Журнал ИКС

Разделы сайта

• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Ближайшие события

Алексей ЛУКАЦКИЙ

01 апреля 2006

Сколько стоит безопасность?

Согласно результатам анализа, проведенного Gartner, в 2005 г. 40% малых и средних организаций, управляющих СИБ своих сетей и использующих Интернет не только ради услуг электронной почты, подверглись успешным сетевым атакам… и большинство из них даже не заметили этого.

Процитируем Дж. Браунинга еще раз: «Небольшие организации зачастую слишком самоуверенны. Обычно они реагируют только на начавшуюся эпидемию вируса или факт взлома webузла. В результате им приходится тратить большие деньги на обеспечение безопасности, так как бороться с последствиями проблемы гораздо дороже, чем предотвращать ее появление».

Это уже не шутки: по данным McAfee, 22% малых и средних предприятий вынуждены были прервать деятельность из-за компьютерных атак. Хуже всего пришлось малому бизнесу во Франции и Италии, где свою деятельность приостановили соответственно 50 и 30% предприятий. В Западной Европе таких компаний около 14 млн, каждая эпидемия вредоносной программы обходилась им в среднем по 5 тыс. евро.

Но даже несмотря на возможные колоссальные убытки, небольшие фирмы неохотно тратят деньги на безопасность. «Многие малые и средние организации относятся к продуктам защиты, как к страховке, – констатирует Дж. Браунинг. – Сама мысль о трате денег непонятно на что вызывает у них отвращение. Они считают, что эти продукты никогда не понадобятся». Так думают и крупные корпорации, но как раз на такую сеть обычно и нападает компьютерный вирус. К сожалению, подобная ситуация возникает во многом по вине большинства так называемых интеграторов в области ИБ, которые воспринимают безопасность лишь как техническую задачу и «гигиенический фактор» со всеми вытекающими отсюда последствиями.

Исследование Financial Services Authority (FSA), проведенное в 2004 г., показало, что мелкие предприятия отстают от крупных в проведении мероприятий по защите от внешних и внутренних угроз. И это несмотря на то, что угрозы для всех абсолютно одинаковы – вирусы, черви, шпионское ПО, атаки «отказ в обслуживании», утечка данных, взломы web-сайтов и др.

Начнем с начала

Для минимизации рисков важно обнаружить и устранить или хотя бы сократить число уязвимостей СИБ. Обычно вначале создают и переносят на бумагу формальную политику безопасности. Для большинства развивающихся организаций необходимость в ней очевидна. Обратимся к экспертам. Дж. Браунинг отмечает, что «организации, в которых процесс деятельности персонала формализован, применяют политики использования сети Интернет и электронной почты уже при найме на работу. Одновременно подчеркивается, что компьютер вместе с хранящимися на нем данными – собственность организации». Если сотрудник неправильно пользуется имуществом компании, это может послужить основанием для его увольнения за нарушение корпоративной политики.

Сразу после завершения разработки политики безопасности рекомендуется провести тщательный анализ защищенности, т.е. определить текущий уровень готовности СИБ в организации и оценить эффективность существующих средств защиты, политик и механизмов ответной реакции.

На следующем этапе для сокращения (или даже устранения) проблем безопасности следует выбрать комбинацию тактических приемов – от развертывания технологий по обнаружению и предотвращению сетевых угроз и нарушений политики безопасности до разработки программ подготовки персонала и контроля этой политики.

В процесс обеспечения ИБ сети и ее ресурсов включено регулярное обновление компонентов системы и установка «заплат». Например, в атаках компьютерных червей Slammer и Blaster на ОС Microsoft использовались такие уязвимости, для устранения которых «заплата» была доступна еще до начала распространения червей.

Некоторые малые и средние организации предпочитают, чтобы контроль безопасности их сетей осуществлялся поставщиками услуг управления безопасностью, которые готовы выполнять анализ состояния СИБ, а затем проектировать, конфигурировать и круглосуточно управлять устройством защиты за фиксированную ежемесячную плату. Но до широкого применения такого подхода еще далеко. Медленное его распространение Дж. Браунинг объясняет наличием целого ряда неясностей, связанных с узким кругом надежных поставщиков. Малые и средние организации готовы платить фиксированный тариф, но поиски исполнителя, которому можно доверять, сто’ят больших усилий. Особенно это актуально для России.

Разработка политики безопасности требует ресурсов – временных, людских, финансовых. Можно обратиться в специализированные компании, но это удовольствие дорогое. Лучшее, по мнению экспертов, решение – применять специализированный продукт, например Digital Security Office 2006 российской фирмы Digital Security, который позволяет проанализировать риски и построить политику самостоятельно. Стоимость такой системы – около $1000 – на порядок ниже тарифов на услуги специализированных компаний; цена на другие аналогичные продукты зашкаливает за десятки тысяч долларов. (Есть, правда, еще одна российская система – «АванГард», но сведений о ее продажах получить не удалось.) Можно воспользоваться и бесплатными сервисами (например, Cisco Security Policy Builder).

За что платим?

Очевидно, что возможности небольших организаций ограничены, но крупные компании тоже избирательно тратят средства на безопасность и ищут способы увеличения доходности. Основная идея оптимизации – сделать расходы на ИБ пропорциональными значимости защищаемых объектов. По аналогии со страховкой необходимо заплатить определенную сумму от стоимости объекта, чтобы снизить риск потери или нарушения его работы. Сумма зависит от ценности объекта для организации и ожидаемой эффективности защиты. Понимание стратегии и рисков, на которые организация может пойти, позволяет определить необходимый для этих целей бюджет и обеспечить его исполнение.

Все это выглядит очень красиво, однако на практике небольшой компании непросто произвести такие расчеты – легче выделить основные задачи в области ИБ и подумать, какими средствами их решать.

Программа - минимум

Если малое или среднее предприятие не хочет тратиться на безопасность, заставить его практически невозможно. Однако решить задачу можно, правильно выбрав модульные маршрутизаторы и защитные коммутаторы для доступа в Интернет и организации локальной сети. Разумеется, их предлагает не каждый сетевой вендор. Стоимость такого оборудования возрастает на 30–40% по сравнению со стандартным ($1–2 тыс. вместо нескольких сотен долларов), но это дешевле, чем «навешивать» систему защиты на уже готовую сеть.

Дополнительно придется установить антивирус (на периметре сети либо на каждом компьютере в ЛС). В итоге стоимость сети на 100 пользователей с интегрированными функциями защиты (только программное и аппаратное обеспечение) выливается в $3–4 тыс. Хотя сумма определена очень условно – все зависит от потребностей конкретного заказчика.

Программа-максимум

«Малым и средним организациям нужен простой в эксплуатации и развертывании продукт», – считает Дж. Браунинг. К счастью, ведущие разработчики уже интегрируют функции защиты в свои решения, что улучшает взаимодействие сетей и минимизирует время обучения работе с новыми устройствами. Если подходить к системе защиты со средними мерками, то для решения поставленных задач вполне подходят:

• Многофункциональное устройство защиты, включающее в себя межсетевой экран, систему предотвращения атак, VPN и т.д. Его стоимость – около $10 тыс. – можно снизить, если функции предотвращения атак переложить на модульный маршрутизатор с возможностями защиты.
• Персональная система защиты рабочих станций и серверов (включая защиту от атак, вредоносного ПО, утечку информации и т.п.). Стоимость – $4–6 тыс. на 50–100 узлов.
• Антивирус, система аутентификации и другое ПО.

Программа-максимум включает в себя организацию отказоустойчивого решения (дублирующий межсетевой экран, система предотвращения атак и т.д.), систему управления инцидентами и др., что влечет за собой дополнительные затраты. Главное требование к такому решению – предоставление сотрудникам безопасного, надежного и удобного доступа к информации независимо от их местонахождения.

Система защиты с широкими возможностями по безопасной передаче голоса и мобильности при условии надежной защиты инвестиций – требование предусмотрительныхорганизаций, планирующих развивать свой бизнес.

Приведенные ранее цифры затрат очевидны. Но нельзя забывать о скрытых издержках на обучение администраторов, поддержку, обновление и внедрение средств защиты и т.д. По данным Gartner, стоимость лицензии на систему защиты составляет 15–20% всех затрат на ИБ.

Что учесть?

До сих пор рассматривались внутренние аспекты ИБ организации. Не менее важны и внешние, такие как разработка средств защиты. При выборе компании-разработчика небольшие организации зачастую слишком сокращают прямые затраты, не принимая во внимание расходы по эксплуатации. Например, приобретение комбинированного оборудования от разных разработчиков снижает первоначальные капзатраты, но увеличивает расходы на интеграцию и в большинстве случаев приводит к снижению уровня безопасности.

Это следствие непонимания постулата «обеспечение безопасности – глобальная проблема». Нестыковки компонентов и их несогласованная работа – все имеет значение. Собирая СИБ из «кирпичиков» от разных разработчиков, организации приходится выступать в роли интегратора систем безопасности. Задачу еще больше усложняют различные протоколы, интерфейсы управления, а также договоры поддержки и другие документы разработчиков, которые требуется изучить. Кроме того, при неизбежных нарушениях системы безопасности телефонные обсуждения и согласования со множеством поставщиков систем – не лучший способ отражения атаки.

Более надежной защиты и меньших расходов на эксплуатацию можно достичь, если разработчик предлагает полностью совместимое оборудование и ПО для всех сегментов сети. В общем, сокращение числа разработчиков позволяет создать более устойчивую, эффективную СИБ и в итоге… более дешевую.

Рекомендации

Угрозы безопасности, как и технологии сведе’ния их к минимуму, постоянно развиваются. Сегодня надежность защиты требует перманентного выполнения следующих действий:

• регулярные пересмотр политик безопасности и анализ системы защиты;
• своевременное внедрение технологий безопасности, обеспечивающих безопасные соединения, защиту от угроз и управление идентификацией научастках сети;
• установка «заплат» и защита конечных узлов и настольных компьютеров от известных и неизвестных угроз.

Но! Важно понимать, что единой технологии обеспечения безопасности нет. Существует лишь многоуровневая стратегия, в соответствии с которой компоненты безопасности интегрируются во все устройства и достигается эффективная ИБ даже для небольших сетей.

Большинство этапов создания СИБ не требует серьезных денежных затрат и усилий. По мнению экспертов, для повышения защищенности малой или средней сети достаточно выполнить ряд простых действий, начиная от отключения бездействующих учетных записей пользователей и заканчивая блокированием потенциально опасных вложений электронной почты.

И последнее. Тот факт, что малые и средние организации являют собой менее важные цели для атак по сравнению с крупными, не означает, что они менее уязвимы.

Основные задачи защиты

• Защита периметра.
• Отражение внешних и внутренних атак.
• Аутентификация сотрудников и внешних пользователей.
• Защищенное взаимодействие с удаленными площадками и мобильными пользователями.
• Управление всеми средствами безопасности.

Заметили ошибку в тексте? Выделите её мышью и нажмите Ctrl+Enter. Спасибо!