Меню
Поиск

Информационная безопасность сегодня: без паники и всерьез

30 ноябрь, 2009 - 12:04Владимир Илибман

У рядового пользователя компьютерные угрозы наверняка ассоциируются с вирусами и «хакерами», которые занимаются их созданием, распространением и организацией атак. Наверняка вспомнятся конкретные случаи, когда по вине пресловутого вируса возникали проблемы с рабочим или домашним ПК: терялись данные, тратилось время на очистку компьютера и пр.
Что изменилось в последние годы?

Если речь не вести о банальном воровстве паролей и данных кредиток, большинство затруднится найти прямую связь между собственными техническими неполадками и финансовой заинтересованностью злоумышленников, о которой как об основном мотиве киберпреступников не перестают говорить на протяжении последних 5–7 лет. Сегодня можно категорично утверждать, что связь между этими аспектами самая непосредственная.

Одиночки уступают место организованной киберпреступности

С учетом остроты сегодняшней борьбы можно только с ностальгией вспоминать времена, когда написание вредоносного кода и организация интернет-атак были своеобразным хобби для технически развитых индивидуумов, приносящим им известность в узких кругах и тешащим их самолюбие. Разумеется, и тогда существовали атаки на банки, попытки несанкционированного перевода денег, но в целом финансовая мотивация находилась на втором или даже на третьем месте. Создателям известных вирусов тех лет – Blaster, Netsky, MyDoom, которых в конце концов нашли, предъявлялись обвинения в компьютерном хулиганстве. Хотя их детища и стали причиной многомиллионных убытков, сами разработчики не получили практически никакой финансовой выгоды. Сегодня изменение парадигмы действий киберпреступников завершилось – мы живем в эпоху монетизации киберпреступлений. Техническим инструментом для получения прибыли все чаще становится бот-сеть, состоящая из зараженных компьютеров (ботов), находящихся под контролем злоумышленников.

Информационная безопасность сегодня без паники и всерьез
Рис. 1. Современная криминальная индустрия предполагает четкую структуру и ролевое деление внутри преступной группировки

Бот-сеть в сравнении с классическим вредоносным кодом, который хозяйничал локально, на отдельном компьютере, сделала шаг вперед в технологическом развитии и функционирует по клиент-серверной модели. После заражения компьютера бот подключается к своему командному центру для получения дальнейших инструкций. Они могут быть самые разнообразные – от сбора и пересылки конфиденциальной информации, заражения других компьютеров, до массированной рассылки спама и организации DDoS-атак на указанный ресурс. К примеру, крупнейшая в Украине распределенная атака на серверы украинского хостинга Mirohost в августе этого года дирижировалась с командного центра, ассоциированного со спамерским провайдером Real Host Ltd.

Организационно-финансовая схема создания и функционирования бот-сети предполагает достаточно четкое ролевое деление внутри современной преступной группировки (рис.1).

Как правило, в начале жизненного цикла появлению новой заразы предшествуют работы исследователей уязвимостей. Это представители элитарной специализации, наиболее близкой к первоначальному пониманию термина «хакер». Они выявляют дыры и обходные пути в ОС, прикладном ПО и сетевых протоколах. Найденное продается на «сером» рынке. К примеру, стоимость неизвестной ранее уязвимости в популярном браузере может составить десятки тысяч долларов. Заметим, что исследователи могут заниматься теоретическими изысканиями в области безопасности и формально не участвовать в криминальной деятельности.

Покупают уязвимости (либо используют общеизвестные) для написания вредоносного кода, способного проникнуть на компьютер, разработчики. Очень часто они выпускают законченный набор «юного хакера», который включает и вредоносный код для проникновения, и клиентский бот, и серверную часть управления бот-сетью. В духе лучших традиций распространения ПО они также могут предоставлять сервис по обновлению и дальнейшему совершенствованию «продукта» с использованием новых уязвимостей.

Задача распространителей – эффективно применять вредоносный код через зараженные веб-сайты, файловые архивы, электронную почту, IM-системы и другие каналы. Таким образом и формируется бот-сеть, которая продается либо сдается в аренду. Воспользовавшимся последним предложением арендаторам остается лишь задействовать ее для организации вторичных направленных атак, получая за это деньги.

