Осенью прошлого года Голубой гигант завершил поглощение компании ISS, которая, по мнению экспертов, первой в мире предложила корпоративным пользователям системы обнаружения и предотвращения хакерских атак.
Технологии защиты приобретенной компании, трансформированной в подразделение IBM ISS, дополнили собственный продуктовый портфель IBM в области услуг по информационной безопасности (ИБ), а потенциал исследовательской группы X-Force ISS усилил ее исследовательские лаборатории.
В интервью с научным редактором PC Week/RE Валерием Васильевым консультант по информационной безопасности “IBM Восточная Европа/Азия” Денис Батранков рассказал о том, в чем IBM ISS видит главные проблемы, с которыми корпоративные заказчики сталкиваются сегодня в области информбезопасности, и какие предлагает способы их преодоления.
PC Week: Можно ли современную ситуацию в области информбезопасности оценить как состояние равновесия между угрозами и эффективностью средств защиты?
Денис Батранков: Да, такое равновесие наблюдается: на любую угрозу есть адекватные средства защиты. Но при этом я совсем не уверен в том, что компании в большинстве своем сегодня действительно защищены. По-моему, нынешние проблемы в области ИБ связаны не с наличием у компании тех или иных средств защиты, а с правильностью их применения. Люди, в том числе и профессионалы, не сознают простых вещей. Почему, допустим, администратор, у которого в сети стоит прокси-сервер, позволяет главному бухгалтеру в рабочее время заходить на веб-сайты, не имеющие отношения к его должностным обязанностям? Налицо явные пробелы в организационной части обеспечения ИБ.
Но главное, что лишь недавно у специалистов по безопасности стало формироваться отношение к организации ИБ как непрерывному процессу, объединяющему эшелонированный комплекс средств. Совсем недостаточно, например, защищать только периметр сети, оставив без внимания рабочие станции.
PC Week: А как, по-вашему, эти проблемы должны решаться, чтобы защита была адекватна угрозам?
Д. Б.: На мой взгляд, сегодня востребованы услуги консалтинга по организации ИБ, компании привлекают к обеспечению ИБ внешних высококвалифицированных специалистов. В IBM на это нацелено одно из наших сервисных направлений — Professional Security Services. По поводу услуг, связанных с обеспечением ИБ, компании могут обращаться к нам на любом этапе построения системы защиты: в самом начале, при построении или модернизации или даже уже после того, как инцидент, связанный с нарушением ИБ, случится, — у нас есть услуга разбора инцидентов.
Особенно много заявок сегодня поступает на проведение теста на “дружественный взлом”. Эта услуга помогает заказчикам определить те точки, на которые нужно обратить внимание в первую очередь. Чаще всего нам удается взломать сеть заказчика, и, как показывает наш опыт, наиболее уязвимыми для клиентов сегодня оказываются веб-приложения. Нередко ИТ-системы заказчиков совершенно не защищены от засылки по электронной почте троянов, что свидетельствует о невнимательном отношении к данной угрозе, несмотря на то что эти атаки, организованные целенаправленно, постоянно обсуждаются в прессе и находятся в группе самых распространенных.
PC Week: А какие компании обращаются к вам за этими услугами, если характеризовать их по размерам бизнеса, по виду деятельности?
Д. Б.: В основном это представители наиболее зрелых в области ИТ в России видов бизнеса: финансовые компании, телеком-операторы, госорганизации… Компании сегмента СМБ заметно меньше информированы в области информбезопасности -- у меня сложилось такое представление. Они организуют точечную защиту сети, что на сегодняшний день явно неэффективно.
Ну а в общем можно сказать, что компании вкладываются в ИБ в соответствии со своим пониманием критичности принимаемых в этой области мер для своего бизнеса. Так, западные компании, занимающиеся, например, продажами через Интернет или онлайн-банкингом, независимо от размеров бизнеса уже столкнулись с проблемой утраты бизнеса из-за нарушений ИБ, и потому подход у них к ИБ зрелый.
