Обозрение подготовлено

версия для печати
Рынок защиты от инсайдеров похож на 'мыльный пузырь'?

Рынок защиты от инсайдеров похож на "мыльный пузырь"?

Рост сегмента ПО для обеспечения внутренней информационной безопасности оценивается почти в 50% в год. Естественно, такие показатели притягивают все большее количество игроков, каждый из которых предлагает свое решение, основанное на своем видении проблемы. Со стороны такая ситуация на рынке напоминает "мыльный пузырь", который время от времени случается на фондовом рынке.

Прежде чем перейти к проблемам, с которыми сталкиваются поставщики решений и компании-заказчики, определим, что следует понимать под рынком внутренней информационной безопасности (ИБ). Итак, это все продукты и услуги (решения), которые предназначены для выявления и/или предотвращения внутренних нарушений (в контексте ИБ). Чаще всего под этими нарушениями понимают утечку конфиденциальной информации, что совершенно справедливо, так как это наиболее опасная угроза. По сравнению с целостностью и доступностью, нарушение конфиденциальности — это необратимое явление. Так, восстановить искаженную информацию часто можно из резервной копии (решение проблемы целостности), а чтобы повысить доступность, следует ввести новые вычислительные мощности или автоматизировать бизнес-процессы. С утечкой все иначе — если данные были раскрыты, например, в интернете, то вернуть им секретность уже невозможно.

Вернемся теперь к оценке рынка внутренней ИБ. В начале посмотрим на один лишь сегмент этого рынка — OCC (Outbound Content Security). К нему относятся решения для борьбы с утечкой через исходящий трафик (почтовый, пейджинговый, интернет). По данным IDC, объем рынка OCC в 2006 году составил почти 600 млн долларов, продемонстрировав рост в 63,5%. Однако этот сегмент является лишь небольшой долей рынка внутренней ИБ. Ведь каналы утечки не ограничиваются одним только сетевым трафиком. В сети компании есть еще рабочие станции, принтеры, базы данных, файловые серверы и т.д. Кроме того, есть продукты, которые контролируют все эти ресурсы. С легкой руки IDC весь этот рынок получил название ILDP (Information Leakage Detection and Prevention), что является синонимом определения рынка внутренней ИБ. Если посмотреть на общемировые объемы ILDP в 2006 году, то рынок достиг отметки в 1,5 млрд долларов.

Мировой рынок ILDP (внутренней ИБ)*
Мировой рынок ILDP (внутренней ИБ)

*данные за 2007-2009 гг. - прогноз

Источник: IDC, 2007

По оценкам аналитического центра InfoWatch, российский рынок внутренней ИБ достиг объемов в 50 млн долларов. Темпы роста этого рынка превзошли даже самые смелые ожидания, а по результатам 2007 года InfoWatch рассчитывает на еще большие показатели.

Камень преткновения

Рынок внутренней ИБ растет как на дрожжах, однако это еще очень молодой сегмент, на котором просто не успело сформироваться единое видение решения. Другими словами, среди поставщиков нет стандартного подхода к тому, как надо защищаться от внутренних угроз. Кроме того, сами заказчики еще не определились с тем, что они хотят получить в итоге. По словам Дениса Зенкина, если сравнить запросы от различных компаний-заказчиков на поставку, например, антивирусных средств, то эти требования будут на 90% совпадать. Однако когда речь заходит о защите от инсайдеров и утечек, то запросы наоборот будут иметь лишь 10% общих требований.

Подтверждением сложившейся ситуации являются результаты исследования "Внутренние ИТ-угрозы в России 2006", в ходе которого компания InfoWatch опросила 1450 российских государственных и коммерческих организаций. Перед респондентами был поставлен вопрос о самых серьезных препятствиях на пути внедрения систем защиты от инсайдеров и утечек. Особый интерес представляют ответы компаний из двух наиболее продвинутых отраслей: банков и телекома, опережающих многих других по использованию новейших средств ИТ и ИБ. Самым сложным препятствием стало отсутствие стандартного подхода к внутренней ИБ. Среди банков этот ответ набрал 32%, а в телекоммуникациях — 30%. В обоих случаях данная причина заняла первое место.

