Контентная фильтрация

Размещено на http://www.allbest.ru/

Содержание

Введение

Новые тенденции в области контентной фильтрации

Современные угрозы

Фильтрация Web-трафика

Подходы к категоризации сайтов и данных

Предопределенные базы категорий сайтов

Категоризация данных на лету

Данные о категории, предоставляемые сайтами

HTTPS и другие виды шифрованного трафика

Контроль передачи шифрованных данных

Введение

В настоящее время контентную фильтрацию нельзя выделить в отдельную область компьютерной безопасности, настолько она переплелась с другими направлениями. В обеспечении компьютерной безопасности контентная фильтрация очень важна, поскольку позволяет вычленять потенциально опасные вещи и корректно их обрабатывать. Подходы, появившиеся при разработке продуктов для контентной фильтрации, находят применение в продуктах для предотвращения вторжений (IDS), распространения вредоносного кода и других негативных действий.

На основе новых технологий и продуктов в области контентной фильтрации создаются дополнительные услуги для пользователей, повышается качество защиты и обеспечивается возможность не только обрабатывать существующие угрозы, но и предотвращать целые классы новых угроз. фильтрация категоризация база шифрованный

Новые тенденции в области контентной фильтрации

Одна из общих тенденций развития продуктов информационной безопасности -- стремление реализовать различные функции в одном устройстве или программном решении. Как правило, разработчики стараются выполнить решения, которые кроме функций контентной фильтрации еще выполняют и функции антивируса, межсетевого экрана и/или системы обнаружения и предотвращения вторжений. С одной стороны, это позволяет снизить затраты компаний на покупку и сопровождение систем безопасности, но с другой -- функциональность таких систем часто оказывается ограниченной. Например, во многих продуктах функции фильтрации Web-трафика сведены только к проверке адресов сайтов относительно какой-либо базы данных категорий сайтов.

К этому же направлению можно отнести и развитие продуктов в соответствии с концепцией Unified Threat Management (UTM), которая обеспечивает унифицированный подход к предотвращению угроз независимо от того, какой из протоколов или какие данные обрабатываются.

Этот подход позволяет избежать дублирования функций защиты, а также обеспечить актуальность данных с описанием угроз для всех контролируемых ресурсов.

В существующих уже достаточно давно областях контентной фильтрации -- контролепочты и Интернет-трафика -- также происходят изменения, появляются новые технологии.

В продуктах для контроля почтового обмена стала выходить на первый план функция защиты от фишинга. А в продуктах для контроля Интернет-трафика происходит смещение от использования заранее подготовленных баз адресов к категоризации по содержимому, что является очень актуальной задачей при работе с разнообразными портальными решениями.

Кроме двух указанных выше областей, возникают и новые области применения контентной фильтрации -- некоторое время назад начали появляться продукты для контроля за передачей мгновенных сообщений (instant messaging) и peer-to-peer (p2p) соединений. В настоящее время активно разрабатываются также продукты для контроля за VoIP-трафиком.

Во многих странах активно стали развивать средства для перехвата и анализа многих видов информации, которая используется для различного вида расследований (lawful interception). Данные мероприятия проводятся на государственном уровне и наиболее часто привязываются к расследованию террористических угроз. Такие системы перехватывают и анализируют не только данные, передаваемые по каналам Интернет, но также и по другим видам связи -- телефонным линиям, радиоканалам и т.п. Наиболее известной системой для перехвата информации является Echelon -- система, использовавшаяся американской разведкой для сбора информации. В России также существуют различные реализации системы оперативно-розыскных мероприятий (СОРМ), которые используются для захвата и анализа информации в интересах спецслужб.

В качестве одной из тенденций на рынке продуктов контентной фильтрации можно отметить массовую консолидацию компаний-производителей таких решений. Хотя эта тенденция в большей мере отражает организационную сторону процесса, но она может привести к появлению новых продуктов и направлений для компаний, у которых этих направлений не было, либо они занимали незначительную часть сектора рынка таких компаний. Иллюстрацией вышесказанного могут служить следующие случаи объединения/поглощения компаний:

· компания Secure Computing, которая в прошлом году купила компанию Cyberguard, обладающую хорошим набором средств фильтрации Интернет-трафика, летом объединилась с другой компанией -- CipherTrust, имеющей большой опыт разработки средств для фильтрации почтового трафика;

