|
|
Обзор подготовлен
При поддержке
На вопросы CNews Analytics о том, как корпорация Microsoft защищает и свои собственные продукты, и рабочие места клиентов, ответил Владимир Мамыкин, директор по информационной безопасности Microsoft в России.
CNews: «The Economist» в обзоре «Reaping the Benefits of ICT: Europe's Productivity Challenge» пишет, что одной из трех главных задач для увеличения роста экономики любой страны является обеспечение ИБ. Как бы вы прокомментировали это?
Владимир Мамыкин: Вне всякого сомнения, это интересное и правильное утверждение. Связано это с тем, что все больше и больше наша жизнь, а также бизнес связаны с интернетом. И пользователи, и компании должны доверять той среде, в которой они общаются и делают бизнес. А это возможно только тогда, когда они уверены в безопасности этой среды. Именно поэтому, коренным условием успешности бизнеса и сервисов по обслуживанию людей является обеспечение безопасности этого виртуального пространства.
Необходимо заметить, что это исследование спонсировалось Microsoft, поскольку особенности развития информационных технологий и то, как они влияют на общество – это вещи, которые чрезвычайно интересует нашу компанию. Поэтому для проведения такого исследования мы выбрали известное независимое агентство и были очень удовлетворены. И не только мы.
Оно проводилось путем опроса руководителей крупнейших европейских компаний (более ста человек, в том числе и из государственных структур). Были опрошены государственные лидеры и руководители крупнейших корпораций. И не только в Германии, Великобритании и Италии, но и в небольших европейских странах.
Мы считаем, что «The Economist» подошел этому исследованию чрезвычайно «грамотно», что и не удивительно для такого агентства. И по нашему мнению, его выводы вполне применимы и к другим станам мира: в Америке, Азии и т.д. Но, а главный для нас вывод: информационная безопасность и развитие любой экономики однозначно связаны между собой.
CNews: Раздаются высказывания, что сегодня ИБ – это тормоз для развития ИТ. Насколько, по вашему мнению, верно это утверждение?
Владимир Мамыкин: Я категорически не согласен с этим: ИБ не может быть тормозом развития! Приведем пример: автомобили. Если кто-то считает, что развитие автомобилестроения - это увеличение мощности, управляемости и т.д., то это не совсем так. Отсутствие тормозов, подушек и ремней безопасности – совсем не то, что хотят автолюбители. Пользователь хочет, прежде всего, сохранить свою жизнь, и при этом с комфортом пользоваться автомобильными технологиями безопасно для себя. И автомобилестроители борются за улучшение безопасности.
Развитие ИТ идет по аналогии. Мы все хотим активно пользоваться торговлей через интернет, проводить сделки через эту сеть. Но при этом не хотим, чтобы наши деньги крали, а кредитные карточки использовались для каких-то других целей. И мы хотим иметь безопасную среду, в которой работаем и развлекаемся, безопасную среду и для бизнеса, и для каждого человека.
С этой точки зрения информационная безопасность накладывает определенные условия для развития информационных технологий, также как другие виды безопасности влияют на нашу деятельность. Например, нельзя заниматься выплавкой стали, если не обеспечена безопасность людей. И вы не можете заниматься авиаперевозками, не обеспечивая безопасность полетов. И так во всех областях.
Вне всякого сомнения, многим директорам хотелось бы тратить больше денег просто на информационные технологии, не учитывая потребностей информационной безопасности. Но если брать соотношение тех средств, которые выделяются на развитие ИТ, и соотнести их с теми деньгами, которые выделяются на развитие ИБ, то это совершенно не сравнимые суммы.
На ИБ идет значительно меньше денег. Поэтому это не тормоз с точки зрения бюджетов, но серьезный ограничительный момент. Он служит для того, чтобы люди, выстраивая информационную инфраструктуру, не навредили ни бизнесу, ни людям. Я считаю, что это очень правильно.
CNews: Каким образом разработчики могут найти компромисс между безопасностью и функциональностью своих продуктов? Как это происходит, в частности, в вашей практике?
Владимир Мамыкин: Вы знаете, много лет тому назад, больше 5-6 лет, а это, согласитесь, большой срок для ИТ, Microsoft не очень активно интересовалась ИБ. Но после того, как у нас была принята концепция «Trustworthy Computing» (в переводе на русский «Стратегия создания защищенных информационных систем») мы полностью пересмотрели свой взгляд на создание наших продуктов.
