Утечки данных стали приоритетной проблемой в обеспечении информационной безопасности (ИБ). Конечные точки сети — одно из критически важных мест, через которые могут “протекать” данные. О своем видении этой проблемы научному редактору PC Week/RE Валерию Васильеву рассказывает менеджер по маркетингу продуктов информационной безопасности российского офиса Microsoft Максим Скида.
PC Week: Какое место в иерархии корпоративной ИБ занимает защита конечных точек?
Максим Скида: Прежде чем говорить об иерархии в системе ИБ каждой компании, следует классифицировать обрабатываемую в компании информацию, выделить ту, которая нуждается в защите, и если она обрабатывается или хранится в конечных точках корпоративной сети, то защищать ее нужно и там.
Как показывает опыт, практически на каждом рабочем месте есть данные, которые требуют той или иной степени защиты. Но даже если сотрудник на своем рабочем месте не имеет дела с такими данными, защищать точку его подключения к корпоративной сети все равно нужно, для того чтобы она не оказалась уязвимым звеном, дающим возможности для атак на те информационные ресурсы, в которых есть критически важная информация. Поэтому защита конечных точек — дело необходимое. А вот определять очередность внедрения тех или иных решений при построении системы защиты данных нужно исходя из конкретной модели угроз для каждой компании.
К примеру, если сотрудникам разрешено свободное посещение Интернета, использование съемных носителей, администрирование своих рабочих компьютеров, то точки их подключения к сети будут представлять собой высокую опасность и их защита становится высокоприоритетной задачей. Если же в компании действуют строгие регламенты для использования мобильных устройств связи, внешних накопителей, доступа в Интернет, управления компьютером на рабочем месте, то приоритет защиты конечных точек снижается и фокус смещается на защиту периметра корпоративной сети, хранилищ данных и других ресурсов. Таким образом, если мы хотим понизить приоритет защиты конечных точек, нужно должным образом выстроить бизнес-процессы и отразить это в модели угроз.
PC Week: Каков, по вашему мнению, взвешенный функциональный набор для защиты конечных точек?
М. С.: Прежде всего — управление доступом пользователей к конечным точкам, четкие регламенты, определяющие методы аутентификации, сложности паролей, периоды их изменений, а также управление обновлениями ПО. Это необходимый минимум. Далее в наращивании функционала нужно исходить из модели угроз. Так, персональный антивирус и межсетевой экран нужны в конечной точке лишь тогда, когда информация на нее может попадать по каналам, не контролируемым другими средствами защиты. Если же конечная точка работает в терминальном режиме, взаимодействуя только с внутренними серверами, маршрутизаторами, межсетевыми экранами и т. п., ее не нужно защищать локальным антивирусом.
Эффективны решения, централизованно контролирующие поведение рабочих станций. Они позволяют обнаруживать как несанкционированные действия пользователей, так и проникновение вредоносных программ с конечных точек при соблюдении пользователями жестких рабочих регламентов безопасности, например, заражение компьютера, изъятого из корпоративной сети на время сервисного обслуживания в сторонней организации. Для защиты критически важных данных, размещаемых на пользовательских рабочих станциях, следует также использовать шифрование.
PC Week: А можно ли говорить о “типовом портрете” заказчика решения для защиты конечных точек?
М. С.: Для определения такого заказчика можно использовать концепцию развития и оптимизации ИТ-инфраструктуры Core Infrastructure Optimization Model, которая была разработана с участием таких ведущих аналитических компаний, как IDC и Gartner. Эта концепция позволяет оценить состояние и уровень интеграции корпоративных ИТ, определить зрелость ИТ-инфраструктуры компании и отнести ее к одному из предлагаемых моделью уровней, начиная от базового и заканчивая динамическим.
Компании с базовым уровнем состояния ИТ можно отнести к заказчикам с низкой организацией ИТ — у них довольно пестрый состав операционных систем (ОС), прикладных программ, систем хранения данных и нет централизованного управления ИТ-ресурсами. Они нуждаются в защите данных на всех уровнях, и конечные точки должны быть защищены по максимуму, используя персональные антивирусы, межсетевые экраны, шифрование…
PC Week: Есть ли у компаний с базовым уровнем состояния ИТ-инфраструктуры возможность сэкономить на защите конечных точек?
