Независимый информационно-аналитический центр Anti-Malware.ru занимается изучением всего, что связано с информационной безопасностью в России. Предметом нашей беседы с основателем и управляющим партнером Anti-Malware.ru Ильей Шабановым стал такой важный и крупный сегмент данного рынка, как сетевая безопасность.
Intelligent Enterprise: Являются ли синонимами понятия «безопасность сетей» и «сетевая безопасность»? В чем состоит их различие?
Илья Шабанов: Я думаю, что это не синонимы. И это не игра слов, за каждым из них стоят свои подходы. Под сетевой безопасностью обычно понимают средства защиты сетевой инфраструктуры и передаваемого по сетям трафика. Сюда же можно отнести и целый ряд решений, связанных с управлением фродом в телекоммуникационных компаниях, поскольку речь идет о предотвращении определенных манипуляций с неким обезличенным трафиком безотносительно его содержания. Безопасность сетей же подразумевает в первую очередь нашу собственную безопасность в сети, когда мы ею пользуемся. Это включает такие вещи, как, например, средства ограничения доступа к, скажем так, сомнительному контенту или защита от потенциально опасных контактов и тому подобное. Так что это разные вещи.
И, как мне кажется, средства обеспечения сетевой безопасности мигрируют в сторону средств обеспечения безопасности сети. Ведь во главу угла ставится защита не отдельного сервера, или даже целого ЦОДа, или канала связи, а данных, которые мы передаем по сети. Так что за этим стоит ни больше ни меньше, как смена парадигмы выстраивания всей стратегии защиты.
Какова доля сетевой безопасности в общем объёме рынка ИБ в России? Насколько она отличается от среднемировой?
Выделить именно этот сегмент на отечественном рынке средств обеспечения информационной безопасности довольно сложно. Точных данных нет. По нашей оценке доля средств сетевой безопасности в общем объеме рынка ИБ находится в пределах 20–25%. Это несколько меньше, чем в мире в целом, где она составляет около 25%, но ненамного. При этом наш рынок несколько смещен в сторону средств контентной фильтрации, что хорошо заметно.
Стоит также иметь в виду, что в настоящее время серьезным образом меняется ситуация. Привычные подходы умирают. Традиционный периметр сети все больше и больше размывается. Это связано, с одной стороны, с широким использованием мобильных устройств и началось еще тогда, когда стационарные ПК стали вытесняться портативными. А сейчас, когда тон задают смартфоны и планшеты, причем нередко принадлежащие сотрудникам компаний и используемые для корпоративных нужд, в том числе за пределами офиса в соответствии с концепцией BYOD, говорить о каком-то сетевом периметре просто сложно. Да и сами сотрудники все реже работают в офисе полный день.
Второй фактор — распространение облачных технологий. А тут, особенно если речь идет о публичном облаке, вообще нельзя сказать, где именно физически находятся те или иные вычислительные ресурсы или данные. Причем и сами поставщики услуг не являются исключением. В какое-то время данные могут находиться в США, а через час, когда нагрузка выросла, они мигрируют куда-нибудь в Австралию, а оттуда в Индию. Но при этом публичными облаками пользуются и крупные компании. Например, известное и авторитетное аналитическое агентство Gartner использует почтовый сервис GMAIL. И процессы, связанные с активной фазой кризиса 2007—2009 годов, заметно ускорили переход в облака.
В итоге говорить о традиционном периметре уже нельзя. Конечно, такие проекты есть, но они становятся нишевыми в мире. Но в России традиционные проекты по защите периметра занимают довольно заметную долю. Они идут в компаниях, прежде всего государственных, и ведомствах, где действуют четкие и жесткие регламенты работы с конфиденциальной информацией, доступ к которой ограничен режимом коммерческой, государственной или военной тайны. Вынести данные за пределы такой структуры просто никто не даст, а если это и окажется возможным, то с использованием целого ряда политик, связанных с защитой информации (шифрование, различные методы аутентификации и ограничения доступа с применением всяческого рода электронных ключей и замков и т. д.). Тут традиционный периметр сохранен в полной мере, и проектов, ориентированных на таких заказчиков, довольно много. В России в том числе. И заказчики эти, будь то госкомпании или государственные ведомства, скорее всего не будут использовать инфраструктуру публичного облака или концепцию BYOD. Да и в целом, как мне кажется, у нас тут все пока еще на стадии разговоров и обсуждений на конференциях. Есть лишь робкие попытки нащупать какие-то пути реализации безопасности в таких условиях. Я не вижу сейчас каких-то подходов к этому, по крайней мере в крупных российских компаниях. Тут мы традиционно опаздываем на два-три года.
Есть ли еще какая-то российская специфика? И если есть, то в чем она проявляется?
Наша специфика связана прежде всего с законодательством и всяческими подзаконными актами. Тут в первую очередь приходит в голову закон «О персональных данных» и всё, что с ним связано. В других странах ничего подобного нет. А если и существуют требования по защите тех же персональных данных — а закон у нас появился как результат присоединения нашей страны к Страсбургской конвенции, которая регламентирует автоматизированную обработку информации о гражданах, — то они реализуются совсем по-другому. Данные защищаются более точечно. Это касается, в частности, мер, которые требуются для соответствия американскому SOX. В рамках всяческих отраслевых стандартов, например PCI DSS, также защищаются определенные типы данных, в этом конкретном случае связанных с информацией по карточным платежам.
У нас же все выливается в то, что любая компания вынуждена брать с покупателя или с заказчика подписку о согласии на обработку его персональных данных. И любая компания несет за это ответственность. При этом она может быть подвергнута проверке со стороны регулятора, иногда не один раз. В итоге нагрузка на бизнес со стороны регуляторов довольно высока. В США или Западной Европе ничего подобного нет. По крайней мере подобных жалоб от коллег слышать не приходилось. Хотя, возможно, какие-то механизмы контроля у зарубежных регуляторов имеются, но детали законодательства тех или иных стран мне лично, честно говоря, не известны.
Какова основная сложность при реализации таких проектов?
Основная сложность с моей точки зрения состоит в том, чтобы поставить задачу, то есть определить, что конкретно мы собираемся защищать, будь то каналы или данные, которые передаются по этим каналам, и каким именно образом. Также непростая задача — сформировать политики, которые регламентируют использование тех или иных ресурсов и методы их защиты. А именно под эти политики потом подбирается решение, программное или аппаратное. Непосредственное внедрение — это уже задача относительно простая.
Кроме того, надо подумать об оптимизации проектов. Это касается не только сетевой безопасности, но и всего, что связано с защитой данных, в том числе и персональных. Ведь самая важная информация хранится на весьма ограниченном количестве ПК и серверов, которые имеет смысл выделить в отдельный сегмент, чтобы защищать его более надежно с использованием более жестких политик. Если же применять те же самые меры ко всей сети, то это потребует существенно больших ресурсов и никто не даст гарантий, что при этом не нарушится работоспособность тех или иных систем, в том числе критически важных. Есть и другие подходы, например, обезличивание данных, относящихся к категории персональных, что позволяет защищать только те ПК и серверы, где они сводятся воедино, и опять же серьезно экономить на защите. Существенно позволяет снизить расходы на защиту конечных точек использование тонких клиентов на базе технологий терминального доступа или VDI, особенно если речь идет о большом количестве типизированных рабочих мест.
И то и другое проще сделать, если обратиться к грамотному интегратору. Его специалисты подскажут, как решить те или иные задачи с минимумом временных и материальных затрат. Просто потому, что у них уже есть опыт работы над похожими проектами.
В проектах по обеспечению информационной безопасности обычно велика роль организационной составляющей. К обеспечению сетевой безопасности это также относится или тут все же ключевыми являются меры технические?
Есть такие сегменты рынка средств безопасности, где именно организационная часть является ключевой, например когда речь идет о системах защиты от утечек информации. Тут без определения того, что конкретно не должно покидать пределы компании, обойтись нельзя.
Что касается сетевой безопасности, то да, есть задачи, которые в принципе можно решить исключительно техническими мерами. Скажем, такими, как закрытие определенных групп портов в настройках межсетевого экрана. Или запрет на использование той или иной категории ПО, в частности средств мгновенного обмена сообщениями. Тут достаточно одного приказа, а остальное, что называется, дело техники.
Однако если речь заходит о внедрении более сложных решений, например, технологии NAC [Network Access Control, контроль доступа к сетевым ресурсам], которая позволяет автоматически применять политики безопасности на любом ПК, подключенном к корпоративной сети, тот здесь уже требуется административная работа. Надо подготовить людей, да и написать довольно большое количество документации. При этом велик риск столкнуться с тем, что какие-то понятия придётся просто переводить с одного языка на другой: с технического, на котором говорят службы ИТ и ИБ, на юридический, на котором пишутся административные регламенты, а с него уже на обычный человеческий. Эти языки резко различаются, так что это довольно сложная задача, причем сложность данного процесса обычно недооценивается. Но решать ее необходимо, иначе невозможно от обычных пользователей добиться того, чтобы они четко соблюдали все политики и регламенты, причем осознанно. А для этого нужно организовать процесс обучения и привлечь к данной работе не только техническую и юридическую, но также и кадровую службу.
Тем более, что реализация многих проектов требует кардинальной смены представления. Это касается, например, все той же технологии VDI, где работа с компьютером меняется фундаментально. Ведь вся информация хранится не на локальной машине, а на сетевых ресурсах, и те или иные данные так просто не унесешь. Пользователи часто оценивают это, скажем так, неоднозначно из-за вполне очевидных неудобств. Так что необходимы обучение и разъяснительная работа, чтобы донести цели проекта и плюсы, которые он принесет.
Какие факторы могут способствовать росту, а какие — снижению интереса к данным средствам?
Причины, которые могут привести к снижению интереса к данной тематике, уже были мною некоторым образом обозначены. Они связаны, с одной стороны, с широким использованием в бизнесе мобильных устройств, а с другой — с переходом к облачной модели. Тут встает вопрос защиты данных, причем вне зависимости от того, где они находятся, внутри периметра корпоративной сети или вне его. Этот процесс влияет и на другие сегменты рынка средств безопасности. Так, например, отмечено заметное снижение спроса на антивирусные средства. Данное явление напрямую связано с переходом на мобильные технологии и в меньшей степени — с появлением программных и аппаратных средств защиты для основных настольных платформ, включая Microsoft Windows. Многие функции стали брать на себя и операторы связи. Уже довольно давно предлагаются услуги по очистке трафика от вредоносного ПО и спама, по защите от утечек информации или от DDoS-атак. Это перспективный и быстрорастущий сегмент. Такая аутсорсинговая модель весьма привлекательна для бизнеса, поскольку позволяет снизить уровень капитальных затрат на инфраструктуру и выбрать тот или иной набор услуг от разных поставщиков. Не так давно мы сами столкнулись с DDoS-атакой на наши ресурсы, и находиться под защитой оператора, когда сразу после небольшого переключения всё снова работает, для нас было очень полезно. Если бы мы всё делали сами, то затраты времени и сил были бы многократно больше. Пока крупный бизнес в России осторожен в использовании таких сервисов, предпочитая иметь свое, но все равно популярность аутсорсинга будет расти. Хотя бы потому, что это выгоднее.