Рубежи бизнес-обороны: ПО как оружие

Подходы к построению систем защиты информации могут различаться в зависимости от размеров компаний и сферы их деятельности. Однако базовые инструменты защиты, как правило, одинаковы для всех.  

Программные средства остаются сегодня самым массовым инструментом защиты информации, даже несмотря на бурный рост в сегменте программно-аппаратных решений. В зависимости от уровня конфиденциальности информации, от способа ведения бизнеса, от размеров компании в корпоративном секторе используются различные подходы к разработке политики безопасности и построению систем защиты. Тем не менее, спектр используемых решений достаточно устойчив.

На рубеже защиты

Межсетевые экраны (МСЭ), они же firewall’ы, они же брандмауэры, являются обязательным средством защиты любой компании, имеющей выход в интернет. Основная задача МСЭ — фильтрация и управление входящим и исходящим трафиком. По сути МСЭ позволяет изменить политику безопасности, уйдя от принципа "разрешено все, кроме того, что запрещено" к альтернативе "запрещено все, кроме того, что разрешено". Широко распространенное мнение, о том, что МСЭ является панацеей от всех бед, ошибочно. Даже если закрыть все порты, кроме 80-го, без которого невозможна работа с интернетом, уровень угрозы уменьшится незначительно. Тем не менее, установка МСЭ является первым шагом к построению комплексной системы защиты.

Помимо МСЭ, для организации безопасной работы в интернете компании широко используют средства построения VPN. При наличии распределенной корпоративной сети или необходимости удаленного доступа к ней, неизбежно встает вопрос о безопасности передаваемых данных. Построение собственных каналов передачи накладно и позволяет решить только первую проблему. Вместе с тем, с помощью VPN можно организовать безопасное соединение как между офисами, так и между отдельным сотрудником и корпоративной сетью. Суть технологии заключается в том, что посредством программных средств создается защищенный канал передачи, где обмен информацией происходит в зашифрованном виде.

Впрочем, сегодня практически все корпоративные МСЭ включают и средства построения VPN (Virtual Private Network — виртуальная частная сеть). По сути, уже нет смысла разделять эти решения: большинство экспертов предпочитает говорить о едином классе продуктов firewall/VPN. Анализ рынка показывает, что интеграцию МСЭ с системами обнаружения и предотвращения атак можно считать состоявшейся. Более того, некоторые комплексные решения по защите контента также включают в себя МСЭ.

Темпы роста в сегменте программных решений firewall/VPN заметно ниже средних по рынку программных средств защиты. Главной причиной такой ситуации является замедление роста в сегменте корпоративных решений для шлюзов, ввиду роста популярности программно-аппаратных средств. Мультифункциональные программно-аппаратные комплексы (UTM) включают и МСЭ, и средства построения VPN. Сегмент же решений для конечных пользователей, а также для рабочих станций, наоборот, проявляет тенденцию к росту.

Безусловным лидером в секторе firewall/VPN является компания Check Point, которой принадлежит примерно половина данного рынка. Причем если до 2004 г. она лидировала в сегменте корпоративных решений, то, купив в декабре 2003 г. Zone Labs, стала доминировать и в сегменте решений для рабочих станций. Следующим по величине игроком является Microsoft, хотя его доля, по различным оценкам, в 3-4 раза меньше, чем у Check Point. Среди ведущих производителей в сегменте решений для конечных пользователей фигурирует также Symantec, а в секторе решений для рабочих станций — ISS.

Проактивное будущее антивирусов

Антивирусные средства являются следующим этапом построения корпоративной системы защиты. Связка "firewall/VPN+антивирус" покрывает основные пути доступа к конфиденциальной информации. Если стоимость информации невысока, а главная задача состоит в обеспечении стабильной работы сети, то этого набора достаточно.

Первенство (около 40%, по данным самих игроков) на мировом рынке антивирусов принадлежит компании Symantec, доминирующей как в пользовательском, так и корпоративном секторах. В тройку лидеров входят также McAfee и Trend Micro, суммарная доля которых составляет около 30%. Последняя компания является общепризнанным лидером в сегменте антивирусов для файловых и почтовых серверов, а также для шлюзов. Трем вендорам вместе, по различным оценкам, принадлежит прядка 70 — 80% всего рынка антивирусов.

В России же более половины антивирусного рынка принадлежит Kaspersky Lab. На втором месте Dr.Web, с долей порядка 15%. Влияние западных игроков ощущается здесь пока не так сильно. Дополнительным конкурентным преимуществом российских компаний к тому же является возможность предоставления широкого спектра сервисов для индивидуальных потребностей крупных заказчиков. Иностранные конкуренты этого пока себе позволить не могут.

В настоящий момент на рынке антивирусов доминируют две тенденции. Во-первых, интерес к технологии обнаружения вирусов, и, во-вторых, — точки фильтрации в корпоративной ИТ-инфраструктуре, соответствующие основным каналам проникновения — интернету и почтовому трафику.

Сегодня многие эксперты и производители склоняются к тому, что будущее антивирусов за проактивными методами обнаружения. Несмотря на то, что сигнатурный метод обнаружения остается пока доминирующим, ведущие вендоры уже предлагают эвристические механизмы в своих продуктах. Подобные технологии применяются и в российских решениях.

Впрочем, те же эксперты пока не спешат говорить о том, что проактивные методы вытеснят сигнатурные в ближайшем будущем. А ведущие антивирусные компании делают ставку на развитие и использование всех механизмов фильтрации, как сигнатурных, так и эвристических.

Пока эвристика не стала превалирующим способом детектирования, она успешно справляется с обнаружением вирусов. Однако есть мнения, что с увеличением доли принципиально новых видов вирусов эффективность этой технологии уменьшится, поскольку они смогут обходить эвристические анализаторы.

Есть и другие перспективные, по мнению экспертов, механизмы обнаружения вирусов. Один из них, например, был предложен HP. Он основан на выявление характерных особенностей в поведении процесса и не связан ни с сигнатурами, ни с эвристическим моделированием работы вируса.

Что касается точек фильтрации вирусов, то, по мнению экспертов, в ближайшие годы наиболее активно будут развиваться решения для почтовых серверов и шлюзов. Причем решения для шлюзов рассматриваются как наиболее эффективные. Гораздо разумнее и дешевле отсеивать вирусы до их попадания в сеть, а не чистить каждую из рабочих станций отдельно. Наиболее активно данную идею продвигает компания Aladdin с решением eSafe. Однако не все согласны с тем, что уже в ближайшие годы данный подход станет доминировать.

Адаптивная защита

Если речь идет не о малом бизнесе, где сеть насчитывает несколько десятков рабочих станций, то базовых инструментов защиты уже будет недостаточно. В сети могут присутствовать файловые, почтовые сервера, рабочие станции, и на каждом таком узле установлено множество программ, неправильная настройка которых значительно ослабляет защиту сети и, соответственно, упрощает возможность несанкционированного доступа (НСД).

Эффективным средством обнаружения слабых мест в сети являются средства анализа защищенности. Один из таких инструментов — сканеры безопасности (сетевые сканеры), которые позволяют исследовать сетевые ресурсы на предмет наличия слабых мест, произвести анализ полученных данных и получить отчет обо всех найденных уязвимых местах (неправильные настройки МСЭ, web-серверов, баз данных, слишком простые пароли и пр.) Это избавляет от практически невыполнимой ручной проверки настроек всех узлов сети. В России наибольшей популярностью пользуется сканер X-Spider отечественной разработки от компании Postive Technologies.

Другим адаптивным средством безопасности являются системы обнаружения и предотвращения вторжений (IDS/IPS). Системы IDS/IPS занимаются мониторингом и анализом вверенных им ресурсов. В случае обнаружения подозрительных действий системы IDS сообщают об этом, а также дают информацию об их характере. Системы IPS, помимо этого, предпринимают активные действия по блокированию атак. Современные решения используют сложные механизмы корреляционного анализа, что позволяет выявлять действительно важные события безопасности.

Рынок программных систем IDS/IPS практически не проявляет тенденций к росту. Это связано с тем, что большая часть рынка приходится на сетевые решения, доля которых уменьшается в пользу программно-аппаратных средств, которые рассматриваются сейчас как гораздо более перспективные. Тот факт, что общепризнанный лидер сегмента программных систем IDS/IPS (свыше 40% рынка) — компания ISS — сменила стратегию своего развития и переориентировалась с программных решений на программно-аппаратные, лишний раз подтверждает это. Кроме того, несмотря на кажущееся ценовое преимущество программных решений, совокупная стоимость владения ими оказывается заметно выше, чем программно-аппаратными.

Дорасти до Запада

Перечисленные инструменты защиты составляют лишь малую часть от существующего сегодня арсенала средств защиты информации. На западе распространены решения по мониторингу трафика, разграничению доступа, управлению уязвимостями, добавочной защите операционных систем, управлению безопасностью и др. Однако в России на долю этих решений приходится не более 30% рынка программных средств защиты. На долю же антивирусов, МСЭ, средств построения VPN и систем IDS/IPS приходится, по оценкам экспертов, от 70% до 80% рынка.

Отдельно хотелось бы отметить сегмент решений, практически отсутствующий в России  — системы управления безопасностью. Они необходимы в крупных организациях, где количество компьютеров исчисляется сотнями и используется огромное число различных средств обеспечения безопасности, соответственно, чрезвычайно сложно управлять всеми событиями безопасности. Причем к подобным событиям относятся не только атаки или НСД, но и просто зачисление в штат нового сотрудника, для которого необходимо завести новую учетную запись, настроить соответствующие права доступа и пр. Все эти события необходимо отслеживать и вести постоянный их учет, что особенно сложно, когда обязанности разграничены между системными администраторами, ИТ-подразделением и службой безопасности.

Частично решить данную проблему можно путем автоматизации управления безопасностью и выстраивания политики безопасности организации на основе стандарта ISO 17759. Однако сегодня все чаще слышны мнения, что управление информационной безопасностью должно стать частью бизнес-процессов компании. Последний подход нельзя назвать революционным, скорее он формировался по мере эволюции средств и подходов к обеспечению ИБ.

Мировыми лидерами в данной области являются такие компании, как Computer Associates, Network Intelligence, Intellitactics, netForensics, ArcSight, e-Security. На данный момент можно назвать два основных отечественных производителя, которые предлагают решения по управлению ИБ: "Информзащита" с продуктом "Куб" и Digital Security с продуктами "Кондор" и "Гриф".

Несмотря на все это большинство экспертов полагают, что уровень развития рынка ИБ в России соответствует уровню информатизации в стране. По мере того, как ИТ будут все глубже проникают в бизнес-процессы отечественных компаний, все больше внимания будет уделяется вопросам ИБ.

Илья Разумов / CNews

Сергей Тарасов: Передовые страны избавляются от рутины за счет аутсорсинга ПО

Сергей Тарасов

О различиях в структуре потребления корпоративного ПО российскими и зарубежными компаниями рассказал Сергей Тарасов, глава представительства Computer Associates в России и СНГ.

CNews: Какие тенденции, на ваш взгляд, определяют развитие мирового рынка корпоративного ПО в настоящий момент?

Сергей Тарасов: Имеет смысл выделить несколько тенденций. Первая из них — наиболее очевидная — отражает на только изменение в ИТ-отрасли, но в бизнесе в целом, подход к которому который становится все более комплексным. Здесь, по-моему, уместна такая аналогия: если в 20-х годах основными элементами промышленного производства были станки, то через какое-то время ими стали конвейеры и производственные линии. Корпоративное ПО сегодня развивается в соответствии с основной тенденций глобализации бизнеса (который становится более сквозным и информационно прозрачным). На смену «островковой» приходит глобальная и комплексная информатизация.

Полный текст интервью


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS