Задача управления защитой оказывается не по силам многим компаниям ввиду ее сложности и объемности. В таких условиях наилучший выход — прибегнуть к помощи провайдеров услуг защиты.
Построение систем обеспечения информационной безопасности в российских компаниях имеет определенную специфику. Во-первых, на создание комплексной системы, а если говорить откровенно, то и на приобретение необходимых средств защиты информации не выделяются должные финансовые ресурсы. В результате покупается не «то, что надо», а «то, на что хватает денег», что приводит к появлению слабых мест в линии обороны предприятия. Во-вторых, внедрение системы защиты — весьма длительный и кропотливый процесс, который может длиться месяцами. Недостаточно только купить широко рекламируемое средство и установить его на компьютер. Такое средство необходимо протестировать в том окружении, в котором планируется его применять, установить и грамотно настроить, обучить персонал и, наконец, повседневно эксплуатировать.
Для решения этих задач необходимо время, деньги и прежде всего квалифицированные специалисты по защите информации и информационных технологий. Не секрет, что потребности бизнеса развиваются быстрее, чем информационные технологии, а те, в свою очередь, опережают средства, их реализующие. В результате может случиться так, что внедренная система защиты не будет удовлетворять требованиям корпоративной информационной системы. Например, еще недавно межсетевые экраны при доступе в Internet обеспечивали достаточно высокий уровень внешней защиты любой компании. Сейчас же, как показывает практика, только межсетевых экранов уже недостаточно. Необходимо применение и средств анализа защищенности, и систем обнаружения атак и т. д. Кроме того, создавая систему защиты на предприятии, важно привлечь высококвалифицированных специалистов, которые, условно говоря, не только знают, на какие кнопки надо нажимать, но и понимают, когда нажимать и к чему может привести то или иное действие. Они должны постоянно повышать свои знания и умения, чтобы быть всегда в курсе последних «достижений» хакеров и своевременно предотвращать новые способы атак и использование уязвимых мест.
Российская специфика состоит в том, что учебных центров, где готовили бы таких специалистов, практически нет. А те, что есть, заламывают баснословные (по российским меркам) деньги за обучение, поскольку оно, как правило, проводится по зарубежным авторизованным методикам. Стоимость обучения на таких курсах составляет от 800 до 5000 долларов США за срок от двух до пяти дней. Кроме того, сертифицированный специалист по защите рассчитывает на соответствующую оплату своего труда. Например, средняя зарплата американских специалистов по защите информации составляет около 66 тыс. долларов, что, для примера, в полтора раза превышает зарплату программистов. Удержать специалистов такого уровня обычной компании очень непросто. И хотя в России зарплаты на порядок ниже, ситуация от этого лучше не становится.
Следующая проблема заключается в том, что имеющиеся на рынке средства защиты поддерживают большое число функций, многие из которых никогда не используются и вряд ли будут использоваться заказчиками. Например, если у вас нет в сети узлов UNIX, то вы никогда не будете проверять их на наличие уязвимых мест при помощи встроенных средств системы анализа защищенности наподобие Internet Scanner. Однако в стоимость системы они уже включены. Кроме того, некоторые решения нужны не постоянно, а только время от времени, как квартальный отчет, который готовится всего четыре раза в год. Например, некоторые компании проводят анализ защищенности своих узлов один раз в месяц, т. е. всего 12 раз в год. Все остальное время эти средства простаивают.
И, наконец, последней острой проблемой создания корпоративной системы защиты информации собственными силами являются ее поддержка и своевременное обновление (наращивание мощностей, масштабирование и т. д.).