· компания MailFrontier, производившая средства для защиты почтового трафика, была поглощена компанией SonicWall, у которой до этого не было решений с таким качеством разработки;

· в конце июля 2006 г. компания SurfControl, известная своими решениями в области контентной фильтрации, купила компанию BlackSpider, которая предоставляла расширенные сервисы в части компьютерной безопасности;

· в конце августа 2006 г. произошло самое грандиозное поглощение -- компания Internet Security Systems (ISS) подписала соглашение о слиянии с компанией IBM. Это слияние является примером большого интереса к информационной безопасности со стороны крупных компаний-разработчиков программного обеспечения;

· В январе 2007 г. компания Cisco поглотила компанию IronPort, имеющию хорошую линейку продуктов для безопасности электронной почты;

· компания Microsoft за последние несколько лет провела поглощение нескольких компаний, занимавшихся информационной безопасностью. Самым крупным из них было поглощение компании Sybari с ее линейкой средств защиты от вирусов и другого вредоносного кода, а также средств для контентной фильтрации почтовых и мгновенных сообщений. Поглощение Sybari и других компаний позволяет Microsoft успешно конкурировать на новом для нее рынке компьютерной безопасности.

Стоит также отметить, что в последние годы начали появляться продукты с открытым исходным кодом для контентной фильтрации. В большинстве случаев они не достигают такого функционала как коммерческие приложения, однако есть конкретные решения и области применения, где они могут составить реальную угрозу.

Современные угрозы

Современная ИТ-инфраструктура подвергается множеству атак, целью которых становятся и простые пользователи, и компании независимо от их размера. Наиболее актуальными являются следующие виды угроз:

· Фишинг (Phishing) -- распространившиеся в последнее время способы перехвата важных данных пользователей (паролей, номеров кредитных карт и т.п.) с помощью техник социальной инженерии, когда пользователя ложным письмом или сообщением от той или иной организации пытаются заставить ввести определенные данные на сайте, контролируемом злоумышленником;

· Spyware & Malware -- различные средства, позволяющие перехватывать данные или устанавливать контроль над компьютером. Существует множество разновидностей таких средств, которые различаются по степени опасности для компьютера -- от простого показа рекламных сообщений до перехвата данных, вводимых пользователями, и захвата контроля над операциями с компьютером;

· вирусы и другой вредоносный код -- вирусы, черви и троянцы -- давно известная угроза для ИТ-инфраструктуры. Но с каждым годом появляются новые модификации вредоносного кода, которые часто эксплуатируют уязвимости в существующем программном обеспечении, что позволяет им распространяться автоматически;

· SPAM/SPIM -- нежелательные сообщения, передаваемые с помощью электронной почты (SPAM) или средств обмена мгновенными сообщениями (SPIM) заставляют пользователей тратить свое время на обработку нежелательной корреспонденции. В настоящее время СПАМ составляет более 70% всех передаваемых почтовых сообщений;

· атаки на инфраструктуру -- ИТ-инфраструктура компаний имеет очень важное значение, атаки с целью выведения ее из строя предельно опасны. Для них могут быть задействованы целые сети компьютеров, зараженных каким-либо вирусом, используемым для перехвата управления. Например, некоторое время назад был распространен вирус, содержавший в себе код, который должен был в определенное время начать распределенную атаку на сайты компании Microsoft с целью выведения их из строя. Зараженными оказались несколько миллионов компьютеров, и только ошибка в коде вируса не позволила выполнить планируемую атаку;

· утечка бизнес-информации -- предотвращение таких утечек является одной из главных задач продуктов контентной фильтрации. Утечка важной информации может нанести компании непоправимый ущерб, порой сравнимый с потерей основных средств производства. Поэтому во многих продуктах развиваются средства для определения каналов скрытой передачи данных, таких например, как применение стеганографии;

· угроза судебного преследования -- этот вид угроз крайне актуален для компаний, если их сотрудники могут пользоваться файлообменными сетями, скачивая и/или распространяя музыку, фильмы и другое содержимое, защищенное авторским правом. Судебное преследование возможно и за распространение клеветнической и/или порочащей информации, касающейся третьих лиц.

Первым пяти видам угроз подвергаются как домашние компьютеры, так и компьютеры корпоративных сетей. А вот последние две угрозы являются особенно актуальными для компаний всех видов.

Фильтрация Web-трафика

В последнее время в области фильтрации Интернет-трафика происходят различные изменения, обусловленные появлением новых технологий фильтрации и изменением технологий, которые используются для построения Интернет-сайтов.

