Обзор "Рынок ИТ-услуг: консалтинг, интеграция, аутсорсинг" подготовлен
CNewsAnalytics

Практические аспекты аутсорсинга ИБ: защита почтового трафика

Практические аспекты аутсорсинга ИБ: защита почтового трафика

Статей об аутсорсинге вообще и об аутсорсинге ИT-безопасности довольно много. Большинство из них носит теоретический характер, описывая основные преимущества использования модели. В первую очередь, удобство, во-вторых, материальную выгоду. Но в связи с молодостью этого направления в России, очень мало приводится преимуществ, полученных реальными клиентами. Что в действительности приобретает компания, отдающая, например, на аутсорсинг защиту почтового трафика?

Обычно на аутсорсинг, в случае ИБ, отдают те службы, которые контактируют с внешним миром — т.е. системы защиты периметра, защиту почтового трафика, защиту Gateway, организацию VPN и системы обнаружения вторжений. Такие решения называют системами класса Hosted Security. В мире наиболее распространены услуги про аутсорсингу защиты почтового трафика.

В России существует несколько компаний, которые готовы взять на обслуживание подобные системы — например, «ДиалогНаука» (сервис «Защищенная почта»), «Лаборатория Касперского» (сервис Kaspersky Hosted Security), Outcom («Спаморез»), Инкап («Антиспам-Пост»). Для клиента все выглядит более чем просто — достаточно изменить MX запись в DNS и все почтовые сообщения будут приходить на серверы сервис-провайдера. После обработки на серверах чистая почта будет доставляться клиенту. Единственное, что должен сделать клиент, это указать, что именно он не хочет получать на свой почтовый сервер — спам, вирусы, порнографические изображения или некоторые файлы в аттачах, а также что необходимо сделать с нежелательной корреспонденцией — удалить или отправить на карантин.

Схема

Разумеется, современные провайдеры услуг не ограничиваются функциями защиты почтового трафика. Сегодня все сервисы гарантируют высочайшую безотказность. Скажем, в случае проблем с почтовым сервером клиента, провайдеры гарантируют, что почта не потеряется, а будет сохраняться в специальной базе у провайдера. Более того, некоторые провайдеры предоставляют Web доступ к этой базе (Web-mail) в то время, когда восстанавливается почтовый сервер клиента. То есть даже в случае проблем с почтовым сервером работа в компании не остановится, и у сотрудников будет возможность получать и отправлять почту.

Таким образом, системы защиты корпоративной почты обеспечивает защиту от: нежелательных рекламных сообщений (спам), вредоносных программ, мошеннических писем и phishing, DoS и DHA атак на почтовый сервер. Также они позволяют блокировать сообщения с вложениями множества форматов от документов Microsoft Office до видео и звуковых файлов и позволяют минимизировать риск потери письма в следствие выхода сервера из строя по тем или иным причинам.

Как это бывает

Возьмем среднюю российскую компанию — ООО «Acme» (название изменено, все совпадения случайны), с количеством сотрудников около 150. Количество адресов в компаниях обычно больше, и здесь ситуация — не исключение, в компании чуть меньше 260 адресов. За 30 дней сотрудники получают от 420 до 460 тысяч сообщений.

Источник: Лаборатория Касперского, 2006

Картина очень типичная для российских компаний. Около 75% входящих сообщений — это спам, около 1% — вирусы. Кроме массовых вирусных атак, за 30 дней отчетного периода на данную компанию было произведено две целевые атаки. На реальные адреса было послано ограниченное количество (15 и 20 соответственно) сообщений. К письму был приложен архив, в котором, в том числе, находилась и вредоносная программа. Сообщение было написано таким образом, чтобы заинтересовать получателя распаковать архив и посмотреть его содержание. Троянская программа собирала различные пароли и отсылала их «хозяину». Первый раз письма посылались по GPRS через российского провайдера бесплатной почты, второй раз рассылка производилась с украинского IP, через PHP-Mailer, установленный в США. Выявить целевые атаки обычными средствами обнаружения вирусов очень сложно, так как злоумышленник перед тем как послать вредоносную программу обязательно тестирует ее на предмет обнаружения основными антивирусами. Протестировать же проактивные системы у ведущих провайдеров аутсорсинга систем защиты почтового трафика злоумышленник не может. Обычно вирусы, используемые для проведения целевых атак, очень долго остаются не обнаруживаемыми стандартными антивирусами так как в большинстве своем просто не попадают в антивирусные лаборатории (или попадают, но с большим опозданием) и приведенный пример не исключение — первый троян был добавлен в базы большинства антивирусов в лучшем случае спустя двое суток, после обнаружения его специалистами аутсорсера.

