Синие шинели на страже вашей безопасности

Синие шинели на страже вашей безопасности

В статье рассказывается о компании Blue Coat Systems, одной из лидеров рынка защищённых веб-шлюзов, истории ее создания и развития, положении на глобальном и российском рынке, а также защищенном прокси-сервере ProxySG, одном из самых мощных на рынке.

 

 

 

1. Введение

2. История Blue Coat Systems

3. Положение Blue Coat Systems на мировом рынке

4. Линейка продуктов Blue Coat

 

Введение

На российском рынке защищённых веб-шлюзов SWG (Secure Web Gateways) исторически сложилась любопытная ситуация. Общепризнанным лидером данного сегмента является корпорация Cisco Systems – это имя на слуху даже среди людей, далёких от информационных технологий. Более погружённые «в тему» специалисты вспомнят ещё о Websense, еще одном американском производителе. А вот о другом крупнейшем игроке на рынке веб-безопасности из Кремниевой долины – компании Blue Coat Systems – в России знают очень и очень немногие.

Что странно: у себя на родине и в других странах Запада эта компания известна не хуже, чем конкуренты, а её решения, по данным аналитического агентства Gartner, даже оцениваются выше. Сегодня мы решили исправить эту историческую несправедливость и познакомить наших читателей с линейкой продуктов Blue Coat, любопытными фактами и историями из жизни компании.

Историческая справка
Название Blue Coat не имеет никакого отношения к вкусам в одежде основателей компании или особенностям калифорнийской моды. Истоки этого имени лежат по другую сторону океана, в Великобритании, где униформы полицейских – знаменитых «Бобби» – веками включали в себя синюю шинель. Сегодня компания Blue Coat взяла на себя благородную миссию поддержания закона и порядка, а также отлова разномастных злодеев – но на этот раз, в киберпространстве. Бляха со звездой с формы стража порядка ещё недавно (до последнего ребрендинга) украшала логотип компании, а все устройства Blue Coat и сегодня легко узнать по характерному синему цвету корпуса.

 

История Blue Coat Systems

Компания Blue Coat Systems (прежнее название - CacheFlow) была основана в штате Вашингтон в 1996 году. За последующие 18 лет компания пережила смену имени, вышла на IPO, переехала в Кремниевую долину в Калифорнии, поглотила несколько компаний помельче. Например, только в 2013 году были поглощены Netronome, Solera Networks и Norman Shark. И, наконец, в 2011 году сама была приобретена инвестиционным фондом Thoma Bravo, после чего ушла с открытых биржевых торгов. При этом сегодня:

  • Клиентами Blue Coat являются более 15 000 компаний и организаций по всему миру.
  • В том числе, 86% компаний из списка Fortune Global 500.
  • Продукты Blue Coat защищают около 75 миллионов пользователей.
  • В компании работают более 1300 сотрудников.
  • Ежедневно решения Blue Coat блокируют более 3 миллионов угроз, а также осуществляют категоризацию более миллиарда веб-запросов.
  • Компания владеет 185 патентами (зарегистрированными и находящимися на рассмотрении).
  • Российским читателям любопытно будет узнать, что одним из важнейших технологических партнёров Blue Coat является «Лаборатория Касперского» – крупнейший в России и один из крупнейших в мире разработчиков решений в сфере информационной безопасности. Антивирусные технологии «Лаборатории Касперского» обеспечивают высокий уровень обнаружения вредоносных программ продуктами Blue Coat.

 

Положение Blue Coat Systems на мировом рынке

В июне 2014 года крупнейшее рейтинговое агентство Gartner назвало Blue Coat лидером своего магического квадранта в сегменте защищённых веб-шлюзов (Magic Quadrant for Secure Web Gateways от 23 июня 2014 года), расположив компанию выше хорошо известной в России компании Cisco (см. Рисунок 1).

 

Рисунок 1. Позиция Blue Coat Systems в Magic Quadrant for Secure Web Gateways 2014

Позиция Blue Coat Systems в Magic Quadrant for Secure Web Gateways 2014 

 

При этом аналитики Gartner отметили:

ProxySG является самым мощным прокси-сервером из существующих на рынке, благодаря множеству поддерживаемых протоколов, а также многочисленным «продвинутым» опциям. Наряду с большим набором поддерживаемых протоколов реализованы эффективные средства аутентификации и интеграции каталогов.

Согласно другому исследованию Gartner (Market Share: All Software Markets, Worldwide, 2012) является  одним из лидеров рынка защищенных интернет-шлюзов с долей рынка около 18%. Продажи Blue Coat в 2012 году выросли на 12,8%, в то время как весь рынок вырос только на 7,9%. В региона EMEA, куда входит и Россия, Blue Coat является лидером рынка с долей 17.8%. Однако в самой России их доля рынка по мнению независимых экспертов заметно скромнее. Точные цифры продаж по российскому рынку компанией не разглашаются.

Хотя у Blue Coat пока нет официального представительства в России, но компания давно и успешно работает на отечественном рынке. Решения Blue Coat продаются в России через сеть официальных дистрибьюторов. Например, одним из крупнейших среди них является headtechnology Group – международный холдинг с большим московским представительством. Московское представительство HeadTechnology Group отвечает за работу на территории России и Белоруссии.

 

Линейка продуктов Blue Coat

Решения Blue Coat для обеспечения сетевой безопасности построены вокруг ядра – защищённого шлюза и аппаратного прокси ProxySG. Данное устройство выступает в видел шлюза из корпоративной сети в Интернет, реализуя всевозможные функции защиты и контроля сетевого трафика, в том числе, аутентификацию пользователей, веб-фильтрацию, предотвращение потери данных, инспекцию зашифрованного SSL-трафика, кэширование контента, контроль пропускной способности и т.д.

Отличительной особенностью решений Blue Coat является построение системы безопасности на модульной основе. Иными словами, центральный узел системы – ProxySG – может дополняться различными дополнительными устройствами, позволяющими внедрить расширенные опции защиты. Например:

  • ProxyAV – антивирусное устройство, работающее в связке с ProxySG. Проходящий трафик сканируется антивирусным движком (на выбор пользователя доступен хорошо известный в России Kaspersky Anti-Virus, а также три других антивируса), что позволяет разом решить проблему с защитой всей корпоративной сети от внешнего вредоносного контента.

ProxyAV, хоть и является мощным антивирусным устройством, в настоящий момент вытесняется с рынка более новым защитным решением Blue Coat, а именно,

  • Content Analysis System (CAS) – система, реализующая более расширенные меры безопасности. В частности, проходящий через неё трафик может сканироваться не одним, а сразу двумя антивирусными движками из трёх доступных (разумеется, если пользователь готов заплатить за две лицензии, а также смириться с 30% снижением производительности шлюза, неизбежном при двойном сканировании трафика).

К тому же, в рамках CAS внедрён модуль Kaspersky Whitelisting – решение «Лаборатории Касперского» для проверки проходящих исполняемых файлов и скриптов по «белому списку», что позволяет как сэкономить время и не проверять заведомо благонадёжные файлы, так и, при желании владельца, реализовать режим Default Deny, т.е., запретить пропуск любых файлов, кроме входящих в «белый список».

Те файлы, в отношении которых система не может принять решение о (без)опасности, могут быть как заблокированы, так и перенаправлены в «виртуальную песочницу» – ещё один элемент системы безопасности Blue Coat:

  • Malware Analysis Appliance – устройство, создающее виртуальные машины для анализа поведения подозрительных объектов. Эти объекты, направленные CAS, помещаются в виртуальные среды, эмулирующие обычные Windows-ПК. Затем устройство наблюдает за поведением этих программ – любые подозрительные действия (попытки изменения системного реестра, доступа в криминальным веб-ресурсам, и т.п.) классифицируются экспертными алгоритмами, что позволяет администратору принять решение о безопасности или вредоносности сомнительного объекта. Данное решение – одно из первых на мировом рынке, специально предназначенное для борьбы с комплексными долгосрочными угрозами (APT, Advanced Persistent Threat), в том числе, угрозами нулевого дня.
  • Security Analytics Platform – платформа, предназначенная для мониторинга и анализа событий, происходящих в корпоративной сети. Интеллектуальные алгоритмы позволяют своевременно выявлять подозрительные события и угрозы файлам и приложениям, даже если традиционные меры безопасности не смогли засечь эти угрозы. А благодаря ретроспективному анализу сетевого трафика, специалисты по ИТ-безопасности смогут быстро обнаружить источники и пути проникновения «продвинутых» угроз в сеть.

Платформа, являющаяся ещё одним надёжным барьером на пути APT, может быть развёрнута как в виде отдельного устройства, так и как виртуальное устройство, или же как программное обеспечение на оборудовании клиента.