Кстати, одним из свидетельств зрелости компании является выделение обязанностей по обеспечению ИБ в отдельную структуру, которая функционирует независимо от ИТ-подразделения и имеет самостоятельный выход на высшее руководство, лучше всего прямо на хозяина бизнеса. Дело в том, что сохранность информации обеспечивают люди, которые практически теряют очень мало, если конфиденциальная информация “уходит” из компании. В этом, можно сказать, суть проблемы организации защиты. Наличие двух подразделений нивелирует эту проблему, обеспечивает возможность взаимного контроля служб ИТ и ИБ. Ведь задача ИТ-специалиста — обеспечить доступ к ресурсу, а задача ИБ-специалиста — ограничить его, и неверно, если эти две антагонистические функции будут сосредоточены в одной структуре компании, тем более в ведении одного специалиста. При этом специалист по безопасности, на мой взгляд, должен знать ИТ-инфраструктуру глубже, чем ИТ-специалист. Невозможно, например, защищать протокол маршрутизации, если ты досконально не знаешь, как он работает.
Рынок труда отражает именно такую ситуацию: специалисты по ИБ стоят дороже айтишников, и их реально не хватает.
PC Week: Какой же выход вы предлагаете?
Д. Б.: На мой взгляд, один из выходов — в аутсорсинге услуг информбезопасности. Дело в том, что высококвалифицированный специалист по ИБ не нужен компании постоянно. Помимо того что он дорог, его трудно заставить смены напролет просматривать журналы состояния безопасности. А провайдеры услуг ИБ готовы предоставить сервисы практически любого уровня, в том числе и отслеживания логов. Это позволит специалистам по безопасности заказчика сконцентрироваться на наиболее критичных для бизнеса задачах, а рутину оставить нам, провайдерам, что экономит заказчикам как временные, так и человеческие ресурсы.
В наших центрах безопасности (Security Operation Centers), сосредоточенных на аутсорсинге услуг ИБ, в виде логов накапливаются данные со всех устройств клиента — серверов, маршрутизаторов, межсетевых экранов, систем обнаружения атак и т. п., за которыми следят специалисты IBM. В случае возникновения инцидента они предпринимают предписанные договором об обслуживании меры.
Чтобы контролировать качество услуги, клиенты IBM через веб-интерфейс получают доступ к порталу, который по сути является виртуальным Security Operation Center и позволяет клиенту видеть то же самое, что видят специалисты IBM. Они могут сами проследить все события и реакцию на них провайдера услуги, общаться в онлайне с обслуживающими их специалистами. Кстати, в рамках соглашения об обслуживании IBM берет на себя обязательства выплачивать клиенту 50 тыс. долл. за каждую пропущенную атаку.
PC Week: Как вы оцениваете рынок аутсорсинга услуг ИБ в России?
Д. Б.: Какие-либо количественные данные по российскому рынку аутсорсинга услуг ИБ приводить, как мне кажется, рано, но качественные изменения, связанные с ростом спроса на них, налицо. Ну а чтобы представить положение в этой области в мире, можно привести данные Frost & Sullivan по северо-американскому рынку. Они подсчитали, что в 2006 г. объем рынка услуг управления ИБ составил 950 млн. долл., и прогнозируют увеличение его за пять лет до 1,5 млрд.
PC Week: Все ведущие компании-разработчики снабжают свои продукты и платформы средствами ИБ: Microsoft — в своих ОС, Oracle — в СУБД, EMC — в системах хранения данных, Cisco — в сетевых решениях. Какой из подходов наиболее перспективный?
Д. Б.: Ни один вендор не в состоянии обеспечить только за счет своего продуктового портфеля полный комплекс защиты для конкретного заказчика. Эту работу может выполнить лишь системный интегратор, специализирующийся в области ИБ, способный провести аудит состояния защиты клиента, выявить узкие места и организовать управляемую эшелонированную комплексную защиту, сосредоточившись в первую очередь на обнаруженных при аудите брешах.
PC Week: Среди участников недавно состоявшегося в Москве "Инфофорума-10", который был посвящен вопросам ИБ, отмечено заметное увеличение числа “непрофильных организаций” — из сферы медицины, транспорта, промышленности, торговли, образования. Как вы думаете, с чем это связано?
Д. Б.: Думаю, это связано с общим повышением уровня использования ИТ в компаниях и организациях. Такова общемировая тенденция: как только компания переходит на активное использование ИТ — подключает свою локальную сеть к Интернету, запускает систему ERP, CRM, веб-портал и т. д., -- обостряются проблемы обеспечения ИБ. То есть это связано с ИТ-зрелостью бизнеса и потребностью в автоматизации управления. ИТ-безопасноcть нужна там, где используются ИТ.
PC Week: Благодарю за беседу.