Вопрос об основных кандидатах на звание провайдера услуг, занимающегося аутсорсингом систем информационной безопасности, по сей день остается открытым

Как видно из предыдущего обзора, попытки вспахать это поле на российском рынке предпринимают и системные интеграторы, и специализированные фирмы в области ИБ, и телекоммуникационные сервис-провайдеры. Но очевидно, что ни одна из категорий претендентов не способна полностью взять на себя гарантированную защиту информационных систем от всевозможных напастей. Происходит это, скорее всего, в силу экономических и социальных факторов, свойственных нашей стране, таких как финансовая несостоятельность проектов, недостаток доверия к третьей стороне, отсутствие четких законодательных регламентов аутсорсинговой деятельности.

Сервис-провайдеры

Если проанализировать предложения иностранных компаний, окажется, что они ушли от нас не очень далеко. Сервис-провайдеры, обслуживающие корпоративный сектор (такие как Equant, Verizon или BT), движутся в сторону услуг управления сетью (NMS), организации управляемых VPN и межсетевых экранов. Только, в отличие от России, за рубежом давно практикуется заключение соглашений об уровне сервиса с конечными заказчиками (SLA), благодаря чему последние получают в свое распоряжение действенный механизм страхования ИТ-рисков. Сегодня самыми продвинутыми зарубежными услугами в сфере ИБ являются построение сквозных защищенных каналов, фильтрация контента на внешних шлюзах и удаленное конфигурирование систем обнаружения/предотвращения вторжений. Однако дальше периметра корпоративной сети внешние провайдеры, как правило, не заходят, поэтому борьба с вирусами, «троянами» и прочим шпионским ПО остается уделом внутренних служб безопасности компаний.

Сотрудникам security-отделов приходится отслеживать информацию о появляющихся в Internet вирусах, червях и их модификациях практически в режиме реального времени, ранжировать угрозы по степени важности, оперативно реконфигурировать средства сетевой защиты, находить и устанавливать на ПК и серверах программные «заплатки» (патчи). Методика защиты корпоративных систем становится все более проактивной, и особенно важным оказывается не обнаружение вредоносного кода (с последующим устранением последствий его воздействия), а его недопущение в собственную сеть.

Производители оборудования

Неудивительно, что в последние годы многие вендоры телекоммуникационного оборудования начали реализовать концепцию «самозащиты» сетей на основе политик безопасности. Как известно, оригинальные решения для контроля над доступом в сеть клиентских устройств предложили Cisco Systems, Enterasys, Alcatel и Nortel Networks. За исключением некоторых технических особенностей, принцип действия этих решений во многом идентичен. Когда клиентское устройство пытается подключиться к сети, сначала проверяются (в соответствии с принятыми политиками ИБ) все его антивирусные настройки, патчи и права доступа, а лишь затем оно получает разрешение на работу с корпоративными ресурсами. Если клиентские настройки не соответствуют заданным политикам, коммутатор переводит клиента в одну из виртуальных LAN с ограниченными возможностями доступа.

Рисунок 1.

В этом смысле вендоры оборудования передачи данных продвинулись на шаг дальше поставщиков систем, защищающих только периметр сети: теперь под контроль централизованного сервера политик попадают как внешние, так и внутренние пользователи. Но даже такой подход не избавляет полностью от действий вломщиков и шпионского ПО, которое зачастую работает без ведома легального потребителя. Здесь-то и приходят на помощь системы предотвращения вторжений (Intrusion Prevention System, IPS), которые сейчас активно интегрируются в продуктовые линейки сетевых вендоров, таких как Cisco и 3Com.

За расширенную функциональность сетевых устройств, выполняющих функции IPS/IDS и антивирусных сканеров, пока приходится «платить» снижением пропускной способности ядра корпоративной сети. Компания 3Com первой среди производителей оборудования предложила решение IPS (приобретенное вместе с его разработчиком TippingPoint), которое контролирует весь трафик в ядре сети без снижения ее пропускной способности. Производительность IPS TippingPoint масштабируется в пределах от 50 Мбит/с до 5 Гбит/с, что позволяет успешно использовать его даже на магистралях 10 GE. Это решение не только выявляет и блокирует подозрительную активность пользователей и приложений, но и защищает трафик VoIP, управляет полосой пропускания, отражает атаки типа DoS и «троянских коней».

До конца года маршрутизаторы, оснащенные встроенными модулями IPS, появятся в линейке корпоративных продуктов Cisco.

