Обзор Средства защиты информации и бизнеса 2006 подготовлен При поддержке
CNewsAnalytics 3Com TippingPoint

Две концепции фильтрации контента в корпоративной среде

Фильтрация контента — популярная технология, которую используют антивирусы и фильтры спама, средства защиты от нецелевого использования сетевых ресурсов и системы защиты от утечек. Столь широкое распространение приводит к некоторому замешательству среди заказчиков, которым становится все сложнее отличить одно решение от другого. Рассмотрим два концептуально разных подхода к фильтрации — сигнатурный и морфологический, реализованных в достаточно известных рынку решениях.


Технологии контентной фильтрации сегодня используются в самых различных решениях ИТ-безопасности. На них основаны средства предотвращения утечек конфиденциальной информации, борьбы со спамом и вирусами, пресечения нецелевого использования почтовых ресурсов и т.д. Тем не менее, широкое употребление термина «контентный фильтр» многими поставщиками часто вводит заказчика в заблуждение. Создается такое впечатление, будто все решения ИТ-безопасности представляют собой ни что иное, как различные высокоуровневые оболочки над одним и тем же ядром (фильтром контента). В результате, довольно сложно понять, почему разработчики приписывают своим продуктам разные функции и технические требования. Однако на деле у таких решений может вообще не оказаться ничего общего.

Рассмотрим для наглядности два продукта — Clearswift MIMEsweeper и InfoWatch Enterprise Solution, которые осуществляют фильтрацию контента, но принадлежат к различным классам решений как технологически, так и функционально. Прежде чем перейти к изучению архитектуры этих решений надо заметить, что статья не утратит актуальности, если на место продукта Clearswift поставить другое решение аналогичного класса, например, NetIQ или SurfControl.  

Сигнатурный принцип Clearswift MIMEsweeper

Продукт Clearswift MIMEsweeper является фильтром почтового и веб-трафика по принципу «все в одном». По заявлению разработчика, решение пресекает нецелевое использование почтовых и веб-ресурсов, фильтрует спам и вирусы, предотвращает утечку конфиденциальной информации через ресурсы электронной почты. Продукт имеет модульную структуру, централизованное управление, средства мониторинга и отчетности.

Из схемы покрываемых Clearswift MIMEsweeper ресурсов легко видеть, что решение концентрируется на внутренней фильтрации трафика Microsoft Exchange и IBM Lotus Domino и на внешней фильтрации SMTP- и HTTP-потоков.

Схема работы Clearswift MIMEsweeper

Контентная фильтрация в рамках Clearswift MIMEsweeper означает сканирование электронной корреспонденции на наличие вирусов, отсекание спама во входящем почтовом потоке и фильтрацию сообщений для выявления запрещенной к пересылке информации.

Технологии анализа сообщений для выявления вирусов и спама являются сегодня более или менее стандартными, поэтому следует остановиться на выявлении запрещенного контента. Здесь необходимо отметить, что Clearswift MIMEsweeper интегрируется с системами Domino и Exchange, то есть устанавливается на тот же самый почтовый сервер (экономия на аппаратном обеспечении важна для MIMEsweeper, так как продукт позиционируется именно для малых и средних компаний).

Фильтр решения работает не только с той корреспонденцией, которая покидает корпоративный периметр, но и той, которая циркулирует внутри него. Таким образом, продукт позволяет избежать таких угроз, как судебное преследование компании по иску одного из ее сотрудников в связи с дискриминацией со стороны других служащих. Это распространенная на западе практика — любой работник может легко заставить предприятие выплатить через суд компенсацию за рассылку персоналом непристойных, угрожающих, дискриминирующих и других материалов, нарушающих или права человека или унижающих его достоинство. Кроме того, фильтрация внутренних сообщений позволяет предотвратить нецелевое использование почтовых ресурсов, например, пресечь рассылку анекдотов, сомнительных графических файлов и любых других данных, не имеющих отношения к работе.

