Обзор "Средства защиты информации и бизнеса 2007" подготовлен	При поддержке

Алексей Спирин: «У крупных компаний нет альтернативы построению систем управления безопасностью»

На вопросы CNews отвечает Алексей Спирин, руководитель группы сетевой безопасности компании INLINE Technologies.

CNews: Говоря о крупных компаниях, что вы считаете их наибольшим приоритетом — построение комплексных систем управления безопасностью или концентрацию на типичных угрозах?

Алексей Спирин: По большому счету у крупных компаний нет альтернативы построению систем управления безопасностью. Если компании малого бизнеса могут надеяться, что они никому не будут особо интересны с точки зрения хранимой информации, и могут себе позволить исходить из типичных угроз, то для крупного бизнеса подобное отношение дорого обойдется.

Каждая крупная компания постоянно находится под виртуальным прицелом конкурентов, недружественно настроенных пользователей, да и просто веселых ребят, которые взломают корпоративный сервер just-for-fun. Периодически такие компании сталкиваются с целевыми попытками получения ценной для бизнеса информации. Поэтому использование комплексной системы управления безопасностью и анализ рисков являются одним из основных требований к организации бизнес-процессов предприятия.

CNews: Какие продукты обеспечения ИБ должны быть установлены, на ваш взгляд, на корпоративных рабочих станциях? Какова динамика этого набора средств?

Алексей Спирин: Отвечая кратко, я бы выделил как минимум три жизненно важных компонента, которые, на мой взгляд, просто обязаны быть на любом корпоративном компьютере: система предотвращения вторжений на уровне хоста (HIPS), антивирус, агент системы управления патчами. Система предотвращения защитит компьютер от атак, для которых нет сигнатур (атаки zero-day), предотвратит выполнение вируса, а также осуществит многие другие функции безопасности (межсетевой экран, предотвращение кражи информации, классификация трафика на основе приложение и т.д.). Антивирус корректно вылечит поврежденный файл, если уж по каким-либо причинам заражение произошло. Агент системы управления патчами гарантирует, что в системе нет программного обеспечения с известными уязвимостями, поскольку значительная часть инцидентов безопасности возникает из-за уязвимостей в старых версиях ПО.

Дополнительно могут использоваться агент IEEE 802.1x (так называемый supplicant), отвечающий за аутентификацию пользователя при доступе к корпоративной сети через Wi-Fi или проводную связь, а также агент Network Admission Control, отвечающий за контроль соответствия компьютера пользователя корпоративной политике (при доступе в сеть проверяется наличие HIPS, антивируса, всех установленных патчей и т.д.).

Для компьютера мобильного пользователя еще добавится VPN-клиент и неплохо бы программное обеспечение для двухфакторной аутентификации на основе eToken.

Пожалуй, это то, что является стандартным набором современной рабочей станции компании, которая заботится о своей безопасности.

Если говорить о динамике, то вполне однозначно наблюдается тенденция к интеграции большей части названных компонентов в операционную систему, как правило, производства компании Microsoft.

В то же время третьи фирмы пытаются захватить рынок за счет углубления и расширения функционала своих продуктов: HIPS берет на себя функции управления патчами, появляются сигнатурные методы анализа, происходит интеграция с агентами 802.1x и NAC. Антивирусы работают как межсетевые экраны и обеспечивают карантин для зараженных компьютеров.

CNews: Российские компании стремительно растут и обзаводятся сложной территориально распределенной структурой. Какие средства обеспечения сетевой безопасности, по вашему мнению, необходимы для их защиты?

Алексей Спирин: Традиционно первое, на что обращается внимание при построении распределенных сетей, — средства шифрования трафика при передаче через глобальные каналы связи. Давно прошли времена, когда выделенный оператором канал связи считался панацеей от угроз раскрытия и модификации передаваемой информации, поэтому подавляющее большинство недавно построенных и проектируемых сетей используют те или иные продукты шифрования. Кстати, хотелось бы особо отметить бурный рост использования таких продуктов в государственных структурах, что связано, конечно, с развитием ведомственных сетей передачи данных.

Второе, о чем следует сказать, — это средства контроля взаимодействия пользователей с информационными ресурсами компании. Отличие большой локальной сети, находящейся в одном здании, от территориально распределенной в том, что при неудачном выборе средства и места контроля последняя может превратиться в этакий остров неблагополучия, где возможно скрытое накапливание инцидентов безопасности с их последующим выходом на качественно новый уровень, но уже в масштабах всей сети. Для решения данной проблемы стандартом стало применение межсетевых экранов и сетевых систем предотвращения вторжения в модуле глобальных каналов связи, но максимально эффективное решение требует применять контроль как можно ближе к конечному пользователю. Здесь я бы рекомендовал использование персональных систем предотвращения вторжения с централизованным управлением, таких, как Cisco Security Agent и IBM Proventia Desktop Endpoint Security, на которые также можно возложить другие функции безопасности.

И третье — средства управления и мониторинга безопасности. Классическая формула поддержания безопасности в любой информационной системе подразумевает наличие не только функциональных средств защиты, но и системы оценки качества работы этих средств. Были ли нарушения безопасности? Были ли они действительно предотвращены? Какие информационные системы были под угрозой? На эти вопросы может ответить только централизованная система сбора и корреляций событий. А вопрос необходимости для разветвленной корпоративной сети единой системы управления достаточно риторичен.

CNews: Ряд экспертов считает, что рынок средств защиты периметра компаний уступает позиции рынку продуктов защиты от инсайдеров. Каково ваше видение ситуации?

Алексей Спирин: Налицо парадоксальная ситуация: о важности защиты от внутренних угроз упоминается практически в каждом «букваре» по информационной безопасности, и статистика, показывающая превалирование ущерба от внутренних угроз по сравнению с внешними, общеизвестна. В то же время редко какая компания производит хотя бы учет подключений сотрудников к локальной сети. Если попросить сетевой персонал или сотрудника службы информационной безопасности назвать периметры корпоративной сети, то большинство назовет соединение с Интернет, кто-то добавит еще соединение с WAN. Но, к сожалению, мало кто упомянет периметр между самой сетью и ее пользователями.

Частично причины этого связаны как с традиционной инертностью внедрения новых средств безопасности, так и с недооценкой угрозы. Если сотрудник компании одет согласно корпоративному дресс-коду, соблюдает правила внутреннего распорядка, означает ли это, что он «хороший пользователь» и не может нанести ущерба в информационной среде? Ответ очевиден. Что нужно сделать, чтобы убедиться в добропорядочности пользователя? Ровно то же самое, что и в мире за пределами компании, — проверить его идентификационные данные при подключении к сети, проверить соответствие его компьютера корпоративной политике и контролировать его взаимодействие с информацией в точке подключения или на самом компьютере. Продукты и технологии для этого на рынке есть.

Резюмируя, скажу, что рынок средств защиты от инсайдеров в настоящее время несколько отстает от положенного ему уровня, и ему еще предстоят рост и становление.

CNews: Контроль действий инсайдеров — задача очень сложная. Считаете ли вы, что стандартизация может здесь помочь — или каждая компания уникальна?

Алексей Спирин: Несмотря на наличие вертикальных рынков и возможности разбиения бизнес-процессов на некие стандартные операции, поддающиеся контролю, несомненно, что каждая компания уникальна. Поэтому процесс внедрения и эксплуатации средств защиты должен учитывать множество индивидуальных для данной компании факторов — начиная от «политического» веса департамента информационной безопасности и заканчивая особенностями корпоративной культуры.

На мой взгляд, требование стандартизации было бы уместнее относить именно к средствам защиты. Вот тут и возникает некоторое противоречие. С одной стороны, применяемые продукты и технологии должны быть максимально гибкими и функциональными, что влечет за собой использование проприетарных решений. С другой — современные тенденции показывают, что сами по себе средства безопасности уже не решают поставленные задачи. Необходима глубокая интеграция как с сетевыми элементами, так и со средствами управления и мониторинга безопасности, а также информационной инфраструктурой конкретного заказчика. В этом случае обязательны выработка и выполнение требований по соответствию отраслевым, международным и государственным стандартам.

А вот определиться с выбором конкретного инструмента, удовлетворяющего требованиям по стандартизации и максимально подходящего к использованию конечным пользователем, поможет компания — системный интегратор.

CNews: О каких последних наиболее значимых проектах компании в сфере ИБ вы могли бы рассказать?

Алексей Спирин: Памятуя о народной мудрости, что лучшей рекомендацией для сапожника служит качество сапог, которые он носит сам, скажу о проекте по построению корпоративной сети передачи информации, реализованном нами для нового офиса группы компаний INLINE Technologies.

Перед нами стояла задача обеспечить работу административно разделенных компаний в условиях консолидированных информационных ресурсов (серверов, IP-телефонии) с соблюдением всех норм безопасности. Традиционное решение данной задачи потребовало бы построение отдельных сетей для каждой компании, что значительно увеличило бы затраты. Каждая подобная сеть состояла бы из отдельных физических устройств — коммутаторов, межсетевых экранов, маршрутизаторов. Мы же построили одну физическую сеть и с помощью средств виртуализации сетевых элементов создали несколько логических сетей — для каждой компании свою. Это стало возможным благодаря широкой функциональности оборудования Cisco Systems.

Отличительная черта проекта — инвариантность доступа сотрудников в сеть. Независимо от точки (любой этаж, любое рабочее место) и средства подключения (Wi-Fi или проводное соединение) сотрудник подключен к сети компании, в которой он работает. При этом производится контроль и учет параметров соединения, так что при необходимости администратор всегда может понять, когда, кто и куда подключался.

Кстати говоря, подобные решения мы внедрили уже у нескольких наших заказчиков.

Cnews: Спасибо.