Шлюз для защиты от вирусов

Последние эпидемии вирусов-шифровальщиков Wannacry и Expetya, широко освещавшиеся средствами массовой информации, еще раз показали, что даже в больших корпоративных сетях существуют проблемы недостаточной готовности используемых средств защиты от информационных угроз к вирусным атакам. Еще хуже ситуация в среднем и малом бизнесе, небольших государственных и ведомственных сетях, образовательных учреждениях, бюджеты которых на информационную безопасность зачастую выделялись только на антивирусное ПО для рабочих станций, что уже недостаточно для защиты от современных угроз.

В настоящее время разработчики вредоносных программ повсеместно используют практику предварительного тестирования собственного ПО на обнаружение десятками антивирусов. Поэтому надеяться на эвристические алгоритмы антивирусов и проактивную защиту, как правило, не приходится. А сигнатуры вредоносных программ попадают в базы данных антивирусов лишь через несколько часов после начала крупномасштабных эпидемий. На зараженных же устройствах работа антивирусов к этому времени будет уже заблокирована вирусами или клиентами ботнетов.

Поэтому оценки общего ущерба от интернет-преступности для мировой экономики, которые приводит международная исследовательская компания Allianz Global Corporate & Specialty, не удивляют. За 2016 год она оценила общий ущерб от интернет-преступности для мировой экономики (включая прямые потери, недополученную прибыль и расходы на восстановление систем) в более чем 575 млрд долларов. Это около 1% мирового ВВП.

Можно выделить следующие основные угрозы информационной безопасности:

• Шифровальщики.
• Ботнеты.
• Фишинг.
• Атаки на веб-приложения.
• Уязвимости в популярных операционных системах.
• Уязвимости в прикладном ПО (офисные приложения, браузеры и др.).
• Нецелевые атаки (массовые атаки на уязвимое ПО, обнаруженное сетевыми сканерами или "черными поисковиками").
• Таргетированные (целевые) атаки.

Эшелонированная оборона

Разумным ответом на возрастающие угрозы является усиление защиты на сетевом уровне. Защита периметра сети и сегментирование локальной сети (разделение на несколько подсетей с обязательной фильтрацией межсегментного трафика) позволяет не допустить проникновение вирусов внутрь защищенного контура или предотвратить полное заражение сети и критически важных блоков (компьютеров финансового отдела, бухгалтерии, серверов баз данных, бекапов, систем управления производственными процессами).

Естественно, для борьбы с современными угрозами необходимы современные средства защиты.

Простого межсетевого экрана с возможностью блокировки портов и протоколов сетевого уровня, преобразования сетевых адресов с помощью Network Address Translation (NAT) уже недостаточно.

Вредоносное ПО легко преодолевает периметр с помощью электронной почты, через вредоносные скрипты на веб-сайтах или с помощью эксплойтов в flash, pdf, doc и файлах других форматов.

Дальнейшее же распространение внутри локальной сети вирус Wannacry осуществлял уже через уязвимости в реализации SMB-протокола в операционной системе Windows.

На смену простым роутерам и межсетевым экранам в середине 2000-х пришли многофункциональные интернет-шлюзы (Multi-Service Business Gateway (MSBG)), имеющие ряд функций безопасности (межсетевой экран, контент-фильтр и другие), но и перегруженные бизнес-функциями, такими как веб-сервер, сервисы телефонии, Jabber, FTP и файловые серверы для сетей Microsoft. Как правило, обилие модулей предоставляет злоумышленникам целый ряд дополнительных векторов атак на данный тип ПО, как DoS, так и прямых взломов, когда через уязвимость веб-сервера злоумышленник может захватить контроль над устройством, и следовательно, над всей корпоративной сетью.

Современные решения безопасности для защиты сетевого периметра сформировались в категории шлюзов безопасности (Unified Threat Management (UTM)) и межсетевых экранов нового поколения (Next-Generation Firewall (NGFW)).

Различие между UTM и NGFW - вопрос дискуссионный. Основное их отличие от устаревших типов решений - наличие систем глубокого анализа трафика (Deep Packet Inspection (DPI)). Именно такой анализ позволяет выявить угрозы в обычном типе трафика: HTTP/HTTPS-сессиях, DNS-запросах, почтовых сообщениях - и обнаружить в трафике следы вредоносной активности, анализируя ошибки сетевых протоколов, частоту и характер сетевых соединений, обращения к подозрительным или скомпрометированным ресурсам. Администратору же устройства и ПО подобного типа предоставляют широчайшие возможности по управлению трафиком: возможность контентной фильтрации интернет-ресурсов, трафика приложений (включая потенциально опасные: TOR, BitTorrent, TeamViewer, анонимайзеры и другие программы удаленного доступа), а также логируя любую подозрительную сетевую активность.