Одной из наиболее важных тенденций развития продуктов контентной фильтрации в части контроля Интернет-трафика является переход от использования баз данных категорий сайтов к определению категории сайта по его содержимому. Это стало особенно актуально с развитием различных порталов, которые могут содержать наполнение разных категорий, изменяющееся во времени и/или подстраиваемое под настройки клиента.

Ставшие в последнее время популярными технологии и инструменты построения Интернет-сайтов, такие как Ajax, Macromedia Flash и другие, требуют внесения изменений и в технологии фильтрации Интернет-трафика.

Использование шифрованных каналов для взаимодействия с Интернет-сайтами обеспечивает защиту данных от перехвата третьими лицами, но в то же время, по этим каналам передачи данных могут происходить утечка важной информации или проникновение вредоносного кода в компьютерные системы.

Актуальной остается проблема интеграции средств защиты с системами, обеспечивающими функционирование ИТ-инфраструктуры, такими как прокси-серверы, веб-серверы, почтовые серверы, серверы каталогов и т.п. Разными компаниями и некоммерческими организациями разрабатываются протоколы для взаимодействия между различными системами.

О современном положении дел в этой области пойдет речь ниже.

Подходы к категоризации сайтов и данных

Категоризация сайтов и данных, на них размещенных, может выполняться разными способами. В настоящее время выделяются следующие виды категоризации:

· использование предопределенных баз категорий сайтов с регулярным обновлением списков сайтов и категорий;

· категоризация данных на лету путем анализа содержимого страниц;

· использование данных о категории, информацию о принадлежности к которой предоставляет сам сайт.

Каждый из этих методов имеет свои достоинства и недостатки.

Предопределенные базы категорий сайтов

Использование заранее подготовленных баз адресов сайтов и связанных с ними категорий -- давно используемый и хорошо зарекомендовавший себя метод. В настоящее время такие базы предоставляют многие компании, такие как Websense, Surfcontrol, ISS/Cobion, Secure Computing, Astaro AG, NetStar и другие. Некоторые компании используют эти базы только в своих продуктах, другие позволяют подключать их к продуктам третьих фирм. Наиболее полными считаются базы, предоставляемые компаниями Websense, Secure Computing, SurfControl и ISS/Cobion, они содержат информацию о миллионах сайтов на разных языках и в разных странах, что особенно актуально в эпоху глобализации.

Категоризация данных и формирование баз категорий обычно производится в полуавтоматическом режиме -- сначала выполняются анализ содержимого и определение категории с помощью специально разработанных средств, которые даже могут включать в себя системы распознавания текстов в картинках. А на втором этапе полученная информация часто проверяется людьми, принимающими решение о том, к какой категории можно отнести тот или иной сайт.

Многие компании автоматически пополняют базу категорий по результатам работы у клиентов, если обнаруживается сайт, не отнесенный еще ни к какой из категорий.

В настоящее время используются два способа подключения предопределенных баз категорий сайтов:

· использование локальной базы категоий с регулярным ее обновлением. Данный метод очень удобен для больших организаций, имеющих выделенные серверы фильтрации и обслуживающие большое количество запросов;

· использование базы категорий, размещенной на удаленном сервере. Данный метод часто применяется в различных устройствах -- небольших межсетевых экранах, ADSL-модемах и т.п. Использование удаленной базы категорий немного увеличивает нагрузку на каналы, но обеспечивает использование актуальной базы категорий.

К преимуществам применения предопределенных баз категорий можно отнести то, что предоставление или запрет доступа производится еще на этапе выдачи запроса клиентом, что может существенно снизить нагрузку на каналы передачи данных. А главный недостаток использования данного подхода -- задержки в обновлении баз категорий сайтов, поскольку для анализа потребуется некоторое время. Кроме того, некоторые сайты достаточно часто меняют свое наполнение, из-за чего информация о категории, хранящаяся в базе адресов, становится неактуальной. Некоторые сайты также могут предоставлять доступ к разной информации, в зависимости от имени пользователя, географического региона, времени суток и т.п.

Категоризация данных на лету

Категоризация сайтов на лету также осуществляется самыми разными способами. Особенно часто используются методы, основанные на статистическом подходе к анализу содержания.

Один из простых вариантов реализации такого решения -- использование байесовских алгоритмов, которые себя достаточно хорошо зарекомендовали в борьбе со спамом. Однако у этого варианта есть свои недостатки -- необходимо его периодически доучивать, корректировать словари в соответствии с передаваемыми данными. Поэтому некоторые компании применяют более сложные алгоритмы определения категории сайта по содержимому в дополнение к простым способам. Например, компания ContentWatch предоставляет специальную библиотеку, которая выполняет анализ данных согласно лингвистической информации о том или ином языке и на основании этой информации может определять категорию данных.

Категоризация данных на лету позволяет быстро реагировать на появление новых сайтов, поскольку информация о категории сайта не зависит от его адреса, а только от содержания. Но такой подход имеет и недостатки -- необходимо проводить анализ всех передаваемых данных, что вызывает некоторое снижение производительности системы. Второй недостаток -- необходимость поддержания актуальных баз категорий для различных языков. Тем не менее, некоторые продукты применяют этот подход с одновременным использованием баз категорий сайтов. Сюда можно отнести использование Virtual Control Agent в продуктах компании SurfControl, механизмы определения категорий данных в СКВТ "Дозор-Джет".

Данные о категории, предоставляемые сайтами

Кроме баз данных адресов и категоризации содержимого на лету существует и другой подход к определению категории сайтов -- сайт сам сообщает о том, к какой категории он относится.

Этот подход в первую очередь предназначен для использования домашними пользователями, когда, например, родители или учителя могут задать политику фильтрации и/или отслеживать, какие сайты посещаются.

Существует несколько путей реализации данного подхода к категоризации ресурсов:

· PICS (Platform for Internet Content Selection) -- спецификация, разработанная консорциумом W3 около десяти лет назад и имеющая различные расширения, направленные на обеспечение надежности рейтинговой системы. Для контроля может использоваться специальное разработанное программное обеспечение, доступное для загрузки со страницы проекта. Более подробную информацию о PICS можно найти на сайте консорциума W3.org (http://www.w3.org/PICS/).

· ICRA (Internet Content Rating Association) -- новая инициатива, разрабатываемая независимой некоммерческой организацией с тем же названием. Основная цель данной инициативы -- защита детей от доступа к запрещенному содержимому. Данная организация имеет соглашения с множеством компаний (крупные телекоммуникационные и компании-разработчики ПО) для обеспечения более надежной защиты.

· ICRA предоставляет программное обеспечение, которое позволяет проверять специальную метку, возвращаемую сайтом, и принимать решение о доступек этим данным. Программное обеспечение работает только на платформе Microsoft Windows, но благодаря открытой спецификации существует возможность создания реализаций фильтрующего ПО и для других платформ. Цели и задачи, решаемые данной организацией, а также все необходимые документы можно найти на сайте ICRA -- http://www.icra.org/.

К достоинствам этого подхода можно отнести то, что для обработки данных нужно только специальное программное обеспечение и нет необходимости обновлять базы адресов и/или категорий, так как вся информация передается самим сайтом. Но недостатком является то, что сайт может указывать неправильную категорию, а это приведет к неправильному предоставлению или запрещению доступа к данным. Однако эту проблему можно решить (и она уже решается) за счет использования средств подтверждения правильности данных, таких как цифровые подписи и т. п.

HTTPS и другие виды шифрованного трафика

По расчетам некоторых аналитиков, до 50% Интернет-трафика передается в зашифрованном виде. Проблема контроля шифрованного трафика сейчас актуальна для многих организаций, поскольку пользователи могут применять шифрацию для создания каналов утечки информации. Кроме того, шифрованные каналы могут использоваться и вредоносным кодом для проникновения в компьютерные системы.

Существует несколько задач, связанных с обработкой шифрованного трафика:

· анализ данных, передаваемых по зашифрованным каналам;

· проверка сертификатов которые, используются серверами для организации шифрованных каналов.

Актуальность этих задач возрастает с каждым днем.

Контроль передачи шифрованных данных

Контроль передачи данных, пересылаемых по зашифрованным каналам, является, наверное, самой важной задачей для организаций, сотрудники которых имеют доступ к Интернет-ресурсам. Для реализации этого контроля существует подход, называемый "Man-in-the-Middle" (в некоторых источниках его также называют "Main-in-the Middle"), который может использоваться злоумышленниками для перехвата данных. Схема обработки данных для данного метода дана на рисунке:

Размещено на Allbest.ru