Обзор подготовлен   CNewsAnalytics

«Аномальные решения» — новый подход в обнаружении атак

«Аномальные решения» — новый подход в обнаружении атакКлючевой интригой мирового рынка систем обнаружения атак в последние годы стала борьбой за первое место между двумя компаниями — Internet Security Systems (ISS) и Cisco Systems. В развитии самих технологий знаковым стал переход разработчиков с «сигнатурного» подхода, на «аномальные» решения.

В начале 2003 года первое место удерживала компания ISS с 21% рынка (у Cisco — 16%), в третьем квартале Cisco обогнала ISS (24% против 21%), в четвертом ISS вновь на вершине — 25% против 19%). По итогам первого квартала 2004 года Cisco опять обошла ISS — 28% против 20%.

Доли игроков на рынке систем обнаружения и предотвращения атак

Доли игроков на рынке систем обнаружения и предотвращения атак

Источник: Infonetics, 2003 г.

В прошлом году к первой четверке компаний Gartner добавил еще свободно-распространяемую систему обнаружения атак Snort. И хотя подсчитать число клиентов или объемы продаж Snort практически невозможно, относить эту систему к пятерке лидеров вполне закономерно — другой такой системы, распространенной по всему миру, да к тому же еще и бесплатно, не существует. А если учитывать не только финансовые показатели компаний, а еще и перспективы, технологические возможности и другие параметры, то согласно «магическому квадранту» Gartner к прошлогодним лидерам добавился еще один — Network Associates. Приобретение двух производителей средств предотвращения атак — Entercept и IntruVert позволило NAI присоединиться к лидерам.

Интересно, что в исследованиях консалтинговой компании Synergy первая тройка лидеров осталась без изменений (Cisco — 26%, ISS — 20%, Symantec — 15%), а вот другие позиции достались совершенно другим игрокам:

Доли игроков на рынке систем обнаружения и предотвращения атак — иное мнение

Доли игроков на рынке систем обнаружения и предотвращения атак — иное мнение

Источник: Synergy, 2003 г.

Однако, в каждом из сегментов рынка систем обнаружения и предотвращения атак свои лидеры. Например, в области защиты отдельных узлов от червей, троянцев и других нападений лидирует компания Symantec со своими решениями (Intruder Alert и Decoy Server), занимающая почти треть мирового рынка — 32%. Наступает на пятки компания Network Associates c 29%. Это стало возможно только после приобретения компании Entercept и одноименной системы предотвращения атак. Третье место уверенно держит компания Internet Security Systems с системами RealSecure Server и RealSecure Desktop, защищающими соответственно сервера и рабочие станции. ISS захватила пятую часть мирового рынка — 20%. Последние два места в пятерке лидеров занимают компании Cisco Systems (11%) и Enterasys (2%).

Самое интересное, что в пятерке лидеров нет ни одной компании, которая бы сама разработала решения, позволившие им стать лидерами рынка. Кроме, пожалуй, компании ISS, да и то наполовину. Решения Intruder Alert и Decoy Server были разработаны соответственно компаниями Axent и Recourse, которые в свою очередь были куплены Symantec. Cisco Systems купила компанию Okena и принадлежавшие ей системы предотвращения атак StormFront и StormWatch, а семейство Cisco IDS Sensor 4200 построено на решениях компании WheelGroup. Enterasys купила Network Secure Wizards с системами семейства Dragon. И только ISS сама разработала систему RealSecure Server, хотя RealSecure Desktop появилась в результате покупки компании NetworkICE и ее всемирно известной персональной системы обнаружения атак BlackICE Defender. Это лишний раз доказывает давно известный факт, что побеждает не тот, кто первым вывел какой-то продукт на рынок, а тот, кто смог умело воспользоваться плодами чужих трудов.

В сегменте средств защиты от DoS-атак, сканирования и других сетевых нападений те же лидеры, но они немного поменялись местами. Первое место принадлежит компании Cisco (32,4%) с целым семейством средств обнаружения атак — начиная от программно-аппаратных сенсоров Cisco IDS серии 4200 и заканчивая специальными платами расширения IDSM и Access Router Network Module для коммутаторов и маршрутизаторов соответственно. На втором месте пионер этого сегмента рынка — компания Internet Security Systems (23,1%), выпустившая в 1996 году первую в мире сетевую систему обнаружения атак RealSecure. На сегодняшний день к своему флагманскому продукту компания ISS добавила и линейку программно-аппаратных решений Proventia, предназначенных как для обнаружения и предотвращения атак, так и решающих ряд других задач — от межсетевого экранирования и антивирусной защиты до мониторинга электронной почты и построения VPN. Третье место держит «любимец» операторов связи — сетевой гигант Enterasys со своим драконом (система обнаружения атак Dragon). Пятерку лидеров замыкают Symantec и Source Fire с 5,9% и 5,5% соответственно.

География рынка и инновации

Ежегодный мировой рост технологий обнаружения и предотвращения атак к 2006 году составит 27%, что существенно выше, чем в других сегментах рынка средств защиты информации — исключение составляет, пожалуй, только контроль содержимого. В Западной Европе рост гораздо ниже — 18% (его превышают только средства контроля содержимого). «Отсталость» Европы лишний раз подтверждается и тем, что основные продажи средств обнаружения атак осуществляются и будут осуществляться в Северной Америке.

Распределение средств обнаружения атак по регионам

Регионы2003, (%)2007, (%)
США и Канада6056
Европа, Ближний Восток и Африка2021
Азия, Япония и Австралия1719
Карибские о-ва и Латинская Америка34

Источник: Intrusion Detection and Prevention Products. Infonetics Research, Inc. May 28, 2004

Растет число компаний малого и среднего бизнеса, которые задумываются о защите своих ресурсов от посягательств хакеров. Например, если в 2002 году 38% малых, 48% средних и 63% крупных предприятий Европы использовали решения по обнаружению атак, то в 2007 году ожидается рост этих показателей до 62%, 83% и 92% соответственно. Общее число компаний, воспользовавшихся этой технологий возрастет за 5 лет (с 2002 по 2007 год) на 97%.

Постепенно средства поиска следов несанкционированной активности в сетевом трафике «выживают» другие защитные механизмы. Если в 2002 году решения по обнаружению атак уверенно держали 7,2% всего рынка, то к 2007 году эта цифра должна возрасти до 8,3%. С другой стороны роль межсетевых экранов, VPN, средств AAA снижается. Например, МСЭ и VPN отдадут завоеванные позиции и «упадут» ниже десятипроцентной отметки (с 12,5% в 2002 году до 9,4% в 2007 году).

Изменятся и сами технологии обнаружения атак. Если до недавнего времени превалировали системы, использующие «сигнатурный» подход, то им на смену приходят «аномальные» решения, отслеживающие в сетевом трафике или поведении приложений и процессов все отклонения от нормы. К концу 2004 году 50% классических «сигнатурных» систем обнаружения атак будет заменено на технологии, использующие «аномальный» подход, а общее соотношение сигнатурных и аномальных систем будет один к трем в пользу последних.

Отмеченная в прошлом году тенденция замены программных решений программно-аппаратными комплексами продолжится и далее. Практически все основные производители средств защиты предлагают свои решения в этом сегменте. Ежегодный рост таких решений, к числу которых можно отнести Proventia от ISS, Cisco IDS Sensor 4200, NetScreen IDP и т.д., составит 17,7%. Среди всех остальных «железных» решений по защите доля систем обнаружения и предотвращения атак составила в 2002 году 9,0%. И несмотря на то, что число этих устройств будет расти, к 2007 году доля устройств обнаружения атак упадет до 7,3%. В первую очередь это связано с колоссальным ростом (70,3%) систем контроля содержимого, выполненных «в железе».

Рост объемов продаж аппаратных средств обнаружения атак

Средства защиты (в млн долл.)200220032007
Программно-аппаратные комплекс (security appliance)152,8186,4344,9

Источник: Worldwide Security Appliance Forecast and Analysis, 2003–2007, IDC

Не сдают свои позиции и разработчики межсетевых экранов, не желающих проигрывать эту битву производителям систем предотвращения атак. Эксперты считают, что к 2006 году 60% всех межсетевых экранов и систем обнаружения атак будут объединены в рамках единой платформы. Также такие платформы будут опционально оснащаться антивирусами и модулями контроля содержимого с целью покрытия максимального спектра возможных интернет-угроз. Такие решения уже можно найти и сейчас — Proventia M от ISS, Symantec Gateway Security 5400 Series, SmartDefense от Check Point и т.д.

На рынке систем анализа защищенности (сканеров безопасности) игроки другие, но в «высшую лигу» пробились уже известные нам лица — ISS и Symantec. Именно эти две компании захватили верхние строчки рейтинга компаний, разрабатывающих средства поиска уязвимостей. Остальные наступают им на пятки:

Доли игроков на рынке анализа систем защищенности

Доли игроков на рынке анализа систем защищенности

Примечание
* NetIQ — 9,0% (за счет покупки PentaSafe в декабре 2002 года);
** — был куплен в 2003 году Computer Associates и переименован в eTrust Network Forensics

Источник: IDC, 2003 г.

Среди других игроков рынка можно назвать Foundstone, nCircle, eEye, Sanctum и т.д., захвативших не более 2% рынка каждая. Если перейти к абсолютным цифрам, то объемы рынка сканеров безопасности оцениваются в этом году в $549 млн. Ежегодный рост в 18,4% достигается за счет, как это ни странно, не сетевых сканеров, а решений, призванных обнаруживать дыры на отдельных узлах и приложениях (т.н. host-based security scanners).

Рост объемов продаж средств анализа защищенности

Сканеры безопасности (в млн долл.)200120022007
Сканеры безопасности уровня сети130,7151,2370,3
Рост (в %)н/д15,716,1
Сканеры безопасности уровня узла201,9222,8500,9
Рост (в %)н/д10,414,2
Сканеры безопасности332,6373,9871,2
Рост (в %)н/д12,415,0

Источник: Worldwide Vulnerability Assessment and Management Forecast Update and Analysis, 2003–2007, IDC

Несмотря на широкую рекламу сетевые сканеры менее популярны у потребителей, чем их аналоги для отдельных узлов — объем рынка средств анализа защищенности уровня сети составляет около 40% от продаж всех сканеров. На этом сегменте лидируют:

Доли игроков на рынке средств анализа защищенности уровня сети

Доли игроков на рынке средств анализа защищенности уровня сети

Примечание:
* — со своими решениями Internet Scanner, Database Scanner и Wireless Scanner
** — Symantec со своим NetRecon

Источник: IDC, 2003 г.

Доля ISS превышает доли ближайших конкурентов вместе взятых и это немудрено. Именно ISS принадлежит первый в мире сетевой сканер безопасности, разработанный еще в прошлом веке — в далеком 1992 году. Однако, более молодые компании не желают без боя отдавать пальму первенства и постепенно наращивают свое присутствие. Например, объемы продаж компаний Qualys, Foundstone, eEye ежегодно вырастают более чем на 80–100% (в среднем этот сегмент рынка растет на 16% в год).

На рынке средств анализа защищенности серверов и рабочих станций свои лидеры, но и они нам уже известны:

Доли игроков на рынке средств анализа защищенности серверов и рабочих станций

Доли игроков на рынке средств анализа защищенности серверов и рабочих станций

Примечание:
Symantec с Enterprise Security Manager
BindView с bv-Control
NetIQ с VigilEnt Security Manager Suite и Security Analyzer
ISS с System Scanner
Sanctum c AppScan

Источник: IDC, 2003 г.