Сама фильтрация контента производится с использованием базы сигнатур. Это верно для анализа сообщений как на предмет вирусов и спама, так и на предмет запрещенного к пересылке контента. В последнем случае сигнатурный подход предполагает, что администратор решения может в любой момент зайти в базу данных MIMEsweeper и ввести новую ключевую фразу, поиск которой будет осуществляться в электронной корреспонденции. Таким образом, конфигурация и подстройка фильтра MIMEsweeper осуществляется довольно быстро и легко. При этом защита от утечки конфиденциальной информации через почтовые каналы осуществляется именно посредством сигнатурного сканирования.

В заключение необходимо остановиться на фильтрации веб-трафика, так как продукт Clearswift позволяет предотвратить нецелевое использование веб-ресурсов. Решение MIMEsweeper имеет базу данных, в которой содержатся URL запрашиваемых страниц. В результате, когда сотрудник пытается открыть развлекательную страницу (или сайт не деловой направленности), URL-фильтр просто проверяет запрашиваемый адрес в своей базе и принимает решение о характере запрашиваемых данных.

Морфологический подход InfoWatch Enterprise Solution

В отличие от предыдущего решения «все в одном», InfoWatch Enterprise Solution ставит единственную задачу — предотвратить утечку конфиденциальной информации в режиме реального времени и оповестить о неудавшемся инциденте офицера безопасности. Решая эту задачу, компоненты InfoWatch Enterprise Solution берут под контроль абсолютно все коммуникационные каналы в корпоративной среде: почту, веб, принтеры, порты рабочих станций, беспроводные сети, ноутбуки и т.д. Более того, чтобы обеспечить максимально эффективное расследование уже совершенных инцидентов в состав продукта входит InfoWatch *storage, обеспечивающий архивирование и безопасное хранение абсолютно всех данных, пересылаемых по каналам электронной почты и веб.

Архитектура InfoWatch Enterprise Solution носит распределенный характер и включает в себя несколько компонентов. Так, в состав решения входят сетевые фильтры, контролирующие передачу данных по каналам веб (Web Monitor) и электронной почты (Mail Monitor). Они позволяют выявить и предотвратить утечку конфиденциальной информации через почтовые ресурсы, а также веб-почту, чаты, форумы и т.д. Модули Net Monitor и Device Monitor обеспечивают всесторонний контроль над оборотом чувствительных данных на уровне рабочих станций. Компонент Net Monitor следит за действиями пользователя в средах Microsoft Office и Adobe Acrobat, контролирует вывод документов на печать и работу с буфером обмена, а также файловые операции (создание, удаление, изменение, чтение и переименование файла). Модуль Device Monitor позволяет в режиме реального времени управлять доступом пользователей к коммуникационным портам рабочей станции (CD-ROM, Floppy, HDD, жесткие диски, съемные накопители, COM-, LPT-, USB-, IrDA-порты, Bluetooth, FireWire, Wi-Fi) с учетом степени конфиденциальности пересылаемых на эти порты документов.

Схема работы InfoWatch Enterprise Solution

В состав решения входит сервер контентной фильтрации, с помощью которого определяется, какая информация является конфиденциальной, а какая публичной. За фильтрацию контента отвечает движок Morph-o-Logic, который использует не сигнатурные методы (как в решении Clearswift), а морфологические технологии. Это означает, что при внедрении решения создается специальная база контентной фильтрации, в которую заносятся все конфиденциальные документы организации. Обработав все эти документы, движок Morph-o-Logic в состоянии выявлять чувствительную информацию, специфичную для данной конкретной компании. Преимуществами данной технологии в отличие от сигнатурного поиска является возможность полноценной фильтрации русскоязычных текстов во всех кодировках, а также учет абсолютно всех словоформ корневых морфем, огромное количество которых специфично именно для славянских языков. Сигнатурный фильтр просто не в состоянии учесть все возможные словоформы, так как администратору необходимо самому задавать ключевые слова (сигнатуры) являющиеся конфиденциальными для данной организации. Более того, точность морфологических технологий позволяет блокировать утечку даже малых фрагментов конфиденциальных документов, при этом вовсе не требуется совпадение проверяемых данных с образцами из базы контентной фильтрации. Даже если инсайдер перефразирует мысль, воспользовавшись синонимами и по-другому построив предложения, фильтр все равно предотвратит утечку.

Концептуальная разница

Принципиально различные подходы Clearswift и InfoWatch к контентной фильтрации, объясняются в первую очередь тем, что каждый поставщик решает свои собственные задачи. Продукт MIMEsweeper нацелен на сегмент SMB и построен по модели «все в одном», в то время как решение InfoWatch Enterprise Solution предназначено для крупного бизнеса и концентрируется только на предотвращении утечек и внутреннем контроле и аудите. Другими словами, это два совершенно разных класса продуктов. Тем не менее, у заказчиков часто возникает путаница с контентной фильтрацией именно в данном контексте.

Исходя из поставленных целей, разработчики решают свои задачи по-разному. Например, почтовый фильтр InfoWatch Mail Monitor, входящий в состав комплексного решения, устанавливается на отдельный сервер, а не на тот же почтовый сервер, как MIMEsweeper. Более того, для повышения производительности и расширяемости рекомендуется ставить InfoWatch Mail Monitor на три отдельных сервера. Это продиктовано масштабом защищаемых сетей, так как разработчик ориентируется на крупный бизнес. Например, почтовый трафик «ВымпелКома», одного из пользователей InfoWatch Enterprise Solution, составляет более 20 Гб в сутки. Сеть компании включает в себя более 7 тыс. почтовых клиентов, так что возможности расширения системы защиты от утечек здесь как нельзя кстати. Кроме того, использование отдельных серверов позволяет разработчику отойти от проблем совместимости с различными версиями почтовых продуктов Microsoft, IBM, Novell и т.д., но зато сконцентрироваться на своем собственном функционале.

Конечно, по сравнению с Clearswift MIMEsweeper, у такого подхода есть два недостатка. Во-первых, заказчику требуется покупать дополнительное аппаратное обеспечение. Однако при росте производительности стоимость серверов постоянно снижается. Вдобавок, расходы на новое аппаратное обеспечение на порядок меньше стоимости лицензий на программные модули, поэтому часто могут быть компенсированы в рамках доступной заказчику скидки.

Во-вторых, использование отдельных серверов мешает осуществлять фильтрацию внутренней корреспонденции. Действительно, решение InfoWatch не в состоянии выявить пересылку запрещенных данных внутри корпоративной сети, однако такая задача и не ставилась. Ведь пока конфиденциальная информация не покинет сетевой периметр, угроза утечки не реализуется, а как раз эту угрозу адресует InfoWatch Enterprise Solution. Вдобавок, администратор почтового сервера может просто копировать всю корреспонденцию на отдельный ящик (в Microsoft Exchange это реализуется правилом «Always BCC to …»). В этом случае решение InfoWatch сможет отфильтровать запрещенные к пересылке данные и проинформировать о них офицера безопасности, но не сможет блокировать такое сообщение. Однако еще раз заметим, что это совсем другая угроза, нежели утечка корпоративных секретов.

По сравнению с продуктом Clearswift, модуль Mail Monitor не интегрируется со средствами фильтрации спама и вирусов, а модуль Web Monitor — с системами URL-фильтрации и ведения счетов (billing). Однако это является недостатком только в том случае, если за все эти продукты отвечает всего один служащий, что совсем не встречается в компаниях с количеством компьютеров более 300. Более того, разделение функций в крупных компаниях выглядит вполне логичным и обоснованным, так как борьба с утечками — это прерогатива отдела ИТ-безопасности, а URL-фильтрация и другие функции — это вотчина системного администратора или начальника отдела кадров. Между тем, если делить одну консоль управления на несколько человек, то ответственность за настройки будет размываться, что недопустимо для ИТ-безопасности. Да и финансового смысла в объединении всех продуктов в одном для заказчика нет, так как экономии ресурсов при этом не получается. Вместо этого, решение InfoWatch интегрируется с другими системами, которые могут пригодиться крупным предприятиям: продуктами для аудита действий пользователей, управления инцидентами и т.д.

Также компании Clearswift и InfoWatch по-разному подходят к самой контентной фильтрации. Выше уже говорилось, что MIMEsweeper использует сигнатурный подход, а InfoWatch Enterprise Solution — морфологический. В результате, когда администратору MIMEsweeper требуется обновить базу фильтрации, он просто открывает специальную консоль и вводит новое ключевое слово в базу данных. В случае использования продукта InfoWatch обновление контентной базы происходит несколько сложнее, так как на сервере контентной фильтрации база находится в откомпилированном виде. Однако вся сложность для администратора выливается лишь в несколько часов обучения. Между тем, плюсов от такого подхода несоизмеримо больше. Во-первых, использование откомпилированной версии базы позволяет достигать очень высокой производительности, что очень важно для крупных компаний с максимальной загруженностью почтовых каналов. Во-вторых, за счет компиляции значительно повышается безопасность самой контентной базы, которая сама может быть целью похищения, например, для реализации сценариев, позволяющих обмануть движок Morph-o-Logic. Наконец, скомпилированная база может размещаться в демилитаризованной зоне. При этом не будет нарушена безопасность системы, и надо будет перестраивать маршрут движения писем.

Следует отметить архитектурные различия продуктов Clearswift и InfoWatch, с точки зрения контентной фильтрации. Если фильтр MIMEsweeper анализирует корреспонденцию прямо на почтовом сервере, то в InfoWatch Enterprise Solution фильтрация вынесена за пределы почтового сервера. Более того, разные функции фильтрации реализованы на физически разных серверах. Такой подход имеет целый ряд преимуществ.

Во-первых, появляется возможность реализовать кластеризацию независимо от того, используется ли она на почтовом сервере. Это очень важно, например, в тех случаях, когда существует небольшой поток трафика, для которого необходимо реализовать сложные фильтры. Более того, благодаря вынесению функций фильтрации на разные серверы решение InfoWatch в состоянии работать во всех режимах резервирования (балансировка, холодный резерв, зеркало и «функция + bypass»). Во-вторых, можно воспользоваться многопоточной фильтрацией, причем реализовать ее самыми разными средствами: по процессам на одном процессоре, по процессорам на одном сервере, по разным серверам.

В-третьих, продукт InfoWatch может физически разделять функции on-line и off-line. То есть сложный запрос к терабайтной базе (например, почтовый архив «ВымпелКома» за 6 месяцев) в *storage не скажется на фильтрации текущей почты, и наоборот, более загруженный фильтр монитора не затормозит очередь на архивирование почты. Более того, в случае нехватки ресурсов эти процессы не будут конкурировать между собой, а сформируют системные вызовы — монитор вызовет резерв через балансера, создаст новый процесс или сформирует очередь, а InfoWatch *storage просто положит в базу необработанные письма, обработав их по мере возникновения ресурсов (например, ночью или в выходные).

В-четвертых, разнесение функций фильтрации позволяет использовать оптимизированные функции таких мощных баз данных как Oracle Enterprise (а не Oracle Standard или PostgreSQL) такие, как выгрузка архива на ленту/диск с сохранением индексов, запросы к многотомным архивам с единой файловой системой, кластеризация архива и т.д. Наконец, полностью распределенная архитектура позволяет строить распределенные схемы, типа «мониторы в филиалах» + «единое хранилище в центре».

Clearswift MIMEsweeper и InfoWatch Enterprise Solution — это решения двух совершенно разных классов. Несмотря на то, что оба продукта используют контентную фильтрацию, каждый из них ставит свои собственные цели и использует разные архитектурные подходы. Решение Clearswift фильтрует спам и вирусы, пресекает нецелевое использование почтовых и веб-ресурсов, а также в состоянии предотвратить отсылку запрещенного контента. Между тем, InfoWatch Enterprise Solution концентрируется только на предотвращении утечек конфиденциальной информации и создании архива пересылаемых по сети данных. Архитектурные различия вытекают из позиционирования продуктов. Продукт MIMEsweeper нацелен на сегмент SMB и поэтому работает прямо на почтовом сервере. Решение InfoWatch, напротив, направлено на нужды крупного бизнеса и использует максимально распределенную архитектуру. Формально общее у двух продуктов лишь то, что оба они осуществляют фильтрацию HTTP- и SMTP-трафика. Однако делается это для разных целей и с помощью разных технологий: сигнатурный подход у Clearswift и морфологический у InfoWatch. 

Денис Зенкин

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2006 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS