Kaspersky Web Traffic Security

Технологии и функциональные возможности

Kaspersky Web Traffic Security (далее — KWTS) поддерживает кластерную архитектуру с возможностью интеграции с SIEM-решениями, системами мониторинга и т. д. Оно совместимо с продуктами «Лаборатории Касперского» и с разработками сторонних вендоров.

KWTS обнаруживает и анализирует веб-трафик, блокируя объекты, которые представляют собой угрозу безопасности с точки зрения корпоративной политики.

В продукт встроены различные механизмы блокирования доступа к файлам и веб-ресурсам. Можно использовать эвристические анализаторы, эмуляцию песочницы, защиту от криптомайнеров и т. д. Это базовый функционал, которым обладает большая часть решений «Лаборатории Касперского».

Функциональные возможности:

• Многоуровневая облачная защита с использованием Kaspersky Security Network (далее — KSN). KWTS имеет продвинутое антивирусное ядро, которое позволяет получать данные в режиме реального времени из KSN. Это даёт возможность обеспечивать максимальный уровень безопасности шлюзов, эффективно обнаруживать и удалять подозрительные объекты, алгоритмы, продвинутые и неизвестные угрозы, а также эксплойты.
• Технология репутационной фильтрации для оперативного обнаружения подозрительных файлов и URL-адресов (для этого используется информация из KSN).
• Обнаружение опасных элементов в документах различного формата и типа, блокировка их открытия.
• Управление доступом к веб-ресурсам на основе множества категорий из базы адресов URL.
• Блокировка двусторонней передачи данных с использованием веб-шлюза в случае их несоответствия заданным критериям.
• Объединение с MS Active Directory.
• Кластерное развёртывание, а также снижение нагрузки на сеть за счёт добавления новых обрабатывающих узлов.
• Анализ вложений в безопасной изолированной среде песочницы для обеспечения защиты от замаскированного и сложного вредоносного программного обеспечения.
• Встроенный режим поддержки рабочих областей (независимых друг от друга). Он предназначен для организаций, обладающих распределённой структурой с удалённо работающими сотрудниками.
• Гибкая настройка параметров для эффективного управления производительностью системы защиты.
• Интуитивно понятная веб-консоль для управления безопасностью интернет-шлюзов в удалённом режиме.
• Применение ролевой системы предоставления администраторам прав доступа.
• Возможность проведения поведенческого анализа пользовательской активности в интернете.

Сценарии внедрения

Предусмотрено несколько сценариев внедрения решения.

Обработка запроса пользователя

KWTS включает в себя настраиваемый прокси-сервер с авторизацией пользователя в MS Active Directory при помощи протоколов: Kerberos, NTLM, RADIUS. Его можно использовать как полноценный кластеризованный шлюз безопасности.

Задача KWTS заключается в обеспечении безопасного доступа к веб-ресурсам. Для этого используются несколько обрабатывающих узлов и балансировщик, который раздает запросы HTTP, а также FTP в пассивном режиме (в случае необходимости). Узлы совершенно равноправны, поэтому один из них можно назначить контролирующим модулем (мастер нода).

Таким образом создаётся кластер из обрабатывающих узлов. В случае выхода из строя контролирующего узла можно передать его функции любому другому узлу. А так как режимы worker node и control plane объединены, то в данном случае решение может быть установлено на одном сервере. Так получается система, в которой управление и обработка осуществляются на одном сервере.

Внедрение при наличии стороннего прокси-сервера

Большинство организаций уже имеет собственный прокси-сервер зарубежного или отечественного производителя. Тогда замена существующего рабочего прокси-сервера на другой кажется экономически невыгодным вариантом. В данном случае можно использовать KWTS в режиме внешнего ICAP-сервера.

Можно создать кластер из обрабатывающих узлов, подсоединить через балансировщик KWTS к существующей системе. В таком случае можно обеспечить дополнительный уровень безопасности доступа в интернет и анализ компьютерных инцидентов.

KWTS может быть легко интегрирован с существующей системой SIEM и системой обработки логов. Поскольку интернет и электронная почта являются основными источниками проникновения вредоносных объектов в корпоративную сеть, KWTS помогает системным администраторам и специалистам информационной безопасности в расследовании инцидентов.

Мультиарендность

Создание разветвлённой структуры безопасности и защиты удалённых офисов осуществляется в том случае, когда крупная компания обладает распределённой филиальной сетью с собственным доступом в интернет. Его необходимо проверять в динамике и контролировать из-за возможности заражения сети.

Для контроля доступа в интернет можно разместить управляемые узлы непосредственно в филиале, при этом фильтрация трафика будет осуществляться через управляющий узел, расположенный (условно) в штаб-квартире компании. Так можно получать полную видимость всей сетевой инфраструктуры и отчётность по использованию интернета.

Интеграция с KATA и сторонними DLP-решениями

KWTS позволяет использовать детекты из системы KATA EDR (оповещения по API) и передавать объекты на анализ в Kaspersky Sandbox (по ScanAPI или протоколу ICAP).

Лицензирование

Возможно лицензирование по узлам, пользователям и трафику. Также можно приобрести решение в составе продукта Kaspersky Security для интернет-шлюзов или Kaspersky Total Security.