В настоящее время контентную фильтрацию нельзя выделить в отдельную область компьютерной безопасности, настолько она переплелась с другими направлениями. В обеспечении компьютерной безопасности контентная фильтрация очень важна, поскольку позволяет вычленять потенциально опасные вещи и корректно их обрабатывать. Подходы, появившиеся при разработке продуктов для контентной фильтрации, находят применение в продуктах для предотвращения вторжений (IDS), распространения вредоносного кода и других негативных действий.
На основе новых технологий и продуктов в области контентной фильтрации создаются дополнительные услуги для пользователей, повышается качество защиты и обеспечивается возможность не только обрабатывать существующие угрозы, но и предотвращать целые классы новых угроз1.
Одна из общих тенденций развития продуктов информационной безопасности — стремление реализовать различные функции в одном устройстве или программном решении. Как правило, разработчики стараются выполнить решения, которые кроме функций контентной фильтрации еще выполняют и функции антивируса, межсетевого экрана и/или системы обнаружения и предотвращения вторжений. С одной стороны, это позволяет снизить затраты компаний на покупку и сопровождение систем безопасности, но с другой — функциональность таких систем часто оказывается ограниченной. Например, во многих продуктах функции фильтрации Web-трафика сведены только к проверке адресов сайтов относительно какой-либо базы данных категорий сайтов.
К этому же направлению можно отнести и развитие продуктов в соответствии с концепцией Unified Threat Management (UTM), которая обеспечивает унифицированный подход к предотвращению угроз независимо от того, какой из протоколов или какие данные обрабатываются.
Этот подход позволяет избежать дублирования функций защиты, а также обеспечить актуальность данных с описанием угроз для всех контролируемых ресурсов.
В существующих уже достаточно давно областях контентной фильтрации — контролепочты и Интернет-трафика — также происходят изменения, появляются новые технологии.
В продуктах для контроля почтового обмена стала выходить на первый план функция защиты от фишинга. А в продуктах для контроля Интернет-трафика происходит смещение от использования заранее подготовленных баз адресов к категоризации по содержимому, что является очень актуальной задачей при работе с разнообразными портальными решениями.
Кроме двух указанных выше областей, возникают и новые области применения контентной фильтрации — некоторое время назад начали появляться продукты для контроля за передачей мгновенных сообщений (instant messaging) и peer-to-peer (p2p) соединений. В настоящее время активно разрабатываются также продукты для контроля за VoIP-трафиком.
Во многих странах активно стали развивать средства для перехвата и анализа многих видов информации, которая используется для различного вида расследований (lawful interception). Данные мероприятия проводятся на государственном уровне и наиболее часто привязываются к расследованию террористических угроз. Такие системы перехватывают и анализируют не только данные, передаваемые по каналам Интернет, но также и по другим видам связи — телефонным линиям, радиоканалам и т.п. Наиболее известной системой для перехвата информации является Echelon — система, использовавшаяся американской разведкой для сбора информации. В России также существуют различные реализации системы оперативно-розыскных мероприятий (СОРМ), которые используются для захвата и анализа информации в интересах спецслужб.
В качестве одной из тенденций на рынке продуктов контентной фильтрации можно отметить массовую консолидацию компаний-производителей таких решений. Хотя эта тенденция в большей мере отражает организационную сторону процесса, но она может привести к появлению новых продуктов и направлений для компаний, у которых этих направлений не было, либо они занимали незначительную часть сектора рынка таких компаний. Иллюстрацией вышесказанного могут служить следующие случаи объединения/поглощения компаний:
Стоит также отметить, что в последние годы начали появляться продукты с открытым исходным кодом для контентной фильтрации. В большинстве случаев они не достигают такого функционала как коммерческие приложения, однако есть конкретные решения и области применения, где они могут составить реальную угрозу.
Современная ИТ-инфраструктура подвергается множеству атак, целью которых становятся и простые пользователи, и компании независимо от их размера. Наиболее актуальными являются следующие виды угроз:
Первым пяти видам угроз подвергаются как домашние компьютеры, так и компьютеры корпоративных сетей. А вот последние две угрозы являются особенно актуальными для компаний всех видов.
В последнее время в области фильтрации Интернет-трафика происходят различные изменения, обусловленные появлением новых технологий фильтрации и изменением технологий, которые используются для построения Интернет-сайтов.
Одной из наиболее важных тенденций развития продуктов контентной фильтрации в части контроля Интернет-трафика является переход от использования баз данных категорий сайтов к определению категории сайта по его содержимому. Это стало особенно актуально с развитием различных порталов, которые могут содержать наполнение разных категорий, изменяющееся во времени и/или подстраиваемое под настройки клиента.
Ставшие в последнее время популярными технологии и инструменты построения Интернет-сайтов, такие как Ajax, Macromedia Flash и другие, требуют внесения изменений и в технологии фильтрации Интернет-трафика.
Использование шифрованных каналов для взаимодействия с Интернет-сайтами обеспечивает защиту данных от перехвата третьими лицами, но в то же время, по этим каналам передачи данных могут происходить утечка важной информации или проникновение вредоносного кода в компьютерные системы.
Актуальной остается проблема интеграции средств защиты с системами, обеспечивающими функционирование ИТ-инфраструктуры, такими как прокси-серверы, веб-серверы, почтовые серверы, серверы каталогов и т.п. Разными компаниями и некоммерческими организациями разрабатываются протоколы для взаимодействия между различными системами.
О современном положении дел в этой области пойдет речь ниже.
Категоризация сайтов и данных, на них размещенных, может выполняться разными способами. В настоящее время выделяются следующие виды категоризации:
Каждый из этих методов имеет свои достоинства и недостатки.
Использование заранее подготовленных баз адресов сайтов и связанных с ними категорий — давно используемый и хорошо зарекомендовавший себя метод. В настоящее время такие базы предоставляют многие компании, такие как Websense, Surfcontrol, ISS/Cobion, Secure Computing, Astaro AG, NetStar и другие. Некоторые компании используют эти базы только в своих продуктах, другие позволяют подключать их к продуктам третьих фирм. Наиболее полными считаются базы, предоставляемые компаниями Websense, Secure Computing, SurfControl и ISS/Cobion, они содержат информацию о миллионах сайтов на разных языках и в разных странах, что особенно актуально в эпоху глобализации.
Категоризация данных и формирование баз категорий обычно производится в полуавтоматическом режиме — сначала выполняются анализ содержимого и определение категории с помощью специально разработанных средств, которые даже могут включать в себя системы распознавания текстов в картинках. А на втором этапе полученная информация часто проверяется людьми, принимающими решение о том, к какой категории можно отнести тот или иной сайт.
Многие компании автоматически пополняют базу категорий по результатам работы у клиентов, если обнаруживается сайт, не отнесенный еще ни к какой из категорий.
В настоящее время используются два способа подключения предопределенных баз категорий сайтов:
К преимуществам применения предопределенных баз категорий можно отнести то, что предоставление или запрет доступа производится еще на этапе выдачи запроса клиентом, что может существенно снизить нагрузку на каналы передачи данных. А главный недостаток использования данного подхода — задержки в обновлении баз категорий сайтов, поскольку для анализа потребуется некоторое время. Кроме того, некоторые сайты достаточно часто меняют свое наполнение, из-за чего информация о категории, хранящаяся в базе адресов, становится неактуальной. Некоторые сайты также могут предоставлять доступ к разной информации, в зависимости от имени пользователя, географического региона, времени суток и т.п.
Категоризация сайтов на лету также осуществляется самыми разными способами. Особенно часто используются методы, основанные на статистическом подходе к анализу содержания.
Один из простых вариантов реализации такого решения — использование байесовских алгоритмов, которые себя достаточно хорошо зарекомендовали в борьбе со спамом. Однако у этого варианта есть свои недостатки — необходимо его периодически доучивать, корректировать словари в соответствии с передаваемыми данными. Поэтому некоторые компании применяют более сложные алгоритмы определения категории сайта по содержимому в дополнение к простым способам. Например, компания ContentWatch предоставляет специальную библиотеку, которая выполняет анализ данных согласно лингвистической информации о том или ином языке и на основании этой информации может определять категорию данных.
