Рынок средств сетевой безопасности, в частности, рынок систем обнаружения атак это очень перспективная, быстро развивающаяся область капиталовложений, которая в скором времени будет приносить немалые прибыли. Если в 1998 году совокупный объем рынка средств обнаружения атак оценивался в 136 млн. долл., что на 137% превышало цифры предыдущего года, то к 2004 году этот показатель должен перевалить 1 млрд. долл. При этом если в 1998 году пропорция между системами анализа защищенности и классическими средствами обнаружения атак описывалась соотношением 60% к 40% в пользу первых, то к 2006 году это соотношение должно инвертироваться 36% к 64%.
Прогноз роста объемов продаж средств обнаружения атак
Средства защиты (в млн. долл.)
2000
2001
2006
Системы анализа защищенности
263,1
327,6
729,4
«Классические» программные системы обнаружения атак
215,9
292,3
720,7
«Классические» программно-аппаратные системы обнаружения атак (IDS appliance)
90,0
145,5
420,6
Источник: отчет «Worldwide Intrusion Detection and Vulnerability Assessment Market Forecast and Analysis, 20022006: Vendor Views», IDC, 2002 г.
Соотношение сканеров безопасности уровня сети и уровня узлов сохраняется вот уже несколько лет и сохранится до 2006 года 37/63, и это несмотря на то, что в России большей популярностью пользуются именно сетевые сканеры безопасности Internet Scanner, Nessus, Xspider и т.д. Для систем обнаружения и предотвращения атак ситуация повторяется с точностью наоборот соотношение сетевых решений против серверных равно 65/35 в пользу первых.
Рынок средств предотвращения атак только начинается формироваться, однако уже сейчас некоторые компании делают свои прогнозы. Например, 7 апреля 2003 года компания Yankee Group опубликовала отчет «Host Intrusion Prevention is the Last Line of Defense for Networks», в котором прогнозирует рост объема рынка средств предотвращения атак на уровне узла от 60 миллионов долларов в прошлом году до 520 миллионов в 2007 году.
Ведущие игроки рынка
18 марта 2003 года аналитическая компания Gartner Group выпустила отчет «Intrusion Detection Systems: Perspective», в котором назвала 6 основных игроков рынка:
Cisco Systems предлагает программно-аппаратные системы обнаружения атак на уровне сети семейства Cisco IDS 4200 и недавно приобретенные системы предотвращения атак на уровне узла семейства Okena. Летом прошлого года компания Cisco прекратила продажу своего сканера безопасности Cisco Secure Scanner. В качестве основных преимуществ компании Cisco были названы присутствие в сетевой инфраструктуре большинства организаций, широкая дилерская сеть и грамотная ценовая политика.
Enterasys Networks известная своими решениями для обнаружения атак на уровне сети (Dragon Sensor) и уровне узла (Dragon Squire), полученными в результате приобретения компании Network Security Wizards. По данным Gartner компания Enterasys сфокусировала свои усилия на рынке провайдеров услуг по безопасности (MSSP) и достигла на этом поприще значительных успехов.
Internet Security Systems, названная компанией Gartner мировым лидером (54% мирового рынка), предлагает весь спектр средств обнаружения атак, начиная сканерами безопасности, работающими на уровне сети (Internet Scanner), операционной системы (System Scanner) и баз данных (Database Scanner), и заканчивая сенсорами систем обнаружения и предотвращения атак на уровне сети (RealSecure Network 10/100, RealSecure Gigabit и RealSecure Guard), сервера (RealSecure Server) и рабочей станции (RealSecure Desktop). Кроме того, компания ISS является единственной, кто предложил пользователям сканер безопасности беспроводных сетей Wireless Scanner.
Snort является единственным свободно-распространяемым решением, вошедшим в отчет Gartner. Однако, несмотря на это, Gartner называет эту сетевую систему обнаружения атак неплохим конкурентом решениям от грандов этого рынка, а по числу сигнатур Snort обходит все коммерческие аналоги.
Symantec вышел на рынок обнаружения атак относительно недавно (в 2000 году) после покупки компании Axent. В 2002 году Symantec приобрел еще 3 компании, работающие в области Internet-безопасности MountainWave, SecurityFocus и Recourse Technologies, после чего выбился в лидеры рынка. На сегодняшний день в портфеле компании решения по обнаружению атак на уровне сети (ManHunt) и узла (Intruder Alert), а также сканеры безопасности на этих уровнях (NetRecon и Enterprise Security Manager). Кроме того, компания Symantec является единственной в данном обзоре, кто предлагает обманную систему (ManTrap). По мнению Gartner компания Symantec имеет самую лучшую позицию на рынке, но ей не хватает единого решения по управлению, которое бы объединило все вышеназванные продукты.
Tripwire является лидером рынка средств контроля целостности и предлагает целый ряд решений, направленных на мониторинг изменений серверов Windows и Unix, а также сетевых устройств (маршрутизаторов, коммутаторов и межсетевых экранов).