Данный вопрос актуален не только для специалистов, выбирающих подобный тип решений для обеспечения безопасного доступа в интернет и защиты от различного типа угроз, но и для производителей решений в области сетевой безопасности.

Наш десятилетний опыт разработки решений класса UTM говорит о том, что данный тип решений должен обладать следующими свойствами:

• Решение должно быть безопасным.
  Само по себе не предоставлять злоумышленникам дополнительные векторы атак. Не организовывайте на интернет-шлюзе файловый или веб-сервер. Слишком велик риск потери данных и компрометации данного сервиса.
• Оно должно быть современным.
  Не использовать устаревшие технологии, протоколы, подходы. Ни в коем случае не используйте на серверах для выхода в интернет операционную систему Windows: она наиболее уязвима для различного вида атак - и любое ПО, основанное на данной ОС: Microsoft TMG, Traffic Inspector, Usergate Proxy&Firewall, Kerio WinRoute, Traffpro.
• Решение должно быть простым.
  С оптимальными настройками по умолчанию и невозможностью небезопасной настройки. Администратор может не иметь соответствующей квалификации, у него может не быть времени на информационную безопасность, в конце концов, у вас может не быть собственных ИТ-специалистов в штате. Решение должно предусматривать получение современных настроек системы безопасности с обновлениями ПО и автоматически поддерживать высокий уровень собственной защищенности и жесткий уровень фильтрации опасного трафика.
• Оно должно быть комплексным.
  Обеспечивать защиту от широкого спектра устройств. Использование большого количества узкоспециализированного ПО или аппаратных комплексов будет неудобным, даже если они объединены общей консолью управления.

Рекомендации по защите

Обязательно используйте потоковую проверку трафика на вирусы. Это поможет блокировать вредоносные скрипты на сайтах, зараженные файлы и другие опасные объекты еще до их попадания на пользовательские устройства.

В Ideco ICS для проверки веб-трафика используется антивирус ClamAV или антивирус Касперского, в зависимости от доступного по лицензии. Антивирусный модуль от "Лаборатории Касперского" предоставляет более высокий уровень защиты, а антивирус ClamAV доступен даже в бесплатной редакции Ideco SMB и обеспечивает базовую проверку трафика.

Клиенты ботнетов, вирусы и шифровальщики часто пытаются обойти системы фильтрации и сохранить анонимность своих командных центров, используя для связи сеть TOR или другие анонимайзеры.

Обязательно заблокируйте эти возможности обхода систем фильтрации и анализа трафика, закрыв способы для удаленного управления злоумышленниками вредоносным ПО.

В Ideco ICS есть все возможности по блокировке данного типа трафика, описанные в соответствующей статье документации.

Загрузка активного содержимого троянских программ, их общение с командными центрами чаще всего происходит по протоколам HTTP/HTTPS, открытым в корпоративных сетях. Поэтому фильтрация трафика, включая обязательно HTTPS, необходима для предотвращения проникновения в сеть вредоносного ПО.

Особую опасность представляют фишинговые ресурсы. Маскируясь под страницы легитимных сайтов: интернет-банков, веб-почты и других - они обманным путем пытаются завладеть учетными данными пользователя. Блокировка подобных доменов на уровне шлюза поможет пользователям сохранить свои учетные данные и предотвратит возможные финансовые и репутационные потери.

При использовании расширенного контент-фильтра в Ideco ICS мы рекомендуем заблокировать следующие категории трафика:

• Анонимайзеры (веб-прокси и другие способы обхода системы контентной фильтрации).
• Ботнеты.
• Взлом (веб-сайты, содержащие хакерское ПО и утилиты).
• Тайный сбор информации (блокирует активность adware и шпионского ПО).
• Спам (веб-сайты, рекламируемые при помощи спама, часто пытаются атаковать компьютеры пользователей).
• Центры распространения вредоносного ПО.
• Центры управления и контроля (командные центры ботнетов).
• Фишинг/мошенничество.
• Порнография (зачастую подобные ресурсы содержат опасное содержимое и вредоносные скрипты).
• Шпионское и сомнительное ПО (сайты, содержащие ссылки на шпионское ПО, клавиатурные шпионы).