Категоризация данных на лету позволяет быстро реагировать на появление новых сайтов, поскольку информация о категории сайта не зависит от его адреса, а только от содержания. Но такой подход имеет и недостатки — необходимо проводить анализ всех передаваемых данных, что вызывает некоторое снижение производительности системы. Второй недостаток — необходимость поддержания актуальных баз категорий для различных языков. Тем не менее, некоторые продукты применяют этот подход с одновременным использованием баз категорий сайтов. Сюда можно отнести использование Virtual Control Agent в продуктах компании SurfControl, механизмы определения категорий данных в СКВТ "Дозор-Джет".
Кроме баз данных адресов и категоризации содержимого на лету существует и другой подход к определению категории сайтов — сайт сам сообщает о том, к какой категории он относится.
Этот подход в первую очередь предназначен для использования домашними пользователями, когда, например, родители или учителя могут задать политику фильтрации и/или отслеживать, какие сайты посещаются.
Существует несколько путей реализации данного подхода к категоризации ресурсов:
К достоинствам этого подхода можно отнести то, что для обработки данных нужно только специальное программное обеспечение и нет необходимости обновлять базы адресов и/или категорий, так как вся информация передается самим сайтом. Но недостатком является то, что сайт может указывать неправильную категорию, а это приведет к неправильному предоставлению или запрещению доступа к данным. Однако эту проблему можно решить (и она уже решается) за счет использования средств подтверждения правильности данных, таких как цифровые подписи и т. п.
Массовое внедрение так называемых технологий Web 2.0 сильно усложнило контентную фильтрацию веб-трафика. Поскольку во многих случаях данные передаются отдельно от оформления, существует возможность пропуска нежелательной информации к пользователю или от пользователя. В случае работы с сайтами, применяющими такие технологии, необходимо делать комплексный анализ передаваемых данных, определяя передачу дополнительной информации и учитывая данные, собранные на предыдущих этапах.
В настоящее время ни одна из компаний, выпускающих средства для контентной фильтрации веб-трафика, не позволяет производить комплексный анализ данных, передаваемых с использованием технологий AJAX.
Во многих случаях достаточно острым становится вопрос об интеграции систем контентного анализа с другими системами. При этом системы контентного анализа могут выступать как клиентами, так и серверами или в обеих ролях сразу. Для этих целей было разработано несколько стандартных протоколов — Internet Content Adaptation Protocol (ICAP), Open Pluggable Edge Services (OPES). Кроме того, некоторые производители создавали собственные протоколы для обеспечения взаимодействия конкретных продуктов друг с другом или со сторонним программным обеспечением. Сюда можно отнести протоколы Cisco Web Cache Coordination Protocol (WCCP), Check Point Content Vectoring Protocol (CVP) и другие.
Некоторые протоколы — ICAP и OPES — разработаны так, что могут использоваться для реализации как сервисов контентной фильтрации, так и других сервисов — переводчики, размещение рекламы, доставка данных, зависящая от политики их распространения, и т.п.
В настоящее время протокол ICAP пользуется популярностью среди авторов ПО для контентной фильтрации и создателей программного обеспечения для определения вредоносного содержимого (вирусы, spyware/malware). Однако стоит отметить, что ICAP в первую очередь разрабатывался для работы с HTTP, что накладывает много ограничений на его использование с другими протоколами.
ICAP принят группой Internet Engineering Task Force (IETF) в качестве стандарта. Сам протокол определяется документом "RFC 3507" с некоторыми дополнениями, изложенными в документе "ICAP Extensions draft". Эти документы и дополнительная информация доступны с сервера ICAP Forum — http://www.i-cap.org.
Архитектура системы при использовании протокола ICAP изображена на рисунке выше. В качестве клиента ICAP выступает система, через которую передается трафик. Система, выполняющая анализ и обработку данных, называется сервером ICAP. Серверы ICAP могут выступать в роли клиентов для других серверов, что обеспечивает возможность стыковки нескольких сервисов для коллективной обработки одних и тех же данных.
Для взаимодействия между клиентом и сервером используется протокол, похожий на протокол HTTP версии 1.1, и те же способы кодирования информации. Согласно стандарту ICAP может обрабатывать как исходящий (REQMOD — Request Modification), так и входящий (RESPMOD — Response Modification) трафик.
Решение о том, какие из передаваемых данных будут обрабатываться, принимается клиентом ICAP, в некоторых случаях это делает невозможным полный анализ данных. Настройки клиента полностью зависят от его реализации, и во многих случаях невозможноих изменить.
После получения данных от клиента сервер ICAP выполняет их обработку, а если это необходимо, то и модификацию данных. Затем данные возвращаются клиенту ICAP, и он их передает дальше серверу или клиенту, в зависимости от того, в каком направлении они передавались.
Наиболее широкое применение протокол ICAP нашел в продуктах для защиты от вредоносного кода, поскольку он позволяет использовать эти проверки в различных продуктах и не зависит от платформы, на которой выполняется клиент ICAP.
К недостаткам использования ICAP можно отнести следующее:
В отличие от ICAP протокол OPES разрабатывался с учетом особенностей конкретных протоколов. Кроме того, при его разработке учитывались недостатки протокола ICAP, такие как отсутствие установления подлинности клиентов и серверов, отсутствие аутентификации и др.
Так же как и ICAP, OPES принят группой Internet Engineering Task Force в качестве стандарта. Структура взаимодействия сервисов, протокол взаимодействия, требования к сервисам и решения по обеспечению безопасности сервисов изложены в документах RFC 3752, 3835, 3836, 3837 и других. Список регулярно пополняется новыми документами, описывающими применение OPES не только к обработке интернет-трафика, но и к обработке почтового трафика, а в будущем, возможно, и других видов протоколов.
Структура взаимодействия серверов OPES и клиентов (OPES Processor) изображена на рисунке. В общих чертах она подобна схеме взаимодействия серверов и клиентов ICAP, но есть и существенные отличия:
Все перечисленные возможности зависят исключительно от конфигурации, применяемой при внедрении системы. За счет этих возможностей использование OPES более перспективно и удобно, чем использование протокола ICAP.
В скором будущем ожидается появление продуктов, поддерживающих OPES наравне с протоколом ICAP. Но поскольку в настоящее время нет полноценных реализаций, использующих OPES, то нельзя делать окончательные выводы о недостатках данного подхода, хотя теоретически пока остается лишь один недостаток — увеличение времени обработки за счет взаимодействия между клиентами и серверами OPES.
По расчетам некоторых аналитиков, до 50% Интернет-трафика передается в зашифрованном виде. Проблема контроля шифрованного трафика сейчас актуальна для многих организаций, поскольку пользователи могут применять шифрацию для создания каналов утечки информации. Кроме того, шифрованные каналы могут использоваться и вредоносным кодом для проникновения в компьютерные системы.
Существует несколько задач, связанных с обработкой шифрованного трафика:
Актуальность этих задач возрастает с каждым днем.
Контроль передачи данных, пересылаемых по зашифрованным каналам, является, наверное, самой важной задачей для организаций, сотрудники которых имеют доступ к Интернет-ресурсам. Для реализации этого контроля существует подход, называемый "Man-in-the-Middle" (в некоторых источниках его также называют "Main-in-the Middle"), который может использоваться злоумышленниками для перехвата данных. Схема обработки данных для данного метода дана на рисунке:
Процесс обработки данных выглядит следующим образом:
При использовании данной схемы обработки шифрованных данных могут возникать проблемы, связанные с подтверждением истинности пользователя. Кроме того, требуется выполнение работы по установке сертификата в Интернет-броузеры всех пользователей (если не установить такой сертификат, то у пользователя будет появляться сообщение о том, что сертификат подписан неизвестной компанией, что даст пользователю информацию о наблюдении за передачей данных).
Сейчас на рынке предлагаются следующие продукты для контроля передачи шифрованных данных: Webwasher SSL Scanner компании Secure Computing, Breach View SSL, WebCleaner.
Вторая задача, возникающая при использовании шифрованных каналов передачи данных, — проверка подлинности сертификатов, предоставляемых серверами, с которыми работают пользователи.
Злоумышленники могут осуществлять атаку на информационные системы, создавая ложную запись в DNS, перенаправляющую запросы пользователя не на тот сайт, который им необходим, а на созданный самими злоумышленниками. С помощью таких подставных сайтов могут быть украдены важные данные пользователей, такие как номера кредитных карт, пароли и т.п., а также под видом обновлений программного обеспечения может быть загружен вредоносный код.
Для предотвращения подобных случаев и существует специализированное программное обеспечение, выполняющее проверку соответствия сертификатов, предоставленных сервером, тем данным, о которых они сообщают.