Все эти проблемы требуют неотложного решения, особенно для тех компаний, которые планируют заниматься электронной коммерцией, так как они становятся привлекательной мишенью для злоумышленников. Справиться с этим качественно, быстро и за приемлемые деньги — очень непростая, а зачастую невозможная задача. Иными словами, главная опасность, возникающая перед компанией, решившей построить систему защиты своими силами, в том, что некоторые ее аспекты могут остаться за пределами внимания штатных специалистов (на практике именно так обычно и происходит). Как считает Чарльз Майерс, вице-президент компании Internet Security Systems (ISS), который возглавляет группу eServices, отвечающую за аутсорсинг в области безопасности, задача управления защитой оказывается не по силам многим компаниям ввиду ее сложности и объемности. Кроме того, он считает, что разница в расходах на собственный персонал и сторонние услуги может быть огромной.
Есть ли выход из сложившейся ситуации? Да, есть. Это обращение за помощью к сторонним компаниям, специализирующимся на предоставлении услуг в области информационной безопасности (так называемых Managed Security Services). Соответственно компания, предоставляющая такого рода услуги, называется провайдер услуг по безопасности (Security Service Provider, SSP). Российским читателям подобный термин мало знаком. Хотя в последнее время на эту тему было опубликовано немало статей, в них рассматриваются несколько иные услуги (например, аренда каналов связи, Web-хостинг у Internet-провайдера, аренда электронного магазина и т. д.).
ЧТО ПРЕДЛАГАЕТСЯ?
Современный SSP может предложить целый спектр услуг, начиная от информационной поддержки и заканчивая круглосуточным мониторингом систем заказчика. В частности, компания ISS предлагает следующие услуги, которые можно приобрести как в совокупности, так и по отдельности.
- Круглосуточный мониторинг заданных сегментов сетей заказчика с целью выявления внутренних злоупотреблений и внешних атак. Как правило, заказчики поручают провайдеру услуг защиты мониторинг систем выявления атак, установленных по внешнему периметру корпоративной сети, обеспечивая внутреннюю безопасность своими силами.
- Круглосуточный мониторинг межсетевых экранов для защиты от проникновения в корпоративную сеть извне.
- Мониторинг других средств защиты, требующих постоянного внимания (систем аутентификации, средств построения VPN, антивирусных средств и т. д.).
- Предоставление в аренду и управление средствами обеспечения защищенной связи между различными территориями корпоративной сети (филиалами, офисами и т. д.).
- Регулярный анализ защищенности корпоративных ресурсов и средств защиты при помощи сканеров безопасности. По результатам данного сканирования выявляются все уязвимые места, вырабатываются рекомендации по их устранению, предоставляются заплаты, исправления и другие обновления.
- Периодическое уведомление об обнаружении новых уязвимых мест в используемом заказчиком программном обеспечении и способах их выявления и устранения.
Как можно заметить, перечисленные услуги касаются, как правило, только защиты по периметру. Это связано с тем, что очень немногие компании готовы допустить к святая святых специалистов со стороны. Пусть даже и после заключения необходимых соглашений о конфиденциальности.
КАК ЭТО РЕАЛИЗУЕТСЯ?
Провайдеры услуг по защите информации мало чем отличаются от провайдеров других услуг. Однако, если последние предлагают в аренду ресурсы, установленные на их территории, то SSP поступают наоборот. Они приобретают необходимое программно-аппаратное обеспечение, осуществляют его полную настройку в соответствии с требованиями политики безопасности и затем устанавливают на территории заказчика. Однако управление этими средствами осуществляется с территории SSP по защищенному от несанкционированного доступа соединению. В случае появления на консоли сообщений от установленных средств защиты оператор выполняет ряд действий в соответствии с разработанными инструкциями. Эти действия могут варьироваться от обычной фиксации события в журнале регистрации или оповещения персонала заказчика до немедленного прерывания соединения с атакующим узлом и выезда группы быстрого реагирования.
Разумеется, SSP должен обладать командой квалифицированных специалистов, которые не только знают, как управлять различными средствами защиты, но и имеют практический опыт в этой области.
ДОСТОИНСТВА И НЕДОСТАТКИ
Обращение к услугам сторонних организаций имеет ряд достоинств.
- Не надо тратить деньги на дорогостоящие средства защиты, так как это бремя берет на себя SSP, у которого имеются соответствующие соглашения с ведущими поставщиками средств защиты. Так как SSP приобретает средства защиты сразу для нескольких заказчиков, он получает скидки от производителя, что приводит к снижению стоимости этих средств и для конечного заказчика.
- Не надо тратить время на настройку и постоянное слежение за средствами защиты. SSP сделает это лучше. Мало того, он будет контролировать эти средства не только в рабочее время, с понедельника по пятницу, с 9:00 до 18:00, а круглые сутки 365 дней в году.
- Не надо искать высококвалифицированных специалистов и платить им высокие зарплаты. На все российские компании специалистов все равно не хватит. Между тем работающие в вашей компании сотрудники могут не быть специалистами в области информационной безопасности. Их можно, конечно, научить, но в России нет достаточного количества учебных центров, где готовили бы практиков, а не теоретиков.
- Не надо постоянно отслеживать все новые «дыры» и атаки. Не имея специалистов, времени и соответствующих знаний, вы все равно не сможете этого сделать. А у SSP существуют выделенные отделы, специально занимающиеся сбором такой информации.
Список достоинств можно перечислять бесконечно, но я хотел бы ограничиться этими четырьмя, как наиболее значимыми. Однако не стоит думать, что обращение к услугам SSP решит все проблемы. Такой подход имеет свои недостатки, причем они могут обесценить все названные преимущества.
Во-первых, обращение к сторонним компаниям приводит к частичной потере контроля над своими ресурсами, что многими руководителями воспринимается в штыки. Особенно это касается начальников отделов информационных технологий, боящихся потерять свое влияние в организации. Во-вторых, SSP — это новое юридическое лицо, с которым необходимо оформлять соответствующие соглашения. Неправильная или неполная проработка всех взаимоотношений может привести к тому, что SSP принесет не пользу, а вред. Допустим, в договоре с SSP не указано время реагирования на зафиксированный средствами защиты инцидент. По каким-либо причинам SSP не смог отразить атаку, и в результате сеть оказалась взломанной. Хорошо, если об этом никто не узнает, и вы лишитесь «только» денег за приведение системы в работоспособное состояние. А если хакер оповестил о своей проделке всю сетевую общественность? SSP же в этом случае никакой ответственности не несет, так как в договоре время реакции не было зафиксировано. Следующий пример. Допустим, вы отказываетесь от услуг SSP. Что делать с имеющимися у вас средствами защиты? Если такая ситуация не предусмотрена договором, то SSP со спокойной совестью заберет с вашей территории все оборудование, и вы останетесь абсолютно без защиты.
ОСОБЕННОСТИ РАБОТЫ SSP В РОССИИ
Помимо названных недостатков некоторые проблемы присущи только России. Во-первых, это качество связи. Практически все свои услуги SSP может оказывать, только когда между заказчиком и SSP имеются широкие каналы связи, дабы у него была возможность без задержек управлять всеми средствами защиты. В России пока очень мало таких каналов, и они по преимуществу сосредоточены в Москве и центральном регионе. Вторая проблема — российский менталитет. Не каждый руководитель доверит управление безопасностью своего предприятия «чужим дядям».
Вот характерный пример, правда, из другой области. Несмотря на большое число банков в России, проценты по вкладам и другие льготы, большинство россиян предпочитают хранить свои сбережения «в чулке». Дивидендов нет, но зато деньги в сохранности. Точно так же дела обстоят и с безопасностью. Лучше уж минимум безопасности, но своими силами, чем максимум безопасности, но чужими руками. И даже попытки убедить руководство организаций в том, что взломать их сеть намного проще, чем сеть SSP, не приводят к успеху. Хотя, справедливости ради, надо сказать, что некоторые руководители понимают всю опасность такого подхода. В одной крупной российской организации так отозвались об этой проблеме: «У нас нет специалистов в области безопасности, но есть деньги, чтобы нанять тех, кто сможет выполнить все необходимые работы».
НА ЧТО ОБРАЩАТЬ ВНИМАНИЕ
Итак, вы все-таки решились обратиться к провайдеру услуг защиты. На что следует обратить внимание в первую очередь?
- Как будет осуществляться управление средствами защиты вашей организации: с выделенного компьютера или с компьютера, с которого обслуживаются и другие организации. Развивая эту тему, вы можете задать вопрос, будет ли за вашей компанией закреплен отдельный сотрудник или несколько человек, работающих и с другими компаниями. Разумеется, в первом случае услуга обойдется дороже, но зато вы будете уверены в персональном внимании к своей организации.
- Как организовано взаимодействие между вашей сетью и сетью SSP? Так как передаваемые между этими сетями данные носят конфиденциальный характер, перехват которых позволяет раскрыть схему защиты вашей организации, они должны быть защищены не только от несанкционированного прочтения, но и от несанкционированной модификации. Кроме того, что будет происходить при атаке по типу «отказ в обслуживании» на вашу сеть или сеть SSP? На этот случай следует иметь резервный канал связи. Необходимо помнить, что в России существует своя специфика применения криптографических средств, используемых для защиты передаваемых данных. И хотя в настоящий момент Гостехкомиссия России разрабатывает руководящий документ по средствам построения виртуальных частных сетей, на сегодняшний день все такие средства обязательно должны иметь сертификат ФАПСИ.
- В каком режиме работает SSP — 8х5 или 24х7? В течение какого времени SSP гарантирует реагирование на зафиксированный факт несанкционированного доступа?
- Какие средства защиты использует SSP? Если он предлагает решения только одного производителя (пусть и самого известного), то, возможно, стоит обратить внимание на другого SSP. Желательно, чтобы система защиты строилась по принципу резервирования, когда средства защиты одного производителя дублируются аналогичными средствами от другой компании. В этом случае атаки, пропущенные первой системой защиты, будут с большей вероятностью обнаружены второй. Например, в одной из организаций нами была использована следующая схема: в качестве межсетевых экранов были установлены продукты компаний Cisco Systems и Check Point Software Technologies, а в качестве систем обнаружения атак — ISS и Cisco.
- Кто обеспечивает поддержку используемых средств защиты и обучение по ним? Если эта задача возлагается на производителя, то, скорее всего, SSP не сможет своевременно отреагировать на возникшие у вас проблемы.
- Каким образом осуществляется обновление средств защиты? В том случае, если вы находитесь в одном городе с SSP, то каких-либо проблем не должно возникнуть. А если одна из ваших площадок, подключенных к SSP, находится во Владивостоке, а он сам в Москве? Каковы предложенные пути решения этой проблемы и позволяют ли используемые средства осуществлять дистанционное обновление компонентов?
- С какой периодичностью SSP будет информировать вас о зафиксированных атаках и других инцидентах?
- Как будет осуществляться реагирование на зафиксированные инциденты? В некоторых случаях достаточно удаленного добавления одного правила на маршрутизаторе или межсетевом экране, а в других — необходимо высылать группу быстрого реагирования, чтобы она на месте разобралась в ситуации.
- И, наконец, последний вопрос — какие санкции применимы к SSP в случае невыполнения им взятых обязательств? Это серьезный вопрос, который требует очень тщательной проработки юристов обеих сторон.
В качестве заключения хочу сослаться на прогноз консалтинговой компании IDC, согласно которому мировой рынок услуг аутсорсинга в области безопасности возрастет с 400 млн долларов в 1998 г. до 1,3 млрд в 2002 г. В течение ближайших 10 лет эта цифра должна достигнуть 20 млрд долларов.
Алексей Лукацкий — зам. технического директора НИП «Информзащита», сертифицированный инструктор по безопасности компании Internet Secu-rity Systems, сертифицированный инженер по безопасности компании Check Point Technologies. С ним можно связаться по тел.: (095) 289-8998, или e-mail: luka@infosec.ru.