Алексей Доля: Рынок внутренней ИТ-безопасности напоминает мыльный пузырь
Комментируя два основных подхода к построению системы внутренней ИТ-безопасности, Алексей Доля, руководитель аналитического центра InfoWatch, отмечает, что сегодня этот рынок очень напоминает мыльный пузырь, время от времени появляющийся на рынке акций. CNews: Как бы вы охарактеризовали ситуацию, сложившуюся сегодня на рынке внутренней ИТ-безопасности? Алексей Доля: Сегодня поставщикам и заказчикам все еще сложно находить общий язык, так как на рынке фактически отсутствует единое понимание внутренней ИТ-безопасности. Другими словами, все понимают, что проблема есть, но нет стандартного представления о том, как надо защищаться. Если сравнить несколько запросов от различных компаний-заказчиков на поставку средств внутренней ИТ-безопасности, то предъявляемые требования будут на 90% различаться. Если сравнить с какой-нибудь уже устоявшейся индустрией, например, антивирусной, то эти требования будут на 90% совпадать. CNews: Как на это реагируют поставщики решений? Алексей Доля: Многие разработчики видят, что тема внутренней ИТ-безопасности сейчас идет нарасхват, поэтому стараются позиционировать в качестве продуктов для защиты от инсайдеров все, что ни попадя. В результате рынок постепенно нагревается. На него выходят все новые и новые игроки с абсолютно не похожими решениями. Все это затрудняет выбор конкретного продукта заказчиками, мешает планировать бюджеты и растягивает циклы продаж. В итоге рынок внутренней ИТ-безопасности напоминает мыльный пузырь. Причем этот пузырь будет расти еще года два. Потом он лопнет, а среди выживших окажутся только самые сильные игроки. CNews: Какие примеры того, насколько различно некоторые поставщики и заказчики смотрят на проблемы внутренней ИБ, вы могли бы привести? Алексей Доля: Конечно, давайте рассмотрим класс программ, который в мире принято называть «smart-drivers», а в России мы зовем его просто «контроль над сменными носителями». В эту группу попадают все программы, которые обеспечивают контроль над портами рабочей станции, чтобы исключить утечку данных через флэшки, компакт-диски и т.д. Очевидно, что все эти продукты позиционируются, как средства защиты от инсайдеров. Причем многие организации-заказчики тоже воспринимают их, как средства внутренней ИБ. Однако на самом деле эти продукты защищают от внутренних нарушителей точно так же, как и от внешних угроз, например, вредоносных кодов. Ведь если компания запретила сотруднику использовать USB-порт, это значит, что служащий не сможет принести из дома вирус и заразить корпоративную сеть. Более того, 99% «умных драйверов» не умеют отличать конфиденциальную информацию от публичных документов. Поэтому такие продукты работают в режиме разрешить/запретить. Т.е. пользователю либо разрешается использовать порт, либо запрещается. Никаких вариантов типа «можно записать на флэшку публичные данные, но нельзя секретную информацию» эти продукты предложить не могут. Другими словами, предлагаемый контроль над портами это все равно, что турникет в метро. Умный драйвер стоит на входе и выдает билеты. У пользователя есть билет, следовательно, он может пройти. Нет билета — не может. А что если у человека есть билет и пулемет? Турникет его спокойно пропустит, так как его задача просто проверить наличие билета. Что же касается пулемета, то это уже заботы внутреннего наряда милиции, системы видео-наблюдения и т.д. То же самое происходит и на рабочей станции: если у служащего есть разрешение на использование USB-порта, следовательно, он берет и сливает все секреты на флэшку. Конечно, разработчики умных драйверов все это прекрасно понимают, поэтому пытаются добавить такие, казалось бы, полезные возможности, как задание номеров разрешенных к использованию флэшек. Например, у служащего есть определенная флэшка, на нее он может записывать данные, а на другие нет. Здесь сразу же приходят на ум слова одного коммерческого директора: «Отлично! Дайте две!». Действительно, будет ли организации легче, если служащий украдет информацию на разрешенной флэшке, а не на какой-то еще? Завершая тему умных драйверов отметим еще одну возможность, которую в последнее время поставщики позиционируют, как защиту от инсайдеров. Это теневое копирование. Т.е. все файлы, записываемые на флэшку, складываются в специальный архив для последующего анализа. Безусловно, это хорошая функциональность. Но заказчики часто теряют из виду, что теневой архив каждого пользователя хранится прямо на его рабочей станции. Нет никакой базы данных, следовательно, нет возможности централизованно и достаточно эффективно анализировать всю собранную информацию. У такого подхода есть и другие недостатки. Во-первых, он не способен предотвратить утечку данных, а может лишь выявить ее источник постфактум, после анализа событий. Во-вторых, теневое копирование вызывает сильнейшее замедление, как рабочей станции, так и сети в целом из-за огромного объема дополнительного трафика. Таким образом, сегодня на рынке внутренней ИБ представлено довольно много одних только «smart-drivers», хотя к защите от утечек они имеют весьма отдаленное отношение. CNews: Почему вы считаете, что мыльный пузырь лопнет через 2 года? Алексей Доля: Потому что примерно 2 года необходимо, чтобы на рынок возобладал один-единственный подход к защите от инсайдеров. Этот подход станет стандартом, который все поставщики будут более или менее копировать. CNews: Какие подходы сегодня претендуют на роль стандарта? Алексей Доля: Сегодня борются два подхода. Один — канальная защита. Другой — периметральная защита. Они противоположны друг другу, причем постоянное общение с клиентами и тенденции развития западных рынков однозначно указывают, что канальная защита постепенно отживает свой век. Вообще канальная система защиты строится на том, что каждый коммуникационный канал защищается от всех видов угроз отдельно. Т.е. электронную почту в этом случае защищают от вирусов, спама и утечек, доступ в Интернет — от вирусов и утечек, и т.д. Ключевое преимущество канальных решений в том, что весь канал находится под контролем одного человека. Такие решения имеют очень широкую функциональность, добавляя к технологиям контроля над движением информации специфический для каждого канала функционал, не имеющий прямого отношения как к защите от утечек (антивирус, антиспам, антифишинг) или ИБ вообще (URL-фильтр, контроль расхода бумаги на принтерах и т.д.). Недостатком использования канальных решений является невозможность комплексного подхода. Если служба ИБ организована по функциональному принципу, то она будет постоянно страдать от невозможности интеграции анализа данных в разных каналах и невозможности централизованного распространения политик. Используя решения для разных каналов от одного производителя, офицеру ИТ-безопасности придется работать с разными консолями управления политиками, хранить контент в нескольких БД и архивировать данные в разных хранилищах. Даже идентификация пользователя происходит по разным параметрам. Например, почтовый фильтр идентифицирует пользователей по почтовому адресу, а web-фильтр по IP-адресу. Это затрудняет синхронизацию и индексацию информации для анализа деятельности нарушителя. Невозможно централизованно посмотреть, что конкретно отсылал конкретный пользователь и по каким каналам. В то же самое время службе безопасности, если она организована функционально, безразлично, по какому каналу произошла утечка, но канальная организация защиты не позволяет ей сфокусироваться на нарушителе и защищаемой информации, предоставляя неконсолидированную информацию по каждому из каналов. С очки зрения стандартов ИТ-безопасности, канальные решения представляют собой традиционный подход защиты канала утечки на основе модели «угроза — техническое решение». В этом случае служба ИТ-безопасности концентрируется на контроле каналов вместо того, чтобы защищать информацию, раздавая профили доступа к каналам и контролируя их соблюдение. Для службы ИТ-безопасности эксплуатация многофункциональной канальной защиты представляет потенциальный конфликт со службой ИТ, связанный с постоянным разделением прав на функции и настройки, связанные с безопасностью и не связанные с ней. Однако, несмотря на все эти проблемы, поставщики канальных решений продолжают активно продвигать свои продукты на рынок. С одной стороны, это неплохо, так как на эти продукты все еще есть спрос, а с другой — рано или поздно заказчикам придется отказаться от этих технологий, так как их потенциал изначально ограничен. CNews: В чем вы видите отличия и достоинства периметральной защиты? Алексей Доля: Периметральная защита, судя по всему, станет тем стандартом или единым видением внутренней ИТ-безопасности, которого сейчас не хватает. Отметим, что сами предприятия, использующие защиту, перешли от канального способа построения служб ИТ-безопасности к функциональной структуре. Т.е. рынок потребовал появления решения, которое смогло бы управлять защитой от каждой из угроз (вирусов, хакерских атак, действий инсайдеров) вне зависимости от того, по какому каналу она может быть осуществлена. Как и внешние угрозы, внутренние могут быть реализованы по нескольким каналам, поэтому и решения должны быть комплексными. Комплексное решение представляет собой единое хранилище данных (вне зависимости от того, по какому каналу они покинули сеть), сервера контентной фильтрации и перехватчиков (которые контролируют какой-то один конкретный канал и направляют данные на анализ на сервер контентой фильтрации). Перехватчики могут быть реализованы в трех архитектурах. Во-первых, шлюз (gateway). То есть, отдельно стоящий сервер или отдельное устройство, работающее в режиме прозрачного proxy-сервера. Во-вторых, plug-in для сервера. Например, plug-in для proxy-сервера, почтового или принт-сервера. В-третьих, агент на стороне клиента, например, на уровне рабочей станции. Достоинством систем периметральной защиты является комплексность и возможность централизованного управления, а также простота масштабирования. Т.к. функции анализа контента и архивирования вынесены в отдельные модули, при увеличении нагрузки на перехватчики достаточно резервировать и кластеризовать только их. Это существенный плюс по сравнению с канальными решениями, которые масштабируются только целиком. Также к достоинству систем периметральной защиты относится защита инвестиций при внедрении защиты даже одного канала. Нужно лишь однажды создать правила и настроить хранилище, базу контентного анализа и правила для групп пользователей. При внедрении защиты остальных каналов достаточно будет просто установить и подключить перехватчики следующего канала — вся остальная работа по настройке системы уже сделана. С точки зрения стандартов ИТ-безопасности, периметральные решения представляют собой новый подход для минимизации рисков: «риск — действия по уменьшению рисков». Они не фокусируются на конкретном канале, а фокусируются на риске утечки информации. В этом случае служба ИБ концентрируется на том, какая информация не должна покинуть периметр. Вопрос, по какому каналу она попытается ее покинуть, уже вторичен. Более того, для службы ИТ-безопасности модель эксплуатация системы периметральной защиты не подразумевает функционального контакта с ИТ-департаментом. Это исключительно продукт для эксплуатации службой ИТ-безопасности, следовательно, не может быть никаких конфликтов между этими двумя отделами. CNews: Какие недостатки вы отметили бы у периметральной защиты? Алексей Доля: Конечно, было бы неверно утверждать, что у такого подхода нет недостатков. Они все-таки есть. Во-первых, периметральная защита дорого стоит в том случае, если используется только для одного канала, т.к. для внедрения даже на одном канале приходится покупать хранилище и сервер контентной фильтрации, рассчитанные на работу со всеми каналами. Однако уже при внедрении второго канала стоимость двух канальных решений сравнивается, а при внедрении защиты третьего канала при сравнимой функциональности получается значительный выигрыш. Во-вторых, при покупке периметрального решения для одного канала к недостаткам иногда относят и отсутствие «сопутствующей» канальной функциональности — антивируса, антиспама, антифишинга, URL-фильтра и т.д. Однако после внедрения второго и дальнейших каналов эти претензии обычно снимаются, т.к. защита от внешних угроз также строится не по канальному, а по периметральному принципу. CNews:Спасибо. |