В результате был разработан специальный процесс создания продуктов «Security Development Lifecycle», в основу которого положена безопасность. Т.е. в начале формируются требования по безопасности архитектуры продукта. И только после этого накладывается функционал.
Надо сказать, что это существенным образом изменило положение продуктов Microsoft на рынке других продуктов с точки зрения наличия уязвимостей. Если раньше было много вирусных эпидемий, вызванных в том числе значительным количеством уязвимостей в наших продуктах (иногда в этом печальном соревновании Microsoft порой и лидировала), то после принятия этой концепции, все резко изменилось.
Более 95% уязвимостей стали выявляться на стадии разработки продукта. Мы стали привлекать и независимых тестировщиков, и компании, которые проверяли наши продукты на безопасность.
Например, что нового может делать новый сервер? Например, сервер Windows Server 2008. Ранее был сервер Windows Server 2003, который в свое время который мы анонсировали, как новый шаг с точки зрения безопасности. А 2008-й – это уже новый шаг с точки зрения безопасности по сравнению с 2003-м. Безопасность - эта основная функция, которую мы продвигаем на рынок вместе с этим продуктом.
Там есть изоляция процессов, там есть, так называемый, режим «Core server», когда вы выключаете графические интерфейсы сервера, а оставляете только командную строку.
Любители Unix знают, что это такое. Но любители более современных систем не очень любят работать с командной строкой. Но мы знаем, что чем больше удобства вы даете пользователю, тем безопасность сложнее обеспечить. Поэтому мы пошли на то, что сделали сервер и в таком варианте. Вы можете, конечно, и включить все возможности интерфейса, а можете оставить только «Core server». Инфраструктура ИБ, которая существует в сервере многообразна, например, это система PKI. Это - инфраструктура открытых ключей, которая стандартно поставляется с серверами Microsoft. Другие производители эти средства поставляют за отдельные деньги, а у нас - это бесплатные продукты.
Вся эта инфраструктура обеспечения безопасности не только в сервере, но и в других наших продуктах, например, клиентских системах - неотъемлемая часть любого нашего продукта. Мы считаем, что без этого современные продукты не могут существовать. Именно поэтому мы начинаем работать по интеграции средств безопасности и функционала, необходимого пользователю, с самой ранней стадии: с момента проектирования продукта.
В этом плане изменения существенны, революционны, и это приводит к результатам. Теперь Microsoft – лидер по отсутствию уязвимости в продуктах. Посмотреть это можно, например, в моем блоге. Чтобы его найти, достаточно набрать «блог Владимира Мамыкина» в поисковике. Каждый месяц там приводятся отчеты по уязвимостям, которые я создаю, основываясь на информации с международных сайтов. Могу сказать, что в этих отчетах приведен не наш взгляд. Я просто беру информацию с международных сайтов. И 5 лет тому назад на том же сайте http://secunia.com ситуация для нас была другая, не радостная. Но мы честно приводили информацию, что у нас было плохо. А сейчас, тоже честно, говорим, что у нас все хорошо. Некоторым это не нравится. Но кому-то не нравится и то, что дважды два – четыре. Что ж теперь с этим поделать!
CNews: Какие процедуры использует ваша компания для подтверждения безопасности своего инфраструктурного ПО?
Владимир Мамыкин: С точки зрения подтверждения безопасности вне всякого сомнения, мы стараемся подтвердить качество наших продуктов на международном уровне, поэтому проводим международную сертификацию.
Но, к сожалению, поскольку Россия еще не присоединилась к сообществу стран, взаимно признающих международные стандарты безопасности, такие, как Общие Критерии (Common Criteria), то мы вынуждены проводить сертификацию и в России, поскольку многие продукты поставляются в государственные компании и в частные компании только при условии наличия российских сертификатов.
Здесь мы проводим большую работу, а начали ее много лет тому назад. В настоящий момент у нас есть очень большой пул уже сертифицированных продуктов. Это серверные и клиентские операционные системы, и сервера приложений, и системы офисных приложений MS Office 2003 и 2007, и межсетевые экраны. Причем межсетевой экран ISA Server 2006 имеет сертификат по 3 классу: чего нет ни у одного другого зарубежного производителя на российском рынке. Т.е это лучший межсетевой экран с точки зрения безопасности.