В случае несовпадения система может заблокировать доступ к таким сайтам или осуществить доступ после явного подтверждения пользователем. Обработка данных при этом выполняется практически тем же способом, что и при анализе данных, передаваемых по шифрованным каналам, только в этом случае анализируются не данные, а сертификат, предоставляемый сервером.
При использовании электронной почты, организации сталкиваются с необходимостью обеспечения защиты как для входящего, так и для исходящего трафика. Но задачи, решаемые для каждого из направлений, довольно сильно различаются. Для входящего трафика необходимо обеспечить контроль вредоносного кода, фишинга и нежелательной почты (спама), в то время как в исходящей почте контролируется содержимое, передача которого может привести к утечке важной информации, распространению компрометирующих материалов и тому подобных вещей.
Большинство продуктов, существующих на рынке, предоставляют контроль только входящего трафика. Это осуществляется за счет интеграции с антивирусными системами, реализации различных механизмов защиты от нежелательной почты и фишинга. Многие из этих функций уже встраиваются в почтовые клиенты, но полностью решить задачу они не могут.
Для защиты пользователей от спама в настоящее время существует несколько способов:
Для борьбы с утечками информации используются самые разные способы, основанные на перехвате и глубоком анализе сообщений в соответствии со сложной политикой фильтрации. В этом случае возникает необходимость корректного определения типов файлов, языков и кодировок текстов, проведения семантического анализа передаваемых сообщений.
Еще одно из применений систем для фильтрации почтового трафика — создание шифрованных потоков почты, когда система автоматически подписывает или шифрует сообщение, а на другом конце соединения производится автоматическая расшифровка данных. Этот функционал очень удобен, если вы хотите обрабатывать всю исходящую почту, но она должна доходить до адресата в зашифрованном виде.
Средства для передачи мгновенных сообщений (Instant messaging) постепенно переходят в разряд активно используемых инструментов во многих компаниях. Они обеспечивают быстрое взаимодействие с сотрудниками и/или клиентами организаций. Поэтому совершенно закономерно, что развитие средств, которые, кроме прочего, могут оказаться и каналом для утечки информации, привело к появлению инструментов для контроля передаваемой информации.
В настоящее время для обмена мгновенными сообщениями наиболее часто используются протоколы MSN (Microsoft Network), AIM (AOL Instant Messaging), Yahoo! Chat, Jabber и их корпоративные аналоги — протоколы Microsoft Live Communication Server (LCS), IBM SameTime и Yahoo Corporate Messaging Server. На территории СНГ широкое распространение получила система ICQ, которая сейчас принадлежит компании AOL и использует практически такой же протокол, что и AIM. Все указанные системы выполняют практически одно и то же — передают сообщения (как через сервер, так и напрямую) и файлы.
Теперь почти у всех систем появились возможности и для звонков с компьютера на компьютер и/или на обычные телефоны, что создает определенные трудности для систем контроля и требует поддержки VoIP для реализации полноценных прокси-серверов.
Обычно продукты для контроля IM-трафика реализуются как прикладной шлюз, выполняющий разбор передаваемых данных и блокирующий передачу запрещенных данных. Однако есть и реализации в виде специализированных серверов IM, которые осуществляют необходимые проверки на уровне сервера.
Наиболее востребованные функции продуктов для контроля IM-трафика:
В настоящее время контроль за передачей мгновенных сообщений позволяют выполнять следующие продукты:
Продукты других компаний (ScanSafe, ContentKeeper) обладают меньшими возможностями по сравнению с перечисленными выше.
Стоит отметить, что две российские компании — "Гран При" (продукт "SL-ICQ") и "Мера.ру" (продукт "Сормович") — предоставляют продукты для контроля за передачей сообщений с использованием протокола ICQ.
Растущая популярность средств для передачи звуковой информации между компьютерами (называемых также Voice over IP (VoIP)) заставляет принимать меры к контролю передачи такой информации. Есть разные реализации для звонков с компьютера на компьютер и/или на обычные телефоны.
Существуют стандартизированные протоколы для обмена такой информацией, сюда можно отнести Session Instantiation Protocol (SIP), принятый IETF и H.323, разработанный ITU. Эти протоколы являются открытыми, что делает возможным их обработку.
