Blue Coat CAS: информация из первых рук
Интервью с Кевином Флинном из Blue Coat Systems и Алексеем Весельским из headtechnology о защищенном веб-шлюзе Content Analysis System (CAS).
Тема защиты корпоративных сетей от современных кибер-угроз не теряет свою остроту. В этом году компания Blue Coat Systems выпустила решение класса Content Analysis System (CAS, Система анализа контента) — новейший защищенный веб-шлюз (Secure Web Gateway, SWG), обладающий возможностями, ранее не встречавшимися в аналогичных решениях. Чтобы узнать больше деталей, мы задали ряд вопросов непосредственно производителю решения и его дистрибьютору на отечественном рынке: Кевину Флинну (Kevin Flynn), директору по продуктовому маркетингу Blue Coat Systems, и Алексею Весельскому, консультанту по безопасности компании headtechnology, официального дистрибьютора решений Blue Coat в Казахстане.
— Каким организациям может быть интересен переход на CAS? Компании какого типа или размера наиболее выиграют от интеграции такого решения?
Кевин: Решение Content Analysis System как таковое должно быть интересно практически любым крупным компаниям (со штатом от 5000 сотрудников и выше) с развитой технологической инфраструктурой. Однако наибольшую ценность CAS будет представлять для организаций, ставящих во главу угла безопасность данных, таких как банки и органы государственной власти. К тому же, нашими заказчиками часто становятся предприятия и сервис-провайдеры, которых привлекает высокая вычислительная мощность Content Analysis System. Это устройство призвано стать ключевым компонентом любого решения по защите от сложных, комплексных угроз и целевых атак.
Алексей: Любой организации, перед которой стоит вопрос обеспечения максимальной защиты от вредоносных объектов в среде растущего количества пользовательских запросов, и при этом сохранения максимума свободных ресурсов на рабочих ПК. Подобный вопрос стоит перед ИТ-отделом и департаментом безопасности в любой организации с активными интернет-пользователями. То есть, на сегодняшний день — практически в каждой компании.
Всем известно, что одна голова хорошо, а две — лучше. А как насчет трех? Content Analysis System и является эдаким «змеем Горынычем», который стоит на страже внутренней сети. Дело в том, что CAS — это система анализа контента, которая использует два антивирусных движка и базы сигнатур различных производителей, что позволяет свести к минимуму количество пропущенных вредоносных объектов, а заодно — практически оставить без работы антивирус на ПК. Ну а главная голова — это «белый список» от компании Kaspersky Lab, который заботится о производительности уже самого устройства и хранит в себе более миллиарда сигнатур «чистых» объектов.
Что до размера компаний — мы ориентируемся в первую очередь на большие и средние организации с количеством пользователей от 500. Но решение будет полезно и для небольших организаций, чья сфера деятельности может подвергаться направленным атакам или в которых требуется периодическое отключение антивируса на ПК.
— Существуют ли какие-то специфические проблемы, для решения которых CAS подойдет наилучшим образом?
Алексей: В первую очередь, CAS решает проблему экономии ресурсов конечных узлов сети за счет разгрузки антивирусов для ПК и серверов. Заодно обеспечивается дополнительная защита высококритичных групп пользователей, которые имеют доступ во внутреннюю сеть, но по тем или иным причинам не скреплены стандартными пользовательскими ограничениями. Например, это могут быть руководители высшего звена или владельцы компаний, которые используют рабочие ПК с правами администратора.
Еще можно вспомнить о защите пользователей, у которых периодически отключается или вовсе отсутствует антивирус на рабочих местах, например, о разработчиках ПО.
— Расскажите об основных отличиях CAS от ProxyAV и от аналогичных решений других вендоров.
Кевин: Content Analysis System позволяет пользователям сканировать трафик двумя антивирусными движками, а также проверять его по «белому списку». В результате заведомо «чистые» файлы быстро попадут к пользователю, а «плохие» будут обнаружены и удалены антивирусами. К тому же, CAS повышает эффективность и быстродействие устройств-анализаторов вредоносного ПО благодаря поддержке «виртуальных песочниц». Чем меньше файлов будет отправлено в «песочницу» (Blue Coat Malware Analysis Appliance или FireEye) благодаря антивирусам и белому списку, тем меньше она будет загружена и тем выше будет общее быстродействие системы защиты.
Алексей: Сравнивать Content Analysis System можно только с другими антивирусами со схожей архитектурой — имеется в виду отдельно стоящее устройство. В отличие от них, например, Next-Gen файрволы и UTM демонстрируют колоссальную потерю производительности при включении модулей антивирусной защиты.
CAS отличается от ProxyAV, да и любого другого антивируса на шлюзе, прежде всего, наличием «белого списка объектов». Так, это уникальное для рынка решение позволяет с помощью политики запрета по умолчанию (Default Deny) уже на этапе попадания в сеть отсеять все файлы, которые не являются на 100% безопасными.
— Насколько легко масштабируется инфраструктура безопасности на основе CAS?
Кевин: В настоящий момент пропускная способность Content Analysis System составляет до 1 гигабита в секунду.
Алексей: Поскольку лицензирование продукта происходит по пользователям, основной проблемой может стать только производительность «железа». Специалисты компании headtechnology помогают правильно подобрать оборудование с учетом возможного роста количества пользователей.
— Если в сети заказчика уже успешно работают устройства ProxyAV, стоит ли их заменять на CAS? Если да, то в чем будет выигрыш и как скоро?
Кевин: Хотя модули ProxyAV, безусловно, могут использоваться в той же сети, что и Content Analysis System, мы, как правило, рекомендуем заказчикам отказываться от парка ProxyAV и полностью переводить организацию на CAS. Основные причины этого уже перечислялись — это возможности дополнительной защиты, проверка двумя антивирусами и т.д.
Алексей: Более технологичное решение всегда предпочтительнее для организаций, стремящихся к повышению уровня безопасности пользователей. Что же касается выигрыша... Наши тесты показали, что добавление второй базы сигнатур на 12% улучшают показатели обнаружения угроз. При наличии антивируса от третьего разработчика (на рабочих станциях) достигается лучшее на данный момент покрытие возможных угроз.
Технология «белого списка объектов» позволяет пропускать без обработки 29% файлов — именно такое количество 100% безопасных объектов показали наши лабораторные тесты среди их общего числа. А ведь это существенная разгрузка сети!
Для обладателей решений продвинутой защиты с так называемой «песочницей» (Bluecoat Malware Analysis Appliance, FireEye) CAS тоже будет незаменим, т.к. позволит снизить загрузку «песочницы» на 37%.
Впрочем, и для ProxyAV всегда найдется достойное применение. Например:
- Объединить эти устройства в кластер и обеспечить отказоустойчивость.
- Разделить группы пользователей и их запросы на критичные/некритичные, тем самым сэкономив на приобретении менее мощного устройства CAS.
- Использовать ProxyAV для предоставления безопасного гостевого доступа в интернет.
— Есть ли отличие в цене между CAS и ProxyAV и каково оно?
Кевин: Да, цены на эти два решения отличаются. У нас предусмотрена программа миграции для текущих пользователей ProxyAV. За подробностями обращайтесь к представителям и дистрибьюторам Blue Coat.
Алексей: CAS стоит на 25-30% дороже, но учитывая то, что производительность серверов почти в 5 раз превышает производительность ProxyAV, это объяснимо. Кроме того, пользователь, желающий использовать две базы сигнатур, теперь заплатит и за вторую. Цены же на лицензии практически не изменились.
— Нужно ли дополнительно обучать или переучивать заново специалистов при переходе с Proxy AV на CAS?
Алексей: Нет. Интерфейсы практически идентичны.
Кевин: При этом, компания Blue Coat готова предоставить любые необходимые материалы по обучению пользователей Content Analysis System.
— У вендора — Blue Coat — нет офиса в Казахстане или России. Как быть с поддержкой его решений?
Алексей: Мы в headtechnology всегда готовы оказать любую посильную помощь владельцам решений Blue Coat. Не думаю, что кто-то заметит отсутствие офиса.
— Какие еще есть преимущества у Blue Coat как вендора для заказчика или партнера?
Кевин: Blue Coat уже много лет защищает своих клиентов, их сотрудников и информацию. Заказчиками Blue Coat уже стали 15 000 компаний и организаций по всему миру, включая 78% корпораций из списка FORTUNE Global 500. Наше портфолио интеллектуальной собственности состоит из более чем 200 патентов, и мы не перестаем создавать инновации. Content Analysis System — это ключевой компонент решения по защите от целенаправленных атак, обеспечивающего блокирование известных угроз, проактивное обнаружение неизвестных вредоносных программ и активного заражения, а также автоматическую минимизацию ущерба в случае успешного вторжения.
Алексей: Blue Coat — вендор, который защищает партнера и заказчика в процессе продаж. Кроме того, это, безусловно, технологический лидер, который постоянно развивается и сам формирует тенденции рынка.
— Как ваши клиенты реагируют на предложение Blue Coat CAS?
Алексей: CAS — это новинка, которая вызывает высокий интерес и имеет положительные отзывы у заказчиков. В основном заказчики — и их, к счастью, большинство — видят необходимость в постоянном совершенствовании инфраструктуры и использовании максимального потенциала данного решения.