Защите вашей сети пора поумнеть

Постоянные инциденты с вредоносным кодом на компьютерах домашних пользователей и в корпоративных сетях указывают на то, что антивирусная индустрия идет по неправильному пути. Нужны новые, более интеллектуальные системы безопасности, которые обеспечат защитой не только в сегодняшних, но и в завтрашних условиях, когда количество угроз будет значительно больше.

Традиционный подход к антивирусной защите

В любой сети периодически происходят инциденты, связанные с проявлением активности вредоносного кода. Причина происходящего заключается в том, что антивирусные технологии, разработанные всего несколько лет назад, попросту не в состоянии "бороться" с огромным количеством образцов вредоносного кода (последние несколько лет количество образцов растет экспоненциально).

Несостоятельность традиционного подхода к обеспечению защиты от вредоносного кода очевидна. Каждый день антивирус закачивает обновления баз вирусных сигнатур для сотен новых образчиков угрозы. При этом подавляющая часть этих вирусов либо не представляет опасности для данной сети (нацелена на уже неиспользуемые платформы или закрытые уязвимости), либо вообще не в состоянии проникнуть в сеть. Несмотря на это, антивирус загружает все обновления, храня их на каждом компьютере в сети и при проверке используя всю базу для каждого файла. Обратим внимание и на другой недостаток традиционного подхода к антивирусной защите. Например, блокировка угрозы происходит непосредственно на компьютере "жертвы", то есть фактически когда вирус и антивирус остаются "один на один".

Trend Micro Smart Protection Network: инновационный подход

Инновационный подход, устранивший отмеченные недостатки, демонстрирует технология Trend Micro Smart Protection Network. Идея заключается в том, что обработку угроз нужно производить непосредственно в Интернете, не допуская опасности до корпоративных локальных сетей и компьютеров домашних пользователей. Для этого в разных частях света развернуты несколько специализированных дата-центров, которые поддерживают работу трех технологий: "репутация электронной почты", "репутация файлов" и "Web-репутация". Данные технологии, действуя в режиме реального времени, обеспечивают защиту от всех известных и, что самое важное, неизвестных угроз.

Защита от последних реализуется корреляционным анализом репутационных баз данных, который лежит в основе этих технологий. Фактически содержимое каждой базы является источником информации для двух других. Так, обнаруженный новый источник спама не только попадает в базу опасных источников почты, но и образцы пойманного спама используются для пополнения других баз. Образцы анализируются на предмет содержания ссылок на сайты (для пополнения базы Web-репутации) и присоединенных файлов (для пополнения базы репутации файлов). Тут важно подчеркнуть ценность процесса корреляции: не имея в распоряжении крупнейшей в индустрии базы источников спама, невозможно автоматически причислять какие-либо ссылки и файлы к категории "опасные". Кроме автоматического и ручного пополнения баз угроз, Smart Protection Network использует каждый запрос к базам для пополнения в реальном времени информации о новых опасностях. Достаточно "заподозрить" некий IP-адрес в рассылке спама - и тут же обращения пользователей Smart Protection Network при получении корреспонденции с этого адреса становятся свидетельством того, что спам рассылается массово. В этом случае "вредный" адрес фиксируется в спам-базе на продолжительное время. На данный момент лишь в некоторых продуктах Trend Micro используется эта технология. Но перспективы очевидны.

Spam Prevention Solution

Решение для защиты от спама Spam Prevention Solution в составе InterScan Messaging Security блокирует до 70% опасных писем, используя технологии репутации электронной почты, значительно снижающие нагрузку на сеть. Эвристические методы анализа позволяют довести уровень блокируемого спама до 98%.

InterScan Web Security позволяет использовать сервис репутации сайтов, что не только способствует повышению производительности труда сотрудников через блокировку доступа к сомнительным сайтам, но и позволяет оградить персонал от посещения опасных сайтов.

Особо примечательно, что первым продуктом, в котором была реализована поддержка технологии блокировки опасных сайтов, был не шлюзовый InterScan Web Security фильтрации Web-трафика, а продукт для защиты рабочих станций и серверов Trend Micro OfficeScan. В настоящий момент в продукт OfficeScan добавляется поддержка технологии репутации файлов.

Одной из отличительных особенностей сервисов Smart Protection Network является простота в использовании, дающая возможность работы не только с продуктами Trend Micro. В настоящий момент Smart Protection Network используется в продуктах Cisco, Linksys и Sony.

Больше пользователей - сильнее защита

Суть подхода Smart Protection Network проста: он позволяет пользователю быть уверенным, что и в будущем этот продукт будет продолжать с легкостью масштабироваться на любое количество вновь возникающих угроз. Учитывая то, что новые вирусы появляются и будут появляться тысячами и десятками тысяч в день, ценность Smart Protection Network представляется нам очевидной. Более того, у Smart Protection Network не существует технологических ограничений для отражения даже самого мощного потока атак.

Неоспоримо важным оказывается и тот факт, что каждый пользователь технологии автоматически вносит вклад в ее совершенствование. Smart Protection Network получает запросы от каждого пользователя и, аккумулируя их, повышает эффективность защиты. Таким образом, очевидно: больше пользователей - сильнее защита!