На второй позиции, как легко догадаться, оказались бюджетные ограничения, набравшие на 10% меньше. Однако примечателен тот факт, что когда в конце опроса респондентов попросили прокомментировать ситуацию вокруг внутренней ИБ, они снова вернулись к основным препятствием и связали бюджетные ограничения с отсутствием единого видения. Дело в том, что отсутствие стандартного подхода очень сильно затрудняет выбор конкретного решения, так как организация вынуждена выслушивать очень многих поставщиков, каждый из которых обладает какими-то плюсами, но мало чем пересекается с конкурентами. Кроме того, возникают естественные трудности с планированием бюджета. Один респондент сравнил эту проблему с антивирусной безопасностью: "Сегодня всем известно, как нужно защищаться от вирусов. Поставил антивирус на шлюзах и рабочих станциях, запланировал расходы на продление лицензии на следующий год и все — дело сделано. С защитой от инсайдеров и утечек все иначе. У каждого поставщика свое видение того, как нужно стоить систему внутренней ИБ. Даже с "коллегами по цеху" не всегда удается найти общий язык по этому вопросу".

Рынок перегревается

Что же сегодня происходит на рынке? Так как единого подхода к внутренней ИБ еще нет, каждый игрок может представлять свое собственное видение. Между тем, бурный рост всего сегмента средств защиты от инсайдеров и утечек притягивает к себе все новых поставщиков, подходящих к решению проблемы на свой лад. В результате на рынке становится все больше игроков, некоторые из которых никогда не работали в сегменте ИБ, но теперь пользуются возникшей волной в попытке получить сверхприбыль.

Чтобы лучше понять суть происходящего, достаточно посмотреть на появившийся совсем недавно класс программ, который в мире принято называть "smart-drivers". В эту группу попадают все программы, которые обеспечивают контроль над портами рабочей станции, чтобы исключить утечку данных через флешки, компакт-диски и т.д. Очевидно, что все эти продукты позиционируются как средства защиты от инсайдеров. Однако на самом деле они защищают от внутренних нарушителей точно так же, как и от вредоносных кодов. Да, если компания запретила сотруднику использовать USB-порт, это значит, что служащий не сможет принести из дома вирус и заразить корпоративную сеть. Однако 99% "умных драйверов" не умеют отличать конфиденциальную информацию от публичных документов. Поэтому работают в режиме разрешить/запретить, то есть пользователю либо разрешается использовать порт, либо запрещается. Никаких вариантов типа "можно записать на флешку публичные данные, но нельзя - скретную информацию" эти продукты предложить не могут. Другими словами, предлагаемый контроль над портами - все равно, что турникет в метро. Умный драйвер стоит на входе и выдает билеты. У пользователя есть билет, следовательно, он может пройти. Нет билета — не может. А если у человека есть билет и пулемет? Турникет его спокойно пропустит, так как его задача — просто проверить наличие билета. Что же касается пулемета, то это уже заботы внутреннего наряда милиции, системы видео-наблюдения и т.д. То же самое происходит и на рабочей станции: если у служащего есть разрешение на использование USB-порта, он спокойно может взять и слить все секреты на флешку.

Конечно, разработчики умных драйверов это прекрасно понимают, поэтому пытаются добавить такие, казалось бы, полезные возможности, как задание номеров разрешенных к использованию флешек. Например, у служащего есть определенная флешка, на нее он может записывать данные, а на другие нет. Но будет ли организации легче, если служащий украдет информацию на разрешенной флешке, а не на какой-то еще? Завершая тему умных драйверов, отметим еще одну возможность, которую в последнее время поставщики позиционируют как защиту от инсайдеров - это теневое копирование. Т.е. все файлы, записываемые на флешку, складываются в специальный архив для последующего анализа. Безусловно, это хорошая функциональность. Но заказчики часто теряют из виду, что теневой архив каждого пользователя хранится прямо на его рабочей станции. Нет никакой базы данных, следовательно, нет возможности централизованно и достаточно эффективно анализировать всю собранную информацию. У такого подхода есть и другие недостатки. Во-первых, он не способен предотвратить утечку данных, а может лишь выявить ее источник постфактум, после анализа событий. Во-вторых, теневое копирование из-за огромного объема дополнительного трафика вызывает сильнейшее замедление как рабочей станции, так и сети в целом. Таким образом, сегодня на рынке внутренней ИБ представлено довольно много одних только "smart-drivers", хотя к защите от утечек они имеют весьма отдаленное отношение.

