`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Облака, сервисы, безопасность

+33
голоса

Темы, вынесенные в заголовок, были основными на состоявшемся в начале октября Smart IT & Security Forum 2016, организованном компанией «Новый диалог». Участники смогли прослушать доклады о стратегиях управления ИТ-ресурсами, облачных решениях и сервисах, а также об инновациях в сфере комплексной безопасности, хранения, обработки и защиты данных.

Переход государственных учреждений к использованию облачных сервисов сулит много выгод (для государства), однако, кроме известных всем причин, препятствием служит сомнение в достаточном уровне ИТ-безопасности. Чтобы решить эту проблему, компания De Novo разработала специальное облачное решение для государственных органов Украины – G-Cloud. Его представил директор по проектному производству Валерий Макаренко.

 Облака, сервисы, безопасность

Валерий Макаренко: «Облако для госорганов G-Cloud размещается в экранированном модуле ЦОД De Novo класса Tier III, соответствующем всем требованиям НБУ, которые в разделе физической безопасности и защите от угроз через каналы специального влияния намного выше, чем КСЗИ»

К переходу на облачные сервисы украинский госсектор подталкивает ряд вызовов. Прежде всего общество требует государственных сервисов радикально лучшего качества, чем имевшееся раньше. В то же время привлечение внешних инвестиций и донорских средств невозможно без выполнения требований по внедрению новых инструментов и сервисов. Этому, в частности, препятствует хронический дефицит средств. Государственные затраты на ИТ в 2015 г. (<3 млрд. грн.) закрыли потребности менее чем на 30%. Кроме этого, в мире продуктивность и эффективность ИТ-систем обеспечиваются ПО, но в Украине ¾ ИТ-бюджета тратится на аппаратное обеспечение. В этом украинские чиновники не одиноки. Именно поэтому в большинстве развитых стран мира давно уже на законодательном уровне был принят принцип «Cloud First».

Тема переноса государственных сервисов в облако, по мнению докладчика, сегодня является одной из наиболее актуальных в области использования ИТ государством. За последние два года компания De Novo получила такое количество приглашений поучаствовать в разного рода круглых столах, комитетах и прочих государственных инициативах, которое она не получала за все годы своего существования.

Оценив перспективы украинского рынка, компания поняла, что обсуждением можно заниматься бесконечно долго, а решение проблемы и необходимые для этого ресурсы нужны здесь и сейчас. Именно поэтому за текущий год был построен отдельный сегмент облака для государственных органов и завершена процедура сертификации на соответствие требованиям КСЗИ.

Сейчас в Украине ведется дискуссия на тему размещения государственных сервисов в облаках таких мировых облачных лидеров, как Amazon, Google, Microsoft, IBM, Oracle. Приводится масса аргументов за и против, однако существует еще очень большое поле для манипуляций и подмены понятий. Дело в том, что у большинства из этих компаний построены отдельные облака для государственных сервисов. Выступающий привел пример США. Там есть государственное агентство, называемое FedRAMP. Именно это агентство авторизует облачных провайдеров на возможность предоставлять услуги госорганам. Количество требований, которые предъявляет FedRAMP, превышает 400 позиций. По мнению выступающего, они намного жестче, чем требования ISA 27001 и КСЗИ. В частности, если речь идет об облачных госсервисах, скажем, в облаках Amazon или Google, то это не широко известные коммерческие облака, а отдельные ресурсы со своей системой безопасности, находящиеся в конкретной стране.

Что касается требований КСЗИ, то основным является наличие у облачного провайдера процедуры регулярного менеджмента безопасности. Далее, это обеспечение конфиденциальности данных и их целостности, обеспечение контролируемого доступа к данным, наличие систем резервирования, непрерывный мониторинг системы безопасности и ряд других.

Заказчики часто спрашивают, означает ли перенос сервисов в облако De Novo автоматическое выполнение всех требований КСЗИ? Объяснения В. Макаренко были следующими.

Облако для госорганов G-Cloud размещается в экранированном модуле ЦОД De Novo класса Tier III, соответствующем всем требованиям НБУ, которые в разделе физической безопасности и защите от угроз через каналы специального влияния намного выше, чем КСЗИ. Таким образом, размещение сервисов в G-Cloud существенно повышает их надежность и безопасность по сравнению с классическими инфраструктурами. Подключение к облаку возможно посредством построения заказчиком собственных физических каналов доступа, можно воспользоваться услугами специализированных операторов связи, которые имеют все разрешения, сертификаты и средства для предоставления услуг связи госорганам, и, наконец, подключение можно осуществить через защищенный узел интернет-доступа ЗВІД.

 Облака, сервисы, безопасность

Евгений Осинский: «Некорректно сравнивать одноразовую затрату на покупку  оборудования для локального решения с использованием облачных сервисов с необходимыми вычислительными ресурсами – необходимо рассчитать общую стоимость владения с учетом ряда специфических факторов»

Таким образом, размещая свои сервисы в облаке G-Cloud, государственные органы могут решить львиную долю вопросов и требований, которые предъявляет КСЗИ, и сконцентрироваться исключительно на требованиях, которые касаются прикладного окружения. В планах компании на следующий год – создание защищенного рабочего места из облака.

При планировании перехода в облако, компании сталкиваются со многими вопросами. Когда большинство из них будут в той или иной мере решены, останется основной – финансовый. Действительно, для многих компаний, особенно крупных с развитой ИТ-инфраструктурой, экономический эффект перехода неоднозначен. Однако, по словам руководителя отдела продаж облачных сервисов De Novo Евгения Осинского, при расчете эффективности многие делают типичные ошибки. Так, некорректно сравнивать одноразовую затрату на покупку  оборудования для локального решения с использованием облачных сервисов с необходимыми вычислительными ресурсами. Дело в том, что при аренде IaaS заказчик получает не просто виртуальные вычислительные ресурсы, а комплекс сервисов. И здесь необходимо рассчитать общую стоимость владения с учетом ряда специфических факторов. Докладчик привел пример такого расчета для системы ERP на 400 пользователей с терминальным доступом, БД емкостью 1 ТБ оперативных данных и 10 ТБ исторических в четырехлетней перспективе.

Если отталкиваться только от стоимости необходимого оборудования для установки его на площадке заказчика, то сравнение будет далеко не в пользу облаков. За использование облачных сервисов в течение четырех лет заказчик заплатит около 200 тыс. долл. против 50 тыс. долл. цены на оборудование. Однако при расчете стоимости владения собственной инфраструктурой заказчик упустил из вида ряд параметров. Так, традиционно ТЗ проекта предусматривает аппаратное резервирование. Но в облачных ЦОД резервирование обеспечивается операторами, поэтому стоимость рассматриваемого проекта можно снизить на один резервный сервер – примерно на 25%. Далее, как правило, оборудование приобретается с запасом производительности, которая не используется несколько лет. Архитектура облака эластична, что позволяет масштабировать производительность по мере необходимости, а не замораживать деньги в избыточных мощностях. Этот фактор экономит еще 56 тыс. долл. Нужно также учесть необходимость покупки дополнительных лицензий на ПО для виртуализации, тогда как облачные ресурсы уже виртуализированы. Это дает эффект в размере еще 31 тыс. долл. Если ко всему этому прибавить стоимость постгарантийного обслуживания, оплату персонала, электроэнергию и замену капитальных затрат на операционные, то затраты на собственную инфраструктуру за четыре года превысят на 50% стоимость облачных сервисов. Здесь нужно учесть, что этот расчет справедлив только для данного проекта, но он может служить примером для оценки стоимости облачных сервисов и для других.

Сегодня особую опасность представляют так называемые целевые атаки, больше известные в профессиональной среде как APT (Advanced Persistent Threat). Об известных атаках этого типа и методах защиты от них рассказал руководитель службы технической поддержки ESET в Украине Александр Иллюша.

 Облака, сервисы, безопасность

Александр Иллюша: «Ядро обнаружения ESET включает новейшие модули защиты от ботнетов и эксплойтов, расширенный сканер памяти и защиту уязвимостей сетевого протокола»

Наверное, у всех еще в памяти атаки BlackEnergy в Украине. Атака используется с конца 2013 г. Крупные атаки, зафиксированные в Украине, были проведены в октябре—декабре 2015 г. (медийный и энергетический секторы) и в январе 2016 г. (энергетический сектор). Антивирусными продуктами ESET они определяются как Win64/Rootkit.BlackEnergy(A-F) и Win32/Rootkit.BlackEnergy(AA-AZ, BA-BU). Здесь нужно принять во внимание, что от момента заражения до активации вредоносного кода может пройти полгода или даже год.

Potao в целевых атаках замечен с 2012 г. В Украине атаки были осуществлены в 2015 г. на государственный, военный и медийный секторы и в 2016 г. – на финансовый сектор. Одним из способов распространения угрозы является TrueCrypt – бесплатное ПО для шифрования. Детектируются как Win32/Potao(A-Y) и Win32/Fake(A-B). Статистика по ряду стран на постсоветском пространстве показывает, что если в 2012 г. на первом месте по количеству атак была Россия, то в 2015 г. ее сменила Украина с «преимуществом» в 40 раз.

Следующая угроза Anunak (Carbanak) применяется с 2014 г. Изначально была нацелена на программу клиент-банк iFOBS. Антивирусными продуктами ESET детектируется как Win32/Spy.Agent.ORM и Win32/Spy.Sekur.(A-N). В Украине атаки проводились в 2014—2015 гг. на финансовый сектор. Основная масса (более 50%) управляющих этой атакой серверов располагалась в США. Конечно, злоумышленники могли находиться где угодно.

Атака Buhtrap используется с апреля 2014 г. В Украине в 2015—2016 гг. атакам подвергся финансовый сектор. Определяется как Win32/TrojanDownloader.Buhtrap(A) и NSIS/ TrojanDownloader.Buhtrap(NAA-NAC,NUA-NUD,NPY,NSA,NSU,NQP). Для распространения использовался сайт ammyy.com – на нем некоторое время находился модифицированный инсталлятор.

Каковы же особенности целевых атак? APT – это не какой-то стандартный вирус, который пишется «на коленке» и затем массово рассылается с целью получить сиюминутную выгоду. В данном случае все гораздо сложнее. Прежде всего, используется социальная инженерия. Как правило, разработку объекта ведет группа с хорошим финансированием.

Первая точка проникновения – письмо-спам с присоединением. Причем содержание этого письма соответствует ожиданиям получателя. К примеру, бухгалтер может получить письмо с изменениями в налоговом законодательстве. При открытии присоединенного документа в систему загружается стартовый модуль с удаленного сервера. Как правило, он не содержит вредоносный код. Модуль собирает необходимую информацию и в запланированное время отправляет ее управляющему серверу. С управляющего сервера могут быть загружены дополнительные модули, расширяющие функциональность вредоносного кода. В итоге злоумышленник получает контроль над зараженным ПК. Еще один способ проникновения – самораспаковывающийся архив с вполне корректным названием. Источником заражения может быть также модифицированное бесплатное ПО (как здесь не вспомнить «бойтесь данайцев, дары приносящих»).

Для защиты от таких атак ESET предлагает ряд методов. Это технология ThreatSense, ядро которой сочетает в себе классические и эвристические методы обнаружения, а также ESET Live Grid – расширенная система обнаружения, которая использует облачную базу данных и репутационный сервис. Ядро обнаружения часто модернизируется, и в него добавляются новейшие методы. Из последних докладчик назвал модули защиты от ботнетов и эксплойтов, расширенный сканер памяти и защита уязвимостей сетевого протокола.

Однако антивирусная защита не решает всех проблем. Поэтому ESET дает ряд рекомендаций для повышения уровня защиты. Они включают разделение сетевой инфраструктуры на сегменты, оптимальные настройки политик домена, запрет использования бесплатных почтовых сервисов, информирование пользователей о правилах работы в Интернете и ряд других.

Очевидно, что конференция не ограничивалась представленными здесь докладами. В целом участники прослушали десять выступлений на актуальные темы ИТ.

 

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT