Аутсорсинг безопасности - пришло ли время?

Последняя волна интереса к аутсорсингу различных задач, связанных с обслуживанием компьютерных сетей, заставила именно предпринимателей, а не ИТ-специалистов обратить внимание на редко упоминаемый аспект такого рода услуг - сетевую безопасность.

Последняя волна интереса к аутсорсингу различных задач, связанных с обслуживанием компьютерных сетей, заставила именно предпринимателей, а не ИТ-специалистов обратить внимание на редко упоминаемый аспект такого рода услуг — сетевую безопасность. При этом достаточно сильное обоснование получила та точка зрения, что целесообразен именно аутсорсинг, а не использование внутренних ресурсов предприятия. Когда речь идет о долговременных отношениях между партнерами, а не о торговле товарами массового спроса, аутсорсинг безопасности может оказаться весьма успешной бизнес-стратегией в течение десятилетий.

Когда организация занимается электронной коммерцией, использует интегрированную передачу голоса и данных или средства удаленного доступа для своих сотрудников, угроза нарушения защиты резко возрастает. Учитывая связанный с этим риск, для обеспечения безопасности требуется нечто большее, чем обыкновенный межсетевой экран; необходим круглосуточный мониторинг сети, активный аудит безопасности и система выявления некорректных операций и обнаружения атак. С появлением все большего числа вредоносных программ, пытающихся пробить брешь в межсетевых экранах и внедрить разрушительный код в операционные системы, установки только межсетевого экрана по периметру корпоративной сети явно недостаточно.

Подобные атаки не выдумка. Согласно данным экспертов по защите информации из ICSA (www.icsa.net), в Северной Америке сейчас ежедневно предпринимается вчетверо больше хакерских атак, чем год назад. Они становятся все изощреннее и отличаются огромными масштабами: DDoS-атаки (DDoS - Distributed Denial of Service attacks) на сайты Amazon, CNN и Yahoo! заставили компании с большим вниманием отнестись к технологии обнаружения атак, которая в основе своей действует в сети как автосигнализация. Но даже если вы установили систему обнаружения атак или любой другой механизм защиты, необходимо, чтобы кто-нибудь контролировал его 24 часа в сутки и семь дней в неделю. У директора информационной службы есть две возможности: выделить для выполнения этой работы несколько своих сотрудников или обратиться к услугам сторонних специалистов по безопасности, то есть согласиться на аутсорсинг.

Специалисты по защите

Выполнять эту задачу силами сотрудников самой компании — дело сложное, требующее много времени, а поскольку специалистов по системам безопасности с каждым днем найти все труднее, еще и весьма дорогостоящее. Возложить обязанности по обнаружению атак на сотрудников своей компании — один из самых болезненных вопросов для кадровой службы. Нехватка ИТ-специалистов особенно остро ощущается в области информационной безопасности. Усиливающийся в последние несколько лет дефицит квалифицированных сотрудников, разбирающихся в вопросах сетевой безопасности, вынуждает компании передавать решение этой задачи на аутсорсинг. Но недавние атаки на крупнейшие Web-сайты, такие как Amazon, E-Trade Group и Yahoo! стали убедительным аргументом в пользу круглосуточного мониторинга и анализа. Специалисты по защите сейчас пользуются повышенным спросом, особенно после того, как стало известно о широкомасштабных DoS-атаках (denial of service — «отказ в обслуживании»). Мало того, что экспертов по вопросам защиты не хватает, так они еще и не испытывают желания работать круглосуточно и ежедневно!

Большинство администраторов могли бы, скорее всего, сами обслуживать систему сетевой защиты, но мало у кого из них на это найдется время. К тому же поиск, обучение и повышение квалификации менеджеров по вопросам безопасности превращаются не только в сложную, но и дорогостоящую задачу. В Соединенных Штатах, к примеру, если все-таки удается найти специалистов, то приходится каждому платить как минимум 60 тыс. долл. в год плюс все дополнительные льготы (которые, между прочим, тоже стоят денег). Между тем годовая подписка на пакет управляемых услуг защиты, включающий в себя средства обнаружения атак и тестирования целостности, стоит около 60 тыс. долл. в год.

Кроме того, спрос на специалистов, занимающихся вопросами защиты, безусловно, остается весьма высоким. Согласно данным компании Meta Group, каждая пятая вакансия, связанная с ИТ, — это вакансия для специалиста по сетям. Вдобавок бюджет, выделяемый для решения вопросов защиты, каждый год увеличивается на 25%, и подобная тенденция сохранится, по крайней мере, еще в течение трех или пяти лет. Meta Group также сообщает, что менеджер по вопросам сетевой защиты зарабатывает в среднем 90 тыс. долл. в год.

Пусть работают ИТ

В два часа ночи система обнаружения атак выдала сигнал опасности. Специалисты по защите бросились искать источник подозрительного трафика, проникшего в сеть. Как только источник был найден, специалисты сообщили в ИТ-службу компании, которой принадлежит подозрительная машина. Выяснилось, что подозрительный трафик был вызван не атакой хакера, а неверно сконфигурированным SNMP-устройством. Ложные тревоги, к сожалению, часто возникают из-за несовершенства технологии обнаружения атак. Нельзя в полной мере рассчитывать только на программное обеспечение, чтобы, к примеру, выяснить, несет ли в себе попадающий на маршрутизатор трафик Internet Control Message Protocol безобидные сообщения или это DoS-атака.

Основное различие между управлением своей собственной системой обнаружения атак и передачей этой работы на аутсорсинг проявляется в людских затратах и опыте. Когда обнаружение атак выполняется самой компанией, поступающие от системы сигналы тревоги могут остаться незамеченными. Когда звучит сигнал предупреждения, никто не знает, что с этим делать. Преимущества провайдера в качестве стража безопасности состоят в том, что он может анализировать весь трафик, регистрируемый системой обнаружения атак, чего не в состоянии делать многие корпоративные ИТ-отделы из-за нехватки времени и ресурсов.

И вот предприятие оказывается перед выбором: либо заставлять круглосуточно работать своих специалистов по системам защиты, либо обратиться к услугам аутсорсинга. Многие компании, использующие инструментарий обнаружения вторжений, обычно предпочитают сочетать внутрикорпоративные решения с аутсорсингом: риск достаточно высок, поэтому дополнительный контроль никогда не помешает.

Услуги аутсорсинга безопасности

Безопасность — серьезное дело. И крупный бизнес. По словам Дэвида Таппера, аналитика International Data Corp., оборот рынка консалтинговых услуг по вопросам безопасности к 2003 году должен достигнуть 14,8 млрд. долл., при том что в 2000 году он составил 6,2 млрд. долл. Потенциал мирового рынка услуг защиты сетей быстро растет. Согласно данным International Data Corp., среднегодовые темпы роста с 1998 по 2003 год составят свыше 34%. По оценкам еще одной исследовательской компании, Frost & Sullivan, оборот европейского рынка Internet-безопасности в 1999 году составил 490 млн. долл., а к 2006 году достигнет 2,74 млрд. долл. Управляемые службы защиты также отличаются высокими темпами роста.

Рынок растет, но почему при этом непременно следует передавать организацию защиты на аутсорсинг? В конце концов, можно доверить сторонним специалистам задачи исследования, выбора, развертывания и обслуживания аппаратного и программного обеспечения. Благодаря этому организация сэкономит на зарплате и затратах на обучение ИТ-специалистов. Не придется нести также затраты на формирование регулярных отчетов о состоянии систем сетевой защиты, а также на тестирование и установку новых версий программного обеспечения.

Однако, чем крупнее организация, тем менее вероятно, что она согласится полностью передать защиту своей сети в руки независимой компании. В частности, потому, что эта более крупная организация, скорее всего, уже и так имеет штат ИТ-специалистов, а безопасность — один из самых важных моментов, связанных с информационными технологиями. Если же ваша компания предпочтет обратиться к услугам аутсорсинга, то ей придется определить того исполнителя, который лучше всего подходит именно вам, что потребует от него детального знания аппаратного и программного обеспечения систем защиты и понимания того, как они вписываются в сетевую стратегию и инфраструктуру вашей организации.

Как и в случае с антивирусами, сетевые администраторы должны следить за тем, чтобы инструментальные средства обнаружения атак модернизировались с учетом последних «открытий» хакеров. Они не имеют права просто установить программное обеспечение и забыть о нем. Преимущество аутсорсинга состоит в том, что вопросами оперативной модернизации программного обеспечения должен заниматься поставщик услуг защиты. Если же вы купите готовую систему, установите ее и забудете о ней, никакой ценности для вас такая система представлять не будет.

Программное обеспечение обнаружения атак само по себе предстоит еще долго совершенствовать, прежде чем оно станет действовать автоматически. Его необходимо настроить таким образом, чтобы оно защищало внутренние приложения компании (например, то, которое управляет счетами, предъявленными к оплате) и могло предотвращать любые атаки на них. Даже если работу инструментария обнаружения атак удастся полностью автоматизировать, по-прежнему будет требоваться вмешательство человека — специалиста с необходимым опытом, способного установить различие между реальной атакой и неверно сконфигурированным SNMP-устройством. Полностью обойтись без участия человека не удастся никогда.

Разнообразие возможностей

Понимая необходимость защищаться от таких атак, а также учитывая нехватку опыта для организации соответствующей защиты, предприятия начали обращаться по вопросам обеспечения безопасности к услугам независимых компаний. Одним из признаков усиления данной тенденции можно считать тот факт, что компании, занимающиеся вопросами защиты и управления сетями, создают особые подразделения, предлагающие подобного рода услуги. Некоторые компании, специализирующиеся на безопасности, такие как Axent и Network Associates, приобрели технологии межсетевых экранов, систем шифрования и антивирусных средств. Сегодня производители средств защиты предлагают множество различных услуг, однако их следует тщательно проанализировать и выбрать те, которые в наибольшей степени удовлетворяют вашим требованиям. Ниже приводится список самых распространенных услуг.

• Аудит степени надежности защиты. Поставщик услуг сканирует сеть, чтобы выявить потенциально уязвимые места, и рекомендует меры по их устранению. Обычно такое сканирование или аудит выполняется в определенный момент времени, а не постоянно, причем осуществляется с учетом уже известных профилей или возможных уязвимых мест в системах защиты. Предприятие, как правило, за подобные услуги платит ежемесячно, а поставщик услуг может выполнять тесты ежедневно, еженедельно, ежемесячно или ежеквартально.
• Обнаружение атак. Поставщик услуг выполняет мониторинг сети в поисках вызывающих подозрение действий и предотвращает атаки. В настоящее время складывается тенденция к использованию гибридных сетевых решений и решений на базе хостинга. Услуги выявления атак круглосуточно предоставляются внешними экспертами, которые сравнивают и анализируют всю информацию, важную или нет, сгенерированную размещенными в сети датчиками обнаружения атак. Одновременно они могут также управлять всеми аппаратными и программными средствами. Предприятия за такие услуги, как правило, вносят ежемесячную плату.
• Управляемые службы. Поставщик услуг создает виртуальную частную сеть или предоставляет межсетевой экран для обеспечения конфиденциальности каналов передачи данных между различными сетевыми узлами предприятия. Эти услуги также могут охватывать антивирусные и антивандальные системы, а также средства, которые фильтруют данные и контролируют доступ к Web-сайту. Может поддерживаться функция использования в файлах с данными виртуальных подписей, обнаружения "враждебных" IP-адресов и указателей URL на сайты с нежелательной информацией. Поставщик услуг создает и поддерживает на предприятии защищенную среду.
• Управление политиками и процедурами защиты. Поставщик услуг выполняет непрерывный анализ систем и сетей. Эта служба базируется на строгом выполнении корпоративных правил, гарантируя, что предприятие действительно придерживается установленных политик, стандартов и процедур, а также законов и норм. Большинство поставщиков предлагает эту услугу как разовую, а некоторые даже ведут обслуживание на постоянной основе.
• Моделирование риска. Поставщик услуг помогает оценить риск внутри предприятия, а затем постоянно обновляет построенную модель с учетом информации, полученной в результате мониторинга сети и систем обнаружения атак и некорректных операций. Ряд поставщиков предлагают эти решения, используя модель управляемых служб. Они сопровождают соответствующие алгоритмы и данные, обеспечивая доступ к ним для анализа, а также используют их в рамках других служб, например, службы управления политиками.

Аутсорсинг безопасности может позволить вам обрести спокойствие, но хорошо бы при этом быть уверенным, что вы точно представляете себе истинное положение дел. Крайне важно не только установить доверие, которое поможет вам понять, способен или нет поставщик удовлетворить все ваши требования — необходимо также убедиться, что когда проблема возникает одновременно у всех клиентов этого поставщика, он сможет должным образом увеличить группу специалистов, которые занимаются этими вопросами, и удовлетворить нужды всех.

Почему НЕ нужен аутсорсинг?

Как можно предположить, есть вполне серьезные аргументы против аутсорсинга. Во-первых, это, конечно, вопрос управляемости. Отдавая независимой компании на откуп вопросы безопасности своей сети, вы передаете их в руки ИТ-специалистов, которые не являются сотрудниками вашей компании и работают также и с другими компаниями, возможно даже с вашими конкурентами. Не менее важен и тот факт, что вы не держите в штате специалистов соответствующего профиля. Для одних это облегчение и основной аргумент в пользу аутсорсинга, но для других — бегство от ответственности.

Словом, когда речь идет о безопасности, нет универсального ответа на все вопросы. Нет панацеи. Даже когда компания сотрудничает с поставщиком услуг, предлагающим поддержку системы обнаружения атак, нет никаких гарантий, что средства защиты и эксперты смогут отследить все нелегитимные команды ping или «троянских коней». Инструментарий обнаружения атак в действительности не может остановить DoS-атаку, но он, по крайней мере, способен уведомить, когда подобный трафик проникает в сеть. Наличие системы обнаружения атак не должно внушать вам ложное чувство полной безопасности. Пока еще остается множество атак и событий, которые отследить невозможно.

Последний довод противников аутсорсинга — цена. Стоимость технологий продолжает снижаться, что, безусловно, следует иметь в виду, анализируя уровень ежемесячной оплаты услуг защиты. Важно понимать, что аутсорсинг становится все более важным фактором в обеспечении безопасности сети, и вам следует провести тщательный анализ с тем, чтобы найти наилучшее решение для своего предприятия.

Защита — это процесс

Если вы занимаетесь продажей межсетевых экранов, то, скорее всего, стремитесь убедить потенциальных покупателей в том, что межсетевые экраны — это все, что им необходимо для защиты их организации.

Однако защита — это процесс, а не место, время или продукт. Процесс, который вы внедряете, определяет, насколько хорошо вам удастся избежать риска. Предотвращение риска — задача, которой надо заниматься непрерывно; на определенный риск вы готовы пойти, в другом случае вы задумаетесь, а в третьем случае — откажетесь категорически. История свидетельствует о том, что опередить хакеров и злоумышленников невозможно. Суть в том, чтобы снизить риск вне зависимости от используемого аппаратного и программного обеспечения. Так что единственное, что остается, — пытаться максимально снизить риск.

Процессы обеспечения защиты не заменяют собой продукты; это способ использовать продукты защиты более эффективно. Почти все компоненты сети порождают непрерывный поток данных, подвергаемых аудиту: межсетевые экраны, маршрутизаторы, коммутаторы, контроллеры, системы обнаружения атак, серверы и принтеры. Хотя большая часть этих данных оказывается бесполезной, некоторые из них содержат весьма ценную информацию. Крайне важно проводить анализ именно всех данных, поскольку одно из устройств может выявить атаку, пропущенную другими. Если удастся внедрить процесс оперативного аудита всех этих данных, скорее всего, вам удастся обнаружить вторжение в тот самый момент, когда оно происходит.

Из прессы вы сможете узнать о том, что хакеры, мошенники, специалисты по системам защиты, производители и ученые обнаруживают новые уязвимые места в операционных системах, серверном программном обеспечении, приложениях, межсетевых экранах и других устройствах практически ежедневно. Принимая во внимание, что операционные системы каждый год подвергаются серьезной модернизации, маловероятно, что в ближайшее время они станут обладать более надежной защитой. Кроме того, история свидетельствует о том, что с ростом сложности приложений и операционных систем они делаются менее безопасными. В такой ситуации предприятиям просто необходима помощь опытных специалистов, посвятивших себя обнаружению атак и принятию адекватных мер.

Питер Дэвис (ptdavis@anvilgroup.com) — президент и директор по операциям компании The Anvil Group, специализирующейся на преодолении кризисных ситуаций и управляемых службах защиты

Некоторые правила взаимоотношений с поставщиками услуг защиты

1. Работайте с теми, кому доверяете
2. Не торопитесь, поскольку доверительные отношения с партнером можно выстроить только постепенно
3. Убедитесь, что ваш поставщик использует готовое коммерческое программное обеспечение; возможно, в один прекрасный день вам захочется самостоятельно обеспечивать защиту своей сети
4. Дополняйте имеющиеся у вас средства по предотвращению атак услугами по выявлению нарушений и принятием адекватных мер
5. Проанализируйте возможность дополнить свой арсенал средств защиты управляемыми службами
6. Работайте с теми, кто понимает цели и задачи вашего бизнеса, а не только разбирается в ваших технологиях
7. Прежде чем подписать контракт каждой из сторон, четко определите роли, обязанности и требования
8. Любые подобные контракты должны одобрить высшее руководство предприятия и менеджер ИТ-службы, занимающийся вопросами защиты

Все тайное становится явным

Конечно, вы уже прочитали об этом в газетах. Разрушены Web-сайты корпораций, правительственных учреждений и некоммерческих организаций. Файлы с паролями опубликованы в Internet. Компьютеры-зомби вызывают атаки типа «отказ в обслуживании». Впрочем, хакерам не останется шансов проникнуть в вашу систему, если в ней ведется эффективный контроль защиты, в том числе поддерживаются системы обнаружения атак и выявления некорректных операций.

Но если взломщикам и удалось проникнуть на ваш сайт, не беспокойтесь, что вы не успеете увидеть, что они с ним сделали: найдутся добрые люди, которые сделают его зеркало, чтобы сохранить случившееся для потомков. Информацию о таких неудачниках можно найти по адресу http://www.2600.com или http://www.attrition.org.