Как следствие, до сих пор компании, предлагающие средства ИБ, воспринимаются как разработчики антивирусов, хотя их предложения выходят далеко за рамки этих базовых средств. Компания McAfee является одним из лидеров рынка информационной безопасности. В трудном 2009 году ей удалось увеличить свою рыночную долю на 2% , причем наилучшим образом дела складывались в корпоративном секторе, где продажи выросли на 25% (по данным III квартала). Компания предлагает комплексные решения в области безопасности — от обнаружения опасного кода до предотвращения утечек данных. Приобретение MXLogic позволило ей выйти на перспективный рынок «программного обеспечения безопасности в виде сервиса». О тенденциях рынка ИБ и реакции компании на них в интервью нашему журналу рассказывает Брайан Фостер, старший вице-президент по развитию продуктов McAfee.
Журнал сетевых решений/LAN: На рынке ИБ нет явного, доминирующего лидера, как Microsoft и Cisco в своих сегментах. Чем, по-вашему, вызвана такая ситуация?
Брайан Фостер: На этом рынке действуют несколько крупных игроков — Symantec, McAfee, TrendMicro, — но за ними тянется длинный шлейф из небольших компаний. На то есть несколько причин. Одна из них — быстрое изменение проблем безопасности, в частности появление новых угроз. Так, за последние полтора года мы выявили больше новых угроз, чем за все предшествующее время. При этом возрастает не только число атак, но и усложняются способы их воздействия на клиентские ПК: современные многоступенчатые атаки включают Web-компоненты, социальный инжиниринг, загрузку злонамеренных программ на ПК, открытие «черного хода», превращение компьютера в бот и транслятор почты. Потребность в защите от множащихся угроз приводит к тому, что на рынке постоянно появляются новые компании.
LAN: Клиенты нуждаются в комплексной безопасности. Небольшая компания не способна предложить всеобъемлющее решение. Таким образом, тенденция должна заключаться в поглощении небольших компаний крупными...
Фостер: Совершенно верно. Здесь ключевым является следующий момент. Нельзя уничтожить зло одним выстрелом, даже если револьвер заряжен серебряной пулей. Клиенту необходимы антивирусные средства, межсетевой экран, система выявления и предотвращения вторжений, контроль доступа и т. д.
Все эти компоненты обеспечивают защиту от разных видов угроз. При этом необходимо представлять сеть, как справиться со сложностями управления инфраструктурой и затратами. Стратегия McAfee заключается в обеспечении гибкости с помощью системы управления ePolicy Orchestrator (ePO), посредством которой наши клиенты могут легко и просто управлять различными решениями безопасности с единой консоли. В результате они получают преимущества улучшенной защиты при меньших затратах.
LAN: Каковы основные тенденции на рынке ИБ, и как McAfee реагирует на них?
Фостер: Я бы выделил четыре основные тенденции. Первая — расширение среды угроз, их нацеленность на конкретные организации и конкретных людей. Таким образом, сама эта среда является одним из главных факторов, воздействующих на рынок средств ИБ. Если вы подверглись атаке, например, такой, о которой сообщила Google, то главная опасность заключается в многоступенчатом характере атаки — в ней использовалась уязвимость браузера Internet Explorer и задействовался социальный инжиниринг для расстановки ловушек. Сотрудников Google заманили на сайт, который использовал неизвестную уязвимость, и с ее помощью на ПК был загружен опасный код. После выполнения на компьютере был создан «черный ход», через который атакующие получили доступ к этому ПК, а затем и ко всем доступным для него ресурсам сети.
Для противодействия таким многоступенчатым атакам McAfee предлагает решения, обеспечивающие защиту на разных уровнях — мы блокируем доступ к опасным Web-сайтам, чтобы пользователи не могли зайти на сайт, где находится опасный код; фильтруем трафик Web для выявления атипичного поведения, на основании которого можно судить о наличии атаки, когда браузер оказывается скомпрометирован; проверяем контент при загрузке и блокируем, например, подозрительный файл jpeg. Таким образом, ответом McAfee на взрывной рост угроз стала реализация всеобъемлющего решения, охватывающего хост и сеть, а также обеспечивающего их взаимодействие. Защита должна быть реализована на нескольких уровнях, при этом оставаться экономически оправданной, для чего нужна консоль управления. Итак, среда угроз — первая из тенденций.
Вторая тенденция — социализация ИТ. Так, множество людей используют iPhone для чтения корпоративной почты, им необходим защищенный доступ к приложениям. Лучше всего эту тенденцию характеризует выражение «Работа больше не место, а исключительно деятельность». Предприятиям уже не принадлежат устройства, посредством которых сотрудники обращаются за данными. У нас есть продукт для фильтрации Web, блокирующий злонамеренный код на шлюзе, а также его клиентская версия. Подключаясь к корпоративной сети, пользователь защищается с помощью этого шлюзового решения, а при отключении автоматически включается защита на клиенте. Кроме того, для разных видов активности — личной и деловой — может автоматически применяться соответствующая политика безопасности.
Третья тенденция — виртуализация. Она применяется повсеместно, в частности, в центрах обработки данных. Заказчики стали придавать значение тому, что их серверы загружены лишь на 20%. Виртуализация позволяет им добиться немалой экономии. Однако виртуализация охватывает не только серверные фермы, но и конечные точки. Каждому пользователю больше не надо предоставлять отдельный компьютер — ему достаточно тонкого клиента, а все вычисления выполняются в ЦОД. Это подразумевает глобальные изменения в ИТ и, в частности, в области безопасности. Классическая проблема: раньше все приложения были физически разделены в сети, и для контроля доступа достаточно было установить между ними межсетевые экраны и коммутаторы, а теперь все приложения находятся на одном сервере. Это вынуждает заново продумать вопросы защиты.
Другая проблема касается виртуализации рабочих столов: если на одном сервере размещается несколько сотен настольных систем, то одновременный запуск антивирусного сканирования на каждой из них оказывается чрезвычайно ресурсоемким из-за многочисленных обращений к диску. То же самое касается и обновления антивирусного ПО. McAfee работает с VМware и Citrix с целью встраивания безопасности непосредственно в гипервизор. VМware создала API для доступа к информации о том, какие ВМ выполняются в виртуализированной среде. Мы встроили средства безопасности в гипервизор — это решение доступно в виде специального дополнения (appliance), которое защищает другие ВМ. У нас есть продукт для офлайнового сканирования и обновления виртуальных машин.
Последняя тенденция — облачные вычисления. Все больше пользователей или перемещают в облако какие-то ресурсы, или получают из него те или иные сервисы. McAfee предлагает, в частности, сервисы безопасности для таких сред. В прошлом году мы приобрели компанию MX Logic, провайдера облачных сервисов электронной почты, безопасности Web и архивирования. Этот портфель услуг безопасности, несомненно, будет расширяться. В сложившихся экономических условиях заказчики хотят получить больше за меньшие деньги. Многие из них проявляют заинтересованность в получении сервисов безопасности из облака, вместо того чтобы приобретать соответствующее оборудование. Это позволяет перейти от капитальных затрат к операционным. Для удовлетворения такого рода требований McAfee использует преимущества архитектуры ПО как сервис.
LAN: Современные киберпреступники стремятся скрыть сам факт атаки. Насколько эффективны новейшие средства для выявления неизвестных видов атак?
Фостер: Неизвестные атаки (Zero Day Attack) стали распространенным явлением. Так, в упоминавшейся атаке против Google использовалась неизвестная уязвимость. Для предотвращения таких угроз необходима многоуровневая защита. При такой комплексной атаке она должна охватывать различные уровни. И прежде всего, должна распространяться на Web, что позволит предотвратить доступ к опасному сайту с кодом эксплоита. Это первый рубеж защиты. Далее необходимо обеспечить блокирование злонамеренного ПО на шлюзе, загрузки файла и открытия «черного хода». Таким образом, защита должна быть реализована в разных местах, и для каждого из них существует своя технология противодействия неизвестным видам атак.
В случае Google сайт был только что создан и поэтому не был оценен ни одной репутационной системой. Что касается эксплоита, который использовал переполнение буфера, то на рынке есть решения, способные его блокировать. Так, McAfee выпускает продукт для контроля приложений — он предотвращает несанкционированное выполнение удаленных процедур. Этот файл даже не попал бы в компьютер, поскольку был бы заблокирован на шлюзе — прокси-сервер установил бы, что в действительности это не файл jpeg. Если бы он все же оказался в компьютерной системе, то «черный ход» был бы заблокирован. Наши продукты проверяют трафик SSL. Они обнаружили бы, что, хотя и используется порт 445, стандартные процедуры аутентификации не выполняются. Таким образом, у нас есть не одна, а несколько технологий, позволяющих эффективно предотвращать подобные неизвестные атаки.
LAN: Ни одна защита не может гарантировать стопроцентную надежность. Насколько пользователи могут быть уверены в своей безопасности?
Фостер: Это во многом зависит от платформы. Взять, к примеру, сервер, банкомат или устройство с ограниченным набором функций. Используя контроль приложений, белые списки и т. д., вы можете быть абсолютно уверены, что на них будут выполняться только разрешенные программы. При таком блокировании, как показали наши внутренние и независимые внешние проверки, никакой злонамеренный код выполняться не будет.
Пользовательская среда более динамична, и такое блокирование невозможно. Чтобы быть уверенным в собственной безопасности, надо применять многоуровневую защиту. Недавно выпущенная версия потребительского продукта содержит антивирусное ядро, межсетевой экран, белые списки. Уникальный компонент — McAfee Site Advisor — предупредит о подозрительном сайте: каждый раз при обращении пользователя к неизвестному сайту или переходу по ссылке из спама эта ссылка автоматически добавляется в базу данных и проверяется нашими средствами проверки сайта — при выявлении опасного или подозрительного контента пользователь будет предупрежден.
LAN: Для повышения уровня безопасности некоторые корпоративные пользователи применяют однотипные решения от двух и более вендоров. Насколько такой подход оправдан?
Фостер: Я бы сказал, что такая концепция устарела. Прежние модели не в состоянии справиться с растущим количеством угроз. Они основывались на черных списках, которые неизбежно становятся все больше и больше и занимают слишком много памяти, что отрицательно сказывается на производительности ПК. Как и ряд других компаний, McAfee не опирается на такие средства, а рассчитывает на другие меры для предотвращения угроз, в частности, белые списки разрешенных программ, как и в случае применения контроля приложений для защиты от неизвестных атак.
Таким образом, использование средств разных вендоров на серверах, шлюзах и ПК было вызвано использованием черных списков, но ни один из них не является полным. Как ситуация меняется, когда никто их больше не применяет? В этом случае нет смысла применять продукты двух вендоров, поскольку потенциальная экономия от потерь, вызванных возможной реализацией угроз, не компенсирует затрат на поддержку двух разных решений. McAfee готова предложить решение для защиты, включающее несколько компонентов, где используются разные методы обеспечения безопасности, интегрированные между собой и управляемые с одной консоли.
LAN: В свободном доступе появляется все больше антивирусов и других средств информационной безопасности. Как это сказывается на рынке средств ИБ?
Фостер: Здесь необходимо рассмотреть два вида решений: бесплатные средства, а также интегрированные в ОС и сетевое оборудование. В первом случае весь вопрос в том, какие риски для вас являются приемлемыми. Полный пакет укомплектован инструментами для обеспечения многоуровневой защиты от неизвестных видов атак. Поэтому значительная часть клиентов готова платить за этот дополнительный уровень защиты. Конечно, всегда найдутся те, кто будет ограничиваться бесплатными средствами, и в этом нет ничего предосудительного.
Что касается встроенных, или интегрированных, средств, то Microsoft, например, многое делает для повышения степени защищенности своей ОС, но, как и в случае с бесплатными программами, этого явно не достаточно. Хакерам всегда удавалось найти способы обхода встроенных средств защиты, поэтому другие решения безопасности оказываются очень полезны. Пока человек работает за компьютером, всегда остается угроза применения против него методов социального инжиниринга.