  • WebPulse – система облачной безопасности, позволяющая координировать защитные усилия 75 млн пользователей решений Blue Coat. Включая в себя анализаторы трафика, контента и репутации, антивирусные сканеры, виртуальные машины и симуляторы браузеров, данная система позволяет выявлять более 3,3 миллиона угроз в день и делиться этой информацией со всеми клиентами компании.
  • WebFilter – пользуясь данными, предоставляемыми WebPulse, платформа WebFilter осуществляет категоризацию миллиардов веб-страниц на 50 языках, сортируя их по 85 категориям. В результате администраторы могут гибко регулировать и разграничивать доступ к различным категориям – например, полностью заблокировать доступ к ресурсам типа «азартные игры» и «взрослый контент», а доступ к категориям «игры» и «развлечения» открывать только в нерабочее время.
 

История одной угрозы

В январе 2012 года злоумышленники создали новый сайт по адресу ok.aa24.net. В считанные часы эвристический анализатор WebPulse выявил его вредоносную сущность, после чего решения Blue Coat начали его блокировать.

Спустя 3 месяца, в апреле, та же группа киберпреступников создала командно-контрольный центр (C&C), призванный координировать работу компьютеров, заражённых с помощью этого сайта. WebPulse и здесь сработал оперативно: IP-адрес центра был признан подозрительным, и любые коммуникации с ним начали блокироваться.

Наконец, 26 августа 2012 года вредоносный сайт начал работать в полную силу и заражать заходящие на него компьютеры Трояном, использующим уязвимость нулевого дня в Java. На тот момент ещё ни один антивирус не был знаком с сигнатурами этой вредоносной программы. Но ни одна система, защищённая Blue Coat, не пострадала. Почему? Да потому что на момент начала распространения зловреда любые коммуникации как с «заразным» сайтом, так и с командным центром Трояна уже более полугода блокировались решениями Blue Coat. Пользователи физически не имели возможности зайти на этот сайт и подцепить вирус.

 

Новый и неизвестный веб-контент отправляется в WebPulse, где в режиме реального времени производится его анализ и категоризация. После этого в базу данных WebFilter автоматически заносится новая информация, а веб-шлюз ProxySG начинает управлять доступом к этому веб-контенту в соответствии с корпоративными политиками безопасности.

  • Решения для оптимизации сетевого трафика. Blue Coat предлагает заказчикам ряд продуктов, призванных улучшить производительность и пропускную способность сети без необходимости замены или модернизации имеющегося сетевого оборудования. Так, решение PacketShaper предназначено для группировки по приоритету важных видов сетевого трафика (например, VoIP-звонков или телеконференций) в ущерб менее важным (например, потоковому видео с Youtube). Устройства MACH5 позволяют оптимизировать потоки данных в WAN, в частности, ускорить работу протоколов, «на лету» сжимать видео-, Flash- и HTML5-данные, а также ускорять работу ключевых приложений (в том числе, доступ к файлам в WAN, к электронной почте и веб-ресурсам, а также резервное копирование и восстановление данных). Наконец, устройства CacheFlow обеспечивают интеллектуальное и высокопроизводительное кэширование веб-контента, позволяя сэкономить пропускную способность интернет-канала и ускорить работу пользователей с всемирной сетью.
  • Решения для защиты мобильных пользователей. Сегодня сотрудники ежедневно используют в своей работе мобильные устройства – смартфоны и планшеты – причём как принадлежащие компании, так и свои собственные. В том числе, с них осуществляется доступ к корпоративным данным, рабочей почте и т.п. Поэтому проблема защиты таких гаджетов день ото дня становится всё острее. Решение Blue Coat Mobile Device Security Service предназначено для защиты устройств на платформе Android и iOS от вредоносного ПО и несанкционированного доступа, шифрования данных, а также контроля исполнения корпоративных политик безопасности. А эффективная система отчётности позволит службе безопасности осуществлять мониторинг использования мобильных устройств.

 

Рисунок 2. Многоуровневый подход Blue Coat к защите пользователей

Многоуровневый подход Blue Coat к защите пользователей 

 

Таким образом, в своей системе безопасности Blue Coat реализовала многоуровневый подход к защите пользователей, который можно схематично изобразить в виде фильтра (см. Рисунок 2).

Следует отметить, что устройство ProxySG не является единственным продуктом Blue Coat. Помимо него в продуктовую линейку компании входят такие десятки других продуктов и связанных с ними услуг. О них мы постараемся рассказать в следующих публикациях.

Авторы:
Алексей Затопский
Иван Якубович

  

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru