Безопасность из одних рук

Немало компаний имеют в своем распоряжении достаточно средств для создания надежной защиты, но многие из них до сих пор закрывают глаза на собственные уязвимости.

По сведениям исследовательской фирмы Computer Economics, большинство организаций тратят на нужды информационной безопасности около 3% ИТ-бюджета. А результаты недавнего опроса пользователей портала securitylab.ru и вовсе показали, что 64% респондентов довольствуются выделением на такие цели всего 1% своего и без того скромного ИТ-бюджета. При этом, по мнению аналитиков, затраты на ИБ должны составлять от 6 до 10% денежных средств, направляемых на обеспечение информатизации.

Разница между «можно» и «нужно»

Естественно, ситуация с обеспечением защиты информационных систем в крупных организациях и в сфере SMB (малого и среднего бизнеса) различна. Учитывая «особый путь» российской экономики, мы решили отнести к крупным те фирмы, в которых работают более 200 человек, а под малыми и средними подразумевать предприятия, численность сотрудников которых не превышает указанного порога.

Руководство солидных компаний старается уделять должное внимание задачам защиты бизнеса, приобретая технические средства и прибегая к помощи профессиональных консультантов. А вот среди большинства фирм сектора SMB пока нет понимания необходимости инвестиций в обеспечение безопасности информационных ресурсов. К тому же созданию комплексных решений в таких организациях зачастую препятствуют ограниченные финансовые возможности.

Причина несерьезного отношения малых предприятий к проблеме ИБ кроется в том, что многие компании даже не подозревают, насколько уязвимы их ИС. Исследования специалистов компании Positive Technologies (владельца портала securitylab.ru), предоставляющей услуги оценки уязвимости ИС для предприятий разного масштаба, дали любопытные результаты. Так, среди российских фирм, решившихся на экспертизу своих СИБ, 53% оказались практически неуязвимыми, 33% имеют «дыры» в защите, а 14% — и вовсе обладают целым «букетом» критических уязвимостей, любая атака в отношении которых приведет к серьезным нарушениям работы организации (рис. 1).

Рис. 1. Состояние защищенности информационных систем российских предприятий любого масштаба

Интересно, что, по данным тех же независимых исследований, чем больше компьютеров установлено в компаниях, тем меньше уязвимостей в их информационных системах. Следовательно, наименее защищенными являются фирмы небольшого масштаба (рис. 2). Следует подчеркнуть, что в опросах Positive Technologies принимали участие лишь те организации, которые уже принимали какие-либо меры по обеспечению ИБ. Резонный вопрос: а что же тогда творится в системах незащищенных пользователей?

Защитный боекомплект

Базовая модель обеспечения сетевой безопасности компании выглядит примерно так: на выходах во внешние сети должны быть установлены межсетевые экраны (МСЭ), антивирусная защита (желательно, двухуровневая — на шлюзах и клиентах) и система фильтрации входящей почты. При наличии мобильных пользователей для организации безопасного удаленного доступа необходимо иметь в своем арсенале решения VPN. Если же конфиденциальная информация выходит в открытые внешние сети, нужно позаботиться о криптографической защите данных.

Кроме того, если позволяют средства, можно позволить себе довольно дорогие, но весьма полезные «удовольствия» — сканеры безопасности, системы обнаружения и предотвращения вторжений (IDP, Intrusion Detection and Prevention). Они не только облегчают работу сетевого администратора, но и позволяют довести степень защищенности информационных ресурсов до максимально возможного уровня.

Ясно, что любое из перечисленных решений можно приобрести у известных игроков рынка ИБ. Но поскольку целью настоящего обзора является анализ полнофункциональных предложений по обеспечению ИБ для компаний малого и среднего бизнеса, мы обратились к поставщикам и производителям с просьбой сформировать необходимый защитный арсенал за небольшие деньги (порядка 2—3 тыс. долл.). И вот что у нас получилось.

Программирование безопасности

Традиционно всех производителей средств сетевой защиты принято делить на разработчиков программного обеспечения и создателей аппаратных систем. И хотя такая сегментация со временем стала весьма условной (программно-аппаратные комплексы на сегодняшнем рынке — не редкость), любой вендор позиционирует себя в соответствии с той продуктовой нишей, которую он стремится занять.

Не стараясь определить, какие разработки, программные или аппаратные, лучше с точки зрения эффективности выполнения поставленной задачи, мы остановились на наиболее привлекательных предложениях по отношению цены к производительности и функциональности.

Как рассказал начальник отдела стратегического развития и аналитических исследований «Лаборатории Касперского» Андрей Никишин, с недавних пор компания использует новую маркетинговую стратегию продвижения своих программных продуктов. Все решения делятся на три группы: для индивидуальных пользователей, для организаций малых и средних масштабов, для крупных корпоративных заказчиков. Похожую стратегию позиционирования продуктов реализуют Symantec, Panda Software и Trend Micro, бизнес которых в нашей стране развивается достаточно быстрыми темпами. Таким образом, интересующие нас предложения есть в линейке всех популярных в России разработчиков средств безопасности. Вопрос лишь в том, какой продукт и в каком случае следует предпочесть.

Компания Panda рекомендует организациям из сектора SMB использовать пакет антивирусных решений Panda BusinesSecure Antivirus, защищающих рабочие станции и серверы от всех видов вредоносных программ. В комплект разработок входит инструмент управления AdminSecure, механизм защиты серверов под управлением Windows любой конфигурации FileSecure, а также встроенный интерфейс командной строки PAVCL (Panda Antivirus Common Line), предназначенный для изоляции и уничтожения вирусов. Пакет BusinesSecure обойдется примерно в 60 долл. за одну пользовательскую лицензию с годичным сервисом. Наиболее полная защита каждого компьютера в сети предприятия обеспечивается с помощью решения Panda EnterpriSecure Antivirus (стоимость годовой лицензии в пересчете на одно рабочее место — от 50 до 80 долл., в зависимости от числа пользователей сети).

Российский разработчик «Лаборатория Касперского» адресует небольшим фирмам пакет решений «Антивирус Касперского Business Optimal». В его состав входит набор систем антивирусной защиты для рабочих станций (под ОС Windows и Linux), файловых серверов (под ОС Windows, Novell NetWare, Linux, FreeBSD/OpenBSD, Samba Server), серверов приложений, включая почтовые системы (Microsoft Exchange, Lotus Notes/Domino, Sendmail, Qmail, Postfix, Exim) и Internet-шлюзов. Комплект решений снабжен интегрированной системой централизованной установки и управления компонентами решения на узлах корпоративной сети.

Заказать пакет Business Optimal можно на сайте «Лаборатории». В зависимости от количества лицензий стоимость комплекта варьируется от 586 долл. в базовой конфигурации (одна лицензия для файл-сервера Windows и пять — для рабочих станций Windows) до 1699 долл. в максимально полном варианте (две лицензии для файл-сервера Windows, 25 лицензий — для рабочих мест и еще 25 — для почтового сервера MS Exchange). Плюс к тому специалисты «Лаборатории» рекомендуют приобрести дополнительное средство для борьбы со спамом Kaspersky Anti Spam (комплект лицензий на один год для 10 пользователей стоит 110 долл., для 100 пользователей — чуть более 600 долл.)

По словам Андрея Никишина, в стенах «Лаборатории» разрабатываются системы класса total protection, совмещающие в рамках одного продукта функции защиты от вредоносного контента и спама, механизмы обнаружения и предотвращения вторжений. Эти продукты, ориентированные на заказчиков разного масштаба, должны появиться в продаже уже в ближайшее время.

В линейке Trend Micro одной из самых функциональных разработок для защиты компаний SMB считается Trend Micro InterScan VirusWall. Продукт обеспечивает антивирусную защиту Internet-шлюзов, проверяет входящую почту и другие поступающие данные на наличие спама и любого вредоносного контента. Встроенные функции всесторонней проверки данных, передаваемых по протоколам SMTP, HTTP, FTP и POP3, позволяют достаточно надежно обезопасить корпоративную сеть небольшой компании. Одна пользовательская лицензия на год для комплекта на 10—25 пользователей обойдется примерно в 45 долл., а для комплекта на 100—250 пользователей — в 30 долл.

