Rambler's Top100
Статьи ИКС № 7 2005
Алексей ЛУКАЦКИЙ  01 июля 2005

Российский рынок средств защиты информации

Интеграция против угроз

К сожалению, отечественной статистики в области угроз и наносимого ими ущерба нет, за исключением только-только набирающих популярность отчетов компаний InfoWatch и Positive Technologies. Поэтому обратимся к отчету МВД «О преступлениях, совершенных в сфере телекоммуникаций и компьютерной информации». И хотя данный документ – это даже не верхушка айсберга, а лишь снежок на этой верхушке, он все-таки иллюстрирует основные тенденции в области инцидентов компьютерной безопасности.

Несанкционированный доступ

58% всех преступлений связано с несанкционированным доступом к информации, причем как извне, так и изнутри организации. Такое положение сохраняется многие годы, поэтому и средства защиты от данной угрозы востребованы по сей день.

К ним в первую очередь относятся межсетевые экраны (firewall), защищающие периметр сети или ее отдельные сегменты, например центры обработки данных, от проникновения вредоносных элементов. Кстати, в последнее время наметилась тенденция к переносу межсетевых экранов (МЭ) с периметра поближе к защищаемым ресурсам – серверам,, центрам обработки данных и. п. Следует сказать и о постепенной замене программных межсетевых экранов аппаратными или программно-аппаратными, более простыми во внедрении, эксплуатации, обновлении и, разумеется, более надежными и производительными, – по такому пути изначально двигалась компания Cisco Systems. Сейчас к ней присоединились и другие игроки рынка: «Инфосистемы Джет», Trend Micro, Nokia с платформой IP380, Toshiba с сервером Magnia SG20 и др.

Учитывая общую тенденцию рынка, прослеживающуюся во всех его сегментах, можно предположить, что интеграция будет движущейся силой и рынка МЭ. Уже сейчас можно заметить: ведущие производители сетевого оборудования выпускают свои маршрутизаторы и коммутаторы со встроенной системой фильтрации сетевого трафика или списками контроля доступа. И хотя их обычно не считают самостоятельными средствами защиты (что и понятно – за функции защиты ведь никто о дельно не платит и посчитать масштабы их внедрения можно только условно), они выполняют очень важную роль в построении эшелонированной обороны. Особенно актуальны такие устройства в небольших компаниях и удаленных филиалах, где по финансовым соображениям затруднительно применять серьезные МЭ. Кстати, для таких ситуаций некоторые производители (на российском рынке это Cisco, Check Point, Internet Security Systems (ISS), Symantec) предлагают многофункциональные средства, объединяющие сразу несколько защитных механизмов: МЭ, средство построения VPN, систему предотвращения атак, сетевой антивирус и. д.

Хотя на нашем рынке есть и отечественные производители МЭ (например, «ЭЛВИС-ПЛЮС» со своей «Заставой» или «Инфосистемы Джет» с Z-2), лидирующие позиции все-таки занимают западные производители – Cisco и Check Point. Объем российского рынка МЭ составляет около $25 млн, всего одну сотую от общемирового рынка.

Вредоносный контент

Специалисты отмечают рост не только обычных НСДатак на сеть, предотвратить которые призваны МЭ, но и угроз от различного вредоносного контента – вирусов, червей, шпионского и рекламного ПО, спама и. п. В России к этой категории относятся 9% преступлений. Технические средства пока опережают российское правосудие, которое не поспевает за прогрессом, и многие атаки просто не подпадают под действие законодательства.

Сегодня отечественному потребителю предлагается на выбор широкий спектр средств защиты от вредоносного контента – антивирусы, системы обнаружения и предотвращения атак, антиспамовое ПО, средства контроля содержимого web-трафика и электронной почты и т. п.

В России представлены практически все известные мировые антивирусные гранды – Symantec, McAfee, Trend Micro, Panda Software. Из российских, конечно же, «Лаборатория Касперского» и Санкт--Петербургская антивирусная лаборатория Игоря Данилова «СалД», известная своим антивирусом Dr. Web (недавно появилась и одноименная компания, представляющая коммерческие интересы «СалД»). Однако наряду с уже названными фирмами можно обнаружить и менее известные – Sophos, белорусскую «Блокаду» и др.

Что касается средств обнаружения вторжений, то на лидирующие позиции в этом сегменте претендуют две компании – Cisco и ISS, прочно обосновавшиеся и на зарубежном Олимпе. Бронзового призера назвать трудно. Скорее всего, на это звание претендует Snort, предлагающая свободно распространяемый продукт с хорошим функционалом при бесплатной лицензии (внедрение, настройка, эксплуатация и другое, конечно же, стоят денег, и немалых).