Следует отметить, что детальные технические знания требуются лишь для первых двух категорий. Распространители, а тем более арендаторы, используют плоды труда других «узких» специалистов и могут и не являться глубокими «технарями». Последние – как правило, «гуру» в области социальной инженерии. Однако всех их связывает то, что для них вредоносный код является объектом бизнеса – несколько рискованного, но достаточно прибыльного.

Себестоимость создания бот-сети из 10 000 компьютеров составляет несколько тысяч долларов. Используя ее только для рассылки спама, можно заработать десятки тысяч в месяц. В целом в индустрии киберпреступности в мировом масштабе прокручиваются суммы, исчисляющиеся миллиардами. Это оплата спама, продажа под заказ атак, номеров кредитных карточек, пиратского ПО, реклама контрафактных товаров. Таким образом, эволюция развития электронных преступлений аналогична традиционному пути совершенствования криминального мира: от хулиганов до организованных преступных группировок, специализирующихся на отдельных видах (грабеж, угон машин, отмывание денег, торговля наркотиками и людьми).

На службе преступного бизнеса – «облачные» технологии

Для создания и распространения бот-сети используется множество технологий. Внедрение вредоносного кода происходит через веб-сайты, почту, сменные носители. Зараженные компьютеры могут заражать корпоративную сеть, сканируя ее в поиске уязвимых машин.

Технические аспекты создания и функционирования бот-сети рассмотрим на примере кода Conficker (Downadup), который, вобрав множество разнообразных технологий, смог в 2009 г. поставить рекорды по размеру (около 9 млн ботов на пике развития) (рис. 2).

Первоначальная версия Conficker.A распространялась как сетевой «червь», используя уязвимость MS08-067 в ОС Windows. После заражения компьютера вредоносный код устанавливал подключение к сетевому командному центру, применяя одно из 250 доменных имен, сгенерированных псевдослучайным образом. В последующих версиях кода его адрес выбирался уже из 50 000 вариантов. Эта технология получила название Fast-flux («быстрый ручей») и часто задействуется для получения управляющих команд в случае блокировки антивирусным ПО либо корпоративным шлюзом обращения к командному центру. К слову, для блокировки доменов, используемых Conficker, была создана специальная рабочая группа (confickerworkinggroup.org), которая включала всех крупных вендоров в области ИБ и регистратора интернет-адресов ICANN. В качестве дополнительной защитной меры, предотвращающей выявления бот-сети путем анализа сетевого трафика, использовались его шифрование и подпись.

Conficker.B появилась в конце декабря 2008 г. и научилась распространять себя не только проникая за периметр, но и через сетевые папки и флэш-накопители. Заодно блокировался доступ к антивирусным сайтам. Соответственно практически все ПК, зараженные версией A, автоматически обновились до версии B.

Следующая версия Conficker.C использовала технологию P2P-коммуникаций. Бот автоматически находил зараженных соседей и устанавливал соединение с ними для получения и передачи управляющих команд. Пиринговые коммуникации существенно усложняют блокировку командного центра, который получается «размазанным» по всей бот-сети.

Наконец, в апреле 2009 г. версия Conficker.E получила новый модуль для рассылки спама – таким образом, была предпринята попытка монетизации бот-сети. Несмотря на внешнее спокойствие, на сегодняшний день Conficker остается самым распространенным вредоносным ПО в Украине. По статистике ESET, ему принадлежит 28,8% общего числа выявленных вирусов.

Не правда ли, очень похоже на голливудские ужастики про зомби, когда один «укушенный» способен заразить целые города и страны. Но в данном случае на экране эффектная выдумка режиссера. А в Интернете реальные «зомби-сети», состоящие из миллионов компьютеров под воздействием «коллективного разума», атакуют и рассылают спам под заказ, принося деньги их владельцам (рис. 3).

Как мы видим, функционирование современной бот-сети напоминает работу сервисов «облачных» вычислений – зараженный компьютер является элементом «облака». Причем на примере Conficker видно, что такое «облако» может достигать гигантских масштабов.

А в чем опасность?

Какие угрозы таит бот-сеть для ИТ-инфраструктуры предприятия? Существует как минимум два аспекта. Во-первых, заражение корпоративных компьютеров ботом фактически означает потерю контроля над частью ресурсов компании. По команде из «облака» хосты будут участвовать в атаках либо рассылке спама, при этом используя адреса и интернет-канал организации. Кроме чисто технических проблем, таких как повышенный расход трафика и нагрузка на сеть, наличие зараженных компьютеров может привести к занесению адресного пула компании в «черные списки» и блокировке вашего легитимного почтового или веб-трафика оператором связи или системами защиты других компаний. Кроме того, «зомбированные» ПК могут быть источником утечки конфиденциальной информации – большой процент ботов имеют встроенные шпионские модули, передающие пароли, атрибуты платежных систем и способны перехватывать клавиатурный ввод.

