Обзор подготовлен

версия для печати
Рынок внутренней ИБ все еще выходит из тени

Рынок внутренней ИБ все еще выходит из тени

Безусловно, внутренняя и внешняя безопасности тесно связаны между собой. Однако законы, по которым они развиваются, абсолютно различны. Рынок систем защиты от внешних угроз сформировался сравнительно давно, все его игроки хорошо известны и изучены. Ситуация во втором, «внутреннем» сегменте диаметрально противоположна — на нем присутствуют малоизвестные компании, отсутствуют четко выраженные технологические стандарты и постоянно появляются новые игроки.

Рынок внутренней ИБ появился сравнительно недавно. Основным драйвером, стимулировавшим рождение и рост этого сегмента, продолжает оставаться факт наличия многочисленных утечек данных, которые происходили и происходят во всех без исключения уголках мира. Прошедший год не стал уникальным — утечки случались с завидным постоянством, причем их количество неуклонно увеличивалось.

Специалисты аналитического центра российской компании Perimetrix полагают, что одной из причин этого роста стало ужесточение требований законодательств различных стран, которые обязали компании раскрывать сведения о произошедших утечках. В таблице ниже собрана десятка наиболее масштабных инцидентов, связанных с потерей и компрометацией конфиденциальной информации, которую и удалось составить благодаря этим законодательным актам.

TOP 10 утечек конфиденциальной информации в 2007 году

Дата Организация Описание
Январь,
2007 год
TJX Companies,
США
Из компании утекли персональные данные 94 млн граждан. Потенциальный ущерб десятки млрд долларов.
Март,
2007 год
Dai Nippon Printing,
Япония
Инсайдер украл винчестер с приватными сведениями 8,64 млн клиентов компании. Ущерб 1,2 млрд долларов
Апрель,
2007 год
NCsoft,
Южная Корея
Программисты-инсайдеры продали конкурентам программный код online-игры «Lineage III». Ущерб 1 млрд  долларов
Апрель,
2007 год
Georgia Department of Community Health / Affiliated Computer Services,
США
Пропал компакт-диск с персональными данными 3 млн граждан. Ущерб 300 млн долларов.
Май,
2007 год
KIA Motors,
Южная Корея
9 инсайдеров продали китайским конкурентам 57 различных технологических секретов стоимостью 22,3 млрд долларов
Июль,
2007 год
Fidelity National Information Services,
США
Утечка персональных данных 6,3 млн граждан. Ущерб 900 млн долларов.
Сентябрь,
2007 год
TD Ameritrade,
Британия
Утечка персональных данных 25 млн граждан. Потенциальный ущерб десятки млрд долларов
Сентябрь,
2007 год
Chase Card Services,
США
Утечка персональных данных 2,5 млн владельцев кредитных карт. Ущерб 250 млн долларов.
Ноябрь,
2007 год
HM Customs and Revenue,
Британия
Утечка персональных данных 25 млн граждан. Потенциальный ущерб десятки млрд долларов.
Ноябрь,
2007 год
Department of Veteran Affairs,
США
Инсайдер «потерял» ноутбук с персональными данными почти 2 млн граждан. Ущерб 200 млн долларов.

Источник: Perimetrix, 2008

Легко увидеть, что каждый инцидент из представленного выше списка привел к гигантским финансовым потерям, которые, как минимум, исчисляются в сотнях миллионов долларов. Естественно, что подобная ситуация не может устраивать представителей бизнеса. Пытаясь добиться конкурентного преимущества, они разрабатывают новые технологии, оптимизируют свои бизнес-процессы и выводят на рынок уникальные продукты. А потом вдруг появляется инсайдер, который сводит на нет все усилия компании и, зачастую, остается безнаказанным.

К представленной таблице уместно было бы добавить последний скандал, связанный с деятельностью внутреннего мошенника. Как не трудно догадаться, речь идет о нашумевшем деле французского банка Societe Generale, который потерял 5 млрд евро в результате действий одного из своих трейдеров. Эта история оказала существенное влияние на развитие российской банковской системы — из-за случившегося скандала французский банк, скорее всего, так и не сумеет поглотить отечественный «Росбанк». Интересно, что у опального трейдера Жерома Кервьеля даже появился фанатский сайт, посетители которого предлагают присвоить ему Нобелевскую премию по экономике.

