Сервисы в ИТ до сих пор еще воспринимаются как новшество, однако услуги в области безопасности уже давно предоставляются именно в этой форме — обновления антивирусных сигнатур, фильтрация спама и исправления дыр в программном обеспечении изначально представляли собой сервисы информационной безопасности. Обновления не являются платными за исключением продуктов безопасности, расходы на обновление которых достаточно высоки. Кроме того, продаются не только сами продукты, но и сервисы с их применением, и сегодня на рынке представлены услуги по аренде продуктов, пользоваться которыми клиенты могли без установки программного обеспечения на свои компьютеры. Правда, таким образом защититься можно только от нападения через Интернет: от спама, DDoS-атак и различных Web-угроз.
С появлением облачных сервисов возник новый класс услуг безопасности — защита облачной инфраструктуры. К этому классу можно отнести сервисы по защите облачных приложений, шифрованию данных, хранящихся в облаке, или аренде виртуальных средств защиты. Такие сервисы настраивают сами клиенты, а поддерживают в работоспособном состоянии операторы.
Все перечисленные сервисы составляют сегодня рынок услуг информационной безопасности, перечень игроков которого приведен в таблице.
| Обновления | SECaaS | ISaaC | |
|---|---|---|---|
| Symantec | + | + | + |
| Trend Micro | + | + | + |
| «Лаборатория Касперского» | + | + | + |
| McAfee | + | + | + |
| Qualys | - | + | - |
| GFI | + | + | - |
| Eset | + | - | - |
| Dr. Web | + | + | - |
Техобслуживание
Исторически первыми сервисами, связанными с безопасностью, были услуги по сопровождению программного обеспечения. Большинство пользователей при покупке ПО рассчитывают, что оно не нанесет вреда их информационной системе, предполагая, что производитель должен исправлять ошибки, приводящие к атакам, хотя из текста лицензии этого не следует — производитель не несет ответственности за ущерб, принесенный клиенту в случае ошибочной работы его программного обеспечения. Тем не менее, например, компания Microsoft была вынуждена выстроить сервис по исправлению ошибок в своем ПО, и фактически это бесплатный сервис информационной безопасности по сопровождению коммерческого программного обеспечения, который оплачивается из стоимости лицензии. Таким компаниям, как Oracle, Adobe, SAP и IBM, также пришлось реализовать аналогичные бесплатные сервисы. Впрочем, если покупатель хочет обезопасить себя от неожиданностей, связанных с неправильным поведением купленного ПО, он может заключить контракт на поддержку, в рамках которого производитель гарантирует исправление ошибок в строго отведенный срок.
Отдельным классом программного обеспечения, где обновления платны, являются антивирусы и другие защитные системы — сегодня без сервиса обновлений антивирусы просто бесполезны, поэтому на них оформляется подписка, плата за которую составляет в год около трети первоначальной стоимости. Таким образом, хотя производители антивирусов и продают продукт, тем не менее с его помощью они, скорее, предоставляют сервис, нежели зарабатывают на продажах своего продукта. Сейчас антивирусные компании отказываются от постоянного выпуска новых версий, предпочитая просто продавать лицензии на обновления. Например, о такой стратегии объявили компании Symantec (для линейки продуктов Norton) и «Лаборатория Касперского».
Решения по борьбе со спамом продаются именно в виде подписки на обновления черных списков IP и доступа к сигнатурам спама, а стоимость собственно ПО минимальна. Иначе говоря, антивирусный пакет и спам-фильтр как программные продукты без дополнительного платного сервиса обновлений практически бесполезны, поэтому рынок решений информационной безопасности частично является и рынком сервиса. Правда, четко определить долю средств, которую приносит именно сервис, часто не могут даже производители, поскольку до недавнего времени стоимость первого года обновлений входила в цену поставки самого продукта. При этом через год выпускался новый продукт, который также приходилось покупать с годовой лицензией. Только недавно компании Symantec и «Лаборатория Касперского» отказались от практики ежегодных выпусков новых версий, рассчитывая в дальнейшем продавать годовые лицензии на обновления.
Традиционные сервисы информационной безопасности можно разделить на два класса:
- Сопровождение программного обеспечения. Предполагается, что исправление дыр в безопасности, которые могут привести к атаке на информационную систему, должно быть бесплатным, однако антивирусные продукты изначально ориентировались на обновления как минимум сигнатур вирусов, поэтому их производители просили плату за обновления. В некоторых случаях, например в области свободного ПО, плата за обновления включена в сервисные контракты, а сам сервис предоставляется через купленное клиентом ПО с интегрированным модулем системы обновления.
- Техническое сопровождение. Сотрудники предприятия часто кроме продукта платят и за первоначальную настройку средств защиты, а также за их последующее сопровождение, предоставляемое такими интеграторами безопасности, как «Инфосистемы Джет», «Информзащита», «ДиалогНаука», которые поддерживают в постоянной готовности системы защиты клиентов и обеспечивают отражение нападений. Для предоставления подобных услуг интегратор безопасности должен установить у себя решение для обработки событий и связать его с защитными устройствами заказчика.
Возможно, к этому же классу услуг стоит отнести и подготовку к сертификации средств защиты по тому или иному стандарту безопасности, однако это, скорее, не технологическая, а юридическая услуга.
SECaaS
Уже первый российский спам-фильтр spamtest.ru предоставлял услугу аренды приложений безопасности (Security as a Service, SECaaS), размечая проходящий через него почтовый трафик и помещая в заголовок спамерских, по его мнению, писем специальную метку. Данный функционал был куплен «Лабораторией Касперского», интегрирован в антивирусный продукт, и сейчас фильтрация выполняется на клиенте. По той же технологии можно фильтровать Web-трафик, используя сервер провайдера в качестве посредника или подменив DNS-сервер для фильтрации URL.
Уникальной услугой, которую тяжело реализовать в виде отчуждаемого продукта, является защита от DDoS-атак, когда паразитный трафик определяется провайдером, а на серверы клиента передаются уже очищенные Web-запросы. Сегодня имеются также услуги по аренде антивирусов, предполагающие установку на компьютеры клиентов специального антивирусного агента, подключаемого к серверам данного провайдера сервиса. По сути, это просто другая схема продажи антивирусного продукта — антивирус бесплатен, а клиент оплачивает сервис обновлений. Существенной разницей по сравнению с классической схемой продажи антивирусного ПО является возможность аренды антивируса с точностью до месяца, а не сразу на год, как это происходит при традиционной схеме продажи антивирусов. Технологически же устанавливаемый клиенту агент и является антивирусом. Список классов защитных сервисов, которые можно отнести к этой категории услуг, несколько шире:
- Спам-фильтр. Сервис по очистке или просто разметке почтовых сообщений является одним из наиболее популярных и позволяет оптимизировать нагрузку на корпоративную систему электронной почты, уменьшая время, затрачиваемое пользователями на разбор почтовых сообщений. Этот же сервис может блокировать и нежелательное ПО, присоединенное к письму. Услуги этого типа предлагают компании «Лаборатория Касперского», GFI и «ДиалогНаука» на базе «Спамообороны», разработанной компанией «Яндекс».
- Web-фильтрация. Сервис блокирует доступ к вредоносному или бесполезному Web-контенту. Кроме того, отдельной категорией, как правило, идут нежелательные ссылки, блокировка которых защищает от заражения. Здесь для подключения услуги нужно перенаправить весь HTTP-трафик через фильтрующий сервис провайдера, как это, например, делается в продуктах «Лаборатории Касперского», или использовать специальный DNS-сервер, который корректно разрешает только безопасные URL, блокируя тем самым доступ к опасной части Web. Последний вариант предлагает компания Entensys. Следует отметить, что «Лаборатория Касперского» также предлагает аналогичные сервисы по фильтрации различных протоколов Интернета, таких как мгновенные сообщения, IP-телефония, файлообменные сети и др.
- Защита от DDoS. Атаки на вычислительную систему с целью довести ее до отказа в обслуживании стали достаточно популярной формой вымогательства, сведения счетов с конкурентами или терроризма. Часто защититься самостоятельно пользователи не в состоянии, поскольку не имеют репутационной базы IP-адресов зараженных зомби-машин. Антивирусные или специализированные компании, анализируя трафик, могут выделить непродуктивную часть нагрузки и блокировать только ее, не оказывая влияния на посетителей сайтов. Поэтому, просто перенаправляя большой поток Web-запросов на серверы оператора сервиса, клиент может избавиться от нападения без ущерба для собственного сайта и его посетителей. Услуги этого типа предоставляют компании «Лаборатория Касперского», Highload Lab, Group-IB и др.
- Антивирус в аренду. Антивирус стал настолько обязательным при доступе к Интернету, что без него уже невозможно подключение к Сети, и провайдеры были заинтересованы в предоставлении своим клиентам дополнительного сервиса по защите от вредоносного контента. Поэтому, когда производители антивирусного ПО предложили возможность аренды своих антивирусов через провайдера, это было положительно воспринято рынком. Чтобы воспользоваться этой услугой, клиент должен загрузить с сайта провайдера специальный агент и установить его на свой компьютер. После установки он связывается с сервером провайдера и получает от него обновления антивирусных баз. Такие технологии защиты предлагают компании Dr. Web, Trend Micro и некоторые другие.
Кроме перечисленных, имеются еще сервисы по подписанию документов в электронной форме с помощью ЭЦП; продажа цифровых сертификатов для SSL, которую ведет компания Symantec; и ряд других.
ISaaC
С распространением облаков, позволяющих арендовать виртуальные машины в инфраструктуре провайдера для выполнения своего ПО, появилась новая категория услуг по обеспечению безопасности — защита облачных инфраструктур, или информационная безопасность на базе облака (Information Security as a Cloud, ISaaC). В этом случае услуги по защите являются дополнением к набору облачных сервисов и предоставляются вместе с виртуальной платформой. Это связано с особенностями виртуальной среды — средства защиты должны быть оптимизированы под нее, то есть эффективно распределять свои ресурсы между различными виртуальными машинами и обеспечивать непрерывность защиты при переносе виртуальной машины с одного узла облака на другой. В противном случае могут возникнуть непродуктивное расходование вычислительных мощностей или провалы в защите, что невыгодно ни оператору облака, ни его клиенту. Поэтому сам оператор должен предложить своему клиенту услуги по защите установленного у него программного обеспечения, а клиент должен иметь возможность адаптировать средства защиты оператора под используемое у него программное обеспечение. Иначе говоря, защита облачной инфраструктуры должна быть опцией к контракту PaaS. Например, компания решила перенести в облако свою виртуальную инфраструктуру вместе с установленным в нее антивирусом, имеющим одну особенность — в момент получения обновлений антивирусных баз он начинает проверять систему на новые сигнатуры, что увеличивает нагрузку на систему хранения. В рамках одной системы этот процесс оптимизирован достаточно хорошо, однако при переходе в облако оказывается, что аналогично ведут себя и другие антивирусы, работающие в соседних виртуальных средах других клиентов. Как только всем антивирусам одновременно приходят обновления, нагрузка на систему хранения увеличивается, и причем значительно (эту ситуацию иногда называют «антивирусным штормом»). При этом провайдер не в состоянии решить эту проблему, поскольку причина внутри виртуальной машины, то есть на стороне клиента. Одним из возможных вариантов решения является установка в виртуальные машины клиентов специального антивирусного агента, который координирует свои действия с другими агентами в других средах. В результате провайдер вынужден предложить клиенту решение, которое оптимизирует антивирусное сканирование, и только в этом случае он может гарантировать эффективную работу виртуальной машины.
Аналогичные проблемы могут возникнуть для спам-фильтров, для защиты от DDoS-атак и при сетевой фильтрации. При переносе системы в облако сложно будет использовать те же инструменты защиты, что и в традиционной среде, поскольку к традиционным угрозам добавляются чисто облачные, связанные с автоматическим управлением ресурсами и перемещением виртуальных машин между узлами облака. В облачной защите нужно предусмотреть случай, когда виртуальная машина в момент проверки сворачивается и переносится на другой узел. При этом возникает определенная задержка, а параметры самой машины за это время также могут измениться. Возможно, за время переноса незавершенная задача защиты уже будет не актуальна, поскольку она была в это время решена другой репликой виртуальной машины. Выбор адаптированных к облачной инфраструктуре средств обеспечения безопасности делает оператор, но и у клиента должна быть возможность выбрать средство защиты и настроить предлагаемое оператором решение под свои потребности.
Рискованный аутсорсинг
Несмотря на прогресс в развитии рынка услуг информационной безопасности, полностью отдавать такой важный аспект бизнеса на аутсорсинг еще преждевременно, и, например, назначением политик безопасности должен заниматься сотрудник компании. Кроме этого, не стоит забывать и про защиту частных облаков компании, а не только самих бизнес-приложений. Комплексная защита облачной инфраструктуры в первую очередь предполагает участие специалиста информационной безопасности на стадии внедрения облаков. Основой для облаков, чаще всего, служит виртуальная среда, а при ее развертывании возникают два потенциально уязвимых компонента: система управления и гипервизоры, которые могут стать объектами взлома и каналами утечки конфиденциальных данных. Риски, связанные с виртуализацией, растут в случае облаков, и особенно для публичных, внешних для компании, в которых работают сторонние пользователи и для работы с которыми нужны внешние каналы связи, требующие дополнительной шифрации.
Продукт vGate позволяет защитить виртуальную инфраструктуру, привести ее в соответствие с требованиями бизнеса пользователя и нормами регуляторов, а также корректно настроить политики безопасности. Для контроля трафика между виртуальными машинами можно использовать распределенный межсетевой экран TrustAccess, а для защиты от несанкционированного доступа — систему SecretNet.
— Александр Сухарев (pr@securitycode.ru), менеджер по продукту компании «Код Безопасности» (Москва).
Защита данных
Клиент облачного провайдера должен иметь возможность выбора не только конфигурации арендованной им виртуальной машины, но и средств защиты ПО, установленного на виртуальной машине. Ситуацию с «антивирусными штормами» мы уже рассмотрели, однако аналогичные ситуации могут возникнуть при эксплуатации спам-фильтров, межсетевых экранов, систем обнаружения вторжений и других, где производительность средств защиты является одним из существенных факторов их использования. Продукты по защите данных предлагают, в частности, компании Trend Micro и «Крок».
Организации, которые пользуются услугами облачных провайдеров, боятся, что их наиболее ценные данные могут утечь с площадки оператора, однако данные можно хранить у одного провайдера, а обрабатывать их у другого, поэтому появились провайдеры, которые специализируются на надежном хранении данных пользователей, защищая их с помощью шифрования. При этом ключи от данных хранятся только у клиента, поэтому получить к нему доступ сотрудники оператора не могут. Аналогично, сотрудники защищенного хранилища не могут получить доступ к хранящимся у них данным, поскольку не знают ключа. В результате только клиент может расшифровать данные и передать их на обработку. В частности, такой сервис недавно предложила на российском рынке компания Trend Micro.
Следует отметить, что рынок облачных услуг по информационной безопасности еще не сформировался, как, впрочем, и рынок облаков, который весьма динамичен, поэтому пока здесь нет стандартов на предоставляемую услугу по защите. Операторам каждый раз приходится согласовывать с клиентом набор защитных механизмов, которые он будет использовать в арендованной инфраструктуре, что затягивает проект по переносу собственной инфраструктуры в облако и привязывает клиента к конкретному поставщику облачных услуг.