Инструкция по настройке контент-фильтра в Ideco ICS доступна в документации.

Один из важнейших модулей глубокого анализа трафика, который позволяет заблокировать попытки применения известных эксплойтов с помощью сигнатурного и статистического анализа трафика, также он ведёт журналирование инцидентов безопасности и различных аномалий.

Кроме того, в Ideco ICS данный модуль обладает расширенной функциональностью, включающей в себя:

• Блокировку анонимайзеров (плагинов к популярным браузерам, турбо и VPN-режимов браузеров).
• Блокировку телеметрии Windows (сбора информации об использовании ПО и пользовательской активности).
• Блокировку известных IP-адресов злоумышленников, "хакерских" хостингов и зараженных хостов по обновляемой базе IP Reputation.

Активация данного модуля существенно повышает общую безопасность сети и сервера.

Еще один модуль глубокого анализа (DPI) трафика. Администраторам рекомендуется запретить трафик приложений удаленного доступа (TeamViewer, AmmyAdmin) для тех пользователей, у которых нет необходимости в подобном ПО для рабочих целей.

Злоумышленники, применяя методы социальной инженерии (обманным путем), могут заставить пользователя предоставить доступ к хостам внутри сети с помощью подобного программного обеспечения.

Известны случаи проникновения злоумышленников в защищенные банковские сети таким, на первый взгляд, простым способом.

Email-адреса сотрудников, как правило, можно очень легко найти на сайтах компаний, поэтому электронная почта является наиболее частым вектором атаки злоумышленников. Многоуровневая проверка почтового трафика необходима для предотвращения попадания в сеть вредоносного ПО, фишинга и спама.

Обязательно настройте на корпоративном сервере электронной почты следующие параметры фильтрации:

• Проверку SPF-записи почтового домена. Она не позволит злоумышленникам выдавать свои письма за письма из налоговой инспекции, банка и с других известных доменов, которым доверяют пользователи.
• Проверку корректности DKIM-подписи. Большинство корпоративных почтовых серверов (у сервера Ideco ICS также есть эта возможность) используют DKIM-подписи для подтверждения сервера отправителя и предотвращения использования домена в фишинговых целях.
• Используйте проверку ссылок в письмах на фишинг (в Ideco ICS такая проверка осуществляется модулем Касперский Антифишинг, входящего в состав Антиспама Касперского).
• Обязательно проверяйте вложения на вирусы на этапе приема их почтовым сервером (в Ideco ICS для этого можно использовать антивирус ClamAV и Антивирус Касперского).

В схеме фильтрации почтового трафика в Ideco ICS большая часть данных настроек включена по умолчанию и не требует конфигурирования. Как и защита почтового сервера от DoS-атак злоумышленников, грозящих недоступностью столь важного для корпоративной работы сервиса.

Вредоносное ПО может использовать разрешенный трафик по 53 UDP-порту для общения со своими командными центрами. Подмена же ответов DNS-сервера или прописывание собственного DNS-сервера в сетевых настройках устройства предоставляет злоумышленникам широчайшие возможности для фишинга. При этом пользователь будет заходить в браузере по адресу своего интернет-банка, но в действительности это будет очень похожая страница, созданная злоумышленниками.

На Ideco ICS включите перехват DNS-запросов в настройках DNS-сервера. И используйте безопасные фильтрующие DNS-сервера: SkyDNS или Яндекс.DNS. Это позволит блокировать обращения к доменам, созданным злоумышленниками, уже на уровне резолвинга DNS-адреса и предотвратит туннелирование и маскировку DNS-трафика вредоносным ПО.

Вкратце о чём речь шла в первой части и какие вопросы при этом могли возникнуть.

Одноступенчатая защита в виде корпоративного антивируса с агентами на серверах и рабочих станциях далеко не всегда эффективна. Это можно сравнить с постмодерацией на форуме, когда модератор реагирует на сообщение, которое уже появилось и успело вызвать определённый эффект.

Для таких задач неплохо подходит вариант с использованием программно-аппаратного комплекса. Во-первых, такое решение менее уязвимо, во-вторых, специализированные устройства не требуют мощного аппаратного обеспечения, потребляют меньше электроэнергии и в целом более экономичны.