М. С.: Основным препятствием к внедрению экономичных решений является неготовность ИТ-инфраструктуры заказчика. Таким компаниям нужно начинать с ее оптимизации, чтобы перевести ее на более высокий уровень. Нельзя сэкономить на ИБ без повышения структурированности и управляемости ИТ-инфраструктуры.
PC Week: Чем предложения Microsoft для защиты конечных точек отличаются от предложений конкурентов?
М. С.: В защите конечных точек Microsoft реализует комплексный платформенный подход, отличный от того, что предлагает большинство других разработчиков. В ОС и серверы приложений компании Microsoft уже внедрены технологии, позволяющие защищать конечные точки от различного вида угроз. Например, в наших ОС есть технологии шифрования данных, которые являются частью платформы, а не наложенным решением, как у конкурентов. На той же платформенной основе Microsoft предлагает своим клиентам решать задачи идентификации и аутентификации пользователей, управления правами их доступа, политиками использования приложений и т. п.
Чтобы контролировать выполнение корпоративных ИБ-политик при подключении конечных точек, Microsoft реализовала технологию Network Access Protection. Другая технология, Application Locker, позволяет управлять установкой и использованием приложений в конечных точках. В рамках платформы Microsoft работает также технология контроля учетных записей пользователей (UAC), исключающая доступ к ресурсам администрирования системы тем приложениям, которые запущены неуполномоченными пользователями. При защите конечных точек можно использовать технологии корпоративного управления ИТ-инфраструктурой Microsoft System Center Operation Manager и System Center Configuration Manager, позволяющие администраторам централизованно управлять в том числе и антивирусной защитой.
PC Week: Какие перемены в защите конечных точек вы отмечаете сегодня?
М. С.: При разработке продуктов вендорам следует учитывать, что в изменившихся экономических условиях заказчики остро реагируют на стоимость сопровождения решений. Например, Microsoft, развивая семейство Forefront, для снижения затрат на администрирование старается обеспечить максимальную преемственность по базовым технологиям, чтобы не заставлять специалистов переучиваться.
Возросло влияние на защиту конечных точек со стороны отраслевых и государственных регуляторов. Напомню, что Microsoft начиная с 2002 г. следует стратегии соответствия национальным законодательствам тех стран, в которых она развивает свой бизнес. Россия не является исключением: наши продукты, относящиеся к ИБ, проходят запланированную сертификацию во ФСТЭК и ФСБ России.
Разумеется, в защите конечных точек ИБ-вендоры учитывают и современное состояние кибер-угроз, поэтому в нашем межсетевом экране, выпущенном в декабре 2009 г., реализована новая технология Microsoft Network Inspection System. Она позволяет работать на опережение кибер-преступников, защищая ИТ-ресурсы компаний от атак нулевого дня. Если в ИТ-инфраструктуре компании есть ПО с выявленной “дырой”, а установить “заплатку” по каким-либо причинам невозможно или нежелательно, то новая технология в точках подключения корпоративной сети к внешним сетям (включая Интернет) позволяет обнаруживать и вырезать из входящих сетевых пакетов коды, атакующие установленную уязвимость. Распространив (планируется сделать это в этом году) данную технологию на уровень защиты конечных точек, в клиентскую часть Forefront, мы обеспечим блокировку угроз, нацеленных на конкретные рабочие станции, а также угроз, исходящих от зараженных компьютеров внутри корпоративной сети.
Перемещая приложения и данные в облака, заказчики хотят быть уверены, что и там с ИБ дела обстоят не хуже, чем внутри корпоративного периметра. Для защиты конечных точек в облачных вычислениях используются известные, проверенные технологии, зато немало организационных проблем. Заказчики требуют, чтобы провайдеры облачных услуг заключали соглашения с четко прописанным уровнем защиты данных, с юридически закрепленными гарантиями его обеспечения. Развитие идет в этом направлении.
Что касается нашей страны, то, как показывает опыт, распространение облачных технологий сильно тормозит психологическая неготовность отечественных заказчиков к тому, чтобы доверять обработку критической информации третьей стороне.
PC Week: Благодарю за беседу.