Применительно к защите информации нередко возникает резонный вопрос — а можно ли отдать на аутсорсинг систему информационной безопасности предприятия или, по крайней мере, ее антивирусную составляющую? Какой выигрыш получает компания от аутсорсинга и когда обращение к данной услуге приемлемо или возможно?

По данным Gartner, к 2011 г. до трех четвертей подразделений ИТ подвергнутся кардинальным преобразованиям. К тому времени их штат сократится в среднем на 20%, а «доморощенных» технологий будет использоваться на 40% меньше по сравнению с 2005 г., однако объем обслуживаемой информации удвоится. В первую очередь изменения коснутся направленности интересов специалистов по ИТ. Если сейчас пальма первенства принадлежит обслуживанию и поддержанию работоспособности вычислительной техники, то в соответствии с веяниями времени в перспективе основные усилия будут концентрироваться на бизнес-информации, бизнес-процессах и бизнес-отношениях. Иначе говоря, из вспомогательного подразделения департамент ИТ превратится в одну из главных движущих сил бизнеса. Каким же образом ему удастся меньшими силами выполнять больший объем работ? Это станет возможным благодаря нескольким факторам, один из которых — аутсорсинг.

Под аутсорсингом понимается передача стороннему подрядчику некоторых бизнес-функций или частей бизнес-процесса. Как правило, это делается с целью концентрации усилий на приоритетных направлениях, для развития которых привлекаются собственный персонал и ресурсы. В принципе передавать на аутсорсинг можно все, что не принадлежит к основной сфере деятельности, начиная от секретариата и бухгалтерии и заканчивая обслуживанием компьютерной техники и программного обеспечения. Так, ключевыми бизнес-процессами для медицинских учреждений является все, что связано с приемом и лечением пациентов, для магазина — обслуживание клиентов и т. д. Остальные функции, задачи и процессы можно и нужно передать в руки специалистов.

Что касается более узкой темы, защиты информации, то нередко возникает резонный вопрос — а можно ли отдать на аутсорсинг систему информационной безопасности предприятия или, по крайней мере, ее антивирусную составляющую? Какой выигрыш получает компания от аутсорсинга и когда обращение к данной услуге приемлемо или возможно? Проще и логичнее отдавать на аутсорсинг системы защиты периметра — почтового трафика, шлюзов, VPN и обнаружения вторжений, т. е. те службы, которые обеспечивают контакт с внешним миром. На Западе в этом контексте используется термин «управляемый сервис безопасности» (Managed Security Service) или хостируемая безопасность (Hosted Security), и многие предпочитают называть себя именно провайдерами услуг MSS или HS.

Вначале рассмотрим аутсорсинг проверки (фильтрации) почтового трафика.

 

ПОЧТОВЫЙ АНТИВИРУС И АУТСОРСИНГ

С технической точки зрения организовать аутсорсинг проверки почтового трафика не составляет труда — достаточно изменить запись MX на сервере DNS, и вся корпоративная почта будет проходить через серверы третьей стороны (аутсорсера), а фильтрация вирусов, спама и другой нелегитимной корреспонденции станет выполняться на серверах аутсорсера (см. Рисунок 1).

Рисунок 1. Схема работы системы аутсорсинговой защиты почтового трафика.

Провайдеру достаточно сообщить, от чего он должен вас оградить (от спама, вредоносных программ, картинок с порнографией или музыкальных файлов) и как поступать с отфильтрованными письмами. Клиенту не надо даже знать, какие технологии использует аутсорсер, сколько у него серверов и как много человек обслуживает серверы. Разумеется, приведенным перечнем функции провайдера услуг не ограничиваются. Все современные сервисы гарантируют высочайшую степень отказоустойчивости. Скажем, в случае проблем с почтовым сервером клиента провайдеры гарантируют, что сообщения не потеряются, а будут храниться в специальной базе данных. Более того, иногда предоставляется временный доступ к этой базе через Web (Web-mail). Таким образом, работа в компании не остановится.

Другое интересное предложение — услуга по резервному копированию почтовых сообщений. В последнее время принят ряд законодательных актов, регулирующих информационные потоки — Basel II, Sarbanes-Oxley Act (SOX), HIPPA и др. Чтобы им соответствовать, необходимо, в частности, обеспечить копирование всех почтовых сообщений и хранение их в течение длительного срока. Такой сервис в состоянии предоставить аутсорсеры.

В России подобных законов пока нет, но информация о возможности их появления циркулирует во властных коридорах.

Даже без учета экономических выгод (экономии ресурсов, фиксированной стоимости внедрения, повышения производительности труда работников) аутсорсинг проверки почтовых сообщений имеет следующие преимущества с технической точки зрения.

Гарантия оптимальной защиты и ее постоянного совершенствования. Для обеспечения надежной защиты требуется периодически обновлять систему безопасности ИТ. Предоставляемые провайдером сервисы постоянно развиваются и всегда поддерживаются в наиболее актуальном состоянии — с точки зрения обеспечиваемой защиты. При этом никаких затрат на их актуализацию, как временных, так и материальных, клиент не несет.

Введение единой политики безопасности для компаний, обладающих разветвленной филиальной сетью. В рамках предоставляемого сервиса почтовый трафик всех филиалов можно проверять в одном месте, что позволяет внедрить единую политику безопасности.

Своевременное обновление ви-русных сигнатур даже в случае эпидемии. Система фильтрации почты находится на стороне провайдера, поэтому все необходимые обновления устанавливаются автоматически сразу же после их создания и тестирования.

Значительное снижение объема входящего почтового трафика и возможность его точного прогнозирования. В результате повышается эффективность работы почтовой системы и достигается экономия ресурсов. Весь нежелательный контент отсеивается, клиенту направляется только легитимная почта, объем которой более-менее постоянен, поэтому системный администратор может легко рассчитать нагрузку на корпоративный почтовый сервер. Кроме того, исключаются пиковые нагрузки вследствие спамерских рассылок.

Легкая масштабируемость и расширяемость. На мировом рынке предложений аутсорсинга проверки почтового трафика довольно много. Одним из пионеров в этой области была британская компания MessagеLabs. Еще в конце 2000 г. она стала продвигать сервис по защите электронной почты от вирусов — SkyScan. В настоящее время список услуг, предоставляемых MessagеLabs, значительно расширен: к нему добавилась защита от спама, контентная фильтрация, сканирование трафика Web и защита систем мгновенного обмена сообщениями (Instant Messaging). Система проактивной защиты от спама и вирусов Skeptik позволяет выявлять новые образцы спама и вредоносных программ. Разработчик настолько уверен в качестве своей проактивной защиты, что гарантирует стопроцентное обнаружение почтовых вредоносных программ.

Поставщики услуг аутсорсинга проверки почтового трафика начали появляться и в России. Например, в сентябре такую услугу представила «Лаборатория Касперского» (см. подробнее врезку «Российский пример»).

 

АУТСОРСИНГ АНТИВИРУСА НА ШЛЮЗЕ

Следующими по распространенности являются аутсорсинговые услуги по защите трафика Internet, или антивирус на шлюзе. Схема работы данного решения очень похожа на то, как функционирует сервис по проверке почты, за одним лишь исключением — изменяется не запись MX в DNS, а настройки proxy-сервера на клиенте или корпоративном межсетевом экране. После выполнения этой операции весь трафик IP будет проходить через серверы провайдера услуг, где можно организовать полноценный контроль: например, проверить страницы HTML или передаваемые файлы на наличие в них вредоносных программ. Причем ревизии подлежат не только обычные страницы, но и сообщения электронной почты, когда их чтение осуществляется через интерфейс Web (mail.ru, hotmail.com и т. д.). Таким образом, перекрывается еще один канал проникновения вредоносных программ в корпоративную сеть.

Другой не менее востребованной функцией является фильтрация Web — запрет доступа к тем или иным сайтам (обычно ограничение вводится по тематике сайтов). Чаще всего об этой функциональности руководители вспоминают во время громких спортивных событий, когда сотрудники вместо работы читают новости или, что еще хуже (как с точки зрения объема трафика, так и продуктивности работы), смотрят трансляции в прямом эфире через Internet.

Если в компании разрешено пользоваться системами мгновенного обмена сообщениями (Instant Messaging) — ICQ, AOL IM, Google Talk и др., то при обращении к услуге аутсорсинга нетрудно организовать защиту и этого протокола. Угроз, которые в качестве средства распространения используют IM, становится все больше и больше, и спам для IM (spim) — уже не редкость. Таким образом, и здесь требуется адекватная защита.

Как уже упоминалось, аутсорсинг оказывается весьма эффективным средством не только для защиты информации, но и в том случае, когда деятельность компании необходимо привести в соответствие с законодательными актами, действие которых распространяется и на коммуникации по IM. В частности, все сообщения некоторых категорий сотрудников требуется собирать и хранить в течение определенного времени. Аутсорсеры очень хорошо справляются с подобной задачей.

На что же следует обратить внимание при выборе поставщика решений для защиты Web? Прежде всего на задержки, возникающие вследствие проверки и перенаправления трафика. Для первых версий сервисов были характерны заметные задержки, однако сейчас ведущим поставщикам такого рода услуг удалось свести их влияние к минимуму. Затем надо внимательно ознакомиться с отчетами. Обычно у провайдера имеется очень много статистической информации, которая может оказаться достаточно полезной.

В качестве примера назовем британскую компанию ScanSafe (все мировые лидеры аутсорсинга безопасности ИТ — британские компании). Портфель услуг ScanSafe включает в себя практически все описанные выше услуги: во-первых, систему защиты от вирусов и шпионских программ и мониторинг трафика Web (Web Virus Scanning, Spyware Screening, Web Filtering); во-вторых, сервис по защите от вирусов и спима трафика Instant Messaging (IM Control). Кроме того, для пользователей IM Control доступны архивирование и контентная фильтрация сообщений IM.

 

АНТИВИРУС НА РАБОЧЕЙ СТАНЦИИ И АУТСОРСИНГ

Защита почтового или даже IP-трафика не перекрывает все возможные пути проникновения вредоносных программ в корпоративную сеть, поэтому антивирусную программу требуется установить и на рабочие станции (особенно если это «мобильные» рабочие станции), и файловые серверы. Но раз уж организация отдает защиту почтового и Web-трафика на аутсорсинг, то передача управления защитой рабочих станций диктуется логикой дальнейшего развития взаимоотношений с провайдером. Обычно такие решения называют Managed Antivirus.

Управляемый антивирус — это решение на базе Web, т. е. доступ к его основным функциям осуществляется через интерфейс Web. Продукт состоит из двух частей: серверной (система центрального администрирования) и клиентской (устанавливается на рабочую станцию или файловый сервер) (см. Рисунок 2).

Рисунок 2. Схема работы управляемого антивируса на рабочих станциях в организации.

Как правило, клиентская часть представляет собой современный антивирус с полным набором соответствующих назначению функций. Клиент работает полностью автономно — автоматически устанавливается на компьютеры, обновляется, запускает задачи по расписанию и т. д. При необходимости пользователь способен самостоятельно запустить проверку различных объектов, а кроме того, она может быть инициирована администратором с сервера.

Отчеты о состоянии клиента и выявленных угрозах поступают в центр управления. Подключившись к нему через сайт Web, администратор может устанавливать агентов на рабочие станции, создавать группы компьютеров с различной политикой безопасности (настройками защиты), запускать проверку на клиентских компьютерах, просматривать отчеты и т. д. Основное преимущество интерфейса Web — независимость от платформы. Управлять системой защиты можно, находясь в любом месте земного шара, для чего достаточно иметь под рукой ноутбук или даже мобильный телефон — главное, чтобы было соединение по IP.

Управляемый антивирус — довольно молодое направление и поэтому предложений на рынке немного. Среди них выделяется McAfee Managed Virus Defense. Это набор, предназначенный для защиты рабочих станций (только Windows), файловых серверов (Windows, NetWare) и почтовых серверов (MS Exchange и протокол SMTP) от вредоносных и потенциально опасных программ. Систему можно сконфигурировать так, чтобы управлять ею как изнутри (силами специалистов клиента), так и извне (внешним провайдером).

 

«ПРАВИЛЬНЫЙ» ПРОВАЙДЕР УСЛУГ АУТСОРСИНГА БЕЗОПАСНОСТИ ИТ

Выше уже упоминалось о ряде моментов, на которые следует обратить внимание при выборе поставщика услуг аутсорсинга безопасности ИТ. Обычно предложение складывается из четырех составляющих, образующих своеобразную пирамиду (см. Рисунок 3). Ее верхушка, первый слой — это стандартное (или слегка модифицированное) программное обеспечение, работающее у провайдера: антивирусные средства, системы контентной фильтрации и прочие программы, которые в большинстве своем может самостоятельно приобрести и установить каждый.

Рисунок 3. Ключевые элементы «правильного» провайдера услуг аутсорсинга безопасности ИТ.

Второй слой — инфраструктура, благодаря которой и функционирует сервис: серверы, маршрутизаторы, межсетевые экраны, центры обработки данных. Воспроизвести все это собственными силами уже сложнее. И действительно, вряд ли целесообразно развертывать несколько территориально распределенных центров обработки данных с целью поддержки почтовой инфраструктуры предприятия. Для очень крупной компании такой шаг может быть оправдан, а для остальных — нет. Что же касается провайдера услуг, то это необходимое условие его надежной работы.

Третий слой — специальное программное обеспечение, некое ноу-хау, применение которого позволяет добиваться лучших результатов по сравнению со стандартными программами. Наиболее известны MessageLabs Skeptik, Kaspersky BitHunt, ScanSafe Outbreak Intelligence. Обычно эти системы содержат патентованные технологии, суть которых держится в секрете. Рядовым пользователям такие технологии уже не доступны.

И последний, самый важный слой — основание пирамиды — люди, обслуживающие сервисы. У «правильного» провайдера работают «правильные» сотрудники, для которых безопасность ИТ является профессиональной деятельностью — они постоянно отслеживают угрозы и могут быстро модифицировать сервисы с тем, чтобы клиенты находились под постоянной защитой. Одним словом — это эксперты по безопасности ИТ.

Выбирая провайдера аутсорсинга безопасности ИТ, следует поинтересоваться, какие люди работают в компании — эксперты в области безопасности ИТ или просто специалисты по ИТ, способные лишь грамотно настроить стандартные программы. Кроме того, необходимо обратить внимание на инфраструктуру — обеспечивает ли она повышенную отказоустойчивость и надежность по сравнению с тем, что достигнуто в вашей организации. Наконец, стоит специально выяснить, какое программное обеспечение используется у провайдера — специализированное или не более чем стандартный набор. В любом случае клиент имеет право знать все детали до заключения договора.

 

ГАРАНТИЯ КАЧЕСТВА УСЛУГ

Большинство провайдеров гарантируют качество своих услуг путем заключения договора об уровне обслуживания (Service Level Agreement, SLA). Прежде всего, определяется степень доступности сервиса, т. е. на какой период времени за какой-либо промежуток (месяц, квартал или год) возможны перерывы в его работе. Обычно эта величина не превышает нескольких минут в месяц.

Кроме того, в SLA устанавливается скорость реакции на запросы относительно проблем с сервисом. Например, при обнаружении ошибки, из-за которой провайдер услуг оказывается не в состоянии предоставить сервис, ей присваивается значение «критическая». При этом гарантируется, что проблема будет решена в течение оговоренного промежутка времени (обычно за 2 или 3 ч).

Провайдеры услуг безопасности дополнительно гарантируют качество выявления вредоносных программ или спама в процентах. Например, провайдер может поручиться, что 95% поступающего спама будет заблокировано и не попадет к клиенту. Разумеется, не должны быть забыты и ложные тревоги (письма, ошибочно определенные как спам), уровень которых указывается в процентах к общему количеству писем — обычно 0,0001%.

Очевидно, этими параметрами SLA не ограничивается. Однако важны не параметры, а ответственность провайдера перед заказчиком. Если закрепленное в договоре качество обслуживания падает ниже какого-либо предопределенного порога, то провайдер должен возместить клиенту ущерб (в оговоренных в договоре пределах); иначе говоря, он несет перед ним финансовую ответственность.

 

ПРОБЛЕМЫ АУТСОРСЕРОВ

Пожалуй, основная проблема, с которой сталкиваются провайдеры услуг, — это недоверие клиентов. Многие боятся отдавать функции безопасности ИТ третьей стороне. Причин тому несколько. Во-первых, боязнь утечки информации. Во-вторых, опасение не получить обещанный уровень обслуживания и отсутствие возможности повлиять на аутсорсера. В-третьих, неосведомленность об услугах и о преимуществах, которые дает использование аутсорсинга.

Провайдеры обычно стараются успокоить пользователей, заверяя, что они понимают всю значимость соблюдения конфиденциальности и относятся к ней весьма щепетильно. «Правильные» сервис-провайдеры всегда готовы заключить соглашение о неразглашении информации. Вместе с тем, все сведения, которые выходят за пределы компании, являются открытыми по определению, поскольку передаются по открытым каналам связи. Если же требуется обеспечить конфиденциальность во время передачи, то необходимо пользоваться защищенными каналами или применять криптографические средства защиты.

Ответом на второй вопрос является соглашение об уровне обслуживания (SLA), а что касается последнего, то эта статья — один из способов популяризации услуг.

 

ЗАКЛЮЧЕНИЕ

Аутсорсинг безопасности ИТ зарождается и в России. Мировой опыт показывает, первые шаги довольно трудны для поставщиков такого рода услуг — прежде всего требуется преодолеть настороженное отношение со стороны потенциальных заказчиков, на что на Западе ушло более пяти лет. У нас нет этого времени. Если российские компании хотят быть в авангарде мировой экономики, им необходимо меняться очень быстро, используя опыт, накопленный в Европе и США, в том числе и в области аутсорсинга безопасности ИТ.

Андрей Никишин — руководитель направления аутсорсинга ИТ-безопасности «Лаборатории Касперского».


 

Российский пример

В сентябре 2006 г. «Лаборатория Касперского» представила сервис Kaspersky Hosted Security: mailDefend. Сервис предназначен для защиты почтовых потоков предприятий от вредоносных программ и спама. Кроме этих хорошо известных угроз mailDefend защищает от хакерских атак на почтовые серверы и позволяет минимизировать риски потери сообщений по причине сбоев в работе почтовых серверов клиентов. Наряду с зарекомендовавшими себя продуктами «Антивирус Касперского» и «Антиспам Касперского» в решении используется новейшая разработка «Лаборатории Касперского» — система проактивного обнаружения почтовых угроз Kaspersky BitHunt. Благодаря этой системе повышается качество обнаружения спама и вирусов, распространяемых в почтовых сообщениях. На сегодняшний день серверы mailDefend расположены в двух центрах обработки данных в разных городах. Это позволяет добиться более высокого уровня отказоустойчивости по сравнению с тем, что имеют заказчики, и приводит к значительному уменьшению вероятности потери важных писем по причине сбоев в работе почтового сервера. В случае сбоя в клиентской сети все сообщения сохраняются в специальном хранилище, доступ к которому можно получить через интерфейс Web.