Итак, вендоры сетевого оборудования наращивают функциональность своих продуктов, наделяя их все более изощренными механизмами обеспечения безопасности на уровнях 2-7. Кстати, делают они это в основном благодаря поглощению небольших специализированных фирм или заключению альянсов с признанными разработчиками secutity-систем. Поскольку почти у всех телекоммуникационных производителей есть собственные системы управления элементами сети (NMS), возможно, они вскоре догадаются предоставлять услуги мониторинга и удаленной реконфигурации этих элементов, в том числе узлов, отвечающих за информационную безопасность.

Основным техническим препятствием на этом пути может оказаться существенная разнородность аппаратной и программной инфраструктуры крупных предприятий, не допускающая управления всеми элементами и узлами с помощью единой консоли. А если в управлении сетью обнаружатся «белые пятна», вряд ли хоть одна компания возьмет на себя смелость отвечать за все риски, связанные с обеспечением безопасности. Следовательно, аутсорсинг услуг ИБ в его «классическом» виде, то есть с использованием договоров SLA и штрафных санкций по отношению к исполнителям, в исполнении сетевых вендоров маловероятен.

Ситуация меняется, если рассматривать ее глазами разработчика программных security-решений. Некоторые известные производители антивирусного ПО охотно берутся за новый для них вид деятельности (аутсорсинг систем ИБ), причем сегодня такие услуги становятся доступными и отечественным заказчикам. На совместной конференции компании IDC и издательства «Открытые системы», получившей название «Информационная безопасность предприятия: как противостоять новым угрозам», поставщики антивирусных продуктов не только повторяли поднадоевшие сентенции относительно масштабов вирусных эпидемий и размеров возможного ущерба, но и предлагали достаточно привлекательные способы искоренения этой проблемы.

Речь, естественно, идет не о полном исчезновении вирусов и их создателей. Предлагается подход к обеспечению безопасности, при котором у компании-заказчика перестает болеть голова по поводу постоянной модернизации средств защиты, политик и регламентов, все равно не уберегающей предприятие от убытков при очередной Internet-эпидемии. Уместно отметить, что в качестве актуальных на текущий момент факторов, тормозящих развитие рынка ИБ, аналитики IDC называют техническую сложность предлагаемых решений и проблемы с их взаимодействием, а первая четверка наиболее серьезных угроз для предприятий представлена вирусами и «троянами», Internet-червями, шпионским ПО и непреднамеренными ошибками персонала.

Создатели антивирусного ПО

Японская компания Trend Micro создала комплексное решение для локализации и предотвращения вирусных эпидемий, подразумевающее использование ее продуктов и служб в режиме аутсорсинга.

Стратегия защиты корпоративной системы Enterprise Protection Strategy (EPS) от Trend Micro основана на знаниях о конкретных угрозах, непрерывно генерируемых всемирной экспертной службой TrendLabsSM. Эта стратегия претворяется в жизнь благодаря централизованному управлению интегрированным пакетом средств защиты и использованию специализированного сервера предотвращения «инфекционных» вспышек, устанавливаемого у заказчика.

Решение на основе EPS позволяет контролировать состояние сети заказчика в течение всего цикла развития вирусной эпидемии — от обнаружения уязвимости ПО до ликвидации вредоносного кода на отдельных машинах. Централизованная консоль Trend Micro Control Manager обеспечивает координацию деятельности внутрикорпоративной службы безопасности, администрирование продуктов и служб Trend Micro.

Консоль TMCM действует как центральный «командный пункт», который следит за развертыванием в конкретной сети продуктов и услуг Trend Micro, ориентированных на различные угрозы. Кроме того, она производит отбор продуктов других производителей, предназначенных для профилактики проникновения вирусов в сеть. С помощью TMCM можно развертывать политики администрирования, относящиеся сразу ко всем продуктам и службам Trend Micro.

Подписные абонементы на службы TrendMicro предоставляются по отдельности либо в составе единого пакета. Служба Vulnerability Assessment призвана предотвращать атаки путем выявления дефектов защиты ОС Microsoft. Обнаруженные уязвимости ранжируются по степени серьезности возможных последствий и вероятности их использования «вирусописателями». Результатом работы службы становится информация о программных «заплатках» и дополнениях, которые необходимо установить заказчику для устранения этих дефектов.