Отсутствие единого видения внутренней ИБ приводит к тому, что в этот сегмент идут производители канальных решений. Например, если компания поставляет антивирус и антиспам для почтового трафика и интернета, то она может добавить к этому еще и фильтрацию исходящей почты и WWW-запросов. Таким путем поставщик легко попадает на рынок внутренней ИБ, представляя свое собственное видение проблемы. Между тем, за управление антивирусом и антиспамом в организации отвечает системный администратор, а за внутренней ИБ должен следить офицер ИБ.

Ключевое преимущество канальных решений в том, что весь канал находится под контролем одного человека. Такие решения имеют очень широкую функциональность, добавляя к технологиям контроля над движением информации специфический для каждого канала функционал, не имеющий прямого отношения как к защите от утечек (антивирус, антиспам, антифишинг) или ИБ вообще (URL-фильтр, контроль расхода бумаги на принтерах и т.д.).

Однако недостатком использования канальных решений является невозможность комплексного подхода. Если служба ИБ организована по функциональному принципу, то она будет постоянно страдать от невозможности интеграции анализа данных в разных каналах и невозможности централизованного распространения политик. Используя решения для разных каналов от одного производителя, офицеру ИБ придется работать с разными консолями управления политиками, хранить контент в нескольких БД и архивировать данные в разных хранилищах. Даже идентификация пользователя происходит по разным параметрам. Например, почтовый фильтр идентифицирует пользователей по почтовому адресу, а web-фильтр — по IP-адресу. Это затрудняет синхронизацию и индексацию информации для анализа деятельности нарушителя. Невозможно централизованно посмотреть, что конкретно отсылал определенный пользователь и по каким каналам. В то же самое время службе безопасности, если она организована функционально, безразлично, по какому каналу произошла утечка, но канальная организация защиты не позволяет ей сфокусироваться на нарушителе и защищаемой информации, предоставляя неконсолидированную информацию по каждому из каналов.

С точки зрения стандартов ИБ канальные решения представляют собой традиционный подход защиты канала утечки на основе модели "угроза — техническое решение". В этом случае служба ИБ концентрируется на контроле каналов вместо того, чтобы защищать информацию, раздавая профили доступа к каналам и контролируя их соблюдение. Для службы ИБ эксплуатация многофункциональной канальной защиты представляет потенциальный конфликт со службой ИТ, связанный с постоянным разделением прав на функции и настройки, связанные с безопасностью и не связанные с ней. Однако, несмотря на все эти проблемы, поставщики канальных решений продолжают активно продвигать свои продукты на рынок. С одной стороны, это неплохо, так как на эти продукты все еще есть спрос, а с другой — рано или поздно заказчикам придется отказаться от этих технологий, так как их потенциал изначально ограничен.

Таким образом, на рынок внутренней безопасности начинают переключаться игроки, которые смогли хоть как-то соотнести свои продукты с защитой от инсайдеров. Постепенно рынок начинает перегреваться, так как поставщиков уже сейчас много, а их число продолжает расти. Со стороны все это напоминает мыльный пузырь — кошмар любого инвестора. Более того, рано или поздно рынок внутренней ИБ может лопнуть. Однако прежде чем обсуждать, когда и как это произойдет, рассмотрим одно очень интересное заблуждение, которое находит поддержку у многих организаций-заказчиков и поставщиков.

На пути к стандартному решению

Выше мы уже обозначили мыльный пузырь внутренней ИБ. Действительно, рынок уже перегрет, но самое интересное — он будет греться и дальше. В течение ближайших 1-2 лет в данном сегменте появятся еще несколько игроков, возможно, с абсолютно новыми подходами, а может и с развитием тупиковых направлений: канальных продуктов и контроля сменных носителей (smart-drivers). Однако два года — это тот максимальный срок, в течение которого мыльный пузырь может расти, привлекая все новых поставщиков. Затем он лопнет, и на рынке останется только один подход к внутренней ИБ, который все поставщики будут более или менее копировать. Это произошло на рынке антивирусной защиты в конце 1990-ых, то же самое будет и здесь.

