UTM как средство защиты от вредоносных программ на примере Juniper SRX с встроенным Антивирусом Касперского

UTM как средство защиты от вредоносных программ на примере Juniper SRX с встроенным Антивирусом Касперского
...

На наши вопросы согласился ответить Павел Лунин, технический директор компании Senetsy, и Константин Матюхин, менеджер по работе с технологическими партнерами в странах развивающихся рынков, Лаборатория Касперского. Это интервью продолжает цикл публикаций "Индустрия в лицах".

 

 

Павел Лунин

Технический директор компании Senetsy

Закончил факультет автоматической электросвязи, информатики и вычислительной техники Московского технического университета связи и информатики. В сфере телекоммуникаций и сетевой безопасности работает с 2003 года.

Технический директор Senetsy c 2009 года. До этого был инженером-консультантом по решениям для корпоративного сектора на базе оборудования Juniper Networks / NetScreen. До Senetsy работал в Департаменте защиты информации одного из крупнейших в Москве операторов связи, где приобрел обширный опыт работы с межсетевыми экранами и системами предотвращения атак разных производителей.

Имеет ряд технических сертификатов Juniper Networks, а также научных публикаций в области сетевой безопасности, обнаружения и предотвращения атак.

 

Ко второму десятилетию нового века мысль о том, что любой пользователь компьютера, подключённого к Всемирной сети, подвергается ежеминутным атакам, превратилась из апокалиптической страшилки в суровую реальность. Достаточно взглянуть на факты: количество уникальных образцов вредоносных программ, обнаруживаемых ежегодно, достигло 15 миллионов, суммарная вычислительная мощность ботнетов превысила производительность лучших суперкомпьютеров планеты на два порядка, а заголовки о многомиллионных грабежах, проворачиваемых хакерами, не покидают передовицы профильных изданий.

Что же могут сегодня сделать корпоративные пользователи для защиты от практически вездесущих вредоносных программ? О том, как обеспечить надёжную антивирусную защиту с минимальными трудовыми и материальными затратами, мы поговорим сегодня с Павлом Луниным, техническим директором компании Senetsy, и Константином Матюхиным, менеджером по работе с технологическими партнёрами «Лаборатории Касперского».

Здравствуйте! Все мы знаем, что антивирусные продукты от крупнейших мировых разработчиков – «Лаборатории Касперского», ESET, McAfee, Symantec и прочих – сегодня установлены на большинстве компьютеров корпоративных и домашних пользователей. Все разработчики утверждают, что их решения обеспечивают надёжную защиту. В чём же тогда проблема?

Павел Лунин: Здравствуйте!

Давайте, все же, сознаемся, что «на большинстве» -- не значит на всех. Далеко не всем компаниям хватает сил и возможностей претворять в жизнь достаточно суровую политику контроля за рабочими местами пользователей. Происходит это по разным причинам.

Во-первых, думаю, все мы примерно представляем, как могут выглядеть самые простые ситуации, когда антивирус приходится отключить. Старый компьютер «тормозит», а для покупки нового деньги в бюджет заложены только через полгода. Большой начальник топнул ногой: «Отключить» IT-отдел не поспевает за скоростью набора сотрудников. В конце концов, просто забыли обновить лицензию на антивирус.

Во-вторых — это особенно касается IT-компаний — часто опытные пользователи  прибегают к весьма сложным ухищрениям, чтобы для тех или иных целей отключить антивирус. Иногда от несознательности, но далеко не всегда. Скажем, разработчикам системного софта часто требуется на низком уровне взаимодействовать с операционной системой, устройствами, драйверами и т. п., чего антивирус обычно не позволяет. Или, например, инженерам в нашей компании отключение антивируса или снижение уровня безопасности в его настройках часто требуется при лабораторных испытаниях внедряемых решений и разного рода других мероприятиях «высокого IT-полета».

В-третьих. Нередко антивирусами на рабочих местах занимается одно подразделение, а информационной безопасностью в целом — другое, или даже какая-то из задач решена посредством аутсорсинга. В некоторых случаях эти подразделения не совсем уверены в достаточной компетентности друг друга, в каких-то — сознательно подстраховываются, дублируя часть функций. Возможна также политика диверсификации антивирусов: на рабочих местах установлен продукт одного производителя, а в UTM-системе используется антивирусное ядро другого. Кроме того, бывают ситуации, когда в корпоративную сеть входят сегменты, находящиеся в чужом административном ведении или, скажем, физически расположены на большом отдалении, и им не так-то просто привить IT-дисциплину.

