудник отключил антивирус. Когда компьютер работает медленно, пользователям это кажется разумным решением. В теории предотвратить эти действия проще простого, но на практике у сотрудников за корпоративными компьютерами часто оказываются права администратора;
• Произошёл сбой в работе ПО. К сожалению, иногда это происходит. Причины могут быть разными — например, ошибки в работе антивируса или конфликт с другим программным обеспечением, установленным пользователем;
• Устарели антивирусные базы. Сотруднику достаточно заболеть или уйти в отпуск на пару недель, чтобы базы устарели и стали неэффективными. Поскольку обычно обновление происходит по определённому расписанию, какой-то период с момента включения компьютера система на нём будет уязвима к новым угрозам.

Вероятность возникновения этих проблем не так высока. Однако, чем крупнее ИТ-инфраструктура компании, тем больше шансов, что в какой-то момент один из компьютеров окажется не защищён. Чтобы уязвимость отдельного узла не превратились в полноценную угрозу безопасности сети, важно по максимуму сократить количество попадающих в неё вредоносных программ.

Какие угрозы блокирует шлюзовый антивирус

Антивирус для шлюза — это первый уровень защиты от вредоносного ПО. Он мешает проникновению вирусов, шифровальщиков и троянов в сеть организации. Для этого программа перехватывает трафик из интернета и проверяет его на наличие всевозможных угроз. Анализу подвергаются все данные, поступающие по популярным сетевым каналам:

Таким образом антивирус для шлюза выявляет, блокирует и удаляет угрозы, поступающие во входящем интернет-трафике по любым распространённым каналам. Проверка осуществляется вне зависимости от политик безопасности, действующих для пользователей, — её полностью контролирует администратор сети. Для большей надёжности шлюз обычно оснащают несколькими антивирусными модулями, которые можно использовать одновременно или по отдельности.

Для выявления и устранения вирусов, троянов и другого вредоносного ПО нужна антивирусная защита, для предотвращения несанкционированного доступа к устройствам в сети — межсетевые экраны, а для обнаружения и предотвращения хакерских атак — системы IDS и IPS. Сборка такой многоуровневой системы защиты из разнородных решений плохо сказывается на её стабильности и дорого обходится бизнесу. Нередки случаи, когда приложения начинают конфликтовать друг с другом. Чтобы таких проблем не возникало, в корпоративных сетях используют UTM-системы — универсальные шлюзы безопасности.

Такой шлюз представляет собой программно-аппаратный комплекс, в котором есть всё необходимое для защиты сети. Обычно в состав входят следующие решения:

• Межсетевой экран;
• Шлюзовый антивирус;
• Система обнаружения и предотвращения вторжений (IDS/IPS);
• Сканер безопасности.

Какие задачи выполняют UTM-системы

Универсальный шлюз безопасности разворачивается на границе сети и служит входной точкой в неё. Система контролирует все потоки между корпоративной ИТ-инфраструктурой и интернетом. С её помощью можно решить следующие задачи:

• Организовать доступ в интернет по учётным записям, задать пропускную способность канала, построить VPN-сеть и настроить аутентификацию пользователей нужным способом — например, по локальной базе, SMS, ваучерам для Captive Portal и другими методами;
• Защититься от сетевых угроз, предотвратить несанкционированный доступ к корпоративной сети и наладить работу надёжной антивирусной защиты;
• Создать политики веб-доступа для борьбы с нецелевым использованием интернета сотрудниками, ограничения доступа к заданным ресурсам и фильтрации трафика.

Многоуровневая система безопасности, реализованная в UTM-системах, позволяет останавливать атаки на шлюзе, не прерывая рабочий процесс. Блокировка происходит на первом уровне защиты — там же, где вредоносное ПО только пытается проникнуть в корпоративную сеть. Поскольку в такой системе разные уровни защиты работают совместно, уже проверенные по заданным критериям данные не нужно подвергать повторному анализу. Благодаря этому чувствительные к скорости трафика приложения всегда остаются доступными для работы.

Что выбрать: обычный антивирус или шлюзовый?

Антивирусная защита корпоративных сетей сегодня равна защите бизнеса. Угрозы из интернета - это реальность текущего дня. Управление бизнес-процессами, бухучет и операционная деятельность зачастую ведутся в сети в электронных системах. Работа онлайн с банками и налоговой - тоже обычное дело для современного предприятия. Подставить компанию под удар может любой сотрудник, который "снес" со своего компьютера антивирус или выключил его, чтобы тот не тормозил систему. Чтобы купировать проблему, нужен антивирус для шлюза. Он позволяет выявить угрозы на первом уровне защиты, еще до того, как они дотянутся до компьютеров локальной сети.

Чем полезен антивирус для шлюза и как он работает

Шлюзовый антивирус перепроверяет наличие вредоносного кода в любой точке его возможного входа: с рабочих станций, мобильных устройств, порталов, корпоративных почтовых систем и так далее. Проверку контролирует администратор и она не зависит от политик безопасности, созданных для пользователей.

Что делает антивирус для шлюза? Он перехватывает и анализирует данные (то есть трафик) из Интернета. Если данные выглядят подозрительно и представляют угрозу, шлюз блокирует их поступление на корпоративные компьютеры и другие устройства.

Сетевая антивирусная защита от Смарт-Софт

Универсальный шлюз безопасности (UTM) и система обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.

Антивирусная проверка трафика в Traffic Inspector Next Generation:
технические характеристики и настройки >>

Антивирусная проверка в данном решении может быть реализована следующими способами:

1. Платный "Антивирус Касперского", установленный на аппаратной платформе Traffic Inspector Next Generation. Плагин поддерживает проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump). Взаимодействие данного плагина с прокси-сервером Squid осуществляется по протоколу ICAP (Internet Content Adaptation Protocol).
2. Бесплатный антивирус ClamAV, также установленный на аппаратной платформе Traffic Inspector Next Generation. Поддерживает проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump). Взаимодействие данного плагина с прокси-сервером Squid осуществляется по протоколу ICAP через посредника - службу C-ICAP. ClamAV не поддерживается ICAP нативно.
3. Внешний антивирус, работающий на стороннем хосте "Лаборатории Касперского". Данный способ заключается в настройке веб-прокси Squid для взаимодействия с внешним антивирусом на удаленном хосте по протоколу ICAP.

Резюме

Работа шлюзовых антивирусов не влияет на работу антивирусов, установленных на компьютерах пользователей и не конфликтует с ними. Можно ли вообще отказаться от последних? Нет, ведь вредоносное ПО сотрудник может принести на "флешке", и тогда антивирус, установленный на шлюзе, окажется беспомощен. Лучшее решение для защита корпоративных сетей - это совместная работа шлюзового антивируса и антивирусов, установленных на компьютерах.

Для обнаружения нежелательного доступа в компьютерную сеть используют систему обнаружения вторжений, по-английски — Intrusion Detection System (IDS), и систему предотвращения вторжений (англ. Intrusion Prevention System, IPS). Их разница в том, что IDS выдает сигнал тревоги, а IPS противодействует угрозе. Программная или программно-аппаратная система защиты информации IDS/IPS обязательна для больших современных компаний, работающих с цифровыми данными и заботящихся о безопасности информации. Она отслеживает активность в сети в реальном времени и быстро совершает действия по предотвращению атак извне.

Системы IDS/IPS дополняют межсетевые экраны, защита информации в которых происходит путем ограничения трафика с определенными свойствами для предотвращения внешних вторжений. IDS/IPS, напротив, пропускает и анализирует трафик, объявляя тревогу при обнаружении подозрительной активности. Эти технологии дополняют друг друга, создавая мощный барьер на пути хакеров.

Аналитическое агентство MarketsandMarkets ожидает, что глобальный рынок IDS/IPS-систем вырастет до $5 млрд в 2019 году. То есть удвоится за пять лет. Драйвером будут развивающиеся страны, включая Россию.

Технически защита информации состоит из следующих процессов:

• IDS: сбор и запись поступающей информации, сигнализирование администраторам об изменениях, формирование отчетов;
• IPS: блокировка угрозы, а именно обрыв вредоносных сессий и предотвращение доступа к наиболее важным ресурсам, смена конфигурации защищаемой сети, удаление зараженных файлов.

К средствам защиты информации в Traffic Inspector Next Generation также относятся межсетевой экран, антивирусная проверка веб-трафика и технология VPN (виртуальные частные сети).

Межсетевой экран

В Traffic Inspector Next Generation используется межсетевой экран Packet Filter, который решает следующие задачи:

• защита компьютеров локальной сети организации от несанкционированного доступа извне;
• трансляция сетевых адресов (Network Address Translation, NAT) позволяет внутренней компьютерной сети иметь единый IP-адрес, скрывая от внешнего наблюдателя структуру локальной IP-сети;
• контроль доступа внутренних пользователей к компьютерам в сети Интернет;
• и другие.

Блок-схема с логикой работы межсетевого экрана:

Антивирусная проверка трафика

Антивирусная проверка в Traffic Inspector Next Generation может быть достигнута либо за счет антивируса, работающего на самом устройстве, либо за счет внешнего антивируса. Антивирусная проверка на уровне шлюза защищает пользователей от опасных веб-сайтов и зараженных файлов, скачиваемых через веб-браузер. Для защиты от заражений через почту или USB-флешку на компьютерах пользователей необходимо иметь десктопный антивирус.

Если организация имеет несколько удаленных филиалов со своими локальными компьютерными сетями, то при обмене между ними информацией она будет проходить по открытым интернет-каналам, что чревато вмешательством злоумышленников. Для устранения угрозы создают виртуальные частные сети (VPN), в основу которых заложен принцип шифрования данных (так называемое туннелирование). В такой сети только авторизованные участники могут пользоваться передаваемой информацией.

Принцип работы VPN

Для тестирования возможностей Traffic Inspector Next Generation оставьте заявку.

Ключевой элемент в стратегии защиты корпоративной сети

Kaspersky Security для интернет-шлюзов действует на уровне прокси-сервера, обеспечивая надежную защиту веб-трафика между корпоративной инфраструктурой и внешним миром и значительно повышая общий уровень безопасности корпоративной сети за счет блокирования угроз на ранней стадии. Широкий функционал, удобство использования и непревзойденный уровень защиты делают Kaspersky Security для интернет-шлюзов важным шагом на пути к кибериммунитету.

Высочайший уровень защиты и не только

Многоуровневая защита с оптимизацией для высоких нагрузок

Контроль использования интернета для безопасной и продуктивной работы

Возможность управлять доступом к определенным категориям веб-ресурсов и ограничить передачу некоторых типов файлов снижает вероятность успешных атак и повышает продуктивность бизнеса. Ограничение доступа к опасным и не имеющим отношения к работе веб-сайтам и социальным медиа позволяет значительно сократить бизнес-риски, связанные с действиями сотрудников.

Блокирование онлайн-угроз на уровне интернет-шлюза очень выгодно как с практической, так и с финансовой точки зрения. Оно позволяет свести к минимуму ущерб, возникающий в случае заражения конечных узлов корпоративной сети, а также расходы времени и ресурсов на устранение последствий таких атак. В тех случаях, когда внедрение защиты конечных узлов нецелесообразно или не рекомендуется, развертывание специализированного защитного решения для интернет-шлюзов имеет решающее значение.

Злоумышленники, владеющие методами социальной инженерии, прекрасно знают, как заинтересовать ваших сотрудников и усыпить их бдительность. Заманчивые ссылки, вложения и приглашения позволяют атакующим использовать человеческий фактор для проникновения в вашу сеть. В отличие от конечных узлов сети, на уровне интернет-шлюза эти методы не работают, что позволяет обеспечить безопасность ваших сотрудников, данных и ресурсов.

Решение легко масштабируется и поддерживает управление множеством узлов и иерархическое развертывание. Возможность назначать выделенные области и управлять ими по отдельности или в различных сочетаниях особенно важна для организаций с распределенной инфраструктурой и провайдеров IT-услуг (MSP). Kaspersky Security для интернет-шлюзов может использоваться одновременно с системами безопасности шлюзов от других производителей, обеспечивая дополнительный уровень защиты периметра корпоративной сети.

Гибкий веб-контроль позволяет определять, какие пользователи могут получить доступ к определенным интернет-ресурсам и когда – в соответствии со спецификой ваших бизнес-операций, внутренними политиками безопасности или нормативными требованиями. Определенные типы файлов или категории сайтов могут быть заблокированы, а доступ к указанным вами веб-ресурсам можно ограничить нерабочими часами, обеденными перерывами и т.д. При необходимости может быть реализован сценарий запрета по умолчанию, ограничивающий использование любых веб-ресурсов, за исключением абсолютно необходимых для работы конкретного пользователя или группы. Все эти меры позволяют свести к минимуму риски, связанные с доступом сотрудников к интернету.

Мы не просим вас верить нам на слово. На протяжении последних лет наши продукты участвовали в независимых тестах и обзорах и получали первые места чаще, чем решения других производителей.

Читайте также:

  
• Может ли быть крапивница при гепатите с
  
• Передаются ли вирусы через зарядку
  
• Как объяснить детям что такое вирус
  
• Отказаться от прививки сибирской язвы
  
• Какие разновидности вирусов вы знаете в информатике