Кроме того, существуют протоколы, разработанные конкретными компаниями, которые не имеют открытой документации, что сильно затрудняет работу с ними. Одной из самых популярных реализаций является Skype, завоевавший широкую популярность во всем мире. Эта система позволяет выполнять звонки между компьютерами, делать звонки на стационарные и мобильные телефоны, а также принимать звонки со стационарных и мобильных телефонов. В последних версиях поддерживается возможность обмена видеоинформацией.
Большинство имеющихся на данный момент продуктов можно разделить на две категории:
К первой категории можно отнести следующие продукты:
Ко второй категории продуктов относятся:
Недавно стало известно, что разработанный фирмой ERA IT Solutions AG продукт позволяет перехватывать VoIP-трафик, передаваемый при помощи программы Skype. Но для выполнения такого контроля необходимо установить специализированный клиент на компьютер, на котором работает Skype.
Использование сотрудниками различных peer-to-peer (p2p) сетей несет следующие угрозы для организаций:
Существует большое количество сетей, работающих в формате peer-to-peer. Есть сети, имеющие центральные серверы, используемые для координации пользователей, а есть сети полностью децентрализованные. Во втором случае их особенно трудно контролировать с помощью таких стандартных средств как межсетевые экраны.
Для решения данной проблемы многие фирмы создают продукты, позволяющие детектировать и обрабатывать p2p-трафик. Для обработки p2p-трафика существуют следующие решения:
Использование этих или других, не перечисленных здесь, продуктов резко сокращает риски, связанные с доступом пользователей к p2p-сетям.
Решения, соответствующие концепции Unified Threat Management, предлагаются многими производителями средств защиты. Как правило, они построены на базе межсетевых экранов, которые кроме основных функций выполняют еще и функции контентной фильтрации данных. Как правило, эти функции сосредоточены на предотвращении вторжений, проникновения вредоносного кода и нежелательных сообщений.
Многие из таких продуктов реализуются в виде аппаратно-программных решений, которые не могут полностью заменить решения для фильтрации почтового и интернет-трафика, поскольку работают лишь с ограниченным числом возможностей, предоставляемых конкретными протоколами. Обычно их используют для того, чтобы избежать дублирования функций в разных продуктах, и для обеспечения гарантий, что все прикладные протоколы будут обрабатываться в соответствии с одной базой известных угроз.
Наиболее популярными решениями концепции Unified Threat Management являются следующие продукты:
Существуют и другие продукты, но перечисленные выше имеют массовое распространение.
Перехват данных (Lawful interception) практически всегда использовался спецслужбами для сбора и анализа передаваемой информации. Однако в последнее время вопрос перехвата данных (не только Интернет-трафика, но и телефонии, и других видов) стал очень актуальным в свете борьбы с терроризмом. Даже те государства, которые всегда были против таких систем, стали использовать их для контроля за передачей информации.
Поскольку перехватываются различные виды данных, часто передаваемые по высокоскоростным каналам, то для реализации таких систем необходимо специализированное программное обеспечение для захвата и разбора данных и отдельное программное обеспечение для анализа собранных данных. В качестве такового может использоваться ПО для контентной фильтрации того или иного протокола.
Пожалуй, самой известной из таких систем является англо-американская система Echelon, которая долго использовалась для перехвата данных в интересах различных ведомств США и Англии. Кроме того, агенство национальной безопасности США использует систему Narus, которая позволяет выполнять мониторинг и анализ Интернет-трафик в реальном времени.
Среди российских продуктов можно упомянуть решения от компании "Сормович", позволяющее захватывать и анализировать почтовый, звуковой, а также разные виды Интернет-трафика (HTTP и другие).
Развитие информационных систем приводит к возникновению все новых и новых угроз. Поэтому развитие продуктов контентной фильтрации не только не отстает, но иногда даже и предвосхищает возникновение новых угроз, уменьшая риски для защищаемых информационных систем.
1. Первоначально данная статья была опубликована в октябрьском номере журнала JetInfo. В данную статью были внесены некоторые изменения, отражающие современное состояние дел. Кроме того, убран раздел, описывающий продукты компании "Инфосистемы Джет", о которых вы можете прочитать на продуктовом сайте компании.
Last change: 05.03.2013 16:54