Закат традиционных систем контроля веб-доступа
Начиная с середины 2000-х годов Интернет начал стремительно изменяться. К числу этих изменений, часто называемых «переход к «Web 2.0», причисляют целый ряд различных явлений:
- Продолжающийся экспоненциальный рост числа регистрируемых ежедневно доменов, поддоменов и общего числа веб-страниц: в день добавляется более миллиарда отдельных html-страниц.
- Переход от статического к динамическому содержимому сайтов;
- Переход к содержимому, создаваемому пользователями (вики, блоги, подкасты, фото- и видеосервисы);
- Использование AJAX, веб-служб, комбинирование данных различных сайтов в рамках mashup-сайтов;
- Тенденция к смене содержимого уже существующих доменов: за год полностью изменяется содержимое более трети всех существующих доменов.
Эти явления привели к образованию огромной «тёмной области» Интернет («Dark Web»), в которой более 80% содержимого не внесено в каталоги традиционных коммерческих прокси-серверов, что практически обессмыслило эти системы.
Новое поколение систем контроля веб-доступа – возврат к прежней эффективности
Чтобы вернуть эффективность контроля веб-доступа на прежний уровень, компания Cisco IronPort создала систему Web Usage Controls, предназначенную для работы на веб-шлюзах Cisco IronPort S-серии.
В этой системе используется сразу два новых решения, составляющих своего рода «многослойную» систему категоризации веб-адресов:
Хранящийся на каждом устройстве каталог веб-адресов подключен к огромной, постоянно автоматически обновляющейся базе данных из состава Cisco SIO, содержащей сведения о принадлежности веб-адресов к различным тематическим категориям.
Для быстрого определения категорий сайтов, которые не числятся в базе данных, в систему Web Usage Controls встроены технологии быстрого анализа содержимого сайтов.
Первый уровень защиты – база данных категорий веб-адресов
Первая из новых технологий – база данных категорий веб-сайтов. В ней хранятся сведения о принадлежности миллиардов сайтов к различным категориям, например «СМИ», «Азартные игры», «Здоровье» и т.п. - всего более 65 категорий.
Главное преимущество этой базы данных – происходящее каждые пять минут обновление сведений с помощью инфраструктуры сетевой безопасности Cisco SIO. Эта инфраструктура, получает данные о более 30% мирового почтового и веб-трафика, и обрабатывает полученные сведения с помощью алгоритмов «глобальной корреляции», что позволяет быстро категоризовать большую часть существующих в интернете веб-сайтов, и поддерживать актуальность этих сведений.
База данных категорий веб-сайтов пополняется из множества источников:
- Множество поисковых роботов (ботов) непрерывно сканируют Интернет в поисках новых сайтов и автоматически сортируют их по категориям;
- Десятки тысяч устройств IronPort S-серии, установленных в различных сетях по всему миру, поставляют сведения о результатах категоризации миллионов новых сайтов. Категоризация проводится системой анализа неизвестных сайтов (см. ниже);
- Ручное пополнение базы данных силами группы специалистов Cisco Global Categorization Team.
Также база данных регулярно автоматически очищается от неиспользуемых доменов и пополняется сведениями категориях вновь зарегистрированных сайтов.
Таким образом, вместо традиционной статической базы данных в системе Web Usage Controls применяется постоянно обновляемая база с актуальными сведениями о категориях веб-адресов в Интернете. Эта постоянная актуализация сведений в базе данных на устройстве отличает систему Cisco IronPort Web Usage Controls от большинства аналогичных систем других производителей, а также от предыдущей системы контроля веб-доступа той же компании - Cisco IronPort URL Filters.
Второй уровень защиты – система автоматического анализа неизвестных сайтов.
Никакая, пусть даже самая большая база данных, не может охватить весь огромный, непрерывно меняющийся Интернет. Любая система контроля доступа в Интернет будет регулярно сталкиваться с запросами на доступ к сайтам, которые не числятся ни в каких базах и каталогах.
Для решения этой задачи компания Cisco IronPort встроила в систему Web Usage Filters систему автоматического анализа неизвестных сайтов (Dynamic Content Analysis engine).
Анализ начинается с простого поиска ключевых слов в названии сайта. Поскольку владельцы сайтов охотно пользуются «говорящими» названиями (pogoda.ru, gazeta.ru и т.п.), то часто о тематике сайта можно судить по его имени. Например, сайты, имена которых содержат слова «crack» и «serials», скорее всего относятся к категории «Hacking» или «Illegal Activities», а наличие в имени сайта слов «poker» или «сasino» говорит о принадлежности сайта к категории «Азартные игры».
Конечно, простого анализа доменного имени сайта недостаточно для надёжного определения его категории. Поэтому после проверки имени в дело вступает главный механизм категоризации — автоматический анализ содержимого сайта.
Поиск различных ключевых слов и других признаков в текстах с сайта позволяет системе анализа содержимого составить его тематический профиль. Сопоставление полученного профиля с библиотекой модельных профилей позволяет точно определить принадлежность сайта к одной из тематических категорий. Анализ содержимого проводится даже при запросе сайта по защищённому протоколу https. Если администратор включил обратную связь с Cisco SIO, то результат автоматической категоризации также отправляется в центральную базу данных веб-адресов Cisco SIO.
Категория известна — что дальше ?
После определения категории запрошенного пользователем сайта, система Web Usage Controls принимает решение о том, что делать с этим запросом: пропустить или заблокировать ?
Здесь проявляется одно из преимуществ системы Web Usage Controls – исключительная гибкость настроек доступа. Администратор разделяет пользователей на группы, например, по отделам или типам деятельности, и настраивает для каждой группы права доступа к сайтам различных категорий. Например, PR-отделу требуется доступ к сайтам категории «СМИ», техническим специалистам требуется доступ к сайтам о сетевых технологиях, а юристам и бухгалтерии требуется доступ к сайтам об новостях законодательства. Целый ряд категорий, например «Азартные игры» или «Сайты для взрослых» чаще всего запрещаются для посещения всеми группами пользователей.
Все системы веб-безопасности в одном устройстве
Система Web Usage Controls — лишь одна из нескольких мощных систем защиты веб-доступа, работающих в составе устройств Cisco IronPort S-серии. В число систем, доступных на любом из устройств серии, входят:
- Система проверки трафика несколькими антивирусами и фильтрацией spyware (IronPort AntiMalware);
- Система репутационной фильтрации для защиты от посещения заражённых и подозрительных сайтов (Cisco IronPort Web Reputation Filters);
- Система защиты от утечки информации (IronPort Data Security Filtering);
- Система защиты и обнаружения вредоносного ПО внутри сети (L4 Traffic Monitor);
- Многие другие системы и механизмы обеспечения безопасности веб-доступа.
Подробнее о технологиях и системах защиты веб-доступа можно прочитать в специальном обзоре в разделе «Библиотека». |