Мы продолжаем наши работы в этой области. Мы будем продолжать сертифицировать все продукты, которые необходимы нашим клиентам, для того, чтобы их можно было использовать в соответствии с российским законодательством. В этом году у нас большие планы по сертификации новых продуктов. У нас выходит сервера Windows Server 2008, и SQL Server 2008. Мы их обязательно будем сертифицировать. У нас выходит новая версия продукта Identity Lifecycle Manager: это система управления цифровыми сертификатами и смарт-картами в корпорациях, мы ее тоже будем сертифицировать. Таким образом, мы подтверждаем на российском рынке качество наших продуктов. И думаю, что Microsoft будет делать это еще долго, и делать это успешно!
CNews: Каково отношение Microsoft к международным тестам антивирусов?
Владимир Мамыкин: Любые международные тесты – это всегда специальные правила, специальные подходы и специальные результаты. Если вы занимаетесь какими-то соревнованиями, то вы должны готовиться к этим соревнованиям. И если вы не готовитесь к ним, то вы никогда не выиграете эти соревнования.
Когда в первый раз были проведены антивирусные тесты нашего нового продукта Forefront (линейки антивирусных продуктов, включающей в себя клиентскую часть Forefront Client, антивирусные и антиспамовые продукты для почтового сервера Exchange Server, и для сервера документооборота Share Point Server), то мы не испытывали большого энтузиазма по поводу того, какие места мы можем занять.
Несмотря на то, что мы тщательно готовились сами и тщательно готовили продукт, мы понимали, что количество антивирусных компаний, которые много лет уже работает на этом рынке и занимаются этими соревнованиями, большое. А мы ведь создавали свой собственный антивирус…
Все началось с того, что Microsoft в свое время купил румынскую компанию GeCAD Software. Часть разработчиков стала работать над тем, чтобы обеспечить большую безопасность всех продуктов компании, уменьшить «поверхность проникновения» с точки зрения вирусов. А другая часть продолжила разрабатывать антивирусные продукты. И вот мы выпустили на рынок Forefront Client
Microsoft (замечу - вся корпорация) уже давно применяет только свой собственный антивирус. Т.е десятки тысяч людей по всему миру пользуются только своим собственным антивирусом. Это означает, что сейчас мы в нем уверены! Т.е. мы не пользуемся ни CA, ни «Касперским».
Так вот. Первый тест, тест лаборатории Клементи, был откровенно провален нами, мы заняли последнее место. Но, кстати, сразу после Doctor Web, что тоже не так плохо на мой взгляд! Первое место заняла компания Касперского.
Но после этого, более престижные тесты – «Virus Bulletin 100», которые проходили и осенью 2007г., и весной 2008г., показали совершенно обратную картину. «Virus Bulletin 100», по-видимому, самый престижный тест на сегодняшний день, и сертификат о его прохождении выдается только при условии, если вы отловили все вирусы. Т.е. один пропущенный вирус, и все… Вы не получаете сертификат. Только 100% отлавливаемых вирусов дают вам право на сертификат прохождения.
Microsoft 2 раза подряд прошла эти тесты, а уважаемые экс-победители - нет. Ни осенью, ни весной. Что это означает? Означает ли, что продукт Microsoft лучше? Нет! Просто он доказал, что он не хуже других, что он в высшей лиге. На каких-то тестах что-то лучше работает, на других что-то хуже.
Мы не склоны говорить, что мы на голову выше других производителей антивирусов, которые этот тест не прошли. Но мы и ничуть не хуже! Но ведь в наших продуктах есть те вещи, которые не тестируются, но которые для клиентов гораздо более важны. Тест есть тест.
Основные затраты, которые несут заказчики и клиенты антивирусных и антиспамовых средств, связаны с управлением. Если у вас 5 тысяч серверов в компании, то вам надо управлять ими, плюс еще есть и десяток тысяч рабочих мест. Как вы будете управлять? Как эти антивирусные продукты будут вести себя с каталогами? Как будут «накатываться политики безопасности»? Как будут производиться обновления?
С этой точки зрения Forefront существенно лучше многих других продуктов потому, что он интегрирован с каталогами Microsoft, c Active Directory… Все политики безопасности автоматически «накатываются». Более того, тот же антивирус Касперского, который в одном из тестов был лучше, а в двух других, хуже нашего продукта, является составной частью, например, нашего продукта Forefront для Exchange Server и Share Point Server.