Информационная безопасность сегодня без паники и всерьез
Рис. 2. Хроника эпидемии и модификации кода Conficker (Downadup)

Известно множество случаев целенаправленного заражения компьютеров организации с целью несанкционированного доступа к ее информации. Причем бытует ложное мнение, что это сложная операция и объектом такого фокусного заражения становятся только большие корпорации. На самом деле это не так. Для проникновения в сеть нужной организации используется фокусная спамерская рассылка, часто с элементами социальной инженерии. Открытия письма либо вложения всего на одном компьютере будет достаточно для веерного заражения множества рабочих станций по локальной сети.

Во-вторых, даже если зараженных компьютеров внутри сети нет, ресурсы компании могут подвергаться внешним атакам со стороны бот-сети, которые ответственны практически за все распределенные атаки типа «отказ в обслуживании». Как неоднократно сообщалось в прессе, стоимость подобных атак значительно снизилась, и за последнее время DDoS стал весомым аргументом в конкурентной борьбе.

Итак, использование традиционных решений защиты периметра организации (межсетевые экраны, системы защиты от атак, прокси-серверы) не предотвращает инфицирования компьютера и включения его в бот-сеть. Для заражения используются традиционные протоколы (почта, Веб), которые проходят через периметр организации, после чего компьютер инициирует подключение к командному центру, причем чаще всего применяется туннелирование внутри обычного веб-трафика. Такие подключения изнутри компании не вызывают подозрений у корпоративных систем защиты. К тому же шифрование коммуникаций бот-сети позволяет обойти и сигнатурные системы защиты от атак.

Оружие – не сдавать!

Защита против вредоносного кода только интернет-периметра в целом малоэффективна. Чем дальше, тем все больше он размывается в современной организации. Наблюдаемая ныне повсеместно активная «мобилизация» сотрудников приводит к тому, что периметр организации становится «плавающим» – ноутбуки, перемещаясь за пределы корпоративной сети, зачастую попросту обходят данный класс систем защиты. Последний удар по традиционному периметру должны нанести смартфоны и коммуникаторы – обладая независимым выходом в Интернет через мобильного оператора, они очень легко могут занести в корпоративную сеть вредоносный код. Причем многие исследователи прогнозируют создание в недалеком будущем бот-сетей, включающих в себя персональные мобильные устройства. На летней конференции Black Hack в США было показано, насколько легко могут быть взломаны iPhone с помощью SMS-уязвимости. Задумаемся, а какая доля мобильных устройств сегодня оснащена антивирусной защитой?

Есть проблемы с эффективностью борьбы против бот-сетей и у традиционных антивирусов, что является серьезным стимулом для их дальнейшего развития. Доступно множество конструкторов, в результате работы которых создаются неповторяющиеся вредоносные коды, уникальные для каждого бота. С учетом комбинирования разных способов проникновения, распространения и характера поведения такой код не выявляется сигнатурными методами ни на периметре сети, ни на рабочих станциях. Кроме того, если компьютер уже был заражен, бот сделает все, чтобы предотвратить запуск или обновление антивируса. А если ему что-то и не удастся, дело довершит «бдительный» провайдер услуг, отключив компанию в ответ на первые проявления аномальной работы.

Перед обсуждением современных тенденций в области систем защиты стоит еще раз сконцентрировать внимание на финансовой стороне вопроса. В силу экономического кризиса основным действующим фактором ИБ стала стоимость. Владельцы бизнеса экономят на ИТ, а это бумерангом бьет по безопасности. По данным, опубликованным McAfee в отчете The Security Paradox, больше всего расходы на информационную безопасность отразились на малых и средних компаниях (со штатом до 500 человек).

Это сокращение включает в себя несколько составляющих. Оно начиналось с резкого ограничения затрат на покупку новых систем защиты, позже вылилось в усечение бюджетов на поддержку и обновление имеющихся решений. И самая неприятная стадия, через которую, к сожалению, прошли многие компании, это увольнение выделенных специалистов по информационной безопасности. В маленьких и средних фирмах задачи по поддержке систем защиты перекладываются на оставшихся ИТ-специалистов. Закономерно, что более половины респондентов, охваченных глобальным обзором McAfee, за прошлый год столкнулись с увеличившимся числом инцидентов ИБ. Многие из них встают перед фактом невозможности обеспечения надлежащего уровня безопасности с существующими техническими и людскими ресурсами.