Служба Outbreak Prevention Services обеспечивает профилактику или ограничение вирусных вспышек еще до выпуска security-компаниями соответствующих файлов системных исправлений, признаков атак и их сигнатур. В политиках профилактики предусматриваются меры блокировки «вирусоносителей» (сетевых протоколов, портов и приложений), способы предотвращения распространения вирусов и перегрузки полосы пропускания сети. Опираясь на рекомендации TrendLabsSM, служба дает рекомендации по конфигурированию политик с учетом высокого или среднего уровня риска, а также осуществляет их последующее развертывание.

Служба Virus Response Services поддерживает доставку информации о вирусах, подготовленной для конкретного пользователя на основе данных о потенциальных угрозах и подозрительной деятельности в его сети. Соглашение SLA предусматривает обеспечение гарантий заказчика, в том числе выплату штрафов за необнаружение или неполное тестирование всех разновидностей вируса. После получения заявки набор признаков атаки разрабатывается максимум два часа. При активации услуги для обеспечения всеобъемлющей защиты осуществляются сканирование и обнаружение вирусов на прикладном и сетевом уровнях. Одновременно можно управлять политиками профилактики заражений с центральной консоли Trend Micro Control Manager.

Наконец, сервис Damage Cleanup предназначен для оценки ущерба и ликвидации последствий атаки, включая удаление остатков вирусов и прочего вредоносного ПО с дисков и из оперативной памяти. На этом этапе автоматически восстанавливаются измененные записи системного реестра для предотвращения повторного инфицирования и сокращения затрат на ручную санацию. Служба генерирует детальные отчеты с указанием инфицированных и санированных машин. И, что немаловажно, она действует вне зависимости от производителя клиентских антивирусов, установленных на ПК и серверах сети.

Не забывает вендор и о проблемах индивидуальных пользователей. На официальном (англоязычном) сайте компании Trend Micro размещена ссылка на Web-службу HouseCall, которая специально создана для антивирусного сканирования и очистки удаленных пользовательских машин, подключаемых к сайту. Служба HouseCall базируется на технологии Java 2, что позволяет ей поддерживать все платформы, для которых существуют оригинальные security-решения компании Trend Micro (Windows 9x, NT, XP, Linux и Solaris).

Кто не может или не хочет...

В общем и целом, можно согласиться с утверждением представителей Trend Micro, считающих свое предложение уникальным. Даже признанный лидер антивирусных продуктов компания Symantec почему-то не реализовала подобные сервисы, хотя их полезность для корпоративных клиентов очевидна. Symantec предлагает российским пользователям помощь на уровне FAQ при инсталляции и настройке таких сложных продуктов, как AntiVirus Corporate Edition, Mail Security 4.5 for Microsoft Exchange и Gateway Security Appliance. Но эти рекомендации по установке ПО вряд ли можно назвать услугами, а тем более аутсорсингом.

Правда, на официальном зарубежном сайте компании все же упоминаются управляемые услуги обеспечения ИБ предприятий. Эти сервисы основаны на тесном взаимодействии продуктов Symantec, политик защиты информации и принятой у заказчика системы управления рисками. Они позволяют контролировать и удаленно конфигурировать межсетевые экраны, системы обнаружения вторжений, серверы управления политиками, антивирусные сканеры и интегрированные пакеты комплексной защиты сети. Для сервисов пассивного мониторинга вендор предусмотрел два класса обслуживания, а для активных служб управления элементами ИБ — три.

Справедливости ради отметим, что и в нашей стране Symantec начала продвигать одну из своих корпоративных услуг — Vulnerability Assessment. Она обеспечивает предоставление заказчикам актуальных сигнатур, упорядоченных по степени риска, и полных сведений по нейтрализации угроз. При этом используется одна из лучших в отрасли база данных уязвимостей системного ПО, поддерживаемая всемирной службой Symantec Security Response.

В заключение — несколько слов об отечественных разработчиках антивирусного ПО. Безусловно, они весьма компетентны в отношении технологий борьбы с вредоносными программами, но ограниченные финансовые ресурсы не позволяют им разворачивать полноценные аутсорсинговые службы, соответствующие требованиям крупных предприятий. Тем не менее они не стоят на месте.

К примеру, на Web-портале «Лаборатории Касперского» осуществляется проверка загружаемых файлов на наличие вирусов. Чтобы воспользоваться услугой, нужно загрузить через Internet «подозрительный» файл на специальный санитарный сервер, который и выдаст заключение. Эта незатейливая услуга может особенно приглянуться любителям переписки по электронной почте, через которую приходит масса «прикрепленных» к письмам червей и «троянов».

Поделитесь материалом с коллегами и друзьями