Здесь рост не так велик, как у своих сетевых коллег — 20–50% считается хорошим показатель. Хотя есть и уникальные примеры — компания SPI Dynamics увеличила свои обороты только за 2001–2002 годы в 380 (!) раз. Сдает свои позиции компания IBM, которая теряет своих клиентов в обоих сегментах рынка — на 28,0% и 26,7% соответственно.

Ключевые события в мире обнаружения атак

В 2003–2004 годах в области обнаружения атак произошел ряд знаменательных событий, так или иначе повлиявших на рынок:

  • Компания Symantec приобретает компанию Recourse Technologies вместе с ее обманной системой ManTrap (переименованной в Decoy Server) и сетевой системой обнаружения атак ManHunt, что позволило Symantec сразу влиться в стройные ряды лидеров этого сегмента рынка.
  • Компания Cisco Systems, прекратив взаимоотношения с компанией Entercept, приобрела другого производителя средств предотвращения атак для рабочих станций и серверов — компанию Okena. Наряду с Okena ведущий производитель сетевых устройств приобрела еще одного разработчика средств предотвращения атак, но уже на уровне сети — компанию Riverhead Networks.
  • В свою очередь компанию Entercept приобрела компания Network Associates. Наряду с решениями по защите серверов NAI купила и компанию IntruVert — разработчика решений по предотвращению сетевых атак.
  • Компания NFR Security, основателем которой является Маркус Ранум — создатель первого межсетевого экрана, приобретя CyberSafe, добавила к своей сетевой системе обнаружения атак решение для защиты серверов Centrax.
  • Второй после Cisco производитель маршрутизаторов — компания Juniper приобрела производителя сетевых средств защиты — компанию NetScreen, которая до этого, в свою очередь, вышла на рынок систем обнаружения атак (с семейством IDP) купив компанию OneSecure.

Алексей Лукацкий

Об авторе

Алексей Викторович Лукацкий, руководитель отдела Internet-решений Научно-инженерного предприятия «Информзащита» (Москва). Автор книг «Обнаружение атак», «Атака из Internet» и «Protect Your Information with Intrusion Detection». Автор курсов «Обнаружение атак» и «Выбор системы обнаружения атак». Связаться с ним можно по тел. (095) 937–3385 или e-mail: luka@infosec.ru.

Валерий Конявский: Пришло время пересмотреть базовые определения и сам предмет защиты информации

Валерий КонявскийУстаревшие представления о защите информации стали тормозом для развития рынка ИБ. О путях преодоления этих трудностей, а также о ключевых событиях российского рынка защиты информации в интервью CNews.ru рассказал Валерий Конявский, генеральный директор ВНИИ ПВТИ.

CNews.ru: Какие знаменательные события, на ваш взгляд, произошли за последний год на рынке информационной безопасности России? Какие тенденции определяли его развитие?

Валерий Конявский: Во-первых, это состоявшийся в Женеве Всемирный саммит информационного сообщества. По результатам работы саммита были приняты Декларация принципов и План действий для поддержки эффективного роста информационного общества и уменьшения цифрового неравенства.

В них отмечено, что «доверие и безопасность относятся к главным опорам информационного общества». «Упрочение основы для доверия, включая информационную безопасность и безопасность сетей, аутентификацию, защиту неприкосновенности частной жизни и прав потребителей, является предпосылкой становления информационного общества и роста доверия со стороны пользователей ИКТ». Кроме этого, в документах отмечена необходимость формирования, развития и внедрения глобальной культуры кибербезопасности в сотрудничестве со всеми заинтересованными сторонами и компетентными международными организациями. Для нас это — семафор, сигнализирующий о росте интереса мирового сообщества к работам в той сфере, в которой работаем и мы. И действительно, многие наши идеи в последнее время получают серьезную поддержку.

Полный текст интервью

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.

Toolbar | КПК-версия | Подписка на новости  | RSS