С началом мировой рецессии структура расходов компаний претерпела изменения, поскольку теперь им приходится экономить на всем, в том числе и на информационной безопасности. Если раньше предприятия могли себе позволить осуществление сложных долговременных комплексных проектов по защите информационной системы, то в условиях нестабильной экономической ситуации заказчики готовы финансировать лишь небольшие проекты, реализация которых может быть завершена в течение трех месяцев — и не более. Вместе с тем потребность в решениях по обеспечению информационной безопасности возросла, поскольку в кризисной ситуации именно информация является одним из самых ценных ресурсов — число атак на корпоративные информационные системы увеличилось, поскольку активизировалась конкурентная борьба и возросла активность теряющих доходы злоумышленников.
СЕРВИСЫ
Вначале уточним терминологию. Под определение «аутсорсинг» попадают далеко не все услуги, которыми пользуется предприятие. Аутсорсинг — это передача сторонней организации выполнения части операционных функций, обычно реализуемых внутренними службами компании. Важным понятием в данном контексте являются «операционные функции», т.е. рутинные операции, подлежащие регулярной оплате. Если услуга предоставляется однократно, например, разработка политики безопасности или сертификация на соответствие требованиям стандарта, то речь идет о консалтинге. Кроме того, аутсорсинговой не может быть услуга, изначально реализуемая специализированной организацией. Например, тесты на проникновение, хоть и проводятся регулярно, к аутсорсингу не относятся — подобные действия не могут выполняться сотрудниками компании. Вернее, тогда это будет называться внутренним аудитом. В данной статье мы сконцентрируем свое внимание на аутсорсинге безопасности.
Алексей Лукацкий, менеджер по развитию бизнеса компании Cisco Systems, утверждает, что внешние провайдеры управляемых услуг способны предоставить сервисы безопасности для решения любых задач — начиная от защиты периметра и заканчивая безопасностью внутренних ресурсов. Правда, он уточняет, что речь идет лишь о техничес-кой возможности, так как потенциальные клиенты все еще недоверчиво относятся к аутсорсингу безопасности. Действительно сложных сервисов по защите информационной инфраструктуры даже не предлагается, поскольку в России отрицательно относятся к возможности предоставления сторонним организациям полного доступа к внутренним механизмам защиты. Поэтому все имеющиеся на рынке услуги относятся к публичной части инфраструктуры компании.
Итак, что же можно получить на российском рынке в виде сервисов информационной безопасности?
Очистка почты. Услуги фильтрации почты от спама и вредоносных программ. Клиент доверяет аутсорсеру предварительную фильтрацию почты в хостинг-центре: сообщения очищаются от спама и вложений с вирусами и передаются на почтовые серверы, в результате уменьшается Internet-трафик и сокращаются потери рабочего времени. В России такие услуги предлагают «Лаборатория Касперского», «ДиалогНаука», Microsoft и некоторые другие. Компания IronPort, подразделение Cisco, анонсировала недавно еще две — Managed E-mail Security и Hosted E-mail Security.
Защита от DDoS. Некоторые провайдеры обеспечивают защиту от распределенных атак с целью вызвать отказ в обслуживании (DDoS). Паразитный трафик, который лишь создает нагрузку на сетевую инфраструктуру, фильтруется на маршрутизаторах провайдера и до клиента не доходит. Подобным образом своих хостинг-клиентов защищает компания «Караван». Кроме того, по крайней мере один провайдер ориентирован на предоставление хостинговых услуг, защищенных от DDoS — это проект Antiddos.org. Почти все крупные провайдеры имеют оборудование, способное противостоять атакам DDoS, однако если они и предлагают подобные услуги, то не очень активно.
Защита от вредоносных программ. Антивирусное решение можно арендовать. Для этого нужно установить сканирующий модуль на все защищаемые рабочие станции и обеспечить их связь с сервером управления аутсорсера. Подобные предложения продвигает, например, Panda Security, чьи серверы установлены в Италии. В России есть провайдеры, предоставляющие аналогичные услуги на базе продукта Dr. Web AV-Desk. Компания Trend Micro обновила свой набор продуктов из линейки «Легко!» (Worry-Free), которые построены по тем же принципам.