Даже поверхностное знакомство с предложениями ведущих производителей программных решений в области ИБ для сектора SMB позволяет прийти к двум неутешительным выводам. Во-первых, функциональность продуктов примерно одинакова (это защита от вирусов и спама, в лучшем случае — контентная фильтрация). Во-вторых, по-настоящему комплексными являются только те решения, которые ориентированы на крупные предприятия.

В СЕРВИСНЫХ маршрутизаторах Cisco ISR 3800 функциональность коммутационных приложений сочетается с арсеналом защиты, аналогичным Cisco IOS Firewall

Нас приятно удивило несоответствие этой общей тенденции продуктов американской компании Symantec. Среди ее предложений максимальной функциональностью отличается комплекс Symantec Client Security, обеспечивающий защиту от внешних угроз при помощи набора антивирусных средств, встроенного МСЭ и системы обнаружения вторжений для удаленных, мобильных и сетевых клиентов. Продукт снабжен несколькими полезными механизмами, повышающими безопасность доступа к ресурсам компании.

Так, функция Location Awareness («Осведомленность о местоположении») гарантирует соблюдение корпоративной политики безопасности вне зависимости от местонахождения пользователя. Функция Threat Tracer («Трассировщик угроз») выявляет источник комбинированных атак, распространяющихся через общие сетевые ресурсы. Средство In-Memory Scanning («Проверка памяти») позволяет выявлять угрозы и завершать подозрительные процессы в памяти защищаемых устройств прежде, чем они причинят ущерб системе. По информации, размещенной на сайте Symantec, система предлагается пользователям по цене от 320 долл. (конфигурация для пяти пользователей) до 1107 долл. (25 пользователей).

К сожалению, решение имеет ограничение по числу пользователей — не более 25. Тем не менее оно является хорошим ориентиром для тех производителей, которые утверждают, что какие-то механизмы защиты небольшим компаниям попросту не пригодятся или что интегрированную систему безопасности сложно создать без использования аппаратной платформы.

Защита из коробки

Среди специалистов ИТ-отделов предприятий распространена точка зрения, согласно которой одних только программных средств для реализации комплексной защиты недостаточно. Более того, многие уверены, что доверить обеспечение безопасности можно лишь аппаратным системам.

Отметим сразу, что здесь выбор продуктов более разнообразен, чем у разработчиков ПО, но и разброс цен шире. Опять же, основная масса известных вендоров адресует свои полнофункциональные «коробки» крупным компаниям. И хотя вся масса продуктов привычно подразделяется на решения для малого бизнеса, средних фирм и Enterprise-сектора (крупных предприятий), российским компаниям из сферы SMB доступны лишь продукты первой группы. Под «средними» многие производители почему-то понимают организации, насчитывающие от 100 до 500 рабочих мест.

К примеру, компания Check Point ориентирует на средние предприятия свою линейку продуктов Check Point Express. Специалисты производителя считают это семейство одним из самых продвинутых с точки зрения функциональности: устройства оснащены средствами контроля за правами доступа, интегрированной защитой от сетевых атак, вплоть до уровня приложений, а также механизмами обеспечения удаленного доступа для мобильных пользователей.

О том, что продукты Check Point Express недоступны для многих небольших компаний в России, свидетельствует и цена устройств. Продукты Check Point Express продаются в четырех типах конфигурации, различающихся количеством Internet-шлюзов/пользователей. Модификация 1/50 стоит 3,5 тыс. долл., 3/100 — 6,5 тыс. долл., модель 3/250 обойдется в 9 тыс. долл., а конфигурация 5/500 — аж в 12 тыс. долл.

Однако глава представительства Check Point в России и СНГ Юлия Грекова поспешила заверить, что у компании есть реальные решения для нужд SMB-сектора. Речь идет о семействе Safe at Office, объединяющем функции МСЭ, антивируса, фильтрации Web-контента, средств для построения туннелей VPN и возможности безопасного удаленного доступа для мобильных пользователей.

Стоимость продуктов этого семейства, рассчитанных на фирмы с числом сотрудников не более 100, гораздо ближе к финансовым реалиям небольших компаний. Так, решение Safe at Office 105 можно приобрести за 299 долл., Safe at Office 110 — за 599 долл., Safe at Office 225 — за 1099 долл., а Safe at Office 225U — за 1799 долл. Производитель настолько уверен в успехе этого семейства решений, что не спешит предлагать российским пользователям из SMB что-то еще. Да и немудрено: в Check Point рассчитывают, что Safe at Office вскоре установят в своих офисах 50% отечественных предприятий малого бизнеса.

