Компания Aladdin Knowledge Systems известна прежде всего двумя своими продуктами — HASP и e-Token. Первый предназначен для защиты программного обеспечения от нелегального копирования, и потому интерес к нему порявляют главным образом разработчики ПО. Второй представляет собой электронный ключ для аутентификации и может применяться для гораздо более широкого круга задач защиты информации. До сих пор свыше 50% оборота компании приносит направление цифровой защиты авторских прав (Digital Rights Management), при этом в 2007 г. общий оборот достиг 105,9 млн долларов. Тем нее менее, направление корпоративной безопасности, куда помимо eToken входит, например, решение eSafe для защиты контента, растет опережающими темпами: в IV квартале 2007 г. прирост составил 43% против 8% у DRM. В России интересы разработчика представляет российский дистрибьютор Aladdin Security Solutions. О деятельности компании в России и об особенностях отечественного рынка средств аутентификации в интервью нашему журналу рассказал Сергей Груздев, генеральный директор Aladdin Security Solutions.
Журнал сетевых решений/LAN: Как Aladdin Knowledge Systems позиционирует себя на рынке решений безопасности?
Сергей Груздев: Сразу расставим все точки над «i»: Aladdin следует рассматривать как группу компаний. Опыт показывает, что не всегда глобальные продукты, поставщиком которых является Aladdin Knowledge Systems, востребованы на локальных рынках, где успех компании зачастую определяет «местная» специфика. Технологически подходы разных вендоров примерно близки, поэтому решающими факторами становятся соответствие продуктов требованиям законодательства, наличие сертификатов, оказываемая поддержка и т.д. Кроме того, российскому рынку ИБ за счет своего рода «квантового скачка» удалось сократить первоначальное отставание, а в некоторых областях даже вырваться вперед. Так, представители Aladdin Knowledge Systems приезжают в Россию перенимать наш опыт и, более того, подстраивают продуктовую линейку в том числе и под требования российского рынка, как одного из самых быстро растущих и перспективных.
Что касается позиционирования на различных сегментах рынка информационной безопасности, то на данный момент мы выделяем четыре основных направления. Первое и самое «старшее» базируется на технологии Hardware Against Software Piracy (HASP). Изначально Aladdin занимался аппаратной защитой программных средств, а основной фокусной аудиторией были разработчики коммерческого программного обеспечения. Соответствующий продукт, HASP, в нашей стране со временем стал именем нарицательным, как ксерокс. Aladdin уверенно удерживает первое место в мире по этому направлению, а свою долю на российском рынке мы оцениваем в 70-75% как в денежном выражении, так и по числу поставляемых устройств.
Следующее направление — сред-ства аутентификации. В фокус-группу входят корпоративные заказчики, государственные предприятия, разработчики продуктов безопасности. Наша доля в этом сегменте российского рынка средств безопасности также составляет около 70%. За этими решениями стоит целое направление, вершина которого — аппаратный электронный ключ eToken (в виде USB-ключа или смарт-карты).
Третье направление, а именно защита персональных данных на компьютерах и серверах, сформировалось именно в российском Aladdin’е в конце 90-х гг. Сейчас в его рамках предлагаются решения, в том числе сертифицированные ФСТЭК, для защиты конфиденциальной информации методом шифрования (баз данных, биллинговой информации и др.) с использованием семейства продуктов Secret Disk.
Около двух лет назад мы начали заниматься защитой контента на базе комплексной системы очистки трафика eSafe. Рынок защиты от вредоносного ПО — высококонкурентный и в известной степени уже сложившийся, на нем работают такие брэнды, как Symantec, TrendMicro, Kaspersky Lab и другие. Однако и на нем есть незаполненные, прежде всего, в силу технологических пробелов, ниши. На данный момент мы располагаем действительно зрелой, высокопроизводительной и масштабируемой технологией контентной фильтрации. Она предназначена, с одной стороны, для работы в сетях провайдеров в рамках бизнес-модели продажи услуги «чистого трафика». А с другой — для обеспечения безопасной работы в сети на уровне шлюзов, фильтрации почтового и Web-трафика, защиты от шпионского ПО в крупных отраслевых компаниях, банках, госструктурах.
С eSafe мы двигаемся очень осторожно, отчасти методом проб и ошибок, не форсируя развитие событий и не нацеливаясь на массовый захват и передел рынка.
LAN: Какое место занимает каждое из направлений в бизнесе компании?
Груздев: На продукты, предназначенные для защиты программного обеспечения, приходится около 40% оборота, на средства аутентификации и все, что с ними связано, — более половины, а на оставшиеся два направления менее —10%. Если мы за что-то беремся, то должны быть первыми, обладать лучшей экспертизой и компетенцией. Помимо диверсификации бизнеса, важное значение имеет и то, насколько зрелым является тот или иной сегмент. Ретроспектива наших разработок показывает, что очередной новый продукт появлялся у нас с интервалом в четыре-пять лет. За это время предыдущий выходил на уровень зрелости.
По сути, каждая новая технология Aladdin выводилась на еще несуществующий или только зарождающийся рынок. В качестве примера можно привести защиту ПО от нелегального копирования. 15 лет назад в России продавались ключи под названием, если я не ошибаюсь, «Активатор», но фактически рынок — реальный и большой — был создан нами. USB-токены также предложили мы в конце 90-х гг., тогда только что утвердили спецификацию шины USB. Мы взяли обычный ключ HASP и сделали его в форм-факторе USB. Правда, два-три года пришлось потратить на то, чтобы объяснить, насколько востребованным будет данное решение.
Мы понимали перспективность рынка аутентификации, и это придавало нам сил. Хотя случались и болезненные неудачи. В частности, рынок смарт-карт не получил должного развития из-за отсутствия общих стандартов — каждый производитель делал ридеры исключительно для своих продуктов. Тогда-то и появилась идея интегрировать чип смарт-карты в USB-ключ, в результате получался в некотором роде совмещенный продукт: смарт-карта плюс считыватель для неё. Так и родился eToken. Как и с любым другим принципиально новым продуктом, его продвижение потребовало гигантских усилий, ресурсов и средств, а самое главное — веры. Лишь спустя три года пошли продажи, в результате годовой рост за 2004 г. составил 600%.
С защитой контента ситуация несколько иная. Здесь приходится выводить новую, революционную технологию на уже зрелый рынок, поэтому тактика и стратегия ее продвижения совсем другие.
LAN: Каковы основные тенденции рынка средств аутентификации?
Груздев: Если говорить о eToken, то с момента появления прототипа продукта первые пять лет ушли на формирование рынка. Главным итогом стало четкое понимание того, что аутентификация представляет собой важнейший элемент информационной безопасности.
Без ответа на вопрос «кто пытается получить доступ к информационным ресурсам?» ни о какой безопасности вести речь нельзя. И рынок это понял, во всяком случае, корпоративные заказчики и государственные организации. Осознание этого факта послужило катализатором дальнейшего развития всего рынка: потребность порождает спрос. По ментальности российский рынок отличается от западного, причем в положительную сторону: заказчики четко знают, что им надо, благодаря высокому уровню компетенции работающих у них специалистов.
Далее, государство взяло на себя функции регулятора. Оно определилось со своими требованиями к участникам рынка и достаточно жестко «закручивает гайки», что для нас, в данном случае, несомненно благо. Все западные вендоры, которые хотели прийти сюда, уже сделали это, их лишь заставляют работать по установленным правилам.
В результате за два года структура наших продаж кардинально изменилась: если раньше сертифицированные продукты составляли 15%, то теперь на их долю приходится 65%. Это очень существенная разница. Мы перешли на другой качественный уровень —
стали очень плотно взаимодействовать с крупнейшими инфраструктурными заказчиками: Пенсионным фондом, Министерством финансов, ФНС, ФТС и т.д. Это требует других навыков и компетенций и, конечно, продуктов, отвечающих требованиям регулятора.
На протяжении четырех лет рынок средств аппаратной аутентификации ежегодно удваивается. Так, в прошлом году объем продаж по этому направлению увеличился на 105%.
LAN: Такие высокие темпы роста свидетельствуют о том, что стадия зрелости еще не достигнута?
Груздев: Рынок с такой динамикой всегда инвестиционно привлекателен, что влечет за собой появление новых игроков. Весьма показательным в этом отношении является изменение числа участ-ников CeBIT, предлагающих решения в области аппаратной аутентификации: в 2000 г. их было всего трое, в 2001-м —семь, в 2002-м — 14. Пик пришелся на 2003 г. — 27-30 компаний, включая таких «монстров», как Siemens, Fujitsu и др. Однако уже в следующие года ажиотаж поутих — сейчас свою продукцию стабильно предлагают около 20 поставщиков. Мировой рынок фактически делят три игрока, на российском — положение дел примерно такое же.
Ситуацию можно считать устойчивой, правда сейчас возникла угроза нестабильности. За последний год на российском рынке появилось четыре-пять новых разработчиков. В принципе, этот факт можно считать положительным, так как он свидетельствует о развитии рынка, но некоторые конкуренты, видимо, от отчаяния, не находя других способов нам противостоять, занимаются демпингом, который, как известно, ни к чему хорошему привести не может. На примере других рынков мы видим, что выстоявший
в схватке монополист теряет стимулы к развитию продукта. Поэтому демпинг в конце концов оборачивается против потребителей.
Прибыль производителей — это те деньги, которые инвестируются в улучшение продукта, развитие технологий и рынка, создание инфраструктуры. Не будет денег — не будет рынка, проиграют все. Те компании, которые соблазняются дешевой покупкой, потом, через год, открещиваются от нее, как черт от ладана, и больше слышать не хотят о подобных продуктах, потому что увидели, что работать с ним неудобно, внедрение так и не было доведено до конца и т.д.
LAN: Если рассматривать eToken как вершину айсберга решения аутентификации, то что можно сказать об айсберге в целом?
Груздев: Крупные заказчики подходят к вопросу аутентификации системно. Они прямо заявляют, что им нужны не «винтики», а полноценная инфраструктура безопасного доступа к информационным ресурсам. Понятно, что одним токеном задача не решается. Главная проблема — наведение элементарного порядка в информационных ресурсах. Так исторически сложилось, что, за редким исключением, информационные системы создавались лоскутно-кусочным методом, и проблемы решались по мере их возникновения. Внедрение токенов — не самоцель, оно заставляет оценить, какие ресурсы уже имеются, какие задачи необходимо решить и какие риски минимизировать. Бизнес начинает понимать, что информация — такой же актив предприятия, как здания, станки или компьютеры. Мир изменился, а с ним и угрозы, и прежде всего в результате размытия границ офисной сети и шире — офисного пространства.
LAN: Какая инфраструктура нужна, чтобы реализовать аутентификацию.
Груздев: Единого рецепта нет. Конечно, мы стараемся отрабатывать и продвигать типовые решения. Но однозначно утверждать, что инфраструктура должна быть такой-то и такой-то, нельзя. Мы не можем сказать заказчику: в вашей компании все построено неправильно, поэтому надо полностью поменять инфраструктуру — бизнес ведь не остановишь. Внедрение напоминает школьную задачку «как попасть из пункта А в пункт Б»: исходя из данного, получить искомое, условно говоря, правильную инфраструктуру, максимально сохранив ранее сделанные инвестиции. Правильная же ин-фраструктура — это та, которая работает, и работает хорошо.
Как я уже отмечал, в некоторых отношениях Россия опережает остальной мир. Так, на недавнем совещании директоров Aladdin в Москве обсуждалось, почему на западе доминирующей технологией являются одноразовые пароли. Несомненно, это заслуга нашего конкурента, компании RSA, —они хорошо поработали над развитием OTP-рынка (One-Time Password, OTP). В России, между тем, ситуация обратная — соотношение технологий ОТР и PKI (аутентификации с помощью сертификатов, которая технологически является следующей ступенью) составляет 20% к 80%.
Почему это произошло? Видимо, Россия долго была закрытым и непривлекательным рынком, да и RSA не проявляла высокой активности, несколько упустив момент. Вывод на первый план аутентфикацию
с использованием PKI — во многом наша заслуга, это отмечают все конкуренты Aladdin.
LAN: А какой должна быть инфраструктура с технической точки зрения?
Груздев: Вопрос, скорее, философский, из разряда «что такое правильная технология?». Например, нас часто спрашивают, какой ключ лучше. Нельзя сказать, какой лучше, — предпочтительнее тот, который максимально соответствует поставленной задаче, имеющейся инфраструктуре, выделенным средствам. Если денег нет, а вам предлагают золотой ключик, то он не будет для вас лучшим.
Доминирующее положение занимает сетевая инфраструктура Microsoft — домены, Active Directory, клиенты XP. Для нас это самая комфортная среда для внедрения, особенно если она полностью однородная, а приложения поддерживают работу с инфраструктурой открытых ключей, т.е. умеют пользоваться сертификатами. К сожалению, такой идеальный полигон для реализации инфраструктуры безопасного доступа встречается редко — в 3-5% случаев.
Как правило, парк оборудования представляет собой, скорее, «зоопарк» со множеством унаследованных приложений, и прежде чем приступать к внедрению средств аутентификации, приходится приводить все к общему знаменателю.
LAN: Какие компоненты входят в состав полного решения?
Груздев: Как я уже говорил, в состав, скажем так, комфортного решения входят серверы Windows 2003, AD, Microsoft CA или УЦ «КриптоПро», а также XP на рабочих местах. При наличии в компании свыше 100-200 рабочих мест обязательно развертывание системы управления жизненным циклом токенов — Token Management System.
Конкретному пользователю выдается токен, на который выписываются сертификаты, и система сама ведет инвентаризацию: что выдано, какие сертификаты выписаны, когда истекает срок действия сертификатов и т.д. Кроме того, предусмотрена возможность делегирования полномочий.
Как известно, слабым местом любой системы является человек. Поэтому важное значение имеет организационный вопрос — наличие правил и регламентов: что делать, если пароль забыт, токен оставлен дома, сотрудник переведен в другое подразделение и кому нужен доступ к другим приложениям и ресурсам. Если такие политики есть — это отличное подспорье для грамотной работы технологических компонентов.
LAN: Что именно покупает у вас заказчик помимо, собственно, токенов?
Груздев: Токен — это некий стержень, на который нанизываются необходимые компоненты, как в детской пирамидке. Для корпоративного заказчика важны преемственность, сохранность инвестиций, возможность масштабируемости. Сейчас разработано около 230 различных приложений, поддерживающих eToken. Если что-то осталось без поддержки, то необходимую часть дописывают либо наши специалисты, либо партнеры. Самым востребованным из этих приложений является вход в домен (регистрация в домене и аутентификация в домене).
Все решаемые задачи можно условно разделить на два больших класса — на базе PKI и без поддержки PKI. Если есть сертификат, значит, есть и закрытый ключ, который надо где-то безопасно хранить. Это основа всей инфраструктуры PKI. Без смарт-карт и токенов, используемых в качестве защищенного хранилища, здесь не обойтись. Более старые — унаследованные — приложения о PKI ничего «не знают» и имеют собственную подсистему аутентификации/идентификации пользователя на базе имени и пароля. Самый яркий представитель данного класса задач — аутентификация в 1C. Попытки «прикрутить» токен к 1C, Oracle или SAP вылились в некое универсальное решение под названием Single Sign-On (SSO).
В случае использования приложений со встроенной подсистемой поддержки PKI — что в настоящее время является очень мощной тенденцией — потребуется лишь токен, наложенные решения не понадобятся. Иначе говоря, поддержка токена уже встроена в систему, продукт и т.д. Таким образом, кроме комплекта ключей и системы управления жизненным циклом токенов,TMS, больше ничего не нужно. Мы часто говорим заказчикам: все, что необходимо для построения безопасной инфраструктуры, у вас уже есть, надо только научиться этим пользоваться.
LAN: В чем заключается адаптация к российской специфике помимо соб-ственно процесса локализации?
Груздев: В первую очередь — это выполнение требований регулятора —ФСТЭК, ФСБ, российского законодателя. Прежде всего, необходимо было обеспечить легальность привоза ключей в Россию. Для этого нам пришлось получать разрешение ФСБ, заключения экспертных комиссий и лицензии Минэкономразвития на ввоз. Задача была непростой, но мы ее решили, насколько я знаю, одни из немногих.
Далее мы занялись сертификацией. Итог: доля продаж сертифицированных продуктов выросла до 65%. Впрочем, заказчик заказчику рознь —некоторым бывает достаточно любой бумажки, при этом неважно, на что выдан сертификат. Мы к этому во-просу подошли серьезно и получили сертификаты на eToken как на защищенный носитель для хранения ключевого материала, аутентификации и т.д. Для сравнения, конкуренты получали сертификат на декларированные возможности, и проверкой безопасности не озадачивались.
Наконец, поддержка российских средств криптографии. С точки зрения эволюционного подхода речь идет о защищенном носителе для хранения ключевого контейнера от российских крипто-сервис-провайдеров «КриптоПро», «Сигнал-Ком» и др. Сейчас и этого уже мало — в новом проекте из eToken делается своего рода электронная ручка для подписывания документов. Ключи генерируются в памяти токена, формируется электронно-цифровая подпись, рассчитывается хэш, производится шифрование — все внутри токена аппаратным способом.
LAN: Как известно, любую защиту можно обойти. Насколько надежно работает eToken?
Груздев: Взлом eToken для злоумышленника — дело неблагодарное. О кражах или изъяти eToken под принуждением быстро становится извест-но. Главный же принцип хакеров —незаметность атаки. Безусловно, против любого решения найдется метод взлома, но это уже вопрос цены, эффективности, целесообразности и безнаказанности. Когда есть множество более уязвимых целей, в первую очередь будут атакованы именно они.
С технической точки зрения риск сокращается на несколько порядков. Утверждать, что его вообще нет, я бы не стал, но понадобятся очень и очень мощные средства и высокая квалификация. Так, например, двухфакторная аутентификация полностью исключает возможность проведения атаки с незаконным посредником (Man-in-the-Middle) — обе стороны (например, банк и клиент) точно знают,
с кем они общаются.
LAN: Чем предложение Aladdin для защиты контента отличается от уже имеющихся?
Груздев: Нас нередко спрашивают, зачем компании вообще нужен этот рынок. Обычно я отвечаю, что то, что мы делаем, и то, какой философии придерживаемся, существннно отличается от того, что делают другие. Хотя все говорят примерно одинаковые слова про превентивные технологии, поведенческий анализ и т.п. Здесь стоит немного углубиться в историю вопроса. Некогда приобретенная Aladdin компания eSafe, выпускавшая одноименный продукт, занималась проблемой поведенческого анализа (сейчас это называется превентивными или проактивными технологиями) более десяти лет. Другие вендоры начали говорить об этом только два-три года назад, когда поняли бесперспективность сигнатурного анализа в плане масштабирования — этот метод хорошо работает, но не в условиях, когда число вирусных атак растет слишком быстро. Попытки антивирусных вендоров перенести технологии, используемые на ПК, на шлюзы — это путь, который в eSafe, а позже и в Aladdin изначально считали неперспективным.
Недавние отчеты Gartner и IDC подтверждают: существующие сигнатурные и лингвистические технологии для борьбы с вирусами и спа-
мом — очень медленные и громоздкие. К тому же они перекладывают ответственность на конечного пользователя, которому самостоятельно приходится принимать решение о блокировании обнаруженной активности. Однако он не обладает, да и не обязан обладать необходимой для этого квалификацией. Главная же мысль упомянутых отчетов заключается в следующем: пытаться бороться с вредоносным кодом на конечных устройствах — мобильных телефонах, ноутбуках и т.д. — дело бессмысленное. Пользователю надо думать о решении своих бизнес-задач, и поэтому он хочет получать услуги защиты контента в виде сервиса, который предоставляет провайдер, т.е. трафик должен быть чистым, как вода из-под крана.
Мы не отвергаем антивирусы на ПК, но указываем на их неэффективность в условиях низкой квалификации конечного пользователя. Угрозы изменились — должны измениться и тактика, и стратегия борьбы с ними. Именно поэтому мы всегда заявляем, что с инфекцией необходимо бороться в сетях провайдера и доставлять пользователю запрашиваемый контент, но уже «очищенный» от любой «заразы». Таким образом, корпоративным пользователям следует положиться на шлюзовое решение, а конечным пользователям и предприятиям из сегмента SMB эту услугу должен предоставлять провайдер.
Следующий вопрос, который возникает, — технологический. Существующие решения на базе сигнатурного анализа не способны работать со скоростью линии, т.е. им попросту не хватает производительности, поэтому они оказываются неэффективными. Проблема других вендоров заключается в том, что технологию, изначально разработанную для персонального компьютера, они до сих пор пытаются перенести на сервер и в сети провайдеров.
Наше решение для фильтрации контента и защиты от вредоносного кода, eSafe, способно работать на проводной скорости, доставляя чистый контент пользователям при 25 000 одновременных сеансов и выше.