Ситуация в России мало чем отличается от общемировой. На российском рынке также лидируют решения ISS и Cisco; тройку лидеров замыкает Symantec. Решения от Enterasys хоть и представлены в России, но малоизвестны отечественным специалистам. И это закономерно рынок аутсорсинговых услуг, на который ориентировано семейство Dragon, в России пока не развит. Очень популярен у нас бесплатный, но очень эффективный Snort; однако корпоративный рынок относится к нему с настороженностью.
Сошлемся на мнение CIO нефтяной компании «ЮКОС» Андрея Кельманзона (опубликовано в «Директор информационной службы», №3 за 2003 год), который считает, что возможность поддержки со стороны производителя ПО является основным преимуществом коммерческого ПО. Тем более что непосредственно стоимость лицензии программного обеспечения составляет по данным Gartner Group не более 15% от совокупной стоимости владения ПО. Свободно-распространяемое или условно-бесплатное ПО удел небольших компаний, которым проще решать вопросы с его управлением, обновлением и поддержкой. Кроме того, именно зрелые и крупные компании четко понимают всю необходимость планирования своей информационной политики, что невозможно без знаний перспектив и некоторых гарантий развития продукта.
Не будем утверждать, что свободно-распространяемое ПО не применимо в крупных компаниях. Мало того, мы знаем несколько организаций, которые очень серьезно относятся к своей безопасности и имеют средства на приобретение коммерческих систем защиты, но используют систему Snort. Однако это скорее исключение, чем правило. Связано это с тем, что специалисты, применяющие Snort в своей сети, составляют с ней симбиоз и без них это средство превратится в малоэффективный элемент системы корпоративной защиты информации. Для SMB-рынка создать решение достаточно легко. Мало того, его и не нужно создавать «с нуля». Достаточно взять исходные тексты свободно-распространяемого Snort и использовать их в своем изделии. Некоторые российские компании так и поступают. Например, компания «Элко» (http://www.elco.ru/), которая встроила Snort в свои межсетевые экраны «Цитадель». Для крупной корпорации так не поступишь предъявляются иные требования, доработка под которые требует материальных затрат, что приводит к превращению из бесплатного в дорогостоящее решение.
Кто-то
пытается создать свою систему обнаружения атак. Например, на прошедшей 34 апреля 2003 года конференции «Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти» был представлен ряд новых отечественных разработок в этой области. За последний год это уже не первый случай, когда отечественные разработчики представляют российскому потребителю свои наработки в этой сфере. Мало того, многие ВУЗы и институты ведут аналогичные исследования. Казалось бы, можно считать, что наша страна не отстает от своего западного брата и тоже идет в ногу со временем, создавая одни из самых востребованных и эффективных средств защиты корпоративной сети.
Однако не все так просто в «датском королевстве». И, несмотря на наличие уже десятка различных систем обнаружения атак, созданных руками отечественных специалистов, по нашему мнению, в России сейчас отсутствуют компании, способные действительно создать систему корпоративного уровня, которая может потягаться с решениями компаний Internet Security Systems, Cisco, Symantec и Enterasys.
Об авторе:
Алексей Викторович Лукацкий, руководитель отдела Internet-решенийНаучно-инженерного предприятия «Информзащита» (Москва). Автор книг «Обнаружение атак», «Атака из Internet» и «Protect Your Information with Intrusion Detection». Связаться с ним можно по тел. (095) 9373385 или e-mail:luka@infosec.ru.