Detailní pohled na Trend Micro Worry-Free Business Security

20. 11. 2008

Sdílet

Elektronické komunikace, Internet, web a webové aplikace jsou dnes prostředím tvořícím ústřední platformu podnikání prakticky v jakékoli oblasti. Obchodní plány a strategie mnohých zejména menších a středních firem jsou pak na využití prostředí Internetu a webu přímo postaveny a jejich realizace je bez něho nemyslitelná.

Elektronické komunikace, Internet, web a webové aplikace jsou dnes prostředím tvořícím ústřední platformu podnikání prakticky v jakékoli oblasti. Obchodní plány a strategie mnohých zejména menších a středních firem jsou pak na využití prostředí Internetu a webu přímo postaveny a jejich realizace je bez něho nemyslitelná. Veřejné a otevřené prostředí Internetu však poskytuje, ne-li přímo svádí, nekonečný prostor pro krimininalitu, nekalé aktivity a praktiky, reklamu i propagaci všeho druhu. V komplikované a neprůhledné džungli Internetu se stejně jako v nedávných dobách piráti ve vlnách nekonečného oceánu snadno ukryjí nejrůznější kriminálníci, zloději dat, škůdci, útočníci, ale i vtipálkové, recesisté nebo podvodníci. Ochránit před nimi svoji organizaci se stává stále složitějším, náročnějším na komplexnější nástroje a vybavení a v konečném důsledku i nákladnějším. S rostoucí výkonností a tudíž i složitostí roste i počet zranitelných míst v počítačové síti i v podnikovém informačním systému. Je zřejmé, že jedním z možných a poměrně úspěšných řešení je ochrana počítačové sítě zvenčí, jež spočívá ve vytvoření bariéry, která odfiltruje a zneškodní útoky ještě dříve, než vůbec proniknou k hranicím sítě.

Společnost Trend Micro, jeden z vedoucích světových hráčů na poli počítačové bezpečnosti, vychází svým produktem Worry-Free Business Security 5.0 (WFBS), což v překladu znamená zhruba „bezstarostná bezpečnost obchodu“, vstříc právě požadavkům z oblasti malých a středních podniků. Worry-Free Business Security, poprvé uvedený na trh před čtyřmi léty, dnes ve verzi 5.0 nahrazuje produkt Trend Micro Client/Server Messaging Security for SMB. Výrazně inovovaná a aktualizovaná řada produktů WFBS 5.0 využívající nejnovějších technologií je podle slov jejích tvůrců navržena speciálně takovým způsobem, aby umožňovala jednoduše a s co možná nejmenšími nároky na provoz, údržbu, aktualizaci a modernizaci chránit malé a střední podniky před každodenními útoky v neustále se měnícím složitém světě webových útoků. Změny, které výrobce uskutečnil v nejnovější verzi WFBS nejenom odrážejí skutečnost, že webové útoky se vyvíjely a neustále vyvíjejí a mění, ale reflektují také měnící se způsoby práce, především narůstající podíl mobility v pracovních aktivitách.

Kromě standardních způsobů ochrany namířených proti spyware, virům, spamu, phishingu a nežádoucímu webovému obsahu chrání Worry-Free například také proti škodlivým webovým stránkám nebo umožňuje odhalovat stránky, které byly napadeny a zneužity či zneužívány hackery nebo jinými záškodníky a kriminálními živly. Pouhá návštěva podobných stránek může, nejsou-li včas odhaleny, zprostředkovat hackerům přístup k uživatelskému počítači nebo celé podnikové síti, aniž by si toho dokonce musel uživatel všimnout. Počítače tak mohou být infikovány nežádoucím softwarem uskutečňujícím například monitorování nebo krádež důležitých či důvěrných informací. Ochrana, kterou Trend Micro používá, je nazývána „in the cloud“, tj. v oblaku, a využívá obsahové bezpečnostní infrastruktury označované Trend Micro Smart Protection Network (SPN).

Princip ochrany, velmi zjednodušeně řečeno, spočívá ve skutečnosti, že poštovní a webová komunikace dříve, než dosáhne uživatelského počítače či podnikové sítě, prochází bezpečnostní infrastrukturou Smart Protection Network, kde je na jediném místě podrobena bezpečnostní kontrole. K výhodám uvedeného řešení zřejmým na první pohled patří skutečnost, že poštovní a webová komunikace je kontrolována ještě před vstupem do firemní sítě nebo počítače, což může výrazně snížit provozní zátěž uživatelského připojení a sítě. Veškeré bezpečnostní kontroly probíhají mimo uživatelský systém v jediném internetovém „obláčku“, „in-one-cloud“, na straně SPN. Z toho je i odvozen její název. U zákazníka pak nemusí být instalován žádný doplňující software nebo stačí použít výrazně jednoduší tenké klienty, které zajišťují nezbytnou komunikaci a prakticky nepředstavují výpočetní zátěž pro zařízení a počítače, na nichž jsou provozovány. Zjištěné hrozby jsou zaznamenávány v databázích SPN, jsou analyzovány a začleněny do ochranného systému. Zákazník tak získává s minimálním zpožděním ochranu před nejnovějšími útoky. Její úroveň a kvalita navíc nezávisí na místě, odkud je uživatel připojen, a ochrana tak může být stejně dobře použita pro pracovní stanice v kanceláři jako pro notebooky používané v terénu či dokonce pro malá přenosná osobní zařízení. Komponenty SPN zahrnují: Web Reputation, Email Reputation, File Reputation, korelační technologie s analýzou chování a zpětnou vazbu s bezprostředním využitím informací o zjištěných útocích pro ochranu všech uživatelů. Technologie Web Reputation zvažuje několik různých faktorů, jako jsou obsah, stáří webu či historie změn, které by mohly předznamenávat nebezpečí pro uživatele, jenž podobné stránky navštíví. Provádí analýzu chování podezřelého malware, monitoruje provoz webu, podle něhož lze usuzovat na suspektní chování, skenuje a analyzuje jeho obsah. Na základě výsledků výzkumu pak přiděluje hodnocení. Aby se snížila možnost výskytu falešných negativních hodnocení, přidělují se hodnocení nikoli celé stránce, nýbrž jednotlivým odkazům.


Technologie Email Reputation představuje další vrstvu ochrany, která podle údajů Trend Micro dokáže zastavit až 80 % útoků prováděných prostřednictvím elektronické pošty. Jako první se kontroluje adresa odesílatele jak proti neustále aktualizované databázi známých zdrojů spamu, tak pomocí dynamických služeb, které jsou schopny zjistit reputaci odesílatele v reálném čase. Škodlivé emaily jsou na základě vyhodnocení pověsti blokovány, čímž se zabrání průnikům nebezpečných útoků, např. botnetů, do uživatelského systému. File Reputation rozšiřuje možnosti kontroly a hodnocení pověsti i na jednotlivé soubory, které často útočníci přesunují mezi webovými servery s cílem znesnadnit jejich detekci a odhalení. Obzvlášť důležitou roli hraje hodnocení na úrovni souborů v nastupujícím prostředí Web 2.0.

Worry-Free Business Security 5.0 je dispozici ve dvou verzích: standard a advanced. Verze standard je omezena pouze na datové servery, osobní počítače a notebooky. Verzi advanced tvoří dvě části: známá hostovaná služba pro ochranu elektronické pošty InterScan Messaging Hosted Security (IMHS) a software pro ochranu podnikových serverů, serverů elektronické pošty, osobních počítačů a notebooků. Řešení Worry-Free Business Security je koncipováno tak, aby chránilo obchodní činnosti a důvěryhodnost podniku před krádeží a zcizením dat, nebezpečnými webovými stránkami a všudypřítomným spamem, přičemž využívá kombinaci klasického zabezpečení proti virům a malware založeného na místním skenovacím stroji s hostovaným řešením IMHS.