Экономический расчет

Оценить экономическую выгоду того или иного решения можно по двум параметрам — ROI (Return of Investments), срок возврата инвестиций, и TCO (Total Cost of Ownership), совокупная стоимость владения. Рассчитать выгоду от антивирусного решения довольно сложно, так как достаточно сложно подсчитать вероятный наносимый ущерб и необходимое для восстановления системы время. Если предположить, что всегда есть актуальная резервная копия для восстановления как рабочих стаций, так и серверов, то минимальный ущерб, нанесенный компании — это стоимость рабочего времени ИT-специалиста, затраченного на восстановление всех рабочих станций и серверов в компании. Плюс потери на время простоя компании. Это минимум на одну эпидемию. В реальной жизни бывают сложные случаи — отсутствие резервных копий, потерянные важные данные и т.д.

Второй, не менее сложный для расчета риск — это ущерб от атак. Скажем, для нашего примера — ООО «Acme» — за 30 дней на почтовые домены было предпринято более 7000 DHA атак (атак поиска имен — здесь под атакой понимается 15 попыток обнаружить существующее имя) или более 100000 попыток соединения с почтовым сервером. Также необходимо принять во внимание попытки переслать сообщения на несуществующие адреса. В нашем случае такой трафик составлял еще около 100000 сообщений в месяц. Разумеется, эти сообщения клиенту не передаются. Т.е. получаем в среднем около 270 лишних попыток соединения в час (ночью меньше, днем до 600). Каждое соединение — это ресурсы почтового сервера и риск из-за перегрузки не принять нужное сообщение. Ущерб от задержки нужного сообщения подсчитать очень сложно.

Гораздо легче подсчитать ущерб от спама. В среднем на принятие решение о том, является ли письмо спамом или нет, тратится около 5 секунд. Примерно 76% почтового потока — это спам, и в среднем каждый сотрудник получает около 60 писем в сутки. Таким образом, один сотрудник тратит 24 рабочих часа в год. Остается умножить это число на количество сотрудников в компании и среднюю заработную плату, и получится показатель потерь. Далее — спам это дополнительный трафик. По статистике среднее спамерское письмо имеет размер 17 килобайт. Умножаем 17кб на 46 (количество спам писем на одного сотрудника) и на количество сотрудников — получаем ежедневный мусорный трафик. Таким образом, для нашей компании Acme потери в год составляют более 11 000$, только на спам.

Второй параметр — это TCO или совокупная стоимость владения — сумма материальных и временных затрат, связанных с приобретением, развертыванием, конфигурированием и обслуживанием программного и аппаратного обеспечения. ТСО можно разложить на две большие составляющие. Во-первых, это прямые затраты, которые включают стоимость аппаратного и программного обеспечения, активного сетевого оборудования, каналов связи и т. п. Эти затраты хорошо видны и легко просчитываемы. Во-вторых, это косвенные затраты, связанные, как правило, с конечными пользователями. Сюда можно отнести простои системы, непродуктивную работу, обновление программного обеспечения и оборудования, обучение, обслуживание, администрирование и техническую поддержку и т.д. Этот класс затрат обычно не виден. Довольно мало кто считает за потери время системного администратора, затраченное на мониторинг антиспам системы или скачивание и установку новой версии антивируса. А ведь если подсчитать это время, то получатся десятки часов, которые можно перераспределить.

По своей сути, основная идея аутсорсинга — минимизация участия клиента в процессе –минимизация косвенных затрат. Следовательно, время, затраченное на обслуживание процесса, отданного на аутсорсинг, будет минимальным и итоговое TCO также будет минимальным. И чем дольше пользоваться услугами аутсорсинга, тем меньше получается совокупная стоимость владения, и тем более выгодным становится аутсорсинг.

Андрей Никишин

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2006 г.

Toolbar | КПК-версия | Подписка на новости  | RSS