Несколько более широкие возможности предлагает компаниям SMB фирма Juniper, недавно купившая производителя программно-аппаратных решений NetScreen и теперь активно продвигающая его продукцию на российском рынке. Поскольку она осуществляет продажи в нашей стране не напрямую, а через дистрибьюторов и реселлеров, мы обратились к их представителям для получения исчерпывающей информации по интересующим нас продуктам.

Как рассказал Дмитрий Рагушин, менеджер по маркетингу холдинга ЛАНИТ, из всего модельного ряда продуктов под брэндом NetScreen наибольший интерес для предприятий SNB представляют модели NetScreen 5GT/XT, 25, 50, 204 и 208. Они сочетают в одном устройстве функции МСЭ, концентратора виртуальных частных сетей, антивирусной защиты, маршрутизатора и средства управления полосой пропускания (bandwidth manager).

Примечательно, что объединение такого числа механизмов защиты не ведет к ограничению производительности устройств. По мнению Рагушина, это свойство продуктов NetScreen объясняется тем, что основные функции применения правил (т. е. собственно функции МСЭ), шифровки и дешифровки реализуются аппаратно на базе высокоскоростных специализированных микросхем (ASICs). По словам Павла Ковалева, руководителя направления информационной безопасности Netwell — официального дистрибьютора Juniper в России, все устройства NetScreen работают под управлением единой операционной системы ScreenOS собственной разработки, ориентированной только на поддержку функций безопасности. Это позволяет продуктам Juniper не терять производительность в моменты пиковой нагрузки и при обработке коротких пакетов.

Ценовой диапазон решений американского производителя, предлагаемых российским заказчикам, довольно широк. К примеру, NetScreen 5GT обойдется в 600—1500 долл. (в зависимости от конфигурации), NetScreen 25 будет стоить 2,5—3,5 тыс. долл., а за NetScreen 50 необходимо выложить 4,5—5,5 тыс. долл. Чтобы арсенал средств обеспечения ИБ был более полным, специалисты Netwell и ЛАНИТ советуют также приобрести NetScreen Remote Access 500, обеспечивающий защищенный удаленный доступ к корпоративным приложениям по протоколу SSL. Однако это удовольствие обойдется еще в 5 тыс. долл. Вдобавок хорошо бы приобрести системы IDP Juniper, но, поскольку их стоимость колеблется от 11 до 22 тыс. долл., на них у средних и малых компаний денег, скорее всего, уже не хватит.

На волне интеграции

Среди производителей коробочных средств защиты совсем мало фирм, специализирующихся только на технологиях сетевой безопасности. В последнее время разработкой подобных решений занимаются крупные сетевые вендоры, встраивая необходимые элементы в маршрутизаторы и коммутаторы. Кроме того, производители активного сетевого оборудования выпускают самостоятельные программно-аппаратные комплексы сетевой защиты и даже специализированное ПО.

В ОДНОМ устройстве Juniper NetScreen5GT объединены функционал продукта NetScreen5GT и возможности ADSL-модема

Так, в ассортименте Juniper вскоре после приобретения NetScreen появилось универсальное решение Juniper NetScreen-5GT ADSL. В одном устройстве были объединены функционал продукта NetScreen 5GT и свойства ADSL-модема. По словам специалистов компании, продукт обеспечивает все необходимые инструменты для безопасного выхода во внешние сети и предназначен для нужд небольшой компании. С этим трудно не согласиться, учитывая рекомендуемую цену устройства — примерно 1078 долл. В ближайшее время американская компания намерена существенно расширить линейку интегрированных устройств, сочетающих ноу-хау обоих некогда самостоятельных производителей.

Самый широкий выбор мультифункциональных решений со встроенными функциями безопасности предоставляет корпорация Cisco Systems. Специалисты этой фирмы отмечают растущий интерес к интегрированным устройствам собственного производства со стороны небольших компаний, что подтверждают и результаты опроса, проведенного недавно на сайте securitylab.ru.

