Intelligent Enterprise: Направление ИТ-безопасности в общей структуре автоматизации бизнеса сегодня занимает значимое место, и различных функциональных решений в этой области теперь, пожалуй, не меньше, чем в прикладной ИТ-поддержке. А есть ли потребность в комплексных решениях в сфере ИБ и насколько важна интеграция ИБ-продуктов с другими продуктами информационной защиты или иными ИТ-системами?
Михаил Родионов: Да, конечно, по мере роста зрелости предложений в сфере информационной безопасности и с появлением все более разнообразных продуктов потребность в комплексных решениях растет.
Думаю, и сейчас еще многие помнят то время, когда на рынке предлагались в основном узкофункциональные решения, которые вместе с тем были весьма популярны среди заказчиков. Скажем, небезызвестные VPN-концентраторы, единственной функцией которых было подключение удаленных пользователей и обеспечение безопасного соединения с сетью компании. Помним мы и высокую популярность решений по обнаружению вторжений (IDS — Intrusion Detection System. — Ред.); они довольно долго позиционировались как абсолютно отдельный класс и специализировались исключительно на детектировании вторжений и оповещении об этом сотрудников предприятия.
В нынешних реалиях происходит существенная трансформация предложений. Большое количество функций ИБ, которые раньше выполнялись различными выделенными устройствами, теперь все чаще интегрируются в одном. В нашем случае сетевой экран нового поколения Next Generation Firewall как раз выступает в качестве подобного интеграционного устройства. Если говорить более конкретно, то один лишь этот продукт помимо основной своей функции способен «исполнять обязанности» и VPN-концентратора, и IDS-системы. Более того, мы можем в данном случае отметить и такие его функции, как базовый антиспам, фильтрация трафика, шлюзовой функционал DLP и многие другие, в том числе базовый функционал защиты от DDoS-атак.
Ярким примером являются также межсетевые экраны для веб-серверов — так называемые Web Application Firewall, которые ставятся непосредственно перед серверами веб-приложений. Их функции тоже плавно переходят к межсетевым экранам следующего поколения, и в последней операционной системе FortiOS 5.4 уже появилась первая реализация. Всё это хорошие примеры перспективности интегрированного подхода со стороны поставщиков решений.
Но комплексность востребована и в проектах реальных внедрений, то есть при развертывании решений на площадке заказчиков. В этом смысле важно, чтобы решения ИБ-вендоров были открытыми. Не имея возможности совместно работать с другими информационными системами предприятия, ни мы, ни какой-либо иной мировой вендор на рынке ИБ не будем способны выполнить по-настоящему успешный комплексный проект. Надо отметить и важность интеграции ИБ-продуктов с популярными системами корреляции событий, которые на момент старта проекта могут быть уже установлены у заказчика. Это, к примеру, ArcSight, QRadar или Splunk, использовать которые можно не только в целях защиты информации. Естественно, ИБ-продукты должны поддерживать различные сетевые протоколы и уметь взаимодействовать с любыми популярными устройствами разных производителей. То есть способность строить комплексные высокоэффективные ИБ-платформы зависит как от потенциала решений того или иного вендора с точки зрения интеграции с другими системами (собственной разработки, предлагаемыми различными поставщиками или же открытыми), так и от возможности использовать иные ИТ-системы с целью повышения производительности и качества уже имеющихся продуктов.
В корпоративной автоматизации сегодняшнего дня явно существуют универсальные, абсолютно инвариантные относительно конкретного направления концепции. В результате, например, мы все чаще слышим об agile или о сервисном подходе, об управлении в режиме real-time и некоторых других идеологиях. И по нашему наблюдению информационная безопасность от этих идей тоже не в стороне…
Да, действительно, подобные термины сейчас становятся все более популярны и в нашей среде. Конечно, здесь имеет значение и определенная мода на них, и попытки маркетологов связать эти слова с новизной и перспективностью предлагаемых технических решений. Всё это характерно не только для ИБ.
Вот, скажем, идеология agile. Наверное, многие привыкли ставить рядом с этим термином разработку ПО, где agile больше ассоциируется с предельной гибкостью методик и с возможностью менять текущие цели буквально на ходу.