Наконец, самая, так сказать, современная причина. Пользователи все больше становятся мобильными, и все больше компаний берут на вооружение философию BYOD (то есть, дают возможность сотрудникам работать на личных устройствах). Помимо компьютеров, у пользователей теперь есть масса гаджетов с бесконечным количеством операционных систем и их версий, за которыми часто не поспевает не только IT-служба, но и производители антивирусов. Наконец, есть гостевые зоны и переговорные комнаты, о пользователях которых мы зачастую вообще ничего не знаем.

Короче говоря, областей, куда корпоративная политика антивирусной защиты рабочих мест не может дотянуться, все-таки, достаточно много. Для них-то и придуманы UTM-системы.

Расскажите поподробнее о возможностях UTM-систем. Какие преимущества получают пользователи, защищённые антивирусом на шлюзе?

П.Л.: Для начала нужно сказать, что UTM – Unified Threat Management – по-русски означает «единый подход к защите от угроз». Конечно, это довольно размытый термин, если пытаться понять его буквально, но, в целом, идея достаточно проста: создать общий механизм реализации правил информационной безопасности на базе минимального количества устройств.

Подключая любую корпоративную, офисную или даже домашнюю сеть к интернету или другой сторонней сети, требуется выполнять ряд процедур с трафиком: трансляцию адресов (NAT), фильтрацию на базе заголовков сетевого и канального уровней, и т. п. Когда-то эти функции пытались возлагать на обычные маршрутизаторы, но довольно быстро стало понятно, что для этого нужен отдельный тип устройств. Так появились фаерволы. Через них проходит весь трафик, пересекающий периметр сети, а часто -- и трафик между внутренними сегментами, и, соответственно, логично в этой точке реализовать дополнительные, более высокоуровневые функции защиты.

UTM — одна из таких функций, она представляет собой встроенный в межсетевой экран «движок» сигнатурного и эвристического анализа, в который на обработку передается трафик, соответствующий тем или иным «простым» критериям: IP-адреса, протоколы, порты и т. п. Кстати говоря, это важно: совершенно необязательно, и даже неправильно обрабатывать посредством UTM весь трафик. Обычно это требуется для каких-то отдельных сегментов, о которых речь шла выше: WiFi-подсеть, гостевые зоны, филиалы и.т.д.

Преимущество UTM состоит в том, что данное решение развёрнуто на прозрачном для пользователей устройстве, доступа к которому они не имеют даже физически. Помимо этого, UTM-антивирус никак не взаимодействует с пользовательским устройством и его операционной системой. Соответственно, защищает он и те устройства, для которых штатный антивирус не используется или вообще не существует. UTM не мешает пользователям делать с компьютером или мобильным устройством все, что им заблагорассудится, если того требуют служебные обязанности.

Константин Матюхин

Менеджер по работе с технологическими партнерами в странах развивающихся рынков, Лаборатория Касперского

Закончил факультет Внешнеторгового менеджмента Всероссийской Академии Внешней Торговли. В «Лабораторию Касперского» пришел в июле 2005 года на позицию инженера технической поддержки Департамента OEM решений и заказной разработки. В настоящее время отвечает за сотрудничество с технологическими партнерами в странах развивающихся рынков, а также за развитие продаж глобальных технологических партнеров на указанной территории.

Поскольку мы – Senetsy – являемся партнером компании Juniper Networks, и это основной сетевой производитель, с которым мы работаем, то, конечно, я наиболее детально представляю себе UTM-систему, встроенную в межсетевые экраны Juniper SRX.

Для начала отметим, что в ней есть не только антивирус. Там и несколько видов URL-фильтрации, и полноценная IDP, и даже какой-никакой первичный антиспам. Ну, а антивирус — он как раз на базе ядра «Лаборатории Касперского».

Опишите типичный сценарий использования JuniperSRX с UTM или антивирусным модулем. Сколько пользователей можно защитить, установив JuniperSRX?

П.Л.: Давайте прежде вернемся к тому, с чего начали и, так сказать, «доизобретем» устройство, которого нам не хватает. Сначала, если вы помните, у нас был маршрутизатор. Потом мы в него добавили функции межсетевого экрана. Потом навесили UTM. В свою очередь, прогресс не стоит на месте – нынешние ethernet-коммутаторы стали помещаться в одну микросхему, и ее тоже логично сюда добавить вместе с соответствующим количеством физических портов.

Ровно это и сделала компания Juniper Networks, объединив свои наработки в маршрутизаторах, коммутаторах, фаерволах и IPS, а для остального (антивирус, антиспам и URL-фильтрация) пригласив в партнеры лидеров рынка. В итоге получился универсальный шлюз, который можно использовать в роли каждого из «подустройств» или их комбинации.

В ряде случаев, скажем, для офисов примерно до 15 пользователей, Juniper SRX вполне может быть единственным сетевым устройством — больше вообще ничего не нужно. В 90% корпоративных сетей большего масштаба нужно добавить лишь ethernet-коммутаторы для агрегации пользовательских портов или даже соответствующие интерфейсные карты в SRX.

У нашей компании есть опыт внедрения устройств SRX в качестве такого рода универсальных шлюзов для сетей очень разных масштабов. От точек продаж с двумя компьютерами до крупных офисов предприятий на несколько тысяч сотрудников.

Каковы технические характеристики шлюзов JuniperSRX? Насколько просто их настраивать и администрировать, как осуществлять и продлевать подписку на антивирус?

П.Л.: Линейка Juniper SRX включает в себя модели SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 и SRX650. Есть еще и старшая половина семейства: SRX1400, SRX3400/3600, SRX5600/5800 — это вообще одни из самых производительных фаерволов в мире. Но их мы оставим за скобками, т. к. основная их ориентация — центры обработки данных, для которых UTM-антивирус, все же, излишен ввиду отсутствия пользовательских устройств.

Младшие модели имеют совершенно одинаковый набор функций и возможностей, отличаясь только производительностью и количеством физических интерфейсов: от SRX100 с восемью портами при производительности 200 Мбит/с для IMIX-трафика в фаервольном режиме до SRX650, в который можно установить модулей суммарно на целых 60 портов, при фаервольной производительности 2,5 Гбит/с IMIX.

Как видно, не такие уж и «младшие» эти модели. Более того, IMIX — это стандартизированный шаблон длин пакетов с заметно меньшим средним, чем у интернет-трафика в жизни. Так что в реальности эти цифры можно умножать минимум на два, ведь чем больше длина пакета, тем меньше ресурсов процессора тратится на передачу каждого бита, и тем выше производительность в битах в секунду.

Здесь, конечно, нужно понимать, что речь идет именно о производительности межсетевого экрана, а не UTM-подсистемы. С ней производительность будет заметно ниже, но измерять ее в битах в секунду – не совсем верно. Давайте отдельно рассмотрим этот вопрос чуть позже.

Что касается простоты настройки и эксплуатации, то, конечно, надо понимать следующее. В отличие от сетевых устройств, за которыми в процессе эксплуатации нужно не очень много присматривать, устройства безопасности в силу их высокоуровневости требуют большего «ухода»: необходимо поглядывать в логи, иногда принимать после этого какие-то меры, что-то подкручивать.

Примерно то же самое и с первоначальной настройкой. В сетях вообще, а в безопасности особенно, важнее всего не разобраться, так сказать, на какие кнопки нажимать, а научиться правильно формулировать политику безопасности: что, как, и от чего защищать. Для этого потребуется определенный опыт. А что касается, собственно, конфигурирования, то оно примерно такого же порядка сложности, как для любого сетевого устройства: с десяток страниц документации, хотя бы наискосок, прочесть все-таки придется, но, в целом, — никакого бинома Ньютона.

Каков уровень обнаружения вредоносных программ антивирусным ядром JuniperSRX? Насколько надёжна такая защита?

П.Л.: Пожалуй, тут лучше ответит Константин, будучи все-таки представителем «Лаборатории Касперского», компании-разработчиком антивирусного ядра в SRX. Я же могу сказать следующие, так сказать, общетехнические вещи.

В Juniper SRX встроено два варианта антивирусной защиты. Оба на базе антивирусных  технологий «Лаборатории Касперского».

Первый – это так называемый Full AV, то есть обычный, полный режим, выполняемый на основных процессорах обработки трафика, тех же, которые реализуют и файрвольную обработку.

Второй, Express AV — базовый, «урезанный» режим, выполняемый на специальном сопроцессоре обработки регулярных выражений, который имеется в SRX.

Full AV обеспечивает более надежную проверку передаваемых файлов: он, например, умеет их разархивировать, кроме того, использует более широкий набор сигнатур. Но ценой этого является снижение производительности.

Express AV защищает только от наиболее распространенных угроз, зато практически не влияет на производительность.

Более подробно про сами «движки», думаю, расскажет Константин.

Константин Матюхин: Действительно, благодаря наличию в устройствах SRX двух антивирусных опций, пользователь сможет выбрать оптимальную для себя антивирусную стратегию – максимальную защиту (это подходит для большинства корпоративных сетей) или максимальное быстродействие (для сетей, в которых даже минимальное снижение быстродействия недопустимо).

Механизм FullAV, построенный на полноценном ядре Антивируса Касперского, проверяет сообщения электронной почты, файлы, передаваемые по протоколу FTP, а также скрипты и файлы, загружаемые при просмотре страниц в Интернете.

После того как шлюз направляет файл на сканирование, этот файл или скрипт сохраняется в кэше, а ядро антивируса сканирует его на все виды известного вредоносного кода. При обнаружении вируса пользователь получает сообщение о блокировке вредоносного кода (при этом используется тот же протокол передачи, который использовался при получении вредоносного кода, например в случае блокировки содержимого Web страницы вместо файла пользователю будет отправлена страница с уведомлением о блокировке вредоносного кода). При использовании традиционного антивирусного решения необходимо учитывать следующие факторы:

  • Full AV обеспечивает высокий уровень обнаружения вредоносных программ, так как использует большую базу антивирусных сигнатур.
  • Full AV позволяет сканировать архивные файлы, поскольку файл в кэше можно разархивировать до начала сканирования.
  • Размер сканируемых файлов ограничен только объёмом доступной памяти.
  • П.Л.: Константин, позвольте я вас перебью и скажу пару слов про оперативную память. Важно отметить, что некоторые из моделей SRX имеют модификации с базовым и расширенным объемом памяти. Для работы UTM нужны как раз те, которые с расширенной, в их кодах моделей присутствует индекс (H), а у моделей с базовой памятью — индекс (B). В моделях с SRX100H по SRX240H — 1 гигабайт памяти, а у SRX550 и SRX650 — 2 ГБ. При этом половина памяти отводится под UTM-систему, а половина — под нужды самого межсетевого экрана.
  • Full AV несколько замедляет работу шлюза, поскольку пересылаемые файлы сохраняются локально.
  • Количество файлов, сканируемых параллельно, ограничивается только объёмом доступной памяти и вычислительной мощностью процессора.

Опция ExpressAV основана на технологии Kaspersky SafeStream, использующей сигнатурный подход к обнаружению вирусов. При этом производительность сканирования многократно возрастает, благодаря аппаратному ускорению дополнительным чипом. Несколько сниженный уровень обнаружения вредоносных программ компенсируется покрытием самых опасных, распространенных и последних объектов. Опция Express AV использует модифицированные базы сигнатур «Лаборатории Касперского». У такого подхода к сканированию есть ряд особенностей, таких как:

  • Уровень обнаружения Express AV ниже, чем у полного антивируса, однако Express AV успешно обнаруживает наиболее распространённые зловреды.
  • Express AV не обнаруживает полиморфные и метаморфные вирусы, которые могут изменять своё тело, поскольку в модуле Express AV нет необходимых для этого эвристических алгоритмов.
  • Сканирование сжатых файлов поддерживается для потоковых алгоритмов архивирования (например, ZIP, GZIP, TAR), а сканирование многократно сжатых файлов не поддерживается.

При этом Express AV обладает следующими преимуществами:

  • Express AV поддерживает аппаратное ускорение, обеспечивая за счёт этого более высокую пропускную способность шлюза.
  • В ряде случаев кэширование файлов не производится, что увеличивает производительность всего решения.
  • При использовании Express AV задержки передачи данных минимальны, поскольку пакеты могут пересылаться параллельно со сканированием

И всё-таки, насколько – в абсолютных величинах – снижается производительность работы сети при использовании антивирусных возможностей шлюза?

П.Л.: Тут нужно понимать, что антивирус в режиме Full AV работает с файлами, а не с пакетами.  И вопрос производительности, в сущности, аналогичен вопросу о производительности антивируса на персональном компьютере: все очень сильно зависит от количества передаваемых файлов, их размера, алгоритма архивирования, если таковой применялся, и, что не менее важно, пропускной способности интернет-подключения. Чем выше она, тем меньше времени занимает закачка файла в память SRX.

То есть, сравнивать производительность антивируса с производительностью межсетевого экрана не совсем корректно. Однако, поскольку всем нужна какая-то цифра, чтоб от нее оттолкнуться, обычно принято говорить, что Full AV снижает производительность в среднем в 4 раза по сравнению с приведенными выше цифрами.

Но, на самом деле, это не является проблемой. Во-первых, Juniper SRX — весьма производительные устройства. Во-вторых, емкость интернет-подключения как правило на порядок, а то и на два ниже, чем скорость обработки. Наконец, как мы уже говорили, нет необходимости обрабатывать вообще весь трафик, включая трафик корпоративного ЦОДа, VoIP и т. д.

Не все, до сих пор, осознают принципиальную разницу между антивирусом и IPS. Поясните, пожалуйста, как IPS и антивирус защищают от вредоносных программ при использовании JuniperSRX?

П.Л.: IPS и UTM-антивирус — это хоть и родственные, но принципиально разные вещи. Если антивирус проверяет передаваемые файлы, то IPS ищет признаки атак прикладного уровня непосредственно в трафике, сравнивая его с базой данных сигнатур атак, плюс обнаруживая попытки некорректного использования протоколов, разного рода человеческое вмешательство в их работу и прочие аномалии. Кроме того, в устройствах Juniper SRX IPS умеет путем эвристического анализа трафика определять приложения, которые невозможно идентифицировать по номерам портов транспортных протоколов.

Таким образом, UTM-антивирус и IPS — это дополняющие друг друга механизмы, но ни в коем случае не заменяющие друг друга. В Juniper SRX встроены и тот, и другой, при этом использовать их можно как вместе, так и по отдельности.

К. М.: Антивирус в любой UTM системе – это один из ключевых компонентов защиты, но только один из. Так, ядро Антивируса Касперского, встраиваемое в шлюзы Juniper SRX, обеспечивает сигнатурную фильтрацию и эвристическую проверку  (в том числе в архивах и зашифрованных файлах), надёжно защищая от подавляющего большинства существующих вирусов, червей и троянов, в том числе, неизвестных вредоносных программ. Но, в то же время, для ряда угроз и сценариев заражения одного антивируса недостаточно. Безусловно, UTM обеспечивает более надёжную и всестороннюю защиту сети.

Q: В настоящее время всё больше компаний переводят свои защитные решения «в облако». Почему JuniperNetworks и «Лаборатория Касперского» не идут по этому же пути? Зачем продолжать тратить локальные ресурсы, если существует альтернатива?

К. М.: Никто не говорит об отказе от «облачных технологий». Напротив, «Лабораторию Касперского» можно, без преувеличения, назвать одним из пионеров использования коллективного разума миллионов пользователей для создания облачной системы защиты. В Kaspersky Security Network (KSN) добровольно участвуют десятки миллионов пользователей наших решений, благодаря которым мы смогли автоматизировать поиск новейших угроз и выпускать обновления антивирусных баз в считанные минуты после их появления. Но, в то же время, мы считаем, что полностью полагаться на облачные технологии на сегодняшний день было бы неправильно.

Во-первых, сможет ли хоть кто-нибудь ответственно заявить, что за прошедший год у него ни разу не пропадало соединение с интернетом? При этом бизнес в современных международных компаниях не останавливается ни на секунду. Без локальных вирусных баз и антивирусной логики компания, потерявшая связь с облачными антивирусными серверами, в одночасье становится совершенно беззащитной от любых векторов проникновения угроз.

Во-вторых, скорость связи с удалёнными ресурсами пока что остаётся на многие порядки ниже, чем скорость обмена данными в локальной сети. Даже если отправлять «в облако» на проверку хэши проверяемых файлов и скриптов (не говоря уже о файлах целиком), скорость работы сети немедленно упадёт до недопустимо низких значений.

«Лаборатория Касперского» уже несколько лет продвигает многоуровневый гибридный подход к защите от вредоносных программ и попыток взлома. Это означает, что компоненты системы защиты в идеале должны располагаться на каждом уровне сети – на рабочих станциях пользователей, в мобильных устройствах, на почтовых и файловых серверах, на шлюзе и.т.д. Разумеется, все эти компоненты должны находиться на связи с облачными ресурсами – для получения оперативных обновлений, для возможности вынесения экспертных заключений по сомнительным файлам и скриптам, для отправки статистических данных от пользователей в KSN… Но, в то же время, каждый из этих узлов должен быть способен работать самостоятельно.