Как рассказал Алексей Лукацкий, менеджер по развитию бизнеса Cisco, компаниям из сферы SMB производитель может предложить несколько типов устройств. Это маршрутизаторы с расширенными функциями защиты (межсетевой экран, NAT, VPN, система IDP, аутентификация пользователей и т. д.), самостоятельные программно-аппаратные средства сетевой безопасности, расширения коммутаторов, а также ПО для защиты серверов и рабочих станций.

Среди всей массы продуктов особо стоит выделить программно-аппаратные МСЭ серии Pix, предназначенные для защиты периметра сети предприятия, разграничения доступа внешних пользователей, построения VPN и контроля за качеством соединений (QoS). Решения поддерживают множество протоколов, в том числе для организации видеоконференций и IP-телефонии. Модели начального уровня (501, 506E и 515E) позволяют защищать сети с числом пользователей 1—20, 20—99 и 100—999 соответственно. Стоимость таких устройств, согласно прайс-листу Cisco, колеблется от 845 до 7995 долл., в зависимости от конфигурации.

По мнению Лукацкого, удовлетворению нужд компаний из сферы SMB в полной мере служит программное обеспечение для маршрутизатора Cisco IOS Firewall Feature Set со встроенной системой предотвращения атак (Cisco IOS IPS) и функциями МСЭ. Стоимость этих решений начинается с отметки 1 тыс. долл. (за младшую модель).

Как считает Лукацкий, для организации комплексной сетевой защиты небольшой компании достаточно приобрести маршрутизаторы со встроенными механизмами защиты и установить МСЭ (Cisco Pix 501 или 506). При необходимости обеспечения дополнительной безопасности ключевых серверов организации (например, почтовых, файловых, баз данных и Web), следует потратиться и на Cisco Security Agent.

Данное решение объединяет несколько функций — предотвращения атак, персонального МСЭ, защиты от вредоносного кода, контроля за целостностью данных, блокирования утечки информации через USB-порты и другие внешние устройства (PCMCIA, CD, Floppy, Zip и др.), ограничения коммуникационных возможностей Internet-пейджеров (например, ICQ). С его помощью пользователь может отражать широкий спектр нападений — от сканирования портов и внедрения «троянцев» до DoS-атак.

Стоимость решения для 25 ПК составляет примерно 1250 долл., для 100 машин — 4885 долл. А за Security Agent, предназначенный для защиты серверов, нужно заплатить порядка 1370 долл. в пересчете на один сервер. Программно-аппаратные системы обнаружения атак Cisco IDS 4215 и 4235, предлагаемые по цене от 6,5 до 25 тыс. долл., вряд ли заинтересуют отечественных представителей малого и среднего бизнеса.

Отметим, что в конце ноября Cisco представила корпоративным пользователям новые семейства сервисных маршрутизаторов Cisco Integrated Services Routers (ISR) 1800-й, 2800-й и 3800-й серий, ориентированные на нужды небольших фирм. В продуктах заложена широкая функциональность, сочетающая полный спектр коммуникационных приложений с серьезным арсеналом защитных средств (аналогичных с обеспечиваемыми линейкой Cisco IOS Firewall). При этом новинки сравнительно недороги — от 300 до 1000 долл.

Неплохие позиции в сегменте решений для SMB имеет и другой крупный производитель — ZyXEL. Он также активно расширяет модельный ряд интегрированных сетевых устройств с функциями защиты и продолжает разработку автономных средств сетевой защиты.

Как рассказал Максим Медведев, директор по продукции ZyXEL в России и СНГ, предприятиям из сферы SMB интересны прежде всего активные сетевые устройства с встроенными функциями безопасности и межсетевые экраны. Хитом продаж первой группы устройств специалисты считают Prestige 662 HW — ADSL-модем/маршрутизатор со встроенными механизмами экранирования сетей, построения туннелей VPN, сканером безопасности и антивирусной защитой. Продукт предлагается примерно за 200—220 долл.

