Вредоносный код следует за развитием компьютерных средств. Борьба с ним подошла к стадии, когда применения одних лишь проверенных средств и политик безопасности недостаточно.
После того как компьютерами стали оснащаться практически все офисные места, появилась необходимость управлять парком рабочих станций и установленным на них ПО в больших корпоративных сетях. Известно, что управление большим числом объектов чревато дополнительными рисками. Ни один системный администратор не может быть уверен, что 100% его парка компьютеров охвачено новыми обновлениями. Всегда остается вероятность, что, например, какой-то компьютер под управлением экзотической операционной системы остался без должного внимания, или какой-то мобильный ноутбук долго не был в офисе, и про него могли забыть. Да мало ли что еще!
Не так давно господствовала концепция, ставившая во главу угла защиту корпоративного периметра и проверку всего входящего и исходящего трафика на наличие вредоносного ПО. Среди достоинств этого подхода — централизованное управление безопасностью, снижение вероятности реализации тех или иных рисков за счет многослойности защиты (периметр доступа в Интернет, почтовый периметр, периметр защиты ПК и т. д.), а также то, что подавляющее число угроз ликвидируется раньше, чем их источники достигнут корпоративных сервисов или рабочих станций.
Среди минусов такого подхода Павел Потасуев, директор по ИТ российского представительства компании ESET, отметил удорожание защиты: «Многошлюзовая защита требует большего к себе внимания и усложняет управление. Правда, хорошие антивирусные решения, как правило, нивелируют этот недостаток».
Роман Карась, управляющий продажами в ритейле компании G Data Software, считает самым серьезным минусом такого подхода тиражирование ошибок администратора на всю корпоративную сеть. Еще один недостаток в том, что при отказе системы защиты периметра незащищенными (или не работающими) окажутся все компьютеры корпоративной сети.
В последние годы, когда компьютеры вышли за пределы корпоративного периметра, мобильные устройства завоевали популярность и в корпоративной среде, а сам периметр стал весьма расплывчатым понятиям, на место прежней концепции пришла новая, которая ставит целью защиту конечных устройств. Как следствие, появились решения, позволяющие более внимательно отслеживать активности на портах этих устройств. Развились системы предотвращения вредоносных атак, работающие в рамках одного устройства.
По наблюдениям Вениамина Левцова, регионального менеджера компании Trend Micro в России и СНГ, локальный антиспам по-прежнему является самым слабым звеном в системе защиты конечных точек: «Корпоративные антиспамы, которые работают, используя глобальные источники о спам-атаках, демонстрируют производительность на уровне 96%, чего нельзя сказать о локальных решениях».
Сейчас в корпоративной среде активно используются технологии виртуализации, и вполне возможно, что уже в недалеком будущем пользователями будут сотрудники не с ноутбуками, подключенными к Интернету, а с мобильными устройствами, на которых ничего не установлено, кроме мощного браузера и программ для подключения к Интернету, а все приложения и данные хранятся на ресурсах провайдеров виртуальных (облачных) сервисов.
По прогнозам Левцова, через два-три года подобные устройства появятся во всех крупных организациях. «Как следствие, антивирусная защита будет мигрировать в облачные среды. Защита в конечной точке, скорее всего, останется, так как ранее неоднократно подтверждала свою актуальность. Кроме того, основные источники, которые питают антивирусное ПО, должны быть доступны по всему миру через глобальные сети, чтобы в реальном времени обновлять информацию о текущих угрозах».
Работает? Не трогай!
Различные прогнозы и тенденции предупреждают о скором переходе корпоративных вычислений в облака, которые можно рассматривать как более высокую стадию развития аутсорсинговых отношений. Что касается аутсорсинга ИБ, то в России пока крайне мало примеров удовлетворенности в результате передачи функций ИБ третьих лицам на условиях аутсорсинга.
По мнению Рустама Гуломова, руководителя направления ISP компании ESET, российский рынок ИТ-безопасности имеет свою специфику и говорить о готовности к повсеместному переходу в облака пока не приходится: «Сегодня мы наблюдаем картину, когда часть данных хранится на удаленных ресурсах, а часть — на локальных. Сервис-провайдер должен предоставить универсальное решение. Понятно, что такое решение не может быть полностью основано на облачных вычислениях».
В ИБ очень многое строится на доверии к людям, которые готовы брать на себя ответственность. Эту точку зрения полностью разделяет Левцов: «Всегда должен быть специалист, отвечающий за ИБ, с четко определенным ресурсом и бюджетом, и хотя он не всегда является конечным распорядителем этих средств, его заявки учитываются (от антивирусов не отказывались даже во время экономического кризиса). Если такой специалист работает в компании, у руководства есть чувство защищенности, вера в то, что этот человек управляет ситуацией с ИБ».
Как только начинается обсуждение перспектив применения внешних сервисов, возникают неуверенность и связанные с ней страхи и опасения. Но фактически на каждый вопрос, вызванный этими опасениями, можно получить от специалистов аргументированный и успокаивающий ответ. Похоже, корень опасений и страхов, связанных с аутсорсингом, кроется скорее в психологической области, в ощущении какой-то потери тотального контроля над ситуацией.
Но нельзя оставлять без внимания и другие аспекты, в частности экономический. «Руководство предприятия, имея в штате администратора сети, как правило, не желает тратить дополнительные средства на аутсорсинг в области безопасности, часто рассматривая его как некую “иглу”: подсев на нее, придется платить и администратору, который, по мнению руководства, часто недогружен работой, и аутсорсеру. Бытует также мнение, что вскоре после подписания договора с аутсорсером значительно снижается качество предоставляемых им услуг. В итоге приходится возвращаться к варианту с администратором, а от подобных метаний страдает бизнес в целом», — считает Карась.
Допустим, что за счет облачного аутсорсинга удастся добиться удешевления ИБ. Не приведет ли это к «автоматическому» сокращению расходов на ИБ в целом по компании? Сложный вопрос, на который пока нет ответа.
И не обернется ли использование облачных ИБ-сервисов ослаблением безопасности? Проведя исследование в этой области, специалисты компании G Data Software пришли к неожиданным выводам. По их мнению, облачные технологии не могут полностью быть безопасными по той причине, что это распределенные вычисления. Отчасти такую точку зрения разделяет и Гуломов: «В настоящий момент ни одно облачное решение не способно обеспечить полноценную защиту данных, хранящихся локально. Сервис-провайдер должен предложить клиенту универсальное решение для защиты данных как на локальном компьютере, так и на удаленном сервере, а решить такую задачу без участия производителей антивирусного ПО практически невозможно».
К сожалению, и провайдеры аутсорсинговых услуг, и ИТ-лидеры слабо знают язык бизнеса, в чьих интересах они призваны действовать. Неудивительно, что аргументы, которые они высказывают в пользу аутсорсинга, не находят поддержки со стороны генерального директора, акционеров или владельцев бизнеса, поскольку в действиях ИТ-провайдеров и ИТ-менеджеров не видно стремления оптимизировать бюджет.
Как бы то ни было, основная причина прохладного отношения к облачным моделям защиты от вредоносного ПО заключается в том, что в мире ИТ строго соблюдается принцип «Работает? Не трогай!», считает Левцов. «Предприятия из года в год выделяют из своего бюджета средства на ИБ, привыкли к определенной системе управления, в том числе в рамках политик ИБ и антивирусной политики и борьбы со спамом, у них сложился определенный штат специалистов, причем небольшой. Если, к примеру, перевести контакт-центр из столицы в регионы, то можно сэкономить большие деньги, а если сократить двух-трех высококлассных специалистов по ИБ, то большой выгоды не получится», — утверждает он.
Впрочем, если предложения провайдеров не отличаются прозрачностью, понятным перечнем услуг и приемлемыми тарифами, то как CIO или CSO сможет оценить достоинства предлагаемых услуг и донести их до своего руководства? Вот что об этом думает Алексей Затопляев, директор по ИТ управляющей компании «Бауцентр Рус», президент клуба ИТ-директоров Калининградского региона: «Во-первых, если для “розничных” пользователей сервис почты с Web-интерфейсом (Google, Yandex, MSN и прочие) предоставляется бесплатно, то возникает закономерный вопрос: почему корпоративная почта должна подвергаться какой-то дополнительной фильтрации за деньги? Очень сложно объяснять бизнес-спонсору эту ситуацию. Второе (как следствие первого): нельзя ли, раз уж не обойтись без таких программ, иметь их на своих корпоративных почтовых серверах бесплатно? В-третьих, лично я не встречал отдельных вразумительно сформулированных предложений этих сервисов с понятной тарифной политикой. В-четвертых, мало поставить антивирусное ПО на вход в систему. Вирусы, к сожалению, могут распространяться и внутри корпоративной сети, поэтому под антивирусный контроль должна попадать и внутренняя почта. Как это осуществить, опираясь на аутсорсинг? Наконец, мне непонятно, что делать, если письмо некорректно отнесено в спам. Сейчас мы его можем просто найти вручную, достать из архива и передать пользователю, если он ждет это письмо. А что делать, если оно “отсеялось” где-то снаружи? Опасаюсь, что в этом случае проблем не миновать».