Надо понимать, что возможности оборудования не безграничны, поэтому антивирусное ПО должно быть адаптировано для подобных вариантов использования.

В то же время это должно быть достаточно эффективное, хорошо зарекомендовавшее себя решение от известного производителя, которому можно доверять.

Также в состав вооружения входят модули антиспама и контентной фильтрации от Cyren Technology.

ПРИМЕЧАНИЕ. В рамках небольшой публикации невозможно охватить весь спектр решений, связанных с понятием информационной безопасности и защиты от вредоносного кода. Данный цикл статей первому знакомству с продуктами USG40/USG40W/ USG60/USG60W. Полное описание возможностей данных устройств можно найти здесь.

Ниже приводится описание процедуры настройки и установки устройства USG40W. Данная информация также справедлива и для остальных позиций из той же линейки: USG40, USG60 и USG60W.

Сброс к заводским настройкам

Строго говоря, эта процедура не является обязательной.

Что происходит при возврате к заводским настройкам?

При изменении настроек в процессе эксплуатации, новая конфигурация устройства сохраняется в файле startup-config.conf .

Настройки по умолчанию хранятся в файле sytem-default.conf

Во время процедуры возврата к заводским установкам файл startup-config.conf переписывается резервным sytem-default.conf , и таким образом восстанавливаются настройки по умолчанию.

Пошаговое описание процедуры сброса к заводским настройкам:

1. Включите устройство и дождитесь полной загрузки. Сигнал готовности — прекращение мигания индикатора SYS. Убедитесь, что светодиодный индикатор SYS горит постоянно.

Рисунок 1. Вид USG40W спереди. Красной окружностью выделен индикатор SYS.

2. Нажмите кнопку RESET и удерживайте её пока индикатор SYS снова не начнёт моргать (обычно это занимает около 5 секунд).

Отпустите кнопку RESET и дождитесь перезагрузки устройства. Во время выполнения процедуры возврата к заводским настройкам перезагрузка может занять несколько минут.

При сбросе к заводским параметрам восстанавливаются следующие значения:

• IP-адрес: 192.168.1.1
• Маска подсети: 255.255.255.0
• Логин по умолчанию: admin
• Пароль: 1234

Сразу после сброса настроек можно подключиться к устройству посредством SSH-соединения и получить возможность управления через интерфейс командной строки.

Принципы, заложенные в командный интерфейс данного устройства во многом напоминают Cisco IOS, что позволяет быстро освоиться в соответствующем окружении.

Адрес для подключения к web интерфейсу по умолчанию — 192.168.1.1

Рисунок 3. Окно логина в web-интерфейс Zyxel USG40W.

В некоторых случаях приходится выполнить дополнительную настройку алгоритмов безопасности, в частности, RC4 для HTTPS-подключений.

Дело в том, что популярные браузеры не используют алгоритмы безопасности RC4 и DES для HTTPS-подключений. Например, так обстоит дело в Google Chrome, начиная с версии 48.

Сигналом к такой несовместимости будет сообщение как на рисунке 4 (или аналогичное):

Чтобы получить возможность входа, нужно отключить старые методы шифрования RC4 и DES.
Тогда по умолчанию будет использован метод шифрования AES, и подключение через web-интерфейс станет доступно для всех типов браузеров, поддерживающих данный алгоритм.

После подключения к оболочке командной строки появится стандартный диалог ввода имени пользователя и пароля.

Далее после получения приглашения вводим команду перехода в привилегированный режим:

Обратите внимание, что так же как и Cisco IOS при переходе в привилегированный режим значок приглашения “>” сменился на “#”.

Переходим в режим конфигурации:

Вводим команды запрета старых методов шифрования RC4 и DES:

Выходим из интерфейса:

Рисунок 5. Отключение старых методов шифрования RC4 и DES в CLI.

Примечание. Как видно из примера, при на работе с устройствами от Zyxel для специалистов, прошедших подготовку на оборудовании других вендоров, не должно возникнуть особенных трудностей.

Теперь, установив исключение, можно выполнить вход на web-интерфейс.

Рисунок 6. Окно браузера после установки правильного метода шифрования.

Для первого входа необходимо ввести логин и пароль по умолчанию.

Сразу после самой первой аутентификации пользователя попросят сменить пароль.

С целью упростить первоначальное вхождение в работу с новым оборудованием, в web-интерфейс Zyxel USG40/USG40W/ USG60/USG60W встроено два основных режима:

• Простой режим — предназначен для быстрой конфигурации основных модулей;
• Режим опытного пользователя — для выполнения тонких настроек и полного контроля над устройством.

Рисунок 7. Простой режим управления.

Рисунок 8. Режим опытного пользователя.

Переключение между режимами возможно в любой момент времени.

При переключении открывается диалоговое окно, предлагающее сохранить сделанный выбор для следующих сеансов.

Рисунок 9 Окно сохранения режима работы.

Хорошей практикой перед началом настройки будет обновить устройство на самую свежую прошивку.

Рисунок 10. Управление микропрограммой.

Рисунок 11. Окно обновления через Интернет.

Далее появится окно с запросом подтверждения перезагрузки устройства.

Современный интерфейс управления Zyxel позволяет выполнить множество простых операций без предварительной подготовки.

В то же время существуют и специализированные курсы.

Стоит отметить, что получение расширенных знаний по вопросу, с которым приходится работать — дело очень хорошее и рано или поздно возникает необходимость в таком обучении.

Однако, чтобы освоить работу с оборудованием Zyxel — не обязательно становится именно сетевым инженером. Системный администратор общего профиля, в одиночку выполняющий работу по обслуживания ИТ-инфраструктуры может самостоятельно справиться со многими аспектами настройки подобных устройств. Доступное управление и хорошая документация позволяет решить множество вопросов без углублённого погружения в нюансы интерфейса командной строки. Можно сразу выполнить первоначальные настройки в Простом режиме управления, а уже по мере освоения достигнуть максимального уровня адаптации к ИТ-инфраструктуре.

Разработчик:	TrustPort (Чехия)
Лицензия:	Пробная версия 30 дней
Цена:
Версия:	6.0.0.3079
Обновлено:	2015-07-22
Системы:	Windows 7 / 2008 / Vista / 2003 / XP / 2k
Интерфейс:	английский
Рейтинг:
Ваша оценка:
Категория:	Корпоративные антивирусы
Размер:	287 MB

Минимальные системные требования
Процессор: Intel Pentium IV
RAM: 1 Гб оперативной памяти
HDD: 10 Гб свободного пространства на диске

TrustPort Net Gateway обеспечивает защиту периметра корпоративной сети от вредоносного ПО, спама, фишинга, взараженных вложений электронной почты, вредоносных загрузок и нежелательных веб-сайтов.

Антивирус, антиспам и веб-защита на входе в сеть компании. Уничтожает вредоносные программы еще до того, как они попадают на рабочие станции (компьютеры и ноутбуки) и файловые серверы. Решение эффективно справляется со спамом и фишингом, и блокирует загрузку нежелательных веб-сайтов при использовании сети Интернет.

• Антивирус и антишпион
Многоядерные антивирусные технологии. Высокая эффективность TrustPort Net Gateway обеспечивается защитой от вредоносных файлов и программ с использованием следующих нескольких антивредоносных движков

• Антиспам
Продвинутые средства для фильтрации нежелательных писем - спама с использованием многоуровневой технологии: анализ заголовков, применение правил и эвристический анализ.

• Антифишинг
Защита от фишинговых атак с улучшенной антифишинговой базой.

• Веб-фильтрация
Защита от нежелательных сайтов и вредоносных загрузок.

• Статистика трафика
Подробные отчеты о сетевой активности.

• Удаленное управление
Централизованное управление защитой сети с широким спектром настроек.

TrustPort Net Gateway (6.0) обеспечивает защиту от спама и вирусов сетевого периметра и блокирует вредоносное ПО до его распространения и заражения рабочих станций и файловых серверов. Кроме того, решение эффективно удаляет спам и позволяет оптимально использовать интернет-соединение.

Передовая защита Отражение онлайн-угроз происходит не на рабочих станциях, а ранее - в точках входа в сеть. Это означает, что проблемы устраняются единожды, а не по отдельности на каждом компьютере. Надежность решения делает возможным параллельную обработку больших объемов входящей и исходящей информации.

Защита электронной почты и веб-защита Четыре сканирующих движка антивируса обеспечивают мониторинг всей электронной почты и веб-трафика и почти 100% обнаружение вредоносного кода. Каждому сканирующему движку может быть назначено свое задание, таким образом, администратор имеет в своем распоряжении широкий спектр настроек.