Forefront для обоих этих серверов предоставляют уникальные возможности, которых нет у других продуктов. А именно: клиент может выбрать до 5 параллельно работающих антивирусных движков из 8 возможных. Один из них, конечно от MS, остальные можно выбрать самостоятельно.
В этот список входят и антивирус лаборатории Касперского, и CA, и другие известнейшие антивирусы, которые вы можете включить, а затем и переключать их в зависимости от необходимости от одной задачи к другой. Это означает, что у вас появилась гораздо более гибкая и безопасная архитектура.
Это уникальная функциональность пришла от купленной Microsoft компании Sybari, которая в свое время производила известный продукт Antigen. Теперь Microsoft имеет в своем технологическом портфеле мирового лидера по интегрируемости антивирусных движков на едином «железном» сервере, и аналогов ему сейчас нет.
Вы можете экономить средства на «железе», управляя на одной «железке» различными антивирусными движками от конкурирующих производителей, которые параллельно «живут» и работают. И до сих пор многим так и не понятно, как это удалось сделать. Ведь обычно антивирусы не могут «жить» одновременно на одном и том же компьютере. А здесь у нас до 5 штук параллельно могут «жить»: добро пожаловать!
Так что тест это интересно! Но это не все, что хочет клиент. Он иногда хочет другого. Не достаточно быть на десятую долю секунды быстрее, а надо еще быть более управляемым, более предсказуемым, более лояльным к заказчику и более гибким к удовлетворению требований заказчика. Это заказчик выбирает и ценит!
CNews: Продолжает ли корпорация консолидационную политику в области ИБ? Как происходит интеграция уже приобретенных активов?
Владимир Мамыкин: Мы действительно достаточно много занимаемся приобретением компаний в области ИБ. Достаточно посмотреть на наши пресс-релизы. Самые крупные за последнее время покупки: это Sybari и еще одна очень интересная компания - Whale Communications.
Whale производит решения для VPN, основанные не на протоколе IPSec, а на SSL. Т.е., когда вы соединяетесь с сервером по протоколу https с использованием SSL, то это как раз та технология, которую использует Whale для организации VPN.
Эти технологии более перспективны, чем IPSec именно по той простой причине, что в каждом браузере есть возможность организовать такое защищенное соединение. Вопрос в том как организовать VPN на базе таких соединений, не соединение точка-точка, а разветвленную сеть. Это как раз умеет делать Whale.
Некоторое время назад, кстати, продукты Whale были запрещены к вывозу из Соединенных Штатов – до такой степени США оберегали эту технологию. Но сейчас, кажется, все изменилось, и мы надеемся в ближайшее время эти технологии поставлять и в Россию. Тем более это нам интересно еще и потому, что SSL позволяет использовать российские стандарты для организации VPN, и мы будем полностью тогда соответствовать и еще одному закону в области безопасности, а именно обеспечивать защищенные интернет-соединения на основе ГОСТа.
Так вот, все эти приобретения - это всегда не простая вещь. Приходится инкорпорировать покупки в существующую структуру продуктов. Это всегда не легко. Например, несмотря на то, что Antigen от Sybari был лидером в своем классе, мы его, естественно, тестировали перед покупкой почти год. И остались очень довольны его качеством. Но после приобретения нам пришлось перенести сроки выпуска этого продукта под маркой Microsoft почти на год в связи с тем, что пришлось заново переписать почти все исходные коды этого продукта.
Просто оказалось, что код продукта Antigen не удовлетворял требованиям к качеству кода, которое мы теперь требуем в соответствие с уже упоминавшейся технологией «Security Development Lifecycle». Код пришлось переписать. А переписывать продукт, даже существующий и известный, не очень просто. Но качество требует того.
Поэтому любое такое приобретение, к сожалению, часто тянет за собой существенный собственный вклад в переделку продуктов. Я уже не говорю о том, что требуется изменять маркетинговые усилия по их продвижению, позиционирование и т.д. Но эти вещи связаны уже с бизнес-процессами, а вот с технологической точки зрения, не часто удается сделать так, чтобы продукт не переписывается.
В итоге, мы вынуждены все купленные продукты доделывать в соответствии с нашими внутренними стандартами качества. Я могу сказать, что это тоже не просто, так как эти стандарты очень строги.
Да, в этой области у нас есть ноу-хау. Но мы издаем книги о том, как писать безопасные продукты, и для всех желающих, и для нас самих, и для партнеров. У нас есть издания и на русском языке, например, «Защищенный код», «Совершенный код», книги о том, что такое Security Development Lifecycle, как организовывать процесс создания безопасных приложений и т.д.