«Облако» карманных ножей против «тучи»

Именно вышеперечисленными тенденциями вызвана эволюция, которая наметилась в индустрии систем безопасности, включающая консолидацию (объединение) инструментов защиты и вынос сервисов безопасности в «облако». Консолидация призвана объединить доселе разнородные системы защиты с целью их удешевления и упрощения внедрения и эксплуатации. Она проявляется на уровне как рабочих станций, так и сети и ее периметра. На границе сети в одном устройстве интегрируются функции традиционного межсетевого экрана, сетевой IPS/IDS, антивируса, антиспама, терминации VPN и контентной фильтрации. Для наименования подобных систем используется введенный IDC еще в 2004 г. термин Unified Threat Management (UTM).

Информационная безопасность сегодня без паники и всерьез
Рис.3. Функционирование современной бот-сети напоминает работу сервисов «облачных» вычислений – зараженный компьютер является элементом «облака», которое может достигать гигантских масштабов

Решение класса UTM имеет как очевидные сильные стороны, так и недостатки. Интеграция, разумеется, уменьшает количество устройств в серверной и во многих случаях снижает стоимость владения системой защиты. С другой стороны, отдельные встроенные в UTM функции часто уступают аналогичным во внешних устройствах как по гибкости, так и по скорости. Ведь одному аппарату с ограниченным набором вычислительных ресурсов и оперативной памяти приходится одновременно выполнять конкурентные задачи. UTM подобен кухонному комбайну либо швейцарскому карманному ножику (кому как больше нравится): такие приспособления экономят место на кухне и в кармане. Но при интенсивном использовании отдельных функций можно задуматься о применении специализированных устройств.

Вторая тенденция последних лет – это предоставление услуг безопасности как сервиса (SaaS, Security as а Service) и заключается в выносе их части от изолированных пользовательских устройств в «облако» защиты. Этот подход имеет экономические и технологические преимущества. С точки зрения экономики SaaS позволит не заниматься разворачиванием и обслуживанием собственных систем защиты, а использовать соответствующие ресурсы специализированных сервис-провайдеров. При этом сами устройства защиты могут как физически находится на площадке заказчика и управляться сервис-провайдером, так и использовать виртуализированные ресурсы, размещенные в ЦОД. По мнению западных аналитиков, именно SaaS может представлять особый интерес для малого и среднего бизнеса, в первую очередь для защиты их веб-доступа и почтового обмена.

Ответ на глобальные вызовы – в коллективной защите

Технологические преимущества SaaS по сравнению с автономными системами защиты также очевидны. Как показано в начале статьи, современные угрозы носят глобальный характер. И действительно, если говорить об интернет-атаках бот-сетей, то они обычно направлены одновременно на множество организаций. Так, за один день зомби-клиент может участвовать в атаках на сотни разных сайтов, а «в перерывах» – рассылать сотни тысяч спамерских писем. Автономным средствам защиты от атак в рамках каждой компании (если они не владеют всей предысторией активностей такого хоста) приходится заново идентифицировать и блокировать удаленный зараженный компьютер.

Коллективная система защиты, работающая в «облаке», таких ограничений лишена и способна «видеть» злонамеренный трафик и атаки, которые нацелены на множество компаний одновременно. Она может динамически отслеживать поведение компьютеров в Интернете и в случае атаки на ресурсы одной компании превентивно блокировать их с «зараженного» ПК на ресурсы других пользователей либо компаний. Для сохранения истории поведения используется система репутаций, которая в количественных характеристиках описывает степень доверенности для адреса и доменного имени.

Аналогичным образом пытаются защитить компьютеры от вирусов. По статистике антивирусных лабораторий сейчас существует более 25 миллионов штаммов вредоносного кода, что намного превышает число типов и версий легитимного ПО. Проверки исполняемых и загружаемых из Интернета файлов по миллионам сигнатур – задача весьма ресурсоемкая, и подобный подход при современных темпах наращивания количества вредоносного кода не кажется перспективным.

Репутационный антивирус проверяет в первую очередь происхождение программы либо процесса. Доверенное приложение запускается без ограничений, если же оно неизвестно, то попадает под пристальное внимание, а поведение подозрительного процесса анализируется более детально. Причем информация о репутации/доверии к приложениям получается путем анонимного обобщения статистики с множества рабочих станций, которые используют репутационный антивирус.

Как мы видим, средства защиты опять вынуждены догонять технологии нападения, используемые злоумышленниками. Хакерская индустрия применяет «облачные» подходы, криптографию и социальную инженерию для активного проникновения в пользовательские компьютеры и системы. Прибыль, получаемая в ходе киберкриминальной активности, позволяет злоумышленникам проводить серьезные R&D, развивая новые методы и приемы нападения. Отдельным компаниям и вендорам в области ИБ все труднее перекрывать весь спектр угроз и при этом обеспечивать защиту новых ИТ-инструментов, таких как мобильные устройства или «облачные» сервисы. Опыт защиты от многофункциональных «червей» типа Conficker показывает необходимость комплексного подхода.

e-mail автора
[email protected]

Мнение эксперта

Владимир Илибман

технический консультант компании Cisco

Информационная безопасность сегодня без паники и всерьез

Внутри линейки продуктов безопасности Cisco спрос на аппаратно-программные комплексы защиты традиционно высок. Компания давно сделала ставку на подобные устройства – первому ее решению такого класса Cisco PIX в этом году исполнится 15 лет. На сегодня Cisco предлагает несколько семейств: Cisco ASA, маршрутизаторы Cisco ISR с соответствующими функциями и Cisco Ironport для защиты электронной почты и веб-доступа.

Cisco ASA предоставляет расширенные возможности – межсетевой экран, систему защиты от атак, поддержку IPSec и SSL VPN. С помощью дополнительного модуля, разрабатываемого совместно с компанией TrendMicro, можно обеспечить защиту от вирусов и спама, веб-фильтрацию, анализ контента.

Маршрутизаторы Cisco ISR и Cisco ISR G2 обеспечивают базовый набор функций безопасности для периметра, включая межсетевой экран, систему защиты от атак, IPSec и SSL VPN. Благодаря недавно анонсированному «Антивирусу Касперского для модуля AXP» стало возможным создать и полноценную антивирусную защиту.

Подобные решения используют многие компании сегмента SMB, а также филиальные структуры корпоративных заказчиков. Модели семейства Cisco ASA позиционируются для сетей любого масштаба, в которых существуют повышенные требования к безопасности. В случае если заказчику нужны более гибкие возможности, предпочтение отдается специализированным системам Cisco Ironport.

Защита интернет-периметра корпоративной сети, состоящей из 250 рабочих станций и серверов с включенной годовой подпиской, обойдется примерно в 5–10 тыс. долл. Продление подписки и программно-аппаратной поддержки на один год составит около 15–30% первоначальных затрат.

Александр Хомутов

директор компании «ИТ Лэнд»

Информационная безопасность сегодня без паники и всерьез

В последнее время все большую полярность в Украине приобретают UTM-системы, объединяющие в одной аппаратной платформе такие средства, как межсетевой экран, антивирус, систему обнаружения и предотвращения вторжений (IPS), URL-фильтрацию и модуль защиты от нежелательной почты. Возможности таких устройств могут быть дополнены VPN, SSL/VPN и VoIP.

Если в первом полугодии мы отмечали рост спроса на системы UTM, то во втором на рынке шлюзовой безопасности в компаниях среднего бизнеса наблюдается затишье. Это связано прежде всего с отсутствием бюджета на приобретение новых решений.

Наша компания за 10 месяцев реализовала 28 проектов по UTM-системам. Основные заказчики – это предприятия, имеющие от 50 до 800 рабочих станций и серверов. Но есть среди клиентов и небольшие компании (от 15 до 40 ПК). В подавляющем большинстве случаев задействуется полный комплекс функциональных возможностей UTM, и где-то около 10% заказчиков используют такие устройства исключительно в качестве межсетевого экрана.

Специализированные системы предпочитают организации, где требования к уровню информационной безопасности высокие. В этом случае отдельно рассматриваются все подсистемы. Соответственно, стоимость решений резко возрастает, и обслуживать их должен отдел из высококвалифицированных сетевых инженеров. Что касается UTM-систем, то администрировать такое устройство может один человек, и тогда организация существенно экономит как на самом решении, так и на его сопровождении.

Стоимость защиты корпоративной сети, включающей около 250 рабочих станций и серверов, начинается от 55 тыс. грн. При этом заказчик получает полнофункциональное решение, состоящее из аппаратного межсетевого экрана и полного комплекса подписок безопасности. Ежегодная цена их продления составит примерно 18 тыс. грн, или 72 грн в год на одного сотрудника.

Алексей Дудников

руководитель продаж Trend Micro и Websense «Софтпром»

Информационная безопасность сегодня без паники и всерьез

В нынешнем году спрос на аппаратно-программные комплексы для обеспечения информационной безопасности вырос. Подобные решения позволяют блокировать внешние угрозы на уровне интернет-шлюза, при этом анализируются все протоколы, включая шифрованный трафик. Системы веб-фильтрации собирают данные о том, сколько времени было потрачено сотрудниками компании на сайты, не относящиеся к их непосредственным обязанностям, давая тем самым руководству возможность контролировать эффективность рабочего дня.

Типичными заказчиками подобных систем являются финансовые учреждения, промышленность и госсектор, а также дочерние компании международных холдингов. Наиболее востребованы веб-фильтрация и антивирусная защита.

Как правило, небольшие компании, только начинающие строить свою ИТ-инфраструктуру, предпочитают использовать универсальные решения. Крупные предприятия обычно переходят на новые системы последовательно – это делается с точки зрения надежности (не менять все сразу) и масштабируемости.

Если говорить о ценах, то, к примеру, предлагаемое нашей компанией программно-аппаратное решение Websense V10000 Appliance обеспечивает защиту свыше 500 пользователей и обойдется минимум в 525 тыс. грн. За эти деньги клиент получает систему, которая блокирует все угрозы в интернет-канале, в режиме реального времени осуществляет веб-фильтрацию, антивирусную проверку трафика и многое другое.

Николай Хлапонин

коммерческий директор компании «CBIT IT»

Информационная безопасность сегодня без паники и всерьез

Ввиду экономической ситуации говорить о росте спроса на аппаратно-программные комплексы для обеспечения информационной безопасности не приходится. Организации старались как минимум оплатить стоимость технической поддержки и продлить подписку на получение сервисов по антивирусной и антиспам-защите, веб-фильтрации на очередной год. Что касается объема отечественного рынка UTM-устройств, то, на мой взгляд, он составляет порядка 50–100 млн долл. в год.

По моему опыту, универсальные UTM-устройства покупают два типа заказчиков: компании среднего и малого размера с количеством пользователей до 500 (у них мало высококлассных ИТ-специалистов, и поэтому им проще администрировать несложные UTM-продукты) и предприятия, рассчитывающие благодаря внедрению комплексного решения снизить свои накладные расходы. Наиболее востребованными функциями сегодня являются антиспам и веб-фильтрация.

Главный фактор при выборе, на мой взгляд, – риски, которым подвергается организация. Если они значительные, то предприятие будет стремиться снизить их путем установки и тщательной настройки специализированных аппаратно-программных комплексов. В свою очередь, это потребует бóльших финансовых и людских ресурсов, чем в случае применения универсальных устройств. Если риски сравнительно невысоки, то UTM-решения являются оптимальным выбором.

Защита периметра корпоративной сети с антивирусным и антиспам-контролем на шлюзе, веб-фильтрацией и системой предотвращения вторжений для сети из 250 ПК и серверов на базе UTM-решения обойдется заказчику ориентировочно в 14 тыс. долл. В пересчете на одно рабочее место для второго года и последующих лет эта сумма составит около $20.

Игорь Зайченко

начальник отдела продаж компании «Инфобезпека»

Информационная безопасность сегодня без паники и всерьез

По нашим оценкам, спрос на программно-аппаратные комплексы защиты информации остался на уровне прошлого года. С учетом того что продажи других ИТ-продуктов падают, наличие хоть и не революционного, но стабильного роста рынка ИБ дает повод для оптимизма. Мы оцениваем рынок программно-аппаратных комплексов по защите информации в 20–25 млн долл. ежегодно.

Одна из последних тенденций – это объединение всех сервисов в одном устройстве. Клиенты все больше стремятся к прозрачной и понятной ИТ-инфраструктуре, которая не предусматривает наличия нескольких решений от разных вендоров. Как и в прошлом году, среди заказчиков преобладает крупный бизнес всех отраслей – начиная от производителей продуктов питания и заканчивая банковским сектором.

Исходя из предпочтений можно выделить две основные категории клиентов. К первой относятся заказчики, которым требуется полный комплекс сервисов по защите, и потому они покупают старшие модели в линейке. Остальным нужно закрыть определенную брешь, и они приобретают самую простую конфигурацию. Впрочем, зачастую позже они сталкиваются с необходимостью расширить возможности используемой системы и возвращаются к нам. Кроме масштабируемости, для клиента всегда важен фактор эффективности эксплуатации. Использование решений от нескольких вендоров всегда повышает стоимость с точки зрения как администрирования, так и обновлений системы. Мы всегда рекомендуем клиентам смотреть на два шага вперед в случае, если он склоняется к нескольким нишевым решениям от разных вендоров.

Константин Здыбель

ведущий специалист компании «Бакотек»

Информационная безопасность сегодня без паники и всерьез

Поскольку решение проблем с вредоносным ПО у большинства компаний организовано на уровне хостов, на плечи программно-аппаратных комплексов в основном ложатся функции брандмауэра, веб-фильтрации, организации VPN, защиты от спама и предотвращения вторжений. Хотя, безусловно, есть немало компаний, заинтересованных и в антивирусной защите на уровне шлюза.

Небольшие организации с сетями до 100 ПК отдают предпочтение универсальным решениям класса all-in-one. Преимущества очевидны: простота установки, настройки и администрирования, снижение затрат. Классическим примером таких решений может быть McAfee UTM Firewall, который сочетает в себе брандмауэр, веб-фильтр, VPN-сервер, IPS, DHCP и т. д. А вот крупным компаниям больше по душе специализированные решения, поскольку их производительность значительно выше. Кроме того, используя продукцию разных производителей, клиенты пытаются диверсифицировать риски, связанные с обеспечением безопасности сети.

Если ориентироваться на решения McAfee, то защита периметра сети в 250 рабочих станций обойдется приблизительно в $6000. При этом обеспечивается полный набор возможностей: антивирус для почтового и веб-трафика, антиспам, брандмауэр, веб-фильтрация, организация VPN, предотвращение вторжений, балансировка нагрузки для нескольких интернет-каналов и т. д. Таким образом, начальные затраты составят около $24 за рабочее место. Последующие продления лицензии будут обходиться дешевле $3 на один ПК в год.

Вадим Ленков

коммерческий директор компании «МУК»

Информационная безопасность сегодня без паники и всерьез

Рынок систем информационной безопасности является, пожалуй, одним из самых стабильных на данный момент. Это обусловлено ростом числа и разнообразия сетевых угроз и необходимостью предприятий защитить свои ресурсы. Мы оцениваем объем рынка аппаратно-программных систем безопасности в 15–20 млн долл.

Подобные решения необходимы всем компаниям, которые пользуются Интернетом. Конечно, требования и возможности у разных фирм различаются. Так, малый бизнес нуждается в надежном и простом решении уровня «один раз настроил и забыл». Для корпоративного сегмента важны масштабируемость и развитые функции выявления вирусов и атак, а также управления доступом пользователей к ресурсам Интернета и защищенным удаленным доступом. Операторам связи интересны системы, с помощью которых можно обезопасить абонентов.

Из основных модулей по-прежнему востребованы межсетевые экраны, но с развитыми функциями управления пользователями, антивирусной, антиспам- и веб-фильтрацией. Также приобретает популярность оборудование, поддерживающее 3G-подключения. При построении систем безопасности все чаще используется схема обмена информацией между ПО персональной защиты ПК и межсетевым экраном на периметре сети.

Специализированные устройства, как правило, обеспечивают более высокий уровень надежности, но для комплексной защиты требуется интеграция нескольких систем, что сказывается на общей стоимости владения. Универсальные комплексы (UTM) позволяют решить эту задачу с меньшими финансовыми затратами, однако в любом случае присутствует некий компромисс между функциональностью и ценой.

Точная стоимость защиты 250 компьютеров зависит от каналов связи, а также функционального набора сервисов и составляет примерно от 4 до 10 тыс. долл. в первый год (сюда входят оборудование, расширенное гарантийное обслуживание, динамические обновления антивируса и антиспам-фильтра, работа систем веб-контент-фильтрации и обнаружения и предотвращения вторжений). Впоследствии платежи могут варьироваться от $1300 до $3500 за год. Соответственно, полная защита одного рабочего места обойдется в $16–40 в первый год и $5,2–14 в последующие.