Со средствами контроля содержимого и антиспама ситуация абсолютно противоположная. Если вирусы, черви и другие вредоносные программы интернациональны и одинаковы во всех странах, независимо от государственного языка и его морфологии, то со спамом все иначе. Как и с контролем электронной почты и web-трафика. Несмотря на присутствие на российском рынке многих западных игроков – Clearswift, Trend Micro, SurfControl, WebSense и. д., их продукция далеко не так популярна, как антивирусы. Они «незнакомы» ни с «великим и могучим», на котором пишут отечественные спамеры, ни с сайтами Рунета, которые и должны фильтроваться средствами контроля содержимого web-трафика.

Место мировых систем заняли отечественная система «Дозор-Джет» компании «Инфосистемы Джет», антиспамовый движок «Спамтест» от «Ашманова и партнеров», который используется в Mail. ru, Kaspersky AntiSpam и другом ПО, «Спамоборона» от «Яндекса» и др. У каждого, увы, свои недостатки. Практически все перечисленные, несмотря на хорошее «понимание» русской морфологии, явно проигрывают западным «аналогам» в удобстве и функциональности. Впрочем, как показывают испытания в реальных (www.ifap.ru/as/050524d1.pdf), а не в тестовых условиях, даже они не всегда справляются с нашим русским языком.

Нельзя не сказать и о набирающем популярность новом способе рассылки спама – на мобильные телефоны. Эта угроза и средства защиты от нее были подробно рассмотрены в «ИКС» №5’2005, с. 89–91.

Какие выводы напрашиваются? Так как средства обнаружения вторжений и антивирусы предназначены для решения одной и той же задачи, а вредоносные программы в последнее время классифицировать все сложнее, можно прогнозировать, что в ближайшие годы эти два класса защитных средств практически сольются. Уже сейчас в описании многих антивирусов встречаются фразы «обнаруживает компьютерные атаки». В свою очередь, документация на системы предотвращения атак изобилует фрагментами «идентифицирует сетевые вирусы, троянцев и червей».

Следует сказать и о том, что сигнатурный подход постепенно сдает свои позиции в пользу методов обнаружения аномалий и контроля поведения. К общей для всех средств защиты от вредоносного контента тенденции можно отнести уже названную интеграцию в одном средстве многих функций,. е. объединение всех вышеназванных способов борьбы в одном устройстве.

Мошенничество

Мошенничество в различных его формах составляет 3% компьютерных преступлений в России. Причем год от года число таких нарушений только растет. Да и сами мошеннические действия меняются – становятся более интеллектуальными, сложными, их все труднее обнаруживать.

Одно из таких действий – фишинг (от fishing – ловля рыбы). Оно заключается в обмане пользователя, который, получив по электронной почте или иным способом сфальсифицированное письмо, начинает выполнять какие-то действия (может указать свой PIN к банковской карте, ввести пароль на доступ к закрытым разделам сайта интернет-банка и т.д.),.т. е. предоставляет злоумышленнику важную информацию.

Возможна ситуация, когда несанкционированно установленный троянец или spyware переадресует пользователя на подставной сайт, похожий по дизайну на тот, который он обычно посещает. Жертва вводит свои конфиденциальные данные, и они становятся добычей интернет-мошенников. Для защиты от названного типа угрозы уже выпускаются такие, например, решения, как механизм защиты от фишинга в браузере FireFox, хотя их число в общей массе пока невелико.

Еще одна грань мошенничества – воровство трафика, нелегальное использование сервисов и другие виды «хищений», но средства для противодействия этим угрозам обычно дистанцируются от классической информационной безопасности. Речь идет о Fraud Management System (FMS) – системах, обнаруживающих мошенничество, например, со стороны пользователей операторов связи и. п. Сегодня FMS стоят особняком (как и в нашей теме – подробнее см. с. 61 –62), да и эксплуатируются они совершенно другими подразделениями компаний, а не службами ИБ.

«Чужой среди своих»

Этот тип угроз всегда был самым опасным для корпоративной или операторской безопасности. Именно «свой» всегда знает, где и что плохо лежит и сколько это стоит.

Однако многие компании опасаются главным образом внешних злоумышленников, а следовательно, и средства защиты приобретают в основном от этой категории нарушителей. В итоге число внутренних преступлений растет и многие из них остаются просто незамеченными – ввиду отсутствия средств внутренней безопасности. За примерами далеко ходить не надо: утечки баз данных с банковскими проводками, доходами физических лиц, клиентами операторов сотовой связи и т. д. – словом,, все, что продается в Интернете и в Митино. Число уголовных дел по факту разглашения коммерческой (например, утечка информации из МТС), налоговой (утечка из УФНС по Москве), банковской (утечка из Банка России) тайны составило в прошлом году 4% от общего числа компьютерных преступлений. И это то, что лежит на поверхности, – многие компании просто не сообщают об утечке конфиденциальной или охраняемой законом информации.

А ведь современные компьютеры заключают в себе огромные возможности для совершения противозаконных действий: обычная сетевая карта и беспроводной адаптер, встроенный модем, COM-, IrDA-, FireWire-и USB-порты, PCMCIA-слот, CD-ROM и НГМД (флоппи-дисковод) – все пойдет в дело.

Для защиты от внутренней угрозы применяются как средства борьбы с НСД, так и специально разработанные системы защиты персональных компьютеров, серверов, лаптопов. В первую очередь к ним относятся так называемые системы защиты информации от несанкционированного доступа (СЗИ от НСД), первые образцы которых появились в России в далеком 1992 г. (самая первая – СЗИ «Снег»). Основные потребители этих систем – госструктуры и организации, обрабатывающие сведения, составляющие государственную тайну. Из-за требований по защите информации такие системы часто называют параноидальными, не соответствующими потребностям современного коммерческого предприятия. Кроме того, они «выросли» из защиты автономного компьютера, поэтому их сетевые возможности очень и очень ограниченны.

Сегодня на рынке появились и другие системы, более подходящие для защиты современного пользователя. Они включают в себя и контроль приложений, и персональный МЭ, и контроль вредоносного контента, и защиту от утечки через периферийные устройства, и. д. Рынок таких средств постоянно растет, что связано, в свою очередь, с развитием концепции виртуального офиса, согласно которой сотрудник может работать везде, где есть подключение к Интернету (в аэропорту, гостинице, дома). В дальнейшем они будут перенесены на КПК, смартфоны и другие устройства.

К основным фигурантам данного сегмента рынка можно отнести:
  • «старомодные» средства защиты от НСД – SecretNet от «Информзащиты», DallasLock от «Конфидента», «Аккорд» от ОКБ САПР и множество других, менее распространенных систем («Броня», «Панцирь» и т. д.);
  • современные персональные компьютерные «бронежилеты» – Cisco Security Agent, Outpost Firewall от Agnitum, Norton Internet Security от Symantec, Kerio Personal Firewall и т. д.


Низкая квалификация

В России, помимо наказания за компьютерные преступления, уже зафиксированы случаи (в 2004 г. их было 11) применения статьи 274 Уголовного кодекса РФ, предусматривающей наказание за нарушение правил эксплуатации средств вычислительной техники, иными словами, за халатность. Выходом из данной ситуации служит обучение пользователей информационных систем (ИС) на всех уровнях – от секретарши до председателя совета директоров. Рынок обучения вопросам информационной безопасности сейчас растет достаточно активно – лидером здесь как по числу выпускников, так и по качеству разработанных программ заслуженно считается учебный центр (УЦ) «Информзащита». Впрочем, он не является монополистом – можно найти и другие предложения в области обучения (Redcenter, УЦ UNI и др.). Причем обучение ведется не только по отечественным программам, ориентированным на российскую специфику, но и по общепризнанным мировым методикам. Например, УЦ «Микроинформ» позволяет пройти обучение и получить сертификат CISSP – один из наиболее уважаемых в мире информационной безопасности (хотя я и сомневаюсь в его ценности для российского потребителя). Помимо обучения по CISSP, в России можно пройти подготовку по программам MISTI (MIS Training Institute, www.misti.com>). В нашей стране с ними знакомы пока немногие, но различные курсы, которые предлагает эта международная организация, постепенно занимают свое достойное место.

VPN: защита от всего

Особняком стоит сегмент средств построения VPN. И потому, что так сложилось исторически, и потому, что эти решения не защищают от какой-то одной угрозы – они могут эффективно использоваться для защиты и от мошенничества, и от утечки информации, и при внутренней угрозе, и от многих других напастей. Надо заметить, что данный сегмент – единственный, где западные производители практически не представлены: мешают «правила игры» на отечественном поле. Дело в том, что официально ввезти и использовать криптографические средства, построенные на западных алгоритмах и протоколах (DES, 3DES, AES, RSA и т. д.), практически невозможно.

К российской VPN-элите можно отнести «Инфосистемы Джет» с «Тропой», «ИнфоТеКС» с VipNet, «Информзащиту» с «Континентом-К», «Амикон» с ФПСУ-IP, S-Terra c одноименным решением и. д. Одна из основных тенденций данного сегмента рынка – постепенное объединение межсетевых экранов и средств шифрования трафика.

На операторских просторах ситуация с VPN немного отличается от той, что сложилась на корпоративном рынке. Во-первых, в качестве механизма создания виртуального туннеля, по которому и передается пользовательский трафик, очень часто применяются не криптографические методы, а технология MPLS (трафик разделяется за счет использования не разных ключей шифрования, а специальных меток, уникальных для каждого пользователя). Разумеется, стойкость ее гораздо ниже (ведь сама информация передается в открытом виде, а защита достигается лишь благодаря оборудованию, не позволяющему увидеть «чужие» данные), зато проблем с законом при ее использовании не возникает. Во-вторых, многим операторам и не требуется обеспечивать конфиденциальность пользовательских данных – эта задача ложится на собственника передаваемой информации.

Управляй и властвуй

Отдельно надо сказать о вершине рынка безопасности – средствах управления, которые берут на себя непростую задачу централизованного сбора, анализа и принятия различных управленческих решений (например, реконфигурации МЭ) на основе полученных сведений. При этом такие средства давно ушли от поддержки лишь «родных» СЗИ. Ведь ни одна сеть не использует решения только одного поставщика. Поэтому наиболее правильным было бы применение систем, умеющих понимать сигналы тревоги от разнородных средств защиты разных (в том числе и конкурирующих) производителей. Хотя до Запада, где в этой области СЗИ наблюдается настоящий бум, нашему рынку далеко, такие системы уже доступны и нам: netForensics одноименной компании, Cisco MARS и Network Intelligence.

Рынок корпоративный и операторский

Помимо разницы в использовании VPN-технологий, есть и другие заметные различия между корпоративным и операторским рынком с точки зрения ИБ. Во-первых, это скорости передаваемого операторами трафика, зачастую отличающиеся от характерных для большинства коммерческих сетей на порядок. Сегодня существуют маршрутизаторы (например, CRS-1 от Cisco или Avici TSR от Nortel), пропускная способность которых измеряется в терабитах в секунду. Может ли межсетевой экран справиться с таким потоком данных? Сегодня – нет. Лучшие показатели – 20 Гбит/с. Но и беззащитными операторов тоже не назовешь. Любой серьезный маршрутизатор обладает таким механизмом, как списки контроля доступа (Access Control List, ACL), оптимизированные для фильтрации трафика на больших скоростях.

Другое отличие рынка операторов связи от корпоративного – модель ведения бизнеса. Многие операторы могут извлечь прибыль из безопасности, предложив потребителю защиту как дополнительный недорогой сервис – например, защиту периметра сети, мониторинг информационных потоков с разбиением по типам трафика или адресам и даже управление средствами защиты. Последняя услуга, получившая название аутсорсинга служб защиты (managed security service), позволяет заказчику снять с себя часть забот о круглосуточном мониторинге безопасности своей сети и переложить этот груз на оператора, который и так занимается этим для защиты собственного ядра.

***


Рынок информационных технологий (в том числе и отечественный) меняется чрезвычайно быстро. В Россию приходят игроки, доселе «сидевшие на скамейке запасных». Например, Juniper, ставшая известной на рынке ИБ благодаря покупке компании NetScreen, сейчас начинает продвигать решения NetScreen в России. Свои представительства в нашей стране недавно открыли компании Check Point, Eset и др. Если так пойдет и дальше, то ситуация на мировом и отечественном рынке станет идентичной – как по игрокам, так и по соотношению их долей.

Мировой рынок

Согласно отчету исследовательской компании Infonetics Research (www.infonetics.com), объем мирового рынка аппаратно-программных средств обеспечения сетевой безопасности в I квартале 2005 г. превысил $1 млрд, что на 5% больше, чем в IV квартале 2004 г. Доли рынка по континентам распределились так: 45% – Северная Америка, 29% – Европа, Ближний Восток и Африка, 21% – Азиатско-Тихоокеанский регион, 5% – Центральная и Латинская Америка. Прогноз аналитиков Infonetics: рост за 2005 г. составит примерно 27%, объем на начало 2006 г. – $1,3 млрд. Высокие темпы роста компания связывает с опережающим ростом количества вирусов и целевых атак на корпоративные ресурсы.

Наибольший спрос наблюдается на МЭ и аппаратно-программные средства для построения VPN: 78% от общего объема. Доля систем обнаружения вторжений IDS/IPS – 14%, антивирусных средств – 5%. Первое место среди разработчиков осталось за Cisco, на втором идет Check Point, а вплотную к ней приблизилась Juniper. Немалые доли в различных сегментах мирового рынка систем ИБ имеют и Enterasys, ISS, McAfee, Nokia, Nortel, SonicWALL и Symantec, но до лидеров им далеко.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!