АНДРЕЙ ДУЛКИН полагает, что хакеры научились находить уязвимости в системах, которые раньше не входили в их сферу интересов
АНДРЕЙ ДУЛКИН полагает, что хакеры научились находить уязвимости в системах, которые раньше не входили в их сферу интересов

1 марта компания IDC провела в Москве конференцию Security Roadshow, посвященную проблемам информационной безопасности в России. По оценкам, которые привел Петр Городецкий, аналитик IDC по программному обеспечению, в 2011 году объем рынка информационной безопасности, включая программные и аппаратные продукты, а также услуги, составил 800 млн долл., что на 25% больше, чем в 2010 году.

«Если раньше основным двигателем данного рынка были регуляторы, то теперь предприятия сами начали проявлять интерес к реальной безопасности», — отметил Андрей Дулкин, директор по перспективным технологиям компании Cyber-Ark. Конечно, давление таких факторов, как окончательное вступление в силу закона «О персональных данных» и необходимость обеспечения соответствия платежных систем требованиям спецификаций PCI DSS, нельзя отрицать, но сами по себе они уже не обеспечили бы, уверены эксперты, такого темпа развития отрасли, особенно на фоне проявившихся во второй половине года финансовых затруднений.

«Наши клиенты заинтересованы уже не только в соблюдении нормативных требований, — считает Денис Батранков, консультант HP по информационной безопасности, — но и в построении комплексной защиты на основе систем обнаружения вторжений».

Дулкин считает, что рост рынка может быть связан с тем, что хакеры научились находить уязвимости в системах, которые раньше не входили в их сферу интересов. Примером могут служить промышленные системы, которые разрабатывались без учета требований безопасности, поскольку предполагалась их эксплуатация в защищенной, хорошо контролируемой среде. Однако постепенно системы SCADA (Supervisory Control And Data Acquisition — «диспетчерское управление и сбор данных») стали доступны извне через механизмы веб-доступа или мобильные клиенты. Когда же в игру вступили профессиональные хакеры, которые сумели добраться до уязвимостей корпоративных систем, то стали возможны такие атаки, как Stuxnet и Duqu. Еще один пример — основанная на методах социальной инженерии и на эксплуатации давно известной уязвимости во Flash Player атака на токены SecurID компании RSA, специализировавшейся именно на вопросах информационной безопасности. Лоскутная автоматизация и эволюционное развитие программного обеспечения при повсеместном распространении Интернета, облачных сервисов и мобильных средств доступа привели к новым угрозам, которые принято называть APT (Advanced Persistent Threat). Речь идет о постоянно совершенствуемых, или целенаправленных, атаках (см. «Целеустремленные атаки», Computerworld Россия, № 19, 2011).

Защиту от целенаправленных атак ни сами компании, ни производители средств защиты разработать не могут. Батранков считает, что в отражении подобных комплексных атак могут помочь системы контроля событий, такие как ArcSight, которые анализируют сведения о событиях и выявляют в них признаки нападений, в том числе и неизвестных. Однако подобные решения сложны в установке и эксплуатации, требуют высокой квалификации для анализа аномалий и подозрительной активности.

Еще одним механизмом в борьбе с целенаправленными атаками, по мнению Антона Разумова, консультанта Check Point по безопасности, могут стать облачные технологии, которые позволяют клиентам учиться на чужих ошибках. Дело в том, что придумать новые методы атаки довольно сложно, поэтому хакеры вначале тренируются на одной системе для отработки методики. Если в этой системе установлено программное обеспечение с облачным сервисом защиты, то владелец облака, компания — разработчик защитной системы, получает сведения о методах и тактике нападающих. Собрав необходимые сведения, разработчик может перенастроить свои продукты так, чтобы у всех остальных клиентов такой метод атаки не сработал бы. В результате, когда те же хакеры пытаются провести аналогичную атаку на другую жертву, где установлен продукт этого производителя, такая атака может оказаться неэффективной. Для каждой отдельной компании отражение целенаправленных атак может стоить слишком дорого, но для всей экосистемы конкретного производителя оно будет вполне приемлемым по цене.