Учитывая перспективность этого направления за последние несколько лет произошло немало громких сделок на рынке средств обнаружения атак, список которых приведен в таблице.
Слияния и покупки в области систем обнаружения атак
Компания Cisco завершила разработку своего сканера безопасности Cisco Secure Scanner, полностью сосредоточив внимание на средствах обнаружения атак. После прекращения OEM-соглашения с компанией Entercept, последняя была куплена компанией Network Associates, а Cisco купила компанию Okena.
Microsoft
ISS (A)
Компания Microsoft лицензировала для ISA Server у компании ISS технологию обнаружения атак, используемую в RealSecure.
Nortel Networks (Bay Networks)
ISS (A)
Система обнаружения атак RealSecure Network интегрирована с широкополосным сервисным узлом Shasta 5000 BSN.
Enterasys
Network Security Wizards ($)
Hewlett Packard
Security Force ($)
Сканер безопасности SFProtect, разработанный компанией Security Force, перешел в компанию Agilent Technologies после отделения последней от HP. В настоящий момент данный сканер больше не выпускается. HP также выпускает систему обнаружения атак IDS/9000
Intrusion.com (бывшая ODS Networks)
ISS (A) SAIC ($) RSA Security ($) MimeStar ($)
Intrusion.com приобрела у SAIC систему обнаружения атак CMDS (позже переименованную в Kane Security Enterprise), а у RSA Security системы обнаружения атак Kane Security Monitor и анализа защищенности Kane Security Analyst. Вместе с покупкой Mimestar Intrusion.com стала владельцем и системы обнаружения атак SecureNet Pro.
Network Associates
Secure Networks Inc. ($) TIS ($) ISS (A) Traxess ($) Entercept ($) IntruVert ($)
Разработка системы обнаружения атак и сканера безопасности, входящих в семейство CyberCop, приобретенных вместе с компаниями TIS и Secure Networks, была завершена в 20012002 годах. В 2002 году Network Associates заключила соглашение с компанией ISS, в результате которого последняя планирует интегрировать свой антивирус McAfee с RealSecure Server, а NAI интегрировала сетевую систему обнаружения атак RealSecure Network со своим анализатором протоколов Sniffer. Однако эти действия не совсем стыкуются с покупкой NAI двух компаний-разработчиков средств предотвращения атак на уровне сети (IntruVert) и уровне узла (Entercept) 1 и 4 апреля 2003 года.
Check Point Software
ISS (A)
Компания Check Point лицензировала у компании ISS систему обнаружения атак RealSecure и до середины 2001 года выпускала ее под маркой Check Point RealSecure. В настоящий момент компания CheckPoint предлагает свою собственную систему обнаружения атак SmartDefense.
Internet Security Systems
DBSecure ($) March Information Systems ($) Netrex ($) NetworkICE ($) vCIS ($) Nokia (A) Radware (A) Crossbeam (A)
Приобретя компании DBSecure и March Information Systems компания ISS получила в свое распоряжение две системы, имеющие сейчас название Database Scanner и System Scanner. Покупка NetworkICE позволила компании ISS встроить в свою систему обнаружения атак новую технологию анализа протоколов, а также расширила портфель своих предложений системой обнаружения атак для рабочих станций. В настоящий момент ISS заключила соглашения с рядом производителей сетевого оборудования для переноса сетевой системы обнаружения атак на надежную и высокопроизводительную платформу.
RSA Security (бывшие Security Dynamics и RSA)
Intrusion Detection ($)
В результате покупки компании Intrusion Detection компания RSA Security получила семейство обнаружения атак на уровне узла Kane, которое затем было уступлено компании Intrusion.com.
Систему обнаружения атак NetProwler, приобретенную компанией Symantec вместе с компанией Axent, заменила более производительная система ManHunt компании Recourse.
MEMCO Software
Abirnet ($)
PLATINUM
MEMCO ($)
Computer Associates
PLATINUM ($) Security-7 ($)
CA предлагает практически весь спектр средств обнаружения атак семейство eTrust (eTrust IDS, eTrust Audit, eTrust Policy Compliance и т.д.)
NFR
Anzen ($)
NetScreen
OneSecure ($)
Примечание: $ приобретение компании; A соглашение о сотрудничестве.
Источник: А. Лукацкий. «Обнаружение атак». 2-е издание. BHV, 2003 г.
Ситуация в Европе
По данным отчета «European Information Technology Observatory 2003» 45% компаний в Западной Европе использовали в 2002 году системы обнаружения атак (в 2001 году эта цифра равнялась 35%). Рост числа компаний, воспользовавшихся сканерами безопасности, более внушителен с 19% в 2001 году до 35% в 2002. Согласно отчета «Intrusion Detection and Prevention Products 2002» компании Infonetics Research, опубликованному 28 февраля 2003 года, рост числа компаний, использующих эти продукты, к 2007 году составит 97%. При этом в 2002 году только 38% компаний малого бизнеса использовали системы обнаружения и предотвращения атак. Для средних и крупных компаний эти цифры равнялись соответственно 48% и 63%.
В 2002 году на решения в области обнаружения атак, анализа защищенности и управления угрозами западноевропейскими компаниями было потрачено 250 миллионов евро. В 2003 планируется увеличить эту цифру до 320 миллионов, в 2004 году до 430, а в 2005 до 590 миллионов евро.
Компания Infonetics приводит еще одну интересную цифру 55% европейских компаний используют решения Internet Security Systems, что повторяют общемировые тенденции. В тройку лидеров также входят компании Cisco Systems и Symantec. Аналогичная ситуация (по экспертным оценкам) складывается и в России и странах СНГ. И хотя решения ISS доминируют, многие европейские компании, как отмечает Infonetics, обращают внимание на решения компании OneSecure, недавно приобретенной компанией NetScreen.
Тенденции и прогнозы
В настоящий момент можно сделать несколько прогнозов относительно развития систем обнаружения атак. Во-первых, переход сетевых составляющих этих систем на защищенные платформы (security appliance), представляющих объединение защищенной операционной системы и уже предварительно настроенной системы обнаружения атак. Пионером в этой области была компания Cisco Systems, изначально предлагающая свои решения «в железе». Сейчас по такому пути пошли многие производители, заключая альянсы с известными вендорами аппаратных решений, Nokia, Nortel, Crossbeam и т.д. Еще один связанный прогноз делает компания Infonetics Research, которая предсказывает постепенную интеграцию межсетевых экранов и систем обнаружения/предотвращения атак в одном устройстве.
Во-вторых,
главным направлением удара является «интеллектуализация» средств обнаружения атак и их интеграция с другими средствами защиты для более полного охвата и всестороннего анализа состояния защищенности корпоративной сети. Объемы трафика в современных сетях настолько велики, что на оператора системы обнаружения атак ежедневно «сваливаются» миллионы событий. Ни один человек не в состоянии адекватно воспринять такой поток данных. Можно сказать, что системы обнаружения атак являются источником DoS-атак на человека. Для устранения этой проблемы ведущие производители (в этом еще одно ключевое отличие коммерческих решений от свободно-распространяемых) реализуют специальные «интеллектуальные» механизмы, в автоматическом режиме осуществляющие анализ поступающих данных и принимающие решения о наличии или отсутствии реальной угрозы (такую возможность требуют 2/3 всех пользователей систем обнаружения атак). Такие модули обычно объединяют данные от сенсоров систем обнаружения и предотвращения атак с информацией от сканеров безопасности. Такие системы корреляции существуют у компаний Internet Security Systems, Cisco и Symantec. Кроме того, существуют решения (Gartner называет их «meta IDS») третьих фирм, которые пытаются коррелировать данные от средств защиты разных фирм. Число таких решений постоянно растет и к ним можно отнести:
SAFEsuite Decisions компании Internet Security Systems. Данная система ориентирована на средства защиты, предлагаемые компанией ISS;
netForensics одноименной компании. Данная система ориентирована на средства защиты, предлагаемые компанией Cisco Systems;
Третьей тенденцией является появление фирм, которые занимаются аутсорсингом средств защиты, в т.ч. и систем обнаружения атак. Это явление получает все большое распространение на Западе, где компании не всегда имеют квалифицированных специалистов, способных круглосуточно мониторить свою сеть. Эту задачу берут на себя т.н. провайдеры услуг по безопасности (Managed Security Service Provider). К ним можно отнести:
Инсталляцию и поддержание работы серверов-ловушек для записи информации о нарушителях.
Однако не стоит думать, что системы обнаружения атак это панацея от всех бед. У них есть своя, хоть и широкая, но все-таки ограниченная область применения. Например, они могут быть использованы для текущего контроля определенных уязвимостей, имеющихся на некоторых узлах сети. Другой пример контроль эффективности межсетевых экранов. Но… не надо ждать от систем обнаружения атак невозможного. Они не могут (на сегодняшнем этапе развития информационных технологий):
компенсировать неэффективность механизмов аутентификации и идентификации;
проводить всесторонний анализ атак без человеческого участия (они только помогают в этом);
устранить слабости сетевых протоколов;
устранить проблемы в надежности и целостности ИС;
эффективно анализировать весь трафик в высокоскоростных сетях.
Об авторе:
Алексей Викторович Лукацкий, руководитель отдела Internet-решенийНаучно-инженерного предприятия «Информзащита» (Москва). Автор книг «Обнаружение атак», «Атака из Internet» и «Protect Your Information with Intrusion Detection». Связаться с ним можно по тел. (095) 9373385 или e-mail:luka@infosec.ru.