Между тем, предпосылки к появлению нового — стандартизованного и единого — видения можно рассмотреть уже сейчас. Например, в Европе и США такие ветви, как канальные решения и умные драйверы, уже начинают отмирать. Вместо этого поставщики и заказчики движутся к периметральной защите (в противовес канальной). Эта концепция защиты от утечек информации связана с тем, что сами предприятия, использующие защиту, перешли от канального способа построения служб ИБ к функциональной структуре, поскольку рынок потребовал появления решения, которое смогло бы управлять защитой от каждой из угроз (вирусов, хакерских атак, действий инсайдеров) вне зависимости от того, по какому каналу она может быть осуществлена. Как и внешние угрозы, внутренние могут быть реализованы по нескольким каналам, поэтому и решения должны быть комплексными.

Комплексное решение представляет собой единое хранилище данных (вне зависимости от того, по какому каналу они покинули сеть), сервера контентной фильтрации и перехватчиков (которые контролируют какой-то один конкретный канал и направляют данные на анализ на сервер контентой фильтрации). Перехватчики могут быть реализованы в трех архитектурах. Во-первых, шлюз (gateway) - отдельно стоящий сервер или отдельное устройство, работающее в режиме прозрачного proxy-сервера. Во-вторых, plug-in для сервера, например, для proxy-сервера, почтового или принт-сервера. В-третьих, агент на стороне клиента, например, на уровне рабочей станции.

Достоинством систем периметральной защиты является комплексность и возможность централизованного управления, а также простота масштабирования. Так как функции анализа контента и архивирования вынесены в отдельные модули, при увеличении нагрузки на перехватчики достаточно резервировать и кластеризовать только их. Это существенный плюс по сравнению с канальными решениями, которые масштабируются только целиком.

Также к достоинству систем периметральной защиты относится защита инвестиций при внедрении защиты даже одного канала. Нужно лишь однажды создать правила и настроить хранилище, базу контентного анализа и правила для групп пользователей. При внедрении защиты остальных каналов достаточно будет просто установить и подключить перехватчики следующего канала — вся остальная работа по настройке системы уже сделана.

С точки зрения стандартов ИБ периметральные решения представляют собой новый подход для минимизации рисков: "риск — действия по уменьшению рисков". Они не фокусируются на конкретном канале, а фокусируются на риске утечки информации. В этом случае служба ИБ концентрируется на том, какая информация не должна покинуть периметр. Вопрос, по какому каналу она попытается ее покинуть, уже вторичен. Более того, для службы ИБ модель эксплуатации системы периметральной защиты не подразумевает функционального контакта с ИТ-департаментом. Это исключительно продукт для эксплуатации службой ИБ, следовательно, не может быть никаких конфликтов между этими двумя отделами.

Однако было бы неверно утверждать, что у такого подхода нет недостатков. Они все-таки есть. Во-первых, периметральная защита дорого стоит в том случае, если используется только для одного канала, т.к. для внедрения даже на одном канале приходится покупать хранилище и сервер контентной фильтрации, рассчитанные на работу со всеми каналами. Однако уже при внедрении второго канала стоимость двух канальных решений сравнивается, а при внедрении защиты третьего канала при сравнимой функциональности получается значительный выигрыш.

Во-вторых, при покупке периметрального решения для одного канала к недостаткам иногда относят и отсутствие "сопутствующей" канальной функциональности — антивируса, антиспама, антифишинга, URL-фильтра и т.д. Однако после внедрения второго и дальнейших каналов эти претензии обычно снимаются, так как защита от внешних угроз также строится не по канальному, а по периметральному принципу.

Таким образом, уже сейчас на рынке начинает формироваться единое видение внутренней ИБ. Более того, все указывает на то, что уже через 2-3 года от растущего сейчас мыльного пузыря не останется даже следов, а в сегменте внутренней ИБ будут доминировать комплексные периметральные решения.

Алексей Доля

Toolbar | КПК-версия | Подписка на новости  | RSS