«Аномальные решения» — новый подход в обнаружении атак
В начале 2003 года первое место удерживала компания ISS с 21% рынка (у Cisco — 16%), в третьем квартале Cisco обогнала ISS (24% против 21%), в четвертом ISS вновь на вершине — 25% против 19%). По итогам первого квартала 2004 года Cisco опять обошла ISS — 28% против 20%. Доли игроков на рынке систем обнаружения и предотвращения атак
Источник: Infonetics, 2003 г. В прошлом году к первой четверке компаний Gartner добавил еще Интересно, что в исследованиях консалтинговой компании Synergy первая тройка лидеров осталась без изменений (Cisco — 26%, ISS — 20%, Symantec — 15%), а вот другие позиции достались совершенно другим игрокам: Доли игроков на рынке систем обнаружения и предотвращения атак — иное мнение
Источник: Synergy, 2003 г. Однако, в каждом из сегментов рынка систем обнаружения и предотвращения атак свои лидеры. Например, в области защиты отдельных узлов от червей, троянцев и других нападений лидирует компания Symantec со своими решениями (Intruder Alert и Decoy Server), занимающая почти треть мирового рынка — 32%. Наступает на пятки компания Network Associates c 29%. Это стало возможно только после приобретения компании Entercept и одноименной системы предотвращения атак. Третье место уверенно держит компания Internet Security Systems с системами RealSecure Server и RealSecure Desktop, защищающими соответственно сервера и рабочие станции. ISS захватила пятую часть мирового рынка — 20%. Последние два места в пятерке лидеров занимают компании Cisco Systems (11%) и Enterasys (2%). Самое интересное, что в пятерке лидеров нет ни одной компании, которая бы сама разработала решения, позволившие им стать лидерами рынка. Кроме, пожалуй, компании ISS, да и то наполовину. Решения Intruder Alert и Decoy Server были разработаны соответственно компаниями Axent и Recourse, которые в свою очередь были куплены Symantec. Cisco Systems купила компанию Okena и принадлежавшие ей системы предотвращения атак StormFront и StormWatch, а семейство Cisco IDS Sensor 4200 построено на решениях компании WheelGroup. Enterasys купила Network Secure Wizards с системами семейства Dragon. И только ISS сама разработала систему RealSecure Server, хотя RealSecure Desktop появилась в результате покупки компании NetworkICE и ее всемирно известной персональной системы обнаружения атак BlackICE Defender. Это лишний раз доказывает давно известный факт, что побеждает не тот, кто первым вывел В сегменте средств защиты от География рынка и инновации Ежегодный мировой рост технологий обнаружения и предотвращения атак к 2006 году составит 27%, что существенно выше, чем в других сегментах рынка средств защиты информации — исключение составляет, пожалуй, только контроль содержимого. В Западной Европе рост гораздо ниже — 18% (его превышают только средства контроля содержимого). «Отсталость» Европы лишний раз подтверждается и тем, что основные продажи средств обнаружения атак осуществляются и будут осуществляться в Северной Америке. Распределение средств обнаружения атак по регионам
Источник: Intrusion Detection and Prevention Products. Infonetics Research, Inc. May 28, 2004 Растет число компаний малого и среднего бизнеса, которые задумываются о защите своих ресурсов от посягательств хакеров. Например, если в 2002 году 38% малых, 48% средних и 63% крупных предприятий Европы использовали решения по обнаружению атак, то в 2007 году ожидается рост этих показателей до 62%, 83% и 92% соответственно. Общее число компаний, воспользовавшихся этой технологий возрастет за 5 лет (с 2002 по 2007 год) на 97%. Постепенно средства поиска следов несанкционированной активности в сетевом трафике «выживают» другие защитные механизмы. Если в 2002 году решения по обнаружению атак уверенно держали 7,2% всего рынка, то к 2007 году эта цифра должна возрасти до 8,3%. С другой стороны роль межсетевых экранов, VPN, средств AAA снижается. Например, МСЭ и VPN отдадут завоеванные позиции и «упадут» ниже десятипроцентной отметки (с 12,5% в 2002 году до 9,4% в 2007 году). Изменятся и сами технологии обнаружения атак. Если до недавнего времени превалировали системы, использующие «сигнатурный» подход, то им на смену приходят «аномальные» решения, отслеживающие в сетевом трафике или поведении приложений и процессов все отклонения от нормы. К концу 2004 году 50% классических «сигнатурных» систем обнаружения атак будет заменено на технологии, использующие «аномальный» подход, а общее соотношение сигнатурных и аномальных систем будет один к трем в пользу последних. Отмеченная в прошлом году тенденция замены программных решений Рост объемов продаж аппаратных средств обнаружения атак
Источник: Worldwide Security Appliance Forecast and Analysis, 2003–2007, IDC Не сдают свои позиции и разработчики межсетевых экранов, не желающих проигрывать эту битву производителям систем предотвращения атак. Эксперты считают, что к 2006 году 60% всех межсетевых экранов и систем обнаружения атак будут объединены в рамках единой платформы. Также такие платформы будут опционально оснащаться антивирусами и модулями контроля содержимого с целью покрытия максимального спектра возможных На рынке систем анализа защищенности (сканеров безопасности) игроки другие, но в «высшую лигу» пробились уже известные нам лица — ISS и Symantec. Именно эти две компании захватили верхние строчки рейтинга компаний, разрабатывающих средства поиска уязвимостей. Остальные наступают им на пятки: Доли игроков на рынке анализа систем защищенности
* NetIQ — 9,0% (за счет покупки PentaSafe в декабре 2002 года); ** — был куплен в 2003 году Computer Associates и переименован в eTrust Network Forensics Источник: IDC, 2003 г. Среди других игроков рынка можно назвать Foundstone, nCircle, eEye, Sanctum и т.д., захвативших не более 2% рынка каждая. Если перейти к абсолютным цифрам, то объемы рынка сканеров безопасности оцениваются в этом году в $549 млн. Ежегодный рост в 18,4% достигается за счет, как это ни странно, не сетевых сканеров, а решений, призванных обнаруживать дыры на отдельных узлах и приложениях (т.н. Рост объемов продаж средств анализа защищенности
Источник: Worldwide Vulnerability Assessment and Management Forecast Update and Analysis, 2003–2007, IDC Несмотря на широкую рекламу сетевые сканеры менее популярны у потребителей, чем их аналоги для отдельных узлов — объем рынка средств анализа защищенности уровня сети составляет около 40% от продаж всех сканеров. На этом сегменте лидируют: Доли игроков на рынке средств анализа защищенности уровня сети
* — со своими решениями Internet Scanner, Database Scanner и Wireless Scanner ** — Symantec со своим NetRecon Источник: IDC, 2003 г. Доля ISS превышает доли ближайших конкурентов вместе взятых и это немудрено. Именно ISS принадлежит первый в мире сетевой сканер безопасности, разработанный еще в прошлом веке — в далеком 1992 году. Однако, более молодые компании не желают без боя отдавать пальму первенства и постепенно наращивают свое присутствие. Например, объемы продаж компаний Qualys, Foundstone, eEye ежегодно вырастают более чем на 80–100% (в среднем этот сегмент рынка растет на 16% в год). На рынке средств анализа защищенности серверов и рабочих станций свои лидеры, но и они нам уже известны: Доли игроков на рынке средств анализа защищенности серверов и рабочих станций
Symantec с Enterprise Security Manager BindView с NetIQ с VigilEnt Security Manager Suite и Security Analyzer ISS с System Scanner Sanctum c AppScan Источник: IDC, 2003 г. Здесь рост не так велик, как у своих сетевых коллег — 20–50% считается хорошим показатель. Хотя есть и уникальные примеры — компания SPI Dynamics увеличила свои обороты только за 2001–2002 годы в 380 (!) раз. Сдает свои позиции компания IBM, которая теряет своих клиентов в обоих сегментах рынка — на 28,0% и 26,7% соответственно. Ключевые события в мире обнаружения атак В 2003–2004 годах в области обнаружения атак произошел ряд знаменательных событий, так или иначе повлиявших на рынок:
Алексей Лукацкий Об авторе Алексей Викторович Лукацкий, руководитель отдела
Валерий Конявский: Пришло время пересмотреть базовые определения и сам предмет защиты информации
CNews.ru: Какие знаменательные события, на ваш взгляд, произошли за последний год на рынке информационной безопасности России? Какие тенденции определяли его развитие? Валерий Конявский: В них отмечено, что «доверие и безопасность относятся к главным опорам информационного общества». «Упрочение основы для доверия, включая информационную безопасность и безопасность сетей, аутентификацию, защиту неприкосновенности частной жизни и прав потребителей, является предпосылкой становления информационного общества и роста доверия со стороны пользователей ИКТ». Кроме этого, в документах отмечена необходимость формирования, развития и внедрения глобальной культуры кибербезопасности в сотрудничестве со всеми заинтересованными сторонами и компетентными международными организациями. Для нас это — семафор, сигнализирующий о росте интереса мирового сообщества к работам в той сфере, в которой работаем и мы. И действительно, многие наши идеи в последнее время получают серьезную поддержку. |
Ключевой интригой мирового рынка систем обнаружения атак в последние годы стала борьбой за первое место между двумя компаниями — Internet Security Systems (ISS) и Cisco Systems. В развитии самих технологий знаковым стал переход разработчиков с «сигнатурного» подхода, на «аномальные» решения.
Устаревшие представления о защите информации стали тормозом для развития рынка ИБ. О путях преодоления этих трудностей, а также о ключевых событиях российского рынка защиты информации в интервью CNews.ru рассказал Валерий Конявский, генеральный директор ВНИИ ПВТИ.