Информационная безопасность в известной степени является консервативным направлением. Компании анализируют ИБ-угрозы, с которыми могут столкнуться, определяют соответствующие риски, разрабатывают ИБ-стратегию, инвестируют те или иные продукты. В такой ситуации трудно что-то менять сверхоперативно, и вряд ли к этому стоит стремиться.
Agile в нашей области следует скорее понимать как стратегию развития ИБ-решений на предприятии, которая в состоянии обеспечить необходимый уровень комплексности и масштабируемости. Иными словами, готовность к непрерывным изменениям, что собственно и предполагает под собой agile, в информационной безопасности достигается не за счет постоянной трансформации текущих решений, а за счет их способности очень быстро реагировать на новые угрозы. Отсюда важность покрытия защитой всех слоев компании — начиная от мобильных устройств сотрудников и заканчивая датацентром, и такой подход поставщик решения должен обеспечить.
Хороший пример реализации agile в области ИТ-безопасности являет собой построение так называемой сенсорной сети, когда одно из устройств безопасности оказывается способно обнаружить ту или иную угрозу, появившуюся, скажем, в каком-то регионе, и оповестить о ее появлении все остальные устройства компании, распространив на них соответствующую защиту. Вот тут мы и видим специфику аgile для нашей сферы ИБ. В данном случае мы не меняем ни стратегию, ни тактические подходы, ни продукты, но реализуем аgile за счет идеологии, которая уже встроена в комплексное ИБ-решение и не требует срочной разработки и внедрения чего-либо.
Необходимым условием agile-безопасности является работа с людьми, поскольку без этого предприятие опять-таки может столкнуться с неспособностью отреагировать на возникшие угрозы и изменившуюся ситуацию, даже если все ИБ-системы стоят на вооружении и правильно эксплуатируются.
Что касается причин интереса к agile, к обработке информации в реальном времени и к подобным универсальным идеям автоматизации бизнеса, то драйверами здесь являются необходимость передачи и обработки огромных объемов данных в современном бизнесе, впечатляющий рост государственных и коммерческих услуг в электронной форме, ну и пресловутый «Интернет всего» (Internet of Everything). И понято, что всё это создает новые угрозы информационной безопасности.
Какие технологические приемы или методы обработки данных из числа уже используемых в корпоративной автоматизации, а может быть, и из новых сегодня особенно актуальны в сфере информационной безопасности?
Прежде чем отвечать на этот вопрос, скажу ещё немного о тенденциях рынка. Ландшафт автоматизации бизнеса насыщается новыми прикладными системами, а более детальные задачи ИТ-поддержки, заставляющие информационные департаменты глубже интегрировать различные решения друг с другом, генерируют очень интенсивный трафик между ними. Отмечу также в общем-то известный факт, что некогда вполне четко определенные границы между внутренней и внешней по отношению к предприятию ИТ-средой сегодня сильно размываются. Следовательно, теперь невозможно доверять безопасности того или иного события ни в какой зоне.
Для сферы ИБ это означает существование вполне определенных вызовов. Большую часть данных приходится тщательно обрабатывать, и скорость этой обработки в нашей области становится едва ли не самой существенной проблемой. Если сетевое устройство просто коммутирует пакеты, то мы должны внимательно проанализировать содержание каждого из них: откуда и куда передаются данные, что содержится внутри, кто инициировал передачу, легальная ли эта транзакция или нет, соответствует ли тип приложения, заявленный в заголовке пакета, его внутреннему содержанию и т. д. И делать всё это необходимо так, чтобы темп выполнения ИТ-поддержки бизнес-операций не замедлился, пусть даже эти операции бизнес должен проводить в реальном времени.
Но вопрос производительности — это еще и вопрос интеграции информационных систем. Связь наших продуктов с такими решениями, как, скажем, Splunk, как раз способна это обеспечить.