Разнообразные скандалы, связанные с утечками данных и внутренними нарушениями, широко освещаются в СМИ. Однако их публикации являются не единственным драйвером рынка внутренней безопасности. Едва ли не большее влияние на данную сферу стали оказывать нормативные акты, принятые в различным странах мира. Такие документы, как SOX (акт Сарбейнса-Оксли), GLBA (акт Грамма-Лича-Блайлей), HIPAA (стандарт защиты данных в медицине) или Basel II (второе базельское соглашение), стимулируют внедрение защитных решений. Некоторые документы (например, федеральный закон «О персональных данных» или стандарт Банка России по ИТ-безопасности) выдвигают серьезные требования и для российских организаций.

Иными словами, современные организации не горят желанием на практике столкнуться с проблемой утечек и разбирательствами в суде. В результате, спрос на решения для защиты от внутренних угроз растет очень быстро, увеличиваясь на десятки процентов в год.

Источниками данных о рынке продолжают оставаться потребители

Оценить объем мирового рынка систем защиты от утечек довольно трудно. Уже отмечалось, что на нем до сих пор отсутствуют единые стандарты, и однозначно определить принадлежность того или иного продукта к данному рынку получается далеко не всегда. К тому же ряд производителей систем защиты являются малоизвестными частными компаниями, которые официально не публикуют свои финансовые показатели.

По данным исследования консалтинговой компании Deloitte «2007 Global Security Survey», на ближайший 2008 год запланировано примерно столько же внедрений, сколько было произведено за все время до этого. А это значит, что рынок систем защиты от утечек ежегодно растет примерно в два раза.

Пятая часть из опрошенных представителей бизнеса и госструктур  уже внедрили то или иное решение. Еще треть находится в той или иной фазе внедрения. А 48% тех, кто пока не запланировал внедрение — надежная база потенциальных клиентов на долгое время.

Статус внедрения систем защиты от утечек

Статус внедрения систем защиты от утечек

Источники: Deloitte, Perimetrix, 2007

Понятно, что настолько быстрые темпы роста не могли не остаться без внимания инвесторов. Прошедший год показал, что в роли этих «денежных мешков» выступили крупнейшие производители защитного ПО. Рвутся на этот рынок и не совсем «антивирусные» компании.

Курс развития через слияния и поглощения

Еще два года назад практически все производители систем защиты от утечек являлись малоизвестными убыточными стартапами с весьма неясными перспективами. Сегодня ситуация кардинально изменилась. Современный рынок ПО внутренней ИБ уже вовсю пестрит известными брендами крупнейших софтверных фирм: Symantec, EMC, McAfee, WebSense, Cisco и IBM. Этот список можно продолжать и дальше.

Возникает естественный вопрос — каким образом за  такое минимальное время сразу несколько вендоров вышли на новый для себя высокотехнологичный рынок? Ответ очевиден — эти компании попросту купили других, менее известных до того игроков.

Слияния и поглощения на рынке систем защиты от утечек данных

Игрок Решение
McAfee В октябре 2006 года компания McAfee приобрела небольшую израильскую фирму Onigma за 20 млн долларов. Onigma специализировалась только на защите от инсайдеров и утечек.
WebSense В декабре 2006 года компания WebSense поглотила PortAuthority, выложив 90 млн долларов. Продукты PortAuthority предназначены как раз для защиты от внутренних угроз ИБ.
IBM В декабре 2006 года корпорация IBM объявила о поглощении Consul, поставляющей продукты для обеспечения совместимости с нормативными актами и внутреннего аудита.
Cisco В январе 2007 года корпорация Cisco за 800 млн долларов приобрела компанию IronPort, занимающуюся фильтрацией сетевого трафика.
EMC В августе 2007 года RSA Security, подразделение EMC, поглотила фирму Tablus, специализированного игрока на рынке защиты от утечек. Условия сделки не разглашаются.
Trend Micro В октябре 2007 года корпорация TrendMicro поглотила фирму Provilla, занимающуюся защитой от утечек. Условия сделки не разглашаются.
Symantec В декабре 2007 года корпорация Symantec поглотила за 350 млн долларов фирму Vontu, специализирующуюся на защите от утечек и инсайдеров.
Raytheon В феврале 2008 года компания Raytheon поглотила фирму Oakley Networks, производящую системы защиты от утечек и инсайдеров.