Centrální komponentou celého bezpečnostního systému, obr. 1., je bezpečnostní server. Na něm je provozován centralizovaný správní systém s webovým rozhraním (Web Console), jehož prostřednictvím se uskutečňuje správa celého systému. Na jednotlivé klienty v síti se instalují agenty, které spolu s instalací vytvářejí i vztahy mezi klienty a serverem. Bezpečnostní server instaluje, monitoruje a řídí agenty v síti a zajišťuje stažení a aktualizaci vzorů pro detekci virů, spyware, skenovacích strojů a aktualizace programů. Umožňuje zobrazovat stavové informace, prohlížet agenty, konfigurovat bezpečnostní charakteristiky a parametry a stahovat aktualizované bezpečnostní komponenty z centrálních úložišť. Bezpečnostní server rovněž spravuje databázi, v níž jsou uloženy žurnály a záznamy o zjištěných hrozbách a útocích z Internetu ohlášené agenty.

Klient/server agent provozovaný na pracovních stanicích zasílá bezpečnostnímu agentu, z něhož byl instalován, hlášení. Pro dosažení minimálního zpoždění jsou hlášení o stavu zasílána v reálném čase, tj. v okamžiku, kdy k hlášené události dojde. K hlášeným událostem může patřit např. detekce hrozby, start agentu, vypnutí agentu nebo zahájení či ukončení skenování apod. Agent poskytuje tři způsoby skenování: v reálném čase, plánované a ruční.

Agent pro zprávy je zvláštním samostatným typem agentu, který chrání Exchange server, na němž je instalován, proti virům a malware, trojanům, červům a dalším hrozbám. Zajišťuje rovněž blokování spamu, filtrování obsahu a případné blokování podezřelých nebo napadených příloh. Stejně jako agent na klientu poskytuje tři základní typy skenování a posílá v reálném čase hlášení tomu bezpečnostnímu serveru, z něhož byl instalován.

Worry-Free chrání síť a počítače uživatele různými způsoby. Viry a další škodlivé kódy typu trojanů, červů, backdoorů či rootkitů odhalují skenovací stroje v klient/server agentech a v poštovním agentu. Stejným způsobem zajišťuje ochranu i proti spyware, grayware, dialerům, rezidentním útokům hackerů, aplikacím pro dekódování hesel, adware, různým vtipálkům, adware nebo aplikacím pro záznam textů zadávaných z klávesnice (Keyloggers). Ochranu proti virům, spamu, spyware a dalším škůdcům předávaným prostřednictvím elektronické pošty zajišťují POP3 Mail Scan v klient/server agentu a IMAP Mail Scan v agentu pro zprávy. Ochranu proti síťovým virům a červům současně s ochranou proti průnikům obstarává firewall vestavěný rovněž v klient/server agentu. Klient/server agent současně zajišťuje také monitorování podezřelého chování aplikací, sledování transakcí, odhalování podvržených přístupových bodů, odposlechu klávesnice či kontrolu obsahu zpráv předávaných prostřednictvím různých komunikačních a chatovacích systémů.

Webová ochrana využívá informace z databáze Web reputation, která obsahuje údaje od všech chráněných systémů z celého světa. Útok na každý jednotlivý počítač je zaznamenán a uložen do databáze, na jejímž základě jsou vyhodnocovány důvěryhodnosti webových stránek, chování škůdců a zdroje nevyžádané pošty. Podle údajů společnosti Trend Micro denně skenuje 3 až 4 miliardy stránek a ochrání zákazníky před 8 až 10 milióny návštěv infikovaných webů.

Ochranu doplňuje produkt InterScan Messaging Hosted Security, jenž je ve verzi standard součástí Worry-Free Business Security 5.0 Advanced. IMHS využívá vícevrstvé skenovací technologie, která blokuje pokusy o spam, phishing a další hrozby přicházející prostřednictvím elektronické pošty a zajišťuje, že budou pozastaveny ještě dříve, než vůbec dorazí do sítě uživatele. Průchod mailů skenovacím prostředím je automatizovaný, bez lidského zásahu, a společnost Trend Micro zaručuje naprosté zachování soukromí všech zpráv. IMHS vykonává jak filtrování na základě vyhodnocení Email Reputation, tak filtrování na základě vyhodnocení obsahu. Používá pět základních pravidel odvozených z praxe, podle nichž jsou zprávy vyhodnocovány a označovány. Jejich seznam je uveden v tab. 1. Pravidla jsou pevně definována a nelze je administrátorsky měnit. Výjimku tvoří reakce na spam, která může být nastavena na hodnoty smazat, umístit do karantény, označit nebo doručit. Pošta umístěná do karantény je uchovávána po dobu sedmi dní. Po stejnou dobu dokáže IMHS uchovávat i přijaté zprávy v případě, že dojde k výpadku zákazníkova poštovního serveru. Použití IMHS nevyžaduje instalaci žádného doplňkového software na servery nebo pracovní počítače uživatele. Administrace je dostupná prostřednictvím webu pomocí jednoduché aplikace.

Jak již bylo řečeno, Worry-Free je navržen tak, aby umožnil respektovat místo, odkud se uživatelé přihlašují do Internetu. Se zvyšujícím se podílem zaměstnanců, kteří se připojují nejenom z domova, z hotelů, z letištních hal a vůbec odkudkoli, kde je dostupný nějaký přípojný bod či Wi-Fi signál, hraje ochrana mobilních uživatelských zařízení stále významnější úlohu. Funkce nazvaná „Loaction Awareness“, česky asi „zohlednění místa“, umožňuje automatizovat nastavení zabezpečení v noteboocích při přechodu z prostředí firemní sítě (kanceláře) do terénu nebo domácí sítě. Notebook tak s minimálními nároky na zásah uživatele zůstává neustále zabezpečen a chráněn.

Ochrana před webovými hrozbami zabraňuje napadení, aniž by se spoléhala na porovnávání každé hrozby s uloženými vzory. Zabraňuje poškození webovými útoky (krádeže dat, poškození PC) tím, že zamezuje zobrazení infikovaných webových stránek. Průběžně aktualizovaná ochrana v reálném čase nezpomaluje činnosti počítače. Zohlednění lokality je velmi zajímavou a v dnešní době masového nasazení mobilních zařízení zejména notebooků prakticky nezbytnou funkcí.

Jednou z nových součástí WFBSA je i vícevrstvé blokování spamu postavené na porovnávání IP adres s průběžně aktualizovanou databází obsahující známé zdroje spamu snižuje možnost degradace propustnosti sítě kvůli zahlcení spamem, zmenšuje zatížení Exchange serveru a šetří kapacitu jeho diskové paměti.

K dalším zajímavým funkcím patří tzv. monitoring chování (Behavior Monitoring). Jeho princip, jak jej popsal Jon Clay, produktový a marketingový manažer společnosti Trend Micro, vychází z jednoduché implikace: vypadá-li něco jako kachna, kváká-li to jako kachna a chodí-li to jako kachna, pak to nejspíš kachna je. Worry-Free sleduje chování počítače a, usoudí-li, že počítač provádí činnosti, které vyvolávají podezření, že byl napaden, vykoná předem definovanou akci. Na podezření lze zvolit různé reakce, od jednoduchého upozornění až po umístění software do karantény.

O činnosti WFBS jsou administrátoru k dispozici přehledné sledovací panely i systémové žurnály monitorující jeho aktivity.

Worry-Free Busines Security Advanced 5.0 je velmi propracované a ucelené bezpečnostní řešení pro použití ve firemních ICT architekturách malých a středních firem postavených na bázi Microsoft Windows a Microsoft Exchange. Celkově jednoduchá správa, která může být navíc delegována např. na partnerskou organizaci nebo prodejce, spolu s velmi těsnou vazbou na online služby společnosti Trend Micro vytvářejí předpoklady pro bezproblémové dlouhodobé využití Worry-Free Business Security Advanced 5.0 v organizaci při minimálních nárocích na aktualizace a údržbu.


Obr. 1. – Architektura Worry-Free Business Security

(obrázek v plné kvalitě je k dispozici zde)


Tab. 1. – Označování zpráv v IMHS

(tabulka v plné kvalitě je k dispozici zde)

Autor pracuje jako soukromý konzultant,

ICTS24

článek je prezentací společnosti Trend Micro.