Размывание периметра означает, что теперь мы должны очень детально контролировать фактически весь корпоративный трафик, а не только ту его меньшую часть, которая генерируется между компанией и внешней средой. И это опять ставит вопрос производительности вычислений на первый план. В дополнение к производительности мы имеем дело еще и с интеллектуальностью и технологичностью подходов, которые приобретают популярность в связи с новыми таргетированными угрозами, создающимися под конкретное приложение. Допустим, в адрес пользователя направлены какие-то электронные письма. В них есть вложения, которые могут показаться подозрительными, но при этом проходить через барьеры антиспам-фильтрации или антивирусной защиты. Можно сделать эмуляцию кода целевого приложения в так называемой «песочнице» (sandbox), которая позволяет развернуть в виртуальном окружении этот неизвестный код вложения и посмотреть, является ли он вредоносным или нет.
Это весьма характерный пример, потому что он одновременно демонстрирует буквально все особенности, присущие современным ИБ-системам. Межсетевой экран, антиспам-система и песочница должны уметь работать нужным для решения данной задачи образом. И не важно, являются ли они системами одного производителя или нет. Здесь имеет место также интеллектуальность решения, поскольку код эмулируется под определенную задачу и, по большому счету, под определенную бизнес-ситуацию. Наконец, в данном случае очень важна производительность. Эмуляция в сочетании со всеми необходимыми проверками кода — всё это процедуры довольно затратные с точки зрения использования ИТ-ресурсов. А если выполнять их медленно, то такая защита вряд ли кому-то будет нужна.
Сегодня чуть ли не все поставщики ИТ-продуктов говорят об отраслевых решениях. Насколько это характерно для сферы информационной безопасности?
Хотя угрозы, в том числе и таргетированные, не носят ярко выраженного отраслевого характера, решения в области информационной безопасности могут и в общем-то должны быть таковыми. Только эти предложения трудно изначально сформировать в виде отраслевой версии продукта и затем, как делают многие компании, разместить на сайте в соответствующем рубрикаторе. В сфере ИБ решение фактически становится отраслевым, когда разворачивается на площадке заказчика.
Понятно, что для нас, как и для любого поставщика в нашей области, очень значимыми являются компании финансового сектора. Хотя бы потому, что задачи ИБ важны для них, разнообразны и в их развитие инвестируются немалые средства. Но о специфике защиты информации в таких компаниях сказано немало, и мне не хотелось бы повторяться.
С моей точки зрения гораздо интереснее поговорить, скажем, о безопасности на промышленных предприятиях. У компании Fortinet есть совместное с фирмой Nazomi решение, которое позволяет сделать поведенческий анализ функционирования всей SCADA-системы, построить матрицу корреляции сигналов, поверить, какие сигналы внутри системы управления производством являются корректными, а какие явно подозрительны. За математику выделения корреляций в данном случае ответственно решение Nazomi, за блокировку всех подозрительных событий отвечает наш межсетевой экран нового поколения FortiGate.
Отраслевой особенностью в данном случае является то, что SCADA представляет собой систему реального времени. Обеспечивать безопасность тут необходимо, никак не влияя на производительность этой системы и качество ее функционирования и уж точно не прерывая ее работу. Иначе в ответственных и опасных типах производств такая защита ни имеет абсолютно никакого смысла. Возвращаясь к нашему решению, могу сказать, что для того чтобы справиться с проблемой «невмешательства», мы используем работу с копией трафика, применяя тем самым по сути ту же самую концепцию эмуляции кода. Важно, что в сфере ИБ как раз через отраслевые решения видны те значимые для современного ИБ-рынка элементы, о которых мы говорили только что. Это интеграция со сторонними системами, высокопроизводительные вычисления в реальном времени, общая технологичность подхода, а также возможность не связывать работу систем защиты информации со скоростью её обработки в прикладных системах.
Есть и еще одна особенность. Приложения информационной безопасности сейчас стараются разрабатывать так, чтобы они не просто не влияли на работу прикладных систем, но функционировали совместно с ними. Потребителями упомянутых корреляционных вычислений являются не только, а может, и не столько безопасники, сколько специалисты на производстве.
Скажу также, что решение позволяет полностью построить топологию систем первичного сбора данных, даже если в разных цехах или на разных предприятиях используются системы автоматизации разных поставщиков.
С Михаилом Родионовым беседовал ведущий эксперт Intelligent Enterprise Сергей Костяков