Источник: Perimetrix, 2008

Передел собственности на рынке внутренней безопасности стартовал в начале 2006 года, когда корпорация Symantec приобрела небольшую фирму IMlogic, разрабатывающую продукты для контроля трафика IM-клиентов (программ обмена мгновенными сообщениями). Несмотря на то, что эта сделка является весьма показательной, она не сделала Symantec полноценным игроком рынка внутренней ИТ-безопасности, поскольку он не ограничивается только IM-трафиком. Примерно год назад появились слухи о еще одной потенциальной покупке Symantec — компании Vontu, являющейся весьма известным поставщиком комплексных систем защиты от утечек. Эти слухи реализовались только в прошлом декабре, причем Symantec отдала за Vontu весьма солидные деньги — 350 млн долларов.

Еще одна крупная сделка связана с компанией WebSense, которая сравнительно мало известна в России, но весьма популярна за океаном. Этот разработчик имеет несколько продуктов в отдельных сегментах рынка информационной безопасности: защите от вредоносных кодов, фишинга и ряда других угроз. В конце 2006 года WebSense приобрела компанию PortAuthority, выложив за нее астрономическую сумму в 90 млн долларов. Астрономическую потому, что годовой оборот PortAuthority составлял всего 6 млн долларов, а долги — целых 4 млн. Получается, что WebSense купила нематериальные активы, то есть торговую марку и перспективные технологии.

Несколько месяцев назад WebSense объявил об еще одном приобретении, которым стала компания SurfControl. Эта английская компания занималась разработкой программных продуктов и сервисов «по требованию» для защиты работы в интернете и в электронной почте. Стоимость сделки — 400 млн  долларов — впечатляет, особенно если учесть объем продаж WebSense, составивший в прошлом году 211 млн долларов. Это означает, что WebSense приобретает компании на заемные деньги, а управлять бизнесом в таких условиях весьма непросто. Если кому-то все время приходится расплачиваться по долгам, то все остальные задачи (будь то инвестиции в разработку, маркетинг или продажи) мгновенно уходят на второй план.

Остальные компании выходят на рынок внутренней ИТ-безопасности более аккуратно и осторожно. Например, компания McAfee приобрела израильскую фирму Onigma, специализирующуюся только на защите от утечек инсайдеров. За это приобретение McAfee заплатила 20 млн долларов наличными, что можно считать вполне справедливой ценой. О компании Onigma и ее технологиях известно очень мало. Вполне возможно, что за вывеской Onigma скрывалась небольшая команда израильских инженеров и разработчиков. В свою очередь McAfee, отдав сравнительно небольшие деньги, обеспечила себе быстрый выход на рынок, поскольку продукты Onigma были тут же интегрированы в продуктовую линейку McAfee.

В прошлом августе прошло объявление об еще одной возможной сделке. Подразделение RSA Security, входящее в состав крупной корпорации ЕМС, объявило о желании приобрести небольшую компанию Tablus. Это еще один американский стартап, решивший разрабатывать системы защиты от утечек. Интересно, что в список клиентов Tablus входит корпорация Microsoft.

Спустя два месяца на рынке внутренней безопасности появился еще один серьезный игрок, которым стала компания Trend Micro. В качестве ее очередного поглощенного объекта выступила американская фирма Provilla. Как и в случае с ЕМС, общая сумма сделки не разглашается.

Наверное, волна слияний и поглощений, связанных с рынком внутренней безопасности, закончится еще не скоро. Из приведенных примеров видно, что выйти на данный рынок может практически любой ИТ-разработчик — начиная от корпорации Microsoft и заканчивая компанией Google. Тем интереснее будет наблюдать за дальнейшим развитием данного рынка.