Многоуровневый антиспам Большая часть спама отсекается программой после получения названия сообщения, что снижает в дальнейшем число загружаемых файлов. Обнаружение спама ведется на нескольких уровнях, в том числе сканирование названий сообщений, исполнение правил и эвристический анализ сообщения.

Веб-фильтрация Для лучшего интернет-соединения необходимо вести мониторинг и управлять всем сетевым веб-трафиком. Сетевой администратор может заблокировать нежелательные категории веб-сайтов, например, порно- и игровые.

Статистика трафика Программа ведет запись всех событий безопасности в отношении электронной почты и веб-трафика. На основе этих данных, администратор может создать отчет и принимать решения по политике безопасности всей сети.

Модульное решение Решение TrustPort Net Gateway состоит из антивируса, антиспама и модуля фильтрации. Заказчики могут приобрести все модули или выбрать необходимые. Если сеть перегружена спамом, можно приобрести модуль антиспам, для борьбы с вредносным ПО, Вы можете приобрести модуль антивируса.

Электронная почта — один из важнейших компонентов нормального функционирования бизнеса. Количество писем, проходящих через корпоративные сервера, может исчисляться и сотнями, и десятками тысяч. Тут все зависит только от размеров компании. Поэтому обеспечение информационной безопасности в этом сегменте — важная часть корпоративной стратегии ИБ в целом. В этом обзоре мы расскажем вам о ведущих инструментах защиты электронной почты — Email Security Gateway — и предоставим удобный инструмент для выбора оптимального варианта.

Для тех, кто сомневается, что электронная почта может стать серьезным источником угроз, приведем один простой пример. Многие известные вирусы-вымогатели, например WannaCry, Petya и NotPetya, которые нанесли по всему миру убытков на миллиарды долларов, распространялись в том числе и через e-mail. Шлюзы безопасности и электронной почты в том частности, как раз и призваны бороться с подобными угрозами, а также более прозаическими вещами, например, спамом, интернет-мошенничеством (фишингом) и т.д. Они анализируют электронные письма и блокируют действия тех из них, которые содержат нежелательный контент: вредоносные вложения, фишинговые (ведущие на поддельные сайты) ссылки, назойливую рекламу. Некоторые из них также умеют блокировать передачу приватной и конфиденциальной корпоративной информации.

Еще одна проблема, которую решают такие шлюзы — обилие личных устройств (смартфонов, планшетов, ноутбуков), которыми сотрудники пользуются в служебных целях. Такой формат работы называется BYOD (от англ. bring your own device — принеси собственное устройство). Но он также несет дополнительные риски для ИБ.

С ростом количества устройств, спама и атак через электронную почту, ситуация будет только усугубляться. Поэтому надежный шлюз безопасности электронной почты — это важное звено в информационной безопасности предприятия.

На сегодняшний день шлюзы безопасности электронной почты бывают нескольких видов: публичный облачный сервис, аппаратное обеспечение, виртуальные устройства, а также их гибриды. Но как выбрать именно то решение, которое необходимо предприятию? Для этого нужно ответить на ряд вопросов.

Например, насколько у решения продвинутые базовые функции безопасности? Чем больше возможностей предоставляет продукт, тем, конечно, лучше. Если одно решение предлагает только базовую защиту от вирусов на основе сигнатурного анализа, а другое еще и проверку в песочнице, то следует обратить внимание именно на второй вариант. Там защита от вирусов будет более надежной.

Точно такой же подход нужен и для защиты от спама. Некоторые решения позволяют самостоятельно формировать списки и политики блокировки. Другие умеют удерживать нежелательную почту на карантине. Если вдруг туда по ошибке попадет нужное письмо, всегда будет возможность его восстановить на протяжении определенного периода времени.

Еще один вопрос — какую дополнительную функциональность предлагает продукт и нужна ли она? Например, многие решения дают возможность шифровать почтовые сообщения. Если для компании это важный момент, то стоит обратить внимание на такие продукты. Если нет, возможно, не стоит переплачивать.

Вопросы хранения информации тоже важны. Главный можно сформулировать так — где будут храниться письма? Во многих компаниях корпоративная политика ИБ требует, чтобы почта находилась на внутренних серверах. В таком случае облачные решения неприемлемы, которые предусматривают хранение почты на серверах поставщика услуг.

Barracuda Email Security Gateway

Защита от вредоносных программ: есть

Защита от продвинутых угроз: есть

Пробный период: есть

Решение компании Barracuda — это мощный и функциональный инструмент для мониторинга всей входящей и исходящей почты организации. Barracuda Email Security Gateway поставляется в виде как аппаратного, так и виртуального решения, а также в качестве облачного сервиса на платформе Amazon Web Services или MS Azure. Продукт защищает от атак, вирусов, DoS-атак и утечек конфиденциальных данных через письма. Он позволяет шифровать сообщения и использовать облако для отправки электронной почты. Это может пригодиться, если почтовые серверы становятся недоступными в результате атаки или поломки.

Защита почты происходит несколькими способами. Для фильтрации писем можно использовать ряд предустановленных политик. В соответствии с ними нежелательные письма будут отсеиваться. От фишинговых атак в режиме реального времени защищает облачный компонент Barracuda Sentinel. В нем применяются элементы машинного обучения и искусственного интеллекта. Интеграция с облачными сервисами также позволяет снизить нагрузку на аппаратное обеспечение компании, так как дополнительные проверки входящей и исходящей почты осуществляются в облаке.

Cisco Email Security

Защита от вредоносных программ: есть

Защита от продвинутых угроз: есть

Пробный период: есть, 45 дней

Решение от одного из ведущих вендоров в сфере ИТ, которое поставляется как в аппаратном, так и в облачном варианте. В зависимости от типа подписки, Cisco Email Security защищает электронную почту организации от спама, вирусов и целенаправленных атак (базовый вариант), а также предоставляет простые в использовании решения в области шифрования и предотвращения потери данных (DLP) для обеспечения информационной безопасности.

Одна из самых важных функций продукта — борьба с угрозами нового поколения, которые в первые часы и дни своего существования очень трудно обнаружить. От них защищает механизм блокирования целенаправленных атак Cisco Outbreak Filters. В нем используются три основных элемента — эвристика целенаправленных атак, динамический карантин и облачное сетевое перенаправление.

Кроме этого, продукт обладает всеми необходимыми функциями для подобного рода решений: в наличии политики безопасности, антиспам, обнаружение фишинга и др. В работе Cisco Email Security используется интеллектуальная платформа для анализа угроз

Cisco Talos, а также имеется тесная интеграция с Office 365.

Microsoft Exchange Online Protection

Защита от вредоносных программ: есть

Защита от продвинутых угроз: нет

Пробный период: есть

Это решение рассчитано исключительно на облачную модель использования. Не смотря на то что это продукт Microsoft, ориентированный в первую очередь на работу с Microsoft Exchange Server, он также совместим с любым локальным решением электронной почты. Exchange Online Protection предназначен для борьбы со спамом и вредоносными программами, а также для управления политиками сообщений.

Exchange Online Protection предусматривает три варианта работы. В изолированном сценарии он обеспечивает облачную защиту электронной почты для локальной среды. В гибридном варианте продукт можно настроить для защиты среды обмена сообщениями и управления маршрутизацией почты, когда имеется набор локальных и облачных почтовых ящиков. А как часть продукта Microsoft Exchange Online он включен по умолчанию и также обеспечивает защиту облачных почтовых ящиков этого сервиса.

Защита от вредоносных программ: есть

Защита от продвинутых угроз: есть

Пробный период: есть

Защитный продукт для электронной почты от Fortinet поставляется в виде физических и виртуальных устройств, а также в качестве облачного сервиса. Он может работать как самостоятельное решение, но также является частью Fortinet Advanced Threat Protection (Fortinet ATP). Этот комплекс обеспечивает защиту от сложных угроз и целенаправленных атак. У FortiMail есть продвинутые инструменты для блокировки спама, фильтрации вредоносных ссылок и файлов из фишинговых писем. Также он умеет предотвращать утечки информации и шифровать корреспонденцию на основе идентификационных данных.

В борьбе с вредоносными программами FortiMail использует комбинацию из сигнатурных, эвристических и поведенческих методов обнаружения. Аэффективность блокировки спама составляет 99,997% — это результаты независимого тестирования Virus Bulletin, состоявшегося летом 2017 года. Данный показатель — один из лучших на рынке.

Proofpoint Email Protection

Защита от вредоносных программ: есть

Защита от продвинутых угроз: частично

Пробный период: есть, 45 дней

Proofpoint— это американская компания, деятельность которой в основном направлена как раз на разработку решений почтовой безопасности. Один из ее флагманских продуктов — облачное решение Proofpoint Email Protection. Оно предлагает средства защиты от фишинговых писем и пересылаемых вредоносных файлов, блокировку спама и подозрительных ссылок, а также защиту от почтовых вирусов. При работе со входящей и исходящей почтой используются гибкие политики. Они дают возможность применять несколько уровней правил: глобальные, групповые и пользовательские, что позволяет удобно настраивать работу системы.

Proofpoint Email Protection проверяет входящую почту по сотням параметров, в том числе по адресу отправителя, заголовкам, содержанию, вложениям и т. д. Это защищает компанию от набирающей обороты угрозы — писем от самозванцев, которые маскируются под доверенных адресантов, например, руководство компании или деловых партнеров.

SonicWALL Email Security

Защита от вредоносных программ: есть

Защита от продвинутых угроз: да

Пробный период: есть

Почтовая защита от компании SonicWALL поставляется в трех вариантах: в виде аппаратного обеспечения, облачного сервиса, а также программного продукта. Их можно комбинировать, а можно использовать по отдельности. Тут все зависит от потребностей организации и модели работы.

По функциональности эти решения предлагают стандартный набор из комплексной защиты входящих и исходящих сообщений, блокировки спама, защиты от фишинга, шифрования почты, защиты от потери данных, набора политик для фильтрации писем и т. д. В продукте есть модуль Capture Advanced Threat Protection service, который позволяет эффективно бороться с угрозами нулевого дня. Ас фишинговыми угрозами SonicWALL Email Security справляется при помощи эвристического анализа, машинного обучения, анализа контента и репутации отправителя.

The Email Laundry

Защита от вредоносных программ: есть

Защита от продвинутых угроз: частично

Пробный период: есть

Этот облачный сервис предлагает полный спектр защиты электронной почты от всех видов современных угроз. Проходя через облака службы, письма проверяются на пяти уровнях: это поведенческий анализ, проверка репутации, содержимого, сканирование антивирусом и применение пользовательских настроек. В последнем случае это может быть работа с белыми и черными списками, блокировка любого заданного контента и т. д.

Одна из главных функций продукта — борьба с поддельными письмами. По отзывам клиентов, The Email Laundry легко справляется с такими угрозами. В дополнение к этому средство предоставляет блокировщик спама с заявленной надежностью 99.99%.

Symantec Email Security.cloud

Защита от вредоносных программ: есть

Защита от продвинутых угроз: да

Пробный период: есть

Symantec — известный производитель антивирусного ПО — также имеет облачное решение для защиты электронной почты. В нем стандартный набор для подобного рода инструментов: антифишинг, антиспам, защита от вредоносных программ и ссылок, шифрование и обеспечение конфиденциальности.

Так как у Symantec есть целый арсенал средств для обеспечения информационной безопасности, множество из них используются и в этом продукте. Один из них — технология проверки ссылок в реальном времени. Она отслеживает полные, а также сокращенные ссылки в письмах и анализирует содержимое веб-сайтов, на которые они ведут. Если ссылки не соответствуют критериям безопасности, письма с ними блокируются. Для борьбы со спамом используется эвристический анализ, проверка получателей, списки запрещенных адресов, а также сканирование входящих и исходящих сообщений. По заявлению разработчиков, это позволяет заблокировать 99 % несанкционированных рассылок.

Symantec Email Security.cloud также умеет защищать и шифровать пересылаемые данные при помощи набора специальных политик, что помогает снизить риск утечки информации. Технология защиты данных анализирует различные компоненты электронной почты, в том числе текст сообщения, заголовки, содержимое документов Microsoft Office и PDF, встроенных в сообщение или отправленных в виде вложения.

Шлюзы безопасности электронной почты — это не панацея от всех бед, но важная составляющая комплексного подхода к информационной безопасности. Использование этих продуктов существенно снижает риск применения фишинга и социальной инженерии, а также распространения опасных вирусов в корпоративной сети. Большинство из них обладают схожей функциональностью. Но отличия, как видно из нашего обзора, все же есть.

Чтобы проще ориентироваться в этих тонкостях, вы можете воспользоваться таблицей сравненияИз нее вы узнаете о наличии или отсутствии тех или иных функций в каждом рассмотренном шлюзе и увидите все необходимые данные о продуктах. Это поможет вам сделать осознанный выбор решения в соответствии с вашими потребностями максимально комфортно.