Защита периметра. Эта услуга предусматривает обслуживание средств защиты периметра с реагированием на инциденты. При этом зачастую обслуживаются и приобретенные заказчиком межсетевые экраны, адекватно управлять которыми его персоналу не под силу. К этому типу услуг можно отнести и защиту сайта, анализ системных журналов, расследование инцидентов и другие услуги по сопровождению уже установленных механизмов защиты. В некоторых случаях аутсорсер устанавливает собственные межсетевые экраны или устройства UTM — такого подхода придерживаются, например, IBM и провайдер 2Com. Однако в последнее время многие компании начинают предлагать услуги данного типа на основе своих центров мониторинга и реагирования на инциденты (Security Operations Center, SOC). В частности, недавно подобный SOC создала компания «Информзащита».
PKI. Публичная инфраструктура сертификатов позволяет предоставлять самые разнообразные услуги по заверению электронных документов в соответствии с законом «Об ЭЦП». Конечно, предприятие может построить собственный сегмент инфраструктуры PKI, однако в некоторых случаях имеет смысл обратиться к услугам сторонних организаций. В частности, решение компании «Сигнал-Ком» позволяет поставить на любой электронный документ так называемую метку времени, содержащую заверенный хеш документа, чем гарантируется неизменность файла с определенного момента времени. Метки можно использовать как для защиты авторских прав на информацию, так и для контроля целостности Web-страниц с установлением их авторства, а кроме того, — для защиты критически важных приложений Web от фишинга.
Список услуг по информационной безопасности постоянно расширяется, но полный пакет пока могут предоставить только крупные компании, такие как Cisco или IBM ISS, причем обойдутся достаточно дорого. IBM сформировала широкую линейку аутсорсинговых продуктов: анализ журналов инцидентов и записей системных журналов, сопровождение защиты периметра, защита от DDoS, очистка почты, выявление и отражение нападений и множество других. Причем эти предложения хорошо сочетаются с другими аутсорсинговыми услугами IBM. Несколько иной подход у компании Cisco: «Мы в первую очередь эксперты в сетевых технологиях, — замечает Алексей Лукацкий, — поэтому охватываем практически весь спектр сервисов, направленных на сетевую безопасность».
У поставщиков систем защиты, таких как «Лаборатория Касперского», Trend Micro, Panda Security, Symantec и других, как правило, уже есть собственные центры реагирования на инциденты, на основе которых большинство из них предоставляет наиболее простые аутсорсинговые услуги — очистку почты от вирусов или защиту от спама. В качестве примера можно привести компанию Trend Micro, выпускающую специальную линейку продуктов для рынка SMB. В соответствии с видением Trend Micro предприятия этого сегмента не могут самостоятельно заниматься вопросами информационной безопасности, за них данные проблемы должны решать компетентные партнеры. Поэтому модель продвижения линейки «Легко!» ориентирована на две целевые группы: конечные пользователи, сеть которых нужно защищать, и партнеры, предоставляющие аутсорсинговые услуги по защите.
Вот своего рода кредо аутсорсера подобного типа в интерпретации Михаила Романова, директора по развитию бизнеса компании StoneSoft: «Мы предоставляем различные услуги: межсетевое экранирование, поддержку соединений VPN, обеспечение безопасной маршрутизации, защиту от сетевых и DDoS-атак, антивирусное сканирование трафика, фильтрацию Web, защиту от спама, сканирование на уязвимости и даже услуги безопасного хранения данных». Таким образом, спектр предложений подобных производителей довольно широк, хотя и ограничен возможностями конкретной базовой платформы.
Еще одной группой поставщиков аутсорсинговых услуг в ИБ являются провайдеры и интеграторы — те, кому пришлось для своих нужд построить SOC, и теперь они готовы предоставлять аутсорсинговые услуги на его базе. Например, провайдер 2Com в свое время построил центр реагирования на инциденты, затем разработал серию устройств на основе Linux, которые можно было устанавливать для защиты клиентов, и, наконец, предложил услуги по защите корпоративной сети с помощью созданных им устройств. Как правило, такие компании используют средства защиты различных производителей, а также дополнительные системы управления безопасностью и корреляции событий. Это позволяет им выбирать для аутсорсинговых услуг наиболее подходящие продукты и технологии.
Впрочем, сейчас все новые и новые компании предлагают свои варианты уже перечисленных услуг, правда для начала аутсорсеру необходимо завоевывать доверие клиентов. «Если между аутсорсером и получателем услуг отсутствуют доверие и действительно парт-нерские отношения, то неудача гарантирована», — отмечает Алексей Лукацкий. В частности, в России практически нет спроса на услуги по защите внутренней инфраструктуры корпоративной сети, но популярна фильтрация спама и защита почты от вирусов, что вполне объяснимо — никто не хочет передавать внешним специалистам доступ к важным корпоративным данным. Даже при покупке услуги спам-фильтрации нельзя быть до конца уверенным, что сотрудники аутсорсера не оставляют у себя копии электронных писем. А ведь через корпоративную почту иногда пересылаются критически важные для компании сведения, разглашение которых может привести к серьезным убыткам. Что уж говорить о допуске аутсорсера к внутренней инфраструктуре.
Аутсорсеры стараются снять указанный барьер, например, с помощью соглашения об уровне обслуживания (SLA), где определяется ответственность сторон в случае возникновения инцидентов. Однако трудность заключается в том, что соблюдение SLA не просто проконтролировать. Впрочем, во время кризиса ситуация может измениться: если средств на построение и поддержание собственных систем безопасности не хватит, компаниям волей-неволей придется довериться доброму имени аутсорсера.
«Преимущества для клиента понятны, — замечает Михаил Романов. — Не надо покупать дорогостоящее оборудование (его можно получить в виде сервиса), нет надобности держать штат обученных специалистов и решать проблемы при их увольнении». К тому же экспертиза компании, предоставляющей услуги по безопасности, обычно качественно выше, чем знания отдельных специалистов. Кроме того, аутсорсер может оперативно заменить устаревшее оборудование, перейти на более современные технологии защиты (клиенту при этом не придется тратить свои средства на покупку оборудования) и расширить ассортимент услуг. В любом случае все проблемы с учетом и обслуживанием продуктов он берет на себя.
По заверениям Михаила Романова, «общая культура безопасности в результате будет даже выше — внешних специалистов сотрудники компаний слушают более охотно, чем своих». Преимущество любого аутсорсинга — возможность передать внешней компании задачи, которыми заниматься невыгодно. Такие компании обычно не могут себе позволить обеспечение защиты в режиме 7x24, у них нет собственного SOC, а у сотрудников отдела ИБ — необходимой специализации. Эти компании являются хорошими кандидатами для привлечения аутсорсеров с целью обеспечения информационной защиты. Однако и они должны предварительно выполнять определенные действия, чтобы аутсорсер мог качественно предоставлять свои услуги. «Организация-заказчик должна быть готова к такому роду услуг. Защитить хаос невозможно», — отмечает Михаил Романов.
ПЛАТФОРМЫ
Альтернативный способ обеспечения защиты корпоративной сети — установка специализированных устройств безопасности, которые можно внедрить очень быстро — как правило, достаточно подключить эти устройства к корпоративной сети и настроить их соединение с инфраструктурным оборудованием. На российском рынке представлен широкий спектр такого оборудования.
UTM. Универсальные системы управления угрозами (Unified Threat Management, UTM) представляют собой комплексные решения по защите от большинства массовых угроз: спама, вредоносных программ и действий хакеров. Часто они позволяют связать распределенные сети в единую систему с помощью технологии VPN. Хотя изначально UTM предназначались для рынка SMB, они завоевали свое место и в сегменте крупных корпоративных клиентов как средство защиты филиалов и удаленных офисов, управление которым осуществляется из единого центра управления безопасностью — SOC. Такие продукты предлагают все ведущие производители: Symantec, Trend Micro, Sophos, Eset, IronPort, Microsoft и другие.
Устройства SSL. Шифрование создает серьезную нагрузку на центральный процессор устройства. Для ее снижения разработано аппаратное ускорение шифрования по протоколу SSL. Это могут быть как простые акселераторы SSL, которые устанавливаются перед защищенными сайтами Web, или специализированные устройства SSL VPN, обладающие более широкой функциональностью. Такое оборудование с высокой скоростью дешифрует поступающие от пользователей данные и передает в открытом виде на сайт или в корпоративную сеть. Подобные продукты выпускают компании Check Point, Cisco и другие. У IBM есть даже аппаратное устройство, оптимизированное для обработки запросов XML. Кроме прочего, оно осуществляет дешифровку запросов и аутентификацию пользователей.
Фильтр спама и архив почты. Устройство позволяет фильтровать электронную почту, удаляя из нее спам и вредоносные программы. Кроме того, поступающая почта обычно архивируется, а внешним пользователям обеспечивается безопасный доступ к корпоративной почте по защищенному соединению. Подобные системы предлагает компания IronPort и «ДиалогНаука», которая устанавливает свою «Спамооборону» на аппаратную платформу.
IDS/IPS и другие сканеры. Система обнаружения и отражения нападений может быть реализована на аппаратном уровне. Существует два класса этих устройств: IDS, которые выявляют признаки нападения в корпоративном трафике, и IPS, пытающиеся, кроме этого, еще и предотвратить нападение. Они подключаются по-разному и решают различные задачи. Отдельный класс — системы обнаружения атак DDoS, выявляющие и блокирующие паразитный трафик. Подобные решения предлагают Juniper, Cisco и другие.
Аппаратные сканеры уязвимостей тестируют компьютеры, серверы и другие устройства в сети на наличие известных, но не исправленных ошибок. Такие сканеры могут быть как активными, так и пассивными. Первые генерируют запросы к потенциально уязвимым сервисам, а вторые анализируют трафик и выявляют в нем признаки известных им уязвимостей в различных системах. Активные сканеры порождают большую нагрузку на корпоративную сеть, поэтому компании включают их очень редко — в момент минимальной загрузки, например, по ночам; пассивные сканеры постоянно контролируют состояние сетевых сервисов и могут заметить не только наличие уязвимости, но и попытку ею воспользоваться. Впрочем, подобные устройства только начинают появляться.
Этот рынок поделен между разработчиками средств защиты и производителями сетевого оборудования. Типовой программно-аппаратный комплекс от поставщика ПО представляет собой промышленный компьютер с установленной на нем операционной системой Linux и предварительно настроенным программным обеспечением собственной разработки. Часто в таких устройствах используется специализированный вариант Linux, из которого удален весь лишний и потенциально опасный функционал, поэтому такие устройства защищены лучше, чем в случае самостоятельной установки программного средства защиты на универсальный дистрибутив Linux. Кроме того, подобные системы могут оснащаться дополнительными функциями защиты, которые достались им от родительского Linux.
В свою очередь, производители сетевого оборудования предлагают аппаратные решения защиты, в которых поддержка функций безопасности реализована на уровне самого устройства. Так, системы IPS компании NetScreen, приобретенной Juniper, имеют специальные кристаллы для оптимизации операций распознавания атак и их предотвращения. Иногда такие программно-аппаратные комплексы выполняются в виде модуля для маршрутизаторов или коммутаторов. Устройства этого типа, как правило, работают быстрее и эффективнее, чем программные продукты, предустановленные на промышленный компьютер, поэтому в системах, где нагрузка по обес-печению защиты высока, рекомендуется использовать именно их.
Особо следует отметить платформу, разработанную компанией Crossbeam. Это модульное аппаратное решение, в котором каждый модуль представляет собой отдельный механизм защиты: межсетевой экран, систему проверки сетевого трафика на вирусы и т.д. Система позволяет, не дублируя проверку каждого отдельного пакета, максимально быстро пропустить его через все необходимые фильтры. С ее помощью можно создать сложную и эффективную эшелонированную систему защиты, оптимизированную для используемых в компании приложений и систем, а также оперативно менять конфигурацию системы защиты с помощью специального средства управления.
СРАВНЕНИЕ
Какой же подход к обеспечению безопасности выбрать? Покупать ли устройства в собственность или арендовать их у аутсорсера? Начальные затраты на покупку и внедрение могут быть достаточно высокими, но дальнейшие расходы, скорее всего, не выйдут за рамки стоимости подписки на обновление антивирусных и других баз. В то же время аутсорсинг требует небольших, но регулярных выплат. Впрочем, на практике могут использоваться и другие финансовые схемы, такие как лизинг, когда выплата стоимости продукта растягивается на определенное время. Сейчас такую схему предлагает, например, компания Cisco: цена продукта фиксируется на момент покупки, а выплаты, которые клиент осуществляет ежемесячно, рассчитываются в рублях. В результате структура расходов становится такой же, как в случае приобретения аутсорсиинговых услуг.
Хотя проект по внедрению программно-аппаратных комплексов, как и покупка услуг аутсорсера, занимает небольшое время, его стоимость значительно выше, так как заказчику приходится оплачивать не только программное обеспечение, но и устройство, а также обучение сотрудников обслуживанию новых продуктов. Однако при внедрении программно-аппаратных устройств производитель гарантирует, что его программное обеспечение будет корректно работать на предоставленной аппаратной базе, оптимизированной с учетом требований защиты. Это сокращает время первоначального внедрения и в определенной степени дает уверенность, что в будущем не придется срочно модернизировать аппаратную часть комплекса. «Идеальный комплекс должен работать самостоятельно, — отмечает Михаил Романов, — требуя минимального вмешательства со стороны администратора. Однако достичь этого очень трудно — нужен персонал с высокой квалификацией, надежные решения, грамотный дизайн и соблюдение некоторых других условий».
Внедрение программно-аппаратных комплексов выполняется за короткий срок, и эту работу можно спланировать даже в условиях нестабильной экономической ситуации. В то же время процесс покупки программного обеспечения и компьютеров, а затем настройка решения может продлиться долго, причем результат не гарантируется. Сократить первоначальные затраты вновь поможет лизинг, и хотя производители не любят использовать лизинговые схемы продажи продуктов, конкуренция на рынке данных устройств заставляет их идти на это. Вполне возможно, что предоставление лизинга скоро станет восприниматься как дополнительное конкурентное преимущество.
Следует отметить, что рынки готовых аппаратных устройств и аутсорсинга достаточно близки, так как аутсорсеры часто используют те же аппаратные платформы, которые заказчик может купить самостоятельно. Так, «ДиалогНаука» продает программно-аппаратный комплекс на основе «Спамообороны» под названием MailDefender и предлагает услуги по защите от спама, где тот же MailDefender установлен в ЦОД самой компании. Иначе говоря, в зависимости от ситуации устройство либо приобретается в собственность, либо арендуется.
«Сегодня практически любую технологию можно воплотить в «железе», — отмечает Алексей Лукацкий. — Даже то, что раньше считалось невозможным (защита компьютеров), реализуется на уровне процессора или системной платы». Именно поэтому многие производители средств защиты постепенно отказываются от исключительно программных решений и начинают более активно предлагать своим клиентам программно-аппаратные комплексы. Со временем практически все защитные механизмы будут иметь определенную поддержку со стороны аппаратной платформы.
Кроме того, все явственнее проявляется тенденция объединения различных средств защиты в рамках единого продукта. «В крупных компаниях антивирус «в чистом виде» не устанавливается, — отмечает Михаил Романов, — как правило под видом антивируса продается комплексная защита, включающая в себя и персональный межсетевой экран, и антивирус, и систему предотвращения вторжений и многое другое. Средства защиты все более тесно интегрируются между собой». Поэтому с технологичес-кой точки зрения было бы правильно все защитные технологии объединить в единый комплекс и вынести их в отдельное аппаратное устройство, которое и будет обеспечивать защиту корпоративной сети в целом или отдельных ее сегментов.
В то же время, если проанализировать развитие аппаратных решений, обнаруживается следующая тенденция: аппаратные устройства все чаще выполняют роль платформы для предоставления сервисов безопасности. Дело в том, что большинство устройств требует обновления определенных баз данных о вредоносных программах, сорных сообщениях, методах нападения, известных уязвимостях и некоторых других. Предоставление этих данных производителем по своей сути является аутсорсинговым сервисом, на который приходится подписываться. Если подписки на обновления не будет, то очень скоро устройство не сможет адекватно реагировать на наиболее актуальные атаки. Таким образом, сервисы по ИБ и аппаратные устройства когда-нибудь должны превратиться в единую платформу для предоставления аутсорсинговых услуг по информационной безопасности, при этом заказчики услуг аутсорсинговой защиты будут устанавливать у себя аппаратные устройства для реализации этой защиты. Впрочем, как уже отмечалось, подобные решения и технологии уже появились на рынке.
Валерий Коржов — корреспондент «Computerworld Россия».