INLINE Technologies
Eng

Публикации

CNews Analytics, обзор «Средства защиты информации и бизнеса 2007»

Алексей Спирин: «У крупных компаний нет альтернативы построению систем управления безопасностью»

Алексей СпиринНа вопросы CNews отвечает Алексей Спирин, руководитель группы сетевой безопасности компании INLINE Technologies

Говоря о крупных компаниях, что вы считаете их наибольшим приоритетом — построение комплексных систем управления безопасностью или концентрацию на типичных угрозах?

По большому счету у крупных компаний нет альтернативы построению систем управления безопасностью. Если компании малого бизнеса могут надеяться, что они никому не будут особо интересны с точки зрения хранимой информации, и могут себе позволить исходить из типичных угроз, то для крупного бизнеса подобное отношение дорого обойдется.

Каждая крупная компания постоянно находится под виртуальным прицелом конкурентов, недружественно настроенных пользователей, да и просто веселых ребят, которые взломают корпоративный сервер just-for-fun. Периодически такие компании сталкиваются с целевыми попытками получения ценной для бизнеса информации. Поэтому использование комплексной системы управления безопасностью и анализ рисков являются одним из основных требований к организации бизнес-процессов предприятия.

Какие продукты обеспечения ИБ должны быть установлены, на ваш взгляд, на корпоративных рабочих станциях? Какова динамика этого набора средств?

Отвечая кратко, я бы выделил как минимум три жизненно важных компонента, которые, на мой взгляд, просто обязаны быть на любом корпоративном компьютере: система предотвращения вторжений на уровне хоста (HIPS), антивирус, агент системы управления патчами. Система предотвращения защитит компьютер от атак, для которых нет сигнатур (атаки zero-day), предотвратит выполнение вируса, а также осуществит многие другие функции безопасности (межсетевой экран, предотвращение кражи информации, классификация трафика на основе приложение и т.д.). Антивирус корректно вылечит поврежденный файл, если уж по каким-либо причинам заражение произошло. Агент системы управления патчами гарантирует, что в системе нет программного обеспечения с известными уязвимостями, поскольку значительная часть инцидентов безопасности возникает из-за уязвимостей в старых версиях ПО.

Дополнительно могут использоваться агент IEEE 802.1x (так называемый supplicant), отвечающий за аутентификацию пользователя при доступе к корпоративной сети через WiFi или проводную связь, а также агент Network Admission Control, отвечающий за контроль соответствия компьютера пользователя корпоративной политике (при доступе в сеть проверяется наличие HIPS, антивируса, всех установленных патчей и т.д.).

Для компьютера мобильного пользователя еще добавится VPN-клиент и неплохо бы программное обеспечение для двухфакторной аутентификации на основе eToken.

Пожалуй, это то, что является стандартным набором современной рабочей станции компании, которая заботится о своей безопасности.

Если говорить о динамике, то вполне однозначно наблюдается тенденция к интеграции большей части названных компонентов в операционную систему, как правило, производства компании Microsoft.

В то же время третьи фирмы пытаются захватить рынок за счет углубления и расширения функционала своих продуктов: HIPS берет на себя функции управления патчами, появляются сигнатурные методы анализа, происходит интеграция с агентами 802.1x и NAC. Антивирусы работают как межсетевые экраны и обеспечивают карантин для зараженных компьютеров.

Российские компании стремительно растут и обзаводятся сложной территориально распределенной структурой. Какие средства обеспечения сетевой безопасности, по вашему мнению, необходимы для их защиты?

Традиционно первое, на что обращается внимание при построении распределенных сетей, — средства шифрования трафика при передаче через глобальные каналы связи. Давно прошли времена, когда выделенный оператором канал связи считался панацеей от угроз раскрытия и модификации передаваемой информации, поэтому подавляющее большинство недавно построенных и проектируемых сетей используют те или иные продукты шифрования. Кстати, хотелось бы особо отметить бурный рост использования таких продуктов в государственных структурах, что связано, конечно, с развитием ведомственных сетей передачи данных.

Второе, о чем следует сказать, — это средства контроля взаимодействия пользователей с информационными ресурсами компании. Отличие большой локальной сети, находящейся в одном здании, от территориально распределенной в том, что при неудачном выборе средства и места контроля последняя может превратиться в этакий остров неблагополучия, где возможно скрытое накапливание инцидентов безопасности с их последующим выходом на качественно новый уровень, но уже в масштабах всей сети. Для решения данной проблемы стандартом стало применение межсетевых экранов и сетевых систем предотвращения вторжения в модуле глобальных каналов связи, но максимально эффективное решение требует применять контроль как можно ближе к конечному пользователю. Здесь я бы рекомендовал использование персональных систем предотвращения вторжения с централизованным управлением, таких, как Cisco Security Agent и IBM Proventia Desktop Endpoint Security, на которые также можно возложить другие функции безопасности.

И третье — средства управления и мониторинга безопасности. Классическая формула поддержания безопасности в любой информационной системе подразумевает наличие не только функциональных средств защиты, но и системы оценки качества работы этих средств. Были ли нарушения безопасности? Были ли они действительно предотвращены? Какие информационные системы были под угрозой? На эти вопросы может ответить только централизованная система сбора и корреляций событий. А вопрос необходимости для разветвленной корпоративной сети единой системы управления достаточно риторичен.

Ряд экспертов считает, что рынок средств защиты периметра компаний уступает позиции рынку продуктов защиты от инсайдеров. Каково ваше видение ситуации?

Налицо парадоксальная ситуация: о важности защиты от внутренних угроз упоминается практически в каждом «букваре» по информационной безопасности, и статистика, показывающая превалирование ущерба от внутренних угроз по сравнению с внешними, общеизвестна. В то же время редко какая компания производит хотя бы учет подключений сотрудников к локальной сети. Если попросить сетевой персонал или сотрудника службы информационной безопасности назвать периметры корпоративной сети, то большинство назовет соединение с Интернет, кто-то добавит еще соединение с WAN. Но, к сожалению, мало кто упомянет периметр между самой сетью и ее пользователями.

Частично причины этого связаны как с традиционной инертностью внедрения новых средств безопасности, так и с недооценкой угрозы. Если сотрудник компании одет согласно корпоративному дресс-коду, соблюдает правила внутреннего распорядка, означает ли это, что он «хороший пользователь» и не может нанести ущерба в информационной среде? Ответ очевиден. Что нужно сделать, чтобы убедиться в добропорядочности пользователя? Ровно то же самое, что и в мире за пределами компании, — проверить его идентификационные данные при подключении к сети, проверить соответствие его компьютера корпоративной политике и контролировать его взаимодействие с информацией в точке подключения или на самом компьютере. Продукты и технологии для этого на рынке есть.

Резюмируя, скажу, что рынок средств защиты от инсайдеров в настоящее время несколько отстает от положенного ему уровня, и ему еще предстоят рост и становление.

Контроль действий инсайдеров — задача очень сложная. Считаете ли вы, что стандартизация может здесь помочь — или каждая компания уникальна?

Несмотря на наличие вертикальных рынков и возможности разбиения бизнес-процессов на некие стандартные операции, поддающиеся контролю, несомненно, что каждая компания уникальна. Поэтому процесс внедрения и эксплуатации средств защиты должен учитывать множество индивидуальных для данной компании факторов — начиная от «политического» веса департамента информационной безопасности и заканчивая особенностями корпоративной культуры.

На мой взгляд, требование стандартизации было бы уместнее относить именно к средствам защиты. Вот тут и возникает некоторое противоречие. С одной стороны, применяемые продукты и технологии должны быть максимально гибкими и функциональными, что влечет за собой использование проприетарных решений. С другой — современные тенденции показывают, что сами по себе средства безопасности уже не решают поставленные задачи. Необходима глубокая интеграция как с сетевыми элементами, так и со средствами управления и мониторинга безопасности, а также информационной инфраструктурой конкретного заказчика. В этом случае обязательны выработка и выполнение требований по соответствию отраслевым, международным и государственным стандартам.

А вот определиться с выбором конкретного инструмента, удовлетворяющего требованиям по стандартизации и максимально подходящего к использованию конечным пользователем, поможет компания — системный интегратор.

О каких последних наиболее значимых проектах компании в сфере ИБ вы могли бы рассказать?

Памятуя о народной мудрости, что лучшей рекомендацией для сапожника служит качество сапог, которые он носит сам, скажу о проекте по построению корпоративной сети передачи информации, реализованном нами для нового офиса группы компаний INLINE Technologies.

Перед нами стояла задача обеспечить работу административно разделенных компаний в условиях консолидированных информационных ресурсов (серверов, IP-телефонии) с соблюдением всех норм безопасности. Традиционное решение данной задачи потребовало бы построение отдельных сетей для каждой компании, что значительно увеличило бы затраты. Каждая подобная сеть состояла бы из отдельных физических устройств — коммутаторов, межсетевых экранов, маршрутизаторов. Мы же построили одну физическую сеть и с помощью средств виртуализации сетевых элементов создали несколько логических сетей — для каждой компании свою. Это стало возможным благодаря широкой функциональности оборудования Cisco Systems.

Отличительная черта проекта — инвариантность доступа сотрудников в сеть. Независимо от точки (любой этаж, любое рабочее место) и средства подключения (WiFi или проводное соединение) сотрудник подключен к сети компании, в которой он работает. При этом производится контроль и учет параметров соединения, так что при необходимости администратор всегда может понять, когда, кто и куда подключался.

Кстати говоря, подобные решения мы внедрили уже у нескольких наших заказчиков.


Наверх
Вопрос эксперту
Сергей Гаврилов
Серверы, СХД, системы виртуализации
Олег Сухов
Видеонаблюдение, биометрия, системы контроля доступа
Александр Переведенцев
Инженерная инфраструктура ЦОД
Александр Гурьянов
Обслуживание систем и аутсорсинг
Константин Соловьев
КСПД, центры обработки данных, технологические сети
Дмитрий Мороз
Информационная безопасность
  
|  Карта сайта
1-й Волоколамский пр-д, 10, стр. 1, эт. 6, Москва, 123060   Телефон/факс: +7 (495) 721-35-05   эл. почта: info@in-line.ru   Схема проезда
    © 2010-2020  ООО «Инлайн технолоджис»