Аналіз вмісту поштового і веб-трафіку

Системи аналізу вмісту поштового і веб-трафіку (електронна пошта і НТТР). Політики безпеки, сценарії і варіанти застосування і реагування.

Система mail-контент

Система являє собою набір політик, правил, фільтрів для аналізу вхідного і вихідного поштового трафіку.
Існує два способи роботи системи:

  • «В розриві»;
  • «В відгалуженні»

У «розриві» — це режим, при якому вся вхідна та вихідна кореспонденція обов’язково проходить крізь контент — систему, яка, працюючи в online режимі, здійснює аналіз пошти і приймає рішення: відправка / затримка ітд.

У «відгалуженні» — це режим, при якому система отримує копію поштового потоку. Аналіз вмісту і реакція на порушення політик йде як постфактум.

Система mail-контент складається з двох груп серверів:

  • розбору поштового потоку;
  • зберігання поштових повідомлень.

Ось простий приклад політики:

  • Вхідна кореспонденція проходить обов’язкові фільтри:
    • антиспаму (тільки Вашу електронну пошту);
    • антивіруса (вхідна та вихідна);
  • далі відбувається контент-перевірка:
    • листи від Топ менеджменту (акціонери і керівники компанії) не проходять перевірку і не складаються в загальну базу листів;
    • листи від начальників підрозділів проходять всі фільтри і з відповідними знаками і / або повідомленнями адміністратору складаються в базу (для можливого подальшого розслідування інциденту і / або порушення);
    • листи інших співробітників проходять всі фільтри і, за певних умов затримуються, адміністратор системи отримує повідомлення з копією листа для подальшого розслідування порушення.

Система web — контент

Система являє собою набір політик, правил роботи, фільтрів. На відміну від mail — контенту, web — контент може бути встановлений тільки в розрив. Система також складається з двох груп серверів:

  • аналіз вмісту web — трафіку (а так само кешування потоку);
  • зберігання журналів (логів і звітів).

При великому бюджеті дані сервера можуть бути рознесені, але при невеликих навантаженнях і потоці, можуть бути суміщені. Окремо відзначимо, що перша група серверів повинна бути кластером — для підвищення відмовостійкості та надійності.

Наведемо приклад політик:

Для груп користувачів, визначених вище:

  • для Топ менеджменту компанії немає ніяких обмежень на відвідувані сайти і на обсяг трафіку;
  • для начальників підрозділів обмеження по трафіку немає, але існує правила, за якими заборонена група сайтів, пов’язана з хакерськими і поштовими сервісами;
  • для рядових співробітників існують обмеження на відвідування определнного сайтів і на трафік (за обсягом і типом скачуваних файлів);
  • інші специфічні для бізнесу компанії групи.

Категорії сайтів і правила роботи:

  • обов’язкова перевірка на антивірус і відсікання сайтів з банерами;
  • поштові сервіси (mail.ru, pochta.ru і.т.д.) і сервіси, пов’язані з інтернет — пейджерами (icq і інші) — заборонені для всіх, крім першої групи (щоб виключити витік конфіденційної інформації);
  • сайти з доступом по https — заборонені всі ті, що ні дозволені явно: наприклад сайт стільникового оператора MTS повинен бути дозволеним, так як там SSL протоколом закриті дані по рахунку користувача. Відзначимо, що зазначені сайти становлять небезпеку пов’язану з тим, що контент — система не може визначити що йде в зашифрованому потоці — ні перевірити на вірус, ні визначити тип даних і зміст;
  • сайти з порнографічним змістом — закриті;
  • сайти, пов’язані з пошуком роботи — відкриті тільки для співробітників відділу підбору персоналу, для інших — закриті;
  • розважальні сайти (гумор, музичні, мобільні телефони, інтернет магазини) — закриті в робочий час, доступ до них відкритий до початку робочого дня і після його закінчення;
  • сайти для роботи (що відповідають специфіці бізнесу компанії) — доступ на ці сайти відкритий завжди і у співробітників є можливість завантажувати з них файли будь-якого типу. Даний список постояно поповнюється на прохання користувачів;
  • сайти, пов’язані з хакерською спрямованістю (анонімайзери, сайти з шкідливим ПЗ) — закриті.

Додаткові, тонкі моменти:

  • для категоризації сайтів повинні використовуватися як списки, постійно поповнюються в ручну, так і спеціальні сервіси в інтернеті (як правило платні);
  • помилкові спрацьовування — їх багато не тільки в період налагодження систем, але і в період нормальної роботи. На жаль, цього не уникнути так швидко, як хотілося б, але досягти можна постійним вдосконаленням фільтрів, списків, правил.
  • наявність всередині компанії внутрішнього сервера Microsoft Update і налаштованої політикою оновлення ПЗ на серверах і робочих станціях — це підвищить рівень безпеки та зменшить інтернет-трафік;
  • інтеграція систем антиспаму і антивіруса в систему контент аналізу пошти дозволить ефективніше боротися з вірусами і спамом, так як лист розбирається один раз і результати розбору використовуються відразу трьома системами.

Оставить комментарий