Потребители ждут и эволюции, и революции

Все решения по защите от утечек данных, по сути, занимаются одним и тем же делом — они просматривают исходящую информацию и вычленяют из нее конфиденциальные данные. Исторически сложилось, что процесс «вычленения» базируется преимущественно на двух принципиально разных подходах — вероятностном и детерминистском. Вероятностный метод предполагает, что система смотрит на содержание документа и как-то (например, с помощью методов контентной фильтрации) определяет его конфиденциальность. В случае детерминистского подхода конфиденциальность определяется на базе специальных меток, которые «вшиваются» вовнутрь документа.

Первые появившиеся на рынке системы использовали вероятностные методы, а именно — технологию «цифровых отпечатков» (Digital Fingerprints), либо методы лингвистической фильтрации. Оба этих метода имеют два существенных недостатка. Во-первых, они требуют создания базы для фильтрации, а, во-вторых, они не отличаются высокой точностью. По оценкам компании Perimetrix, только 80% срабатываний таких систем приходятся на конфиденциальные документы, а оставшиеся 20% являются ложными срабатываниями. Таким образом, системы на базе лингвистической фильтрации не только не могут обеспечить достаточной точности, но и еще осложняют жизнь офицеров безопасности.

Второе поколение систем защиты применяют детерминисткие методы, которые  предполагают, что все конфиденциаль­ные файлы должны быть специальным образом помечены. В некото­рых продуктах метка «вшивается» прямо в имя файла, другие решения используют специальные служебные поля внутри документов. Однако независимо от технической реализации, детерминисткие предполагают, что каждый конфиденциальный документ должен быть так или иначе помечен. К сожалению, в случае крупной компании это требование попросту нереализуемо, поскольку количество создающихся файлов слишком велико.

Практика показывает, что вероятностные и лингвистические методы по отдельности не могут обеспечить достаточной защиты. Поэтому большинство современных производителей пытаются комбинировать эти подходы, создавая так называемые «решения третьего поколения». В качестве примера комбинации методов можно рассмотреть концепцию SDL (Secret Document Lifecycle).

На первом этапе внедрения концепции SDL, организация  проводит категоризацию всей имеющейся информации, т.е. присваивает метки документов, используя классический детерминисткий подход. Основная идея SDL состоит в том, что после завершения первичной категоризации метки «выдаются» автоматически еще на этапах создания и редактирования документа. Дело в том, что абсолютное большинство (более 99%) документов не пишутся «с нуля», а используют информацию из других файлов (например, шаблоны форм). Как следствие, метки можно легко перенести с одного документа на другой, вместо того, чтобы проставлять их вручную.

Конечно же, останутся и не помеченные документы (например, документы, созданные на основе входящей корреспонденции), для которых применяются вероятные подходы. В результате, нивелируются недостатки и усиливаются преимущества обоих методов, что приводит к крайне высокой точности распознавания. Она составляет 99,6%.

В заключении, необходимо еще раз отметить, что рынок внутренней безопасности бурлит и активно развивается. Проблемы инсайдеров и утечек всерьез беспокоят современные организации — даже не смотря на некую степень перегретости данной темы со стороны многочисленных СМИ. В нынешнем году рассматриваемый сегмент, без сомнения, ждет дальнейшая консолидация мирового рынка, которая будет сопровождаться появлением на нем новых крупных игроков. Однако существуют благодатные условия для появления и развития новых стартапов.

Не менее интересно будет наблюдать и за российским рынком, пополнившимся рядом новичков. Скорее всего, уже в нынешнем году найдутся международные компании, которые заявят о своих претензиях на отечественный рынок защиты от утечек данных. Самыми очевидными кандидатами на эту роль являются гиганты из «антивирусной тройки» — Symantec, McAfee и Trend Micro, уже поглотившие и «переваривающие» соответствующие технологии. Впрочем, возможны и сюрпризы, связанные и с появлением новых российских разработок, либо выходом на отечественный рынок неизвестных зарубежных компаний.

Алексей Доля, Владимир Ульянов

Toolbar | КПК-версия | Подписка на новости  | RSS