Такой же успех на рынке производитель пророчит и новому беспроводному ADSL-модему P-662HW EE с усиленными функциями безопасности. Среди особенностей перспективной новинки — встроенный криптопроцессор (позволяет организовать до 20 защищенных VPN-туннелей), широкие возможности антивирусной и контентной фильтрации, МСЭ с контролем соединений (SPI) и защитой от атак. Поддерживаются технологии ADSL2+, 802.11g+ и коммутации Fast Ethernet, плюс к тому — протоколы 802.1x, WEP с длиной ключа до 256 бит и WPA. Последний набор функций обеспечивает надежную защиту беспроводных данных в локальной сети и предотвращает несанкционированный доступ. Данная новинка уже доступна российским пользователям по стартовой цене 240 долл.

Межсетевые экраны ZyWALL имеют достаточный для малого и среднего бизнеса арсенал механизмов защиты, включая средства МСЭ, VPN и возможность контроля за доступом к Internet-ресурсам. Основное преимущество таких устройств перед аналогичными решениями конкурентов состоит в их ценовой доступности для небольших фирм. Стоимость продуктов колеблется от 380 до 850 долл. — в зависимости от модели и числа пользователей.

Кроме того, в ближайшее время ZyXEL объявит о выходе на российский рынок новой серии устройств ZyWALL IDP 10, обеспечивающих обнаружение и предотвращение в режиме реального времени разных типов атак (включая DoS и переполнение буфера) и препятствующих проникновению в корпоративную сеть вредоносных программ. Эти устройства сочетают в себе функционал МСЭ, шлюзов VPN, сканеров безопасности и механизмов контентной фильтрации. Их стоимость пока неизвестна, но в ZyXEL уверяют, что она будет соответствовать финансовым возможностям небольшой компании.

Несмотря на наличие активных сетевых устройств со встроенными механизмами защиты в портфелях ряда других производителей (например, D-Link, SMC, Thomson), ни одно из них пока не может похвастаться такой же функциональностью, какая реализована в устройствах ZyXEL и Cisco для предприятий SMB. Прочие вендоры в основном ограничиваются установкой МСЭ и средств создания туннелей VPN в свое сетевое оборудование. Кроме того, стоимость таких интегрированных устройств часто превышает психологическую отметку 500 долл.

Правило «золотой середины»

Итак, что же мы имеем на сегодняшний день? На российском рынке комплексных средств защиты малых и средних предприятий явно преобладают две тенденции. Первая, позитивная, — перефокусировка внимания известных производителей, ранее ориентировавшихся преимущественно на крупные организации, на нужды сегмента SMB. Вторая, также заслуживающая одобрения, — расширение ассортимента в сторону решений, сочетающих в себе не только программные и аппаратные средства обеспечения ИБ, но и функционал активного сетевого оборудования с арсеналом популярных защитных механизмов.

Многие разработчики уже перешли к внедрению «золотых правил» интеграции в жизнь. Так, Symantec вышел на рынок с программно-аппаратными комплексами Symantec Gateway Security серий 320, 360 и 360R, объединяющими функции межсетевого экрана, модули обнаружения и предупреждения вторжений, технологии защиты от вирусов и спама, средства фильтрации Web-ресурсов, механизмы организации доступа по VPN.

Продукты этого семейства уже доступны российским пользователям. Стоимость низкопрофильного шлюза серии 320, поддерживающего работу до 50 пользователей, составляет около 400 долл.

Компания Panda тоже не отстает от передовых тенденций и недавно представила в России свою новинку — программно-аппаратный комплекс GateDefender 8000. Правда, этот сервер защищает корпоративные сети только от вирусов, спама и обеспечивает фильтрацию Web-контента, но можно сказать, что движение в сторону интеграции началось и у этого разработчика.

Действуя в русле актуальных тенденций, многие производители «железа» наполняют свои изделия программными модулями. Это не только функции администрирования и собственное ПО для реализации отдельных средств защиты, но и механизмы, созданные сторонними вендорами. В частности, в некоторые продукты ZyXEL и Juniper встраиваются антивирусы Trend Micro.

Выходит, что, как бы ни расхваливали достоинства собственных разработок программисты и «аппаратчики», друг без друга им не обойтись. Обеспечение полноценной защиты корпоративных пользователей возможно лишь за счет применения и программных, и аппаратных методов, а также объединения наработок отдельных производителей в рамках интегрированных систем.