Чтобы отыскать слабые места в компьютерных системах безопасности, в Голубом Гиганте создано целое подразделение "сознательных хакеров". Что бы не говорили при этом официальные лица, цель демонстрации была предельно очевидной - привлечь внимание потенциальных клиентов. Некоторая театральность, присущая данному представлению, позволила его устроителям сорвать аплодисменты зрителей, несмотря на то, что принципиально новых решений те не увидели.
"Пример IBM наглядно показывает, что за два последних десятилетия приемы маркетинга продуктов и услуг безопасности практически не изменились, - подчеркнул Дэвид Джир, вице-президент компании CertCo. - IBM по-прежнему пытается сыграть на страхе, неуверенности и сомнениях потенциальных клиентов. Следует же представлять средства безопасности как совершенно необходимую технологию для вступления бизнеса в новую эру, эру электронной коммерции".
Большинство клиентов не станут тратить на приложения электронной торговли ни цента, пока им не будет гарантирована безопасность сделок. Но как только они почувствуют уверенность, деньги потекут рекой.
Джир занимается проблемой безопасности в течение вот уже двадцати лет, и в этой области для него не существует секретов. В 80-х он был в Массачуссетском технологическом институте одним из руководителей проекта Athena. Этот проект придал мощный импульс развитию распределенных вычислений. Одним из его итогов явилось создание популярной и поныне системы аутентификации Kerberos.
Джир уверен, что период широкого распространения Internet и электронной коммерции станет "золотым веком" технологии безопасности. Недавнее исследование компании UBS Securities полностью подтверждает его прогнозы.
По данным UBS Securities, совокупный оборот рынка систем информационной безопасности в 2000 году составит 16,6 млрд. долл. (из них 9,9 млрд. долл. покупатели выложат за услуги). Это соответствует росту продаж в период с 1997 по 2000 год на 72%. Причиной столь высоких показателей станет широкое распространение систем электронной коммерции и технологий безопасности для Web.
Расширением своих границ этот рынок, по мнению Джира, обязан не только тому, что все больше пользователей начинают справедливо беспокоиться за конфиденциальность сведений о собственной персоне. Массированное наступление средств электронной торговли и виртуальных частных сетей приведет к тому, что безопасность станет необходимым условием освоения предприятиями новых направлений бизнеса.
Распространение средств электронной коммерции и виртуальных частных сетей ведет к активизации деятельности интеграторов и разработчиков решений в области безопасности. В прошлом вопросы безопасности находились в компетенции специализировавшихся на этой проблеме консультантов. Сегодня интеграторы предлагают предприятиям эффективные решения, создавая единые системы безопасности на базе продуктов различных производителей.
Бурное развитие средств безопасности во многом происходит благодаря расширению Internet. Однако некоторые специалисты утверждают, что рост продаж подобных систем наметился еще до начала бума Internet. По их мнению, причиной повального увлечения системами безопасности стало развертывание в конце 80-х годов локальных сетей.
"Перенося технологии удаленного доступа во внутренние сети, предприятия довольно быстро поняли, что полномочия пользователей необходимо ограничить, - заметил Дэйв Фаулер, вице-президент компании Gradient Technologies. - Решить эту задачу призваны появившиеся на рынке устройства обратного дозвона и межсетевые экраны. Со временем производители представили на суд корпоративных покупателей новые продукты шифрования, пришедшие на смену устаревшим алгоритмам, применявшимся в более ранних приложениях".
Все это позволило сгладить остроту проблемы и дать конкретные ответы на поставленные вопросы, но не смогло претендовать на роль единого эффективного решения.
"Это было похоже на дом, который возводится без учета строительных стандартов, - пояснил Фаулер. - Новые комнаты появлялись одна за другой, но двери между ними отсутствовали. Технологии Internet не только создали предпосылки для появления новых средств безопасности, но и помогли по-иному взглянуть на отрицательные черты специализированных продуктов, делавшихся на заказ".
По мнению Фаулера, сегодняшний рынок интеграции систем безопасности - лакомый кусок: "Масса интеграторов кормится тем, что собирает цельные решения из уже имеющихся строительных блоков".
Эту точку зрения разделяют главный инженер компании MCI Systemhouse Брэд Эрлвайн и ее научный директор Ян Пахль. В идеале средства безопасности должны превратиться в одну из главных составных частей корпоративной инфраструктуры.
"Чем лучше интегрирован нижний уровень информационной системы, тем гибче механизмы безопасности, - подчеркнул Эрлвайн. - Использование распределенных моделей (например, среды Distributed Computing Environment - DCE) позволяет придать предлагаемым решениям новое качество. DCE относится к тому типу связующих систем, который был утрачен после того, как компьютерная индустрия отказалась от монолитных глыб мэйнфреймов".
Kerberos, компонент, отвечающий за безопасность в DCE, предоставляет средства аутентификации конечных пользователей, которые обращаются к привилегированным подсистемам и данным, и формирует надежный фундамент для обеспечения защиты внутри корпоративной информационной системы. Без базовой модели безопасности, компании зачастую остаются один на один с бесполезным набором разрозненных технологий, не поддающихся объединению.
"Отважиться на полную перестройку системы и привести ее в соответствие с требованиями распределенной модели DCE очень непросто, - отметил менеджер по маркетингу глобальных систем безопасности компании SunService Эд Гловер. - В условиях дефицита унифицированных подходов интеграторы зачастую занимаются полнейшей самодеятельностью".
По мнению Гловера, проблемы несовместимости средств безопасности могут привести к болезненным переменам на этом сегменте компьютерного рынка. Происходящая консолидация отрасли, к которой ведет приобретение крупными производителями мелких, не так уж и плоха. Концентрация усилий нарастает, сужается число направлений развития, усиливается стандартизация, упрощается выбор.
Многие специалисты считают, что в конце концов, после всех слияний, перетрясок и приобретений, на рынке будет доминировать "большая пятерка". Впрочем, некоторые интеграторы говорят о подобной консолидации со смешанными чувствами.
"Разработчики с опаской взирают на крупные корпорации, которые на корню скупают все перспективные продукты мелких фирм и встраивают их в свои системы, - заметил Стив Дахилл, бывший директор по дистрибуции компании Raptor Systems, занимающий ныне аналогичный пост в Axent Technologies. - В то же время, думаю, многие согласятся с тем, что 60 производителей межсетевых экранов для сегодняшнего рынка - слишком много. Если слияние двух компаний прошло успешно, реселлеры получают возможность не просто предложить покупателю лучший продукт, но и предоставить ему полноценную техподдержку и сопровождение на протяжении всего жизненного цикла решения по обеспечению безопасности".
Стратегия самой Axent - яркий пример подобного подхода. Компания будет предлагать клиентам полный набор согласованных компонентов, начиная от однонаправленного межсетевого экрана и заканчивая активными средствами обнаружения вторжений. По словам Дахилла, Axent поставляет линию полностью интегрированных систем безопасности.
Даже в условиях консолидации отрасли и повсеместного объединения продуктов интеграторы не боятся падения спроса на их услуги и не опасаются, что их собственным разработкам придется пылиться на полках.
"То, что вы купили в CompUSA межсетевой экран и установили его, вовсе не делает вас автоматически обладателем системы безопасности, достойной корпорации из списка Fortune 50, - подчеркнул Дахилл. - Несмотря на серьезные достигнутые результаты, до реализации принципов plug-and-play в индустрии средств безопасности еще далеко".
Биография систем безопасности
Эволюция информационных систем наряду с важнейшими событиями в истории компьютерной индустрии определила успехи технологии и все возрастающий интерес пользователей к системам компьютерной безопасности.
Миру мэйнфреймов, доминировавшему на протяжении 70-х годов, были присущи следующие черты исключительной безопасности: ограничение физического доступа к компьютерам, редкое применение средств удаленного доступа, широкое распространение неинтеллектуальных терминалов, парольная система идентификации пользователей. Работа информационных систем находилась под жестким контролем средств безопасности, созданных производителями мэйнфреймов. Наибольшая угроза исходила от обслуживающего персонала, наделенного значительными полномочиями. Существовал также некоторый риск случайной модификации или стирания данных.
Начало 80-х годов совпало с революцией персональных компьютеров и резким ослаблением сдерживающих возможностей систем безопасности. Компьютеры приобретались без ведома информационных служб предприятий и очень часто использовались для несанкционированной обработки критически важных данных. Соображения бизнеса требовали немедленного усовершенствования средств безопасности в расчете на новую платформу.
В первых программных пакетах для мэйнфреймов применялись нестандартные системы парольной защиты, расширявшие возможности базовых средств безопасности производителя. Именно разработчики мэйнфреймов впервые подняли вопрос управления безопасностью.
Бреши, обнаруженные в компьютерных системах, привлекли всеобщее внимание. Вирус Морриса поразил тысячи систем, подключенных к Internet. Пресса
вовсю трубила об угрозе новых "червей", вирусов и прочих деструктивных программ. Тема уязвимости ПК для вирусов проникла и в деловую прессу.
Архитектура клиент-сервер похоронила старую парадигму безопасности. По мере того как идея распределенных вычислений все шире овладевала корпоративными информационными системами, контроль над безопасностью утрачивался. Информационные службы самостоятельно разрабатывали программные средства защиты. Примером такого программного обеспечения стала разработанная в рамках проекта Athena Kerberos система идентификации при помощи секретных ключей.
90-е годы ознаменовались расцветом Internet. Системы шифрования с использованием открытых ключей, другие инфраструктуры на базе асимметричных ключей стали стандартом.
Дальнейшее распространение технологий клиент-сервер и рост числа удаленных работников еще более увеличивало риск. Пакеты клиент-серверных
приложений постепенно вытесняли унаследованные системы, а вместе с тем ослабевали системы безопасности, ведь большинство компьютеров подключались к незащищенным сетям. Грянул бум удаленного доступа. Специалисты все чаще работали по контракту, штаты сокращались. Контрактники могли обращаться к критически важным данным и системам предприятия, повышая тем самым степень риска.
Полки компьютерных магазинов постепенно наполнились средствами безопасности для Internet, но компании порой продолжают проявлять удивительную беспечность. Сформировался рынок межсетевых экранов и виртуальных частных сетей. В то же время лишь очень немногие фирмы в явной форме определили свою политику в области безопасности.
Поставщики средств безопасности объединяются. Стали вырисовываться контуры ведущей пятерки производителей, предлагавшей интеграторам полный набор решений в области систем компьютерной безопасности.
Прекрасен наш союз...
Консолидация индустрии средств безопасности повышает качество интегрированных решений корпоративного уровня.
Axent Technologies не так давно купила производителя межсетевых экранов Raptor Systems.
CheckPoint Software Technologies в последнее время воздерживалась от приобретений, но заключала стратегические союзы и оформляла партнерские отношения с другими производителями средств безопасности, обеспечивая тем самым более высокую степень интероперабельности своих продуктов.
Network Associates, порожденная союзом производителя средств восстановления работоспособности сетей Network General и борца с вирусами McAfee Associates, приобрела компании PGP и Helix, а затем еще и Magic Software Enterprise и Trusted Information Systems.
Security Dynamics Technologies купила компанию Intrusion Detection и теперь владеет патентами на популярную систему шифрования RSA Encryption Engine.
Secure Computing, выделившаяся в 80-х годах из корпорации Honeywell, приобрела компании Border Network Technologies, Enigma Logic и Webster Network Strategies, что вывело ее на второе место в списке крупнейших производителей средств безопасности.
Куда уходят деньги?
Убытки от компьютерных преступлений и нарушений защиты компьютерных систем. (В том числе убытки, понесенные вследствие кражи интеллектуальной собственности, оплата работы сотрудников и расходы на расследование).
Несанкционированный доступ со стороны сотрудников компании | 181 437 долл. | 2,81 млн. долл. |
Кражи внутренней информации | 954 666 долл. | 1,67 млн. долл. |
Намеренное искажение данных или повреждение сетей | 164 840 долл. | 86 000 долл. |
Несанкционированный доступ к системным данным посторонних лиц | 132 250 долл. | 86 000 долл. |
Злоупотребления доступом в Internet со стороны сотрудников компании | 18 304 долл. | 56 000 долл. |
Вирусы | 75 746 долл. | 55 000 долл. |
По результатам бухгалтерских отчетов 241 компании |