Эти и многие другие вещи открыты, и вы можете посмотреть их на нашем сайте или купить в книжном магазине. С этой точки зрения у нас есть заинтересованность в том, чтобы не только в Microsoft писали безопасные приложения, но и все наши партнеры, в том числе российские, писали безопасный софт.
Если разбираться с качеством многих продуктов сторонних, не очень больших компаний, то количество уязвимостей в них будет, мягко говоря, неприлично большое. Но никто не публикует эту статистику, так как никто не исследует все продукты, для этого не просто хватает ресурсов.
Независимыми международными компаниями исследуются на наличие уязвимостей только основные продукты крупных производителей. А небольшая компания не всегда способна грамотно подойти к написанию безопасного кода. Что делать? Мы стараемся, чтобы принципы «Security Development Lifecycle» были реализованы всеми разработчиками, и очень надеемся на то, что наши российские партнеры будут совершенствоваться в этом, и со временем обгонят нас. Это было бы здорово!
CNews: На Инфофоруме в январе 2008г. один из выступавших чиновников заявил, что в среднем российский бизнес тратит на ИБ около 0,5% от ИТ бюджета. На ваш взгляд, почему так мало?
Владимир Мамыкин: Это в десять раз меньше, чем тратят наши зарубежные коллеги! Если взять отчеты американского Computer Security Institute (раньше они издавались совместно с ФБР, сейчас это отдельные публикации), то там из года в год приводятся фактически одни и те же цифры. Там пишется: «Около 5% ИТ-бюджета идет на обеспечение информационной безопасности». Т.е на ИБ идет в среднем в 20 раз меньше, чем на весь ИТ-бюджет. У нас в России - в 200 раз меньше. Почему? У нас многие консалтинговые компании, которые занимаются консультированием заказчиков в области ИБ, считают, что рассчитывать возврат инвестиций в безопасность - это безумие, и никто этого не умеет делать, и это не возможно.
Я думаю, что достаточно посмотреть на международные курсы по ROSI («Return on Security Investment» или по-русски «возврат инвестиций в безопасность»). К сожалению, в Москве я знаю единственное место, где читаются такие курсы: это «Высшая школа экономики», факультет бизнес-информатики. Там читают курс ИБ, и в обязательном порядке для сдачи курсовых работ необходимо рассчитать возврат инвестиций в безопасность.
Так вот, на одном из достаточно авторитетных форумов для крупных заказчиков Microsoft проводил опрос, кто пользуется в российских компаниях таким инструментом, как возврат инвестиций. Оказалось, что почти никто. Меньше 1% подняли руки, и подтвердили, что используют этот инструмент.
Если посмотреть в зарубежных отчетах сколько людей там используют расчеты возврата инвестиций в ИБ, то окажется, что в прошлом году 84% компаний использовали различные подходы к оценке возврата инвестиций в ИБ. И не только методологию ROSI, но и точки возврата инвестиций и т.д.
А теперь представьте себе, что вы хотите получить бюджет в своей компании на что-то для обеспечения ИБ. Вы идете к финансовому директору, и он должен подписать бумаги. Если ему говорить, что это такой хороший антивирус, это такой хороший межсетевой экран, то это бесполезно, он даже не знает, что это такое. И не должен знать! У него другая задача, он управляет финансами.
До тех пор пока наши офицеры безопасности, которые отвечают за ИБ, не научатся разговаривать с финансовыми директорами на их языке, рассказывать, что возврат инвестиций будет, например, 10% за год или в 5 раз превысит инвестиции, ничего с изменением процентных объемов инвестиций в ИБ не произойдет.
Финансовому директору для принятия решений нужны цифры. Если он (впрочем, как и генеральный директор) будет видеть, что коэффициент возврата инвестиций достаточен с его финансовой точки зрения, тогда он подпишет бюджет. Тогда инвестиции на ИБ достигнут такого же уровня, как и за рубежом.
До той поры пока мы не научимся объяснять нашим финансовым директорам, зачем нужны деньги для обеспечения ИБ, каким образом они вернутся для бизнеса, каким образом они сыграют для бизнеса, то в области ИБ так и будет сохраняться остаточный уровень финансирования.
Нужен соответствующий уровень бизнес-подготовки людей. К сожалению, у нас люди, отвечающие за ИБ, это «технари», это люди, которые умеют настраивать сервера. Но они не очень хорошо разбираются в бизнес-процессах, в бизнесе компании, для которой они обеспечивают ИБ.
Давайте посмотрим на международные стандарты в области ИБ, например, на ISO 17799 или принятый на его основе стандарт ЦБ России. Текст ISO 17799 состоит из десяти крупных разделов, в которых описывается, на какие зоны надо обращать внимание специалистам по безопасности. И там только три зоны относятся к техническим вещам, а семь относятся к менеджменту, к бизнесу. Из этого видно, что ИБ - это управление, а не только технические средства. Конечно, это управление на основе технических средств, но это все-таки управление.
Поэтому между финансированием и вашими знаниями управления есть прямая связь. Не умеете объясняться с финансовом директором, не получаете бюджет. Учиться, учиться и учиться, как говорили раньше. Сейчас этот тезис остается справедливым!
CNews: Кроме неумения считать ROSI, какие еще сложности встречает ваша компания на российском рынке в области безопасности?
Владимир Мамыкин: Я не могу сказать, что ROSI вызывает проблемы у нас, это проблема российских компаний. Наше программное обеспечение с успехом продается в России. Темпы развития нашего бизнеса в стране - двузначная цифра (в процентах). Офис MS увеличился больше чем в 10 раз с той поры, как я пришел на работу в Microsoft шесть лет тому назад. Это фантастический рост! Бизнес, соответственно, тоже увеличился: больше, почти в 20 раз. Серьезных проблем в целом у нас нет.
Тем не менее, каждая страна - это свои правила. И это очень правильно, когда каждая страна охраняет свои интересы в той или иной области. Россия, как и другие страны: Великобритания, Германия, Япония, защищает свою национальную инфраструктуру. В России, как и везде, имеются требования к продуктам ИБ, которые используются в стране.
По этой причине, как я уже говорил, мы проводим сертификацию своих продуктов на соответствие требованиям российского законодательства с тем, чтобы они могли продаваться и в государственном секторе, и в крупных корпорациях. Это для нас стандартный процесс.
Мы активно привлекаем для решения многих вопросов, где мы не имеем права использовать наши технологии, российских партнеров, которые разрабатывают соответствующие модули для наших продуктов.
В госучреждениях и некоторых крупных корпорациях для шифрования, для ЭЦП и т.д. в соответствии с российским законодательством могут использоваться только продукты российских лицензиатов. Microsoft никак не может попасть в этот круг. И это нормально. По этой причине мы с радостью используем услуги партнеров, которые разрабатывают соответствующие модули для Microsoft. Поэтому все наши продукты в штатном режиме могут использовать и средства шифрования, и электронную цифровую подпись в соответствии с российскими стандартами (кстати, все эти продукты сертифицированы ФСБ). И мы будем продолжать работать с нашими российскими партнерами в этом направлении.
CNews: Какие новинки Microsoft подготовила для российского рынка?
Владимир Мамыкин: Из наиболее интересного, мне кажется, прежде всего, стоит выделить Stirling. Я уже говорил, что у нас есть такой продукт, как Forefront, который объединяет управление антивирусной безопасностью клиента, сервера документооборота SharePoint, а также почтового сервера Exchange. У нас есть и другие продукты для обеспечения ИБ на периметре - это межсетевые экраны (ISA Server), Intelligent Application Gateway (тот самый VPN SSL от Whale) и т.д. Stirling будет объединять все эти продукты вместе. Зачем?
Все дело в том, что основное требование клиентов к продуктам ИБ, особенно в последнее время, заключается в том, что им не достаточно иметь набор первоклассных продуктов, им необходимо иметь управляемый набор продуктов. Для того, чтобы они могли через единую консоль увидеть, что происходит здесь, а что происходит там.
Атаки, технологии осуществления которых постоянно развиваются, не осуществляются прямолинейно, они происходят по различным направлениям. Теперь вторжение - это комбинация различных атак, это согласованное действие атакующих. И если вы не умеете объединять информацию о событиях в вашей информационной системе в одну консоль и интегрировано смотреть на эти события, вы не полностью контролируете вашу ИС и пропустите атаки, которые на вас организуют с разных направлений. Именно поэтому консолидация в единое ядро средств ИБ - это настоятельнейшая просьба клиентов.
Надо сказать, что в первый раз такая вещь, как интеграция, была сделана в Service Pack 2 для Windows XP. Тогда мы сумели в единой управляющей консоли объединить «управлялки» для антивирусов, которые не являются продуктами Microsoft. Мы могли через консоль безопасности управлять антивирусами. Поэтому пришлось разработать антивирусное API, которое поддержали и «Лаборатория Касперского», и CA, и другие антивирусные компании.
В результате мы могли настраивать, например, «Касперского»: чтобы он загружался или не загружался - и все через единую консоль. Это оказалось очень удобным. Сейчас это один из главных трендов в развитии информационной безопасности. И Stirling в этом отношении отвечает самым главным потребностям заказчиков, а именно он объединяет управление в единой консоли.
Это означает, что вы можете теперь смотреть не только за антивирусом на клиенте, не только за спамом на Exchange, но и за межсетевым экраном и т.д. Это представляется нам очень ценной вещью.
Есть и второй продукт, который бы хотелось анонсировать: ILM-2. ILM (Identity Lifecycle Mamager) предназначен для управления цифровыми сертификатами, смарт-картами и всеми вещами, связанными с контролем доступа и идентификаторами людей. Особенность его в том, что из единого места можно управлять этими идентификационными записями не только в продуктах Microsoft, что естественно было бы предположить, но и в продуктах других производителей. У нас есть различные коннекторы. И вы можете управлять идентификационными записями в Lotus Notes, в базах данных Oracle, в продуктах SAP через эту консоль. Это безумно важно, поскольку, как правило, любой крупный заказчик имеет спектр различных производителей баз данных, серверов, почтовых программ и т.д. ILM-2 - это новый уровень. У нас есть сервер ILM 2007, который активно используется. Мы его, наверное, не будем сертифицировать потому, что его новая версия - ILM-2 выйдет на границе 2008 и 2009 годов. Продукт получился на порядок выше по качеству своих предшественников. Поэтому и сертификацию этого класса серверов начнем с ILM-2.
Это очень долгожданная вещь. Мы знаем, что она востребована очень многими крупными компаниями, поскольку отражает одно из направлений развития средств информационной безопасности – это развитие средств управления идентификацией.
CNews: На какого клиента ваша корпорация рассчитывает в будущем на российском рынке? Каково отношение к сегменту малого бизнеса?
Владимир Мамыкин: Корпорация Microsoft – это компания, которая работает на всех сегментах рынка. У нас есть огромный пласт любителей нашего программного обеспечения и в крупном бизнесе, и в среднем бизнесе. И малый бизнес с огромным удовольствием также пользуется нашими продуктами, и частные пользователи.
Поэтому здесь сложно сказать, что для нас наиболее перспективно. У нас есть отдельные программы работы (в том числе и в области информационной безопасности) для каждого сегмента.
Надо сказать, что для частных пользователей, от которых сложно ожидать поступления крупных финансовых средств в копилку Microsoft (с точки зрения ИБ, естественно, а не с точки зрения операционных систем) у нас есть специальные программы.
Не потому, что мы предлагаем плохие средства, а потому, что мы прекрасно понимаем, что на российском рынке клиент еще не настолько привык платить за продукты. Этот процесс начался, он активно идет. И нам очень нравится, как снижается уровень пиратства.
Но, тем не менее, в начале это (снижение уровня пиратства) достигается на основных продуктах – операционных системах, приложениях, например, таких как офисные пакеты. И только потом – на средствах безопасности.
Мы не можем оставить этих пользователей без защиты, и это вне всякого сомнения. С этой точки зрения корпорация для этого сегмента вкладывает значительные средства, т.е это наши инвестиции, но многие продукты бесплатны. И у нас, например, частные пользователи могут бесплатно пользоваться продуктами Microsoft практически всего спектра средств информационной безопасности.
Если вас интересует удаление вирусов с компьютера, вы может воспользоваться Malicious Software Removal Tool – есть такой продукт MSRT на сайте, который удалит основные вредоносные программы с вашего компьютера. Вы можете бесплатно поставить себе антишпионское средство – Windows Defender.
Это один из лучших в своем классе продуктов в мире. Мы купили компанию, которая производила это ПО и теперь это продукт Microsoft. Есть версия и корпоративная. Но она продается за деньги, потому что там уже имеется элемент консолидации управления тысячами и десятками тысяч рабочих мест. А для частного пользователя – это абсолютно бесплатное средство.
Скачивайте это ПО из интернета, и все шпионские программы (а тренд показывает существенный рост доли шпионского ПО) будут бесплатно удалены. Там также есть средства, которые позволяют вам, опять же бесплатно, проанализировать состояние сети или вашего домашнего компьютера. Это – Microsoft Security Baseline Analyzer, причем существует уже далеко не первая версия этого продукта.
У нас даже есть средства для некоторых оценок рисков. Тоже бесплатный продукт под название MS Security Assessment Tool, который позволяет оценить уже с точки зрения риск-менеджмента состояние вашего подразделения или вашей компании. Перед тем, как приглашать крупных консультантов, вы можете примерно оценить то, что у вас есть.
Конечно, средства безопасности в первую очередь используются крупными компаниями. Почему? Потому, что для серьезного бизнеса безопасность – это «священная корова». Т.е. то, что должно обеспечиваться любыми способами. И, соответственно, то ПО, которое мы предлагаем, находит большой отзыв в сердцах наших заказчиков. Почему? Потому, что кроме высокого качества самих продуктов (я уже говорил, например, о результатах тестов антивирусов) у нас очень высока степень управляемости этими продуктами.
Когда вы имеете по всему миру клиентов с десятками тысяч рабочих мест, десятками тысяч серверов, то начинаете понимать их потребности. А потребности очень простые – уметь управлять этим огромным «зоопарком» продуктов по всему миру. И наши российские компании, к счастью, уже тоже выходят на международную арену, они тоже становятся разбросанными по всему миру. Они активно используют средства Microsoft, так как видят, как они зарекомендовали себя в других компаниях. Они видят, что эти средства сертифицированы в соответствии с российским законодательством, они управляемые, их легко настраивать, и, соответственно, спрос очень большой.
CNews: Не могли бы вы рассказать о наиболее крупных ИБ проектах, реализованных вами в России и странах СНГ в последние годы?
Владимир Мамыкин: Не все проекты мы можем анонсировать по той простой причине, что необходимо согласие заказчика. Но, кое о чем конечно, можно рассказать. Наверное, одним из самых интересных и значимых проектов, в котором существенную роль играет ИБ, это проект в Федеральной налоговой службе. О нем можно сказать потому, что ФНС сама публично о нем заявила. У нас есть и разрешение рассказать об этом. Есть и проекты, о которых хочется рассказать, но пока нельзя.
Если говорить о работах в Федеральной налоговой службе, это, во-первых, огромный проект – более десяти тысяч серверов, более ста двадцати тысяч рабочих мест во всех регионах страны. И сам масштаб проекта говорит о его значимости. По-видимому, это один из крупнейших проектов в Европе.
Что мы там делам по информационной безопасности? Во-первых, инфраструктура всего проекта основывается на Active Directory. Хотим мы или не хотим – это уже структура PKI, структура цифровых сертификатов, которая относится к системам управления информационной безопасностью.
Тем не менее, я хотел бы как раз выделить не структуру PKI, а связанную с ней систему управления этими цифровыми сертификатами. И вот ILM 2007 – модуль, который управляет выдачей и отзывом сертификатов.
Очень не просто, когда у вас структура из ста тысяч человек. При уходе кого-то из них необходимо ликвидировать все его права входа в ИТ-системы. И наоборот, если вы наняли человека на работу необходимо дать ему возможность войти туда, куда ему можно и не дать туда, куда ему нельзя. При этом все это должно быть прописано в политиках безопасности. Поэтому, получив смарт-карту, сотрудник может начинать сразу работать.
Все это очень непросто реализовать. ILM сервер уже внедрен в московском центре обработки данных. Проект успешен. Мы очень рассчитываем на то, что и дальше наше решение будет распространяться по всей структуре ФНС.
В 2008г. количество территориальных подразделений, где будет продолжаться этот проект (и не только с точки зрения ILM, но и других наших продуктов) – это более четырехсот подразделений. Это значительная сумма контракта и мы продолжаем работать над этим проектом. Тот факт, что такая значимая для нашего российского государства служба, как ФНС, на которой зиждется наш бюджет, использует технологии Microsoft, естественно сертифицированные технологии, является показательным. Лично я горд этим. И когда я разговариваю с коллегами из Microsoft Consulting, которые работают в этом проекте, становится понятно, что они также горды тем, что работают по такому важному для страны проекту. И мы постараемся сделать так, чтобы все прошло «без сучка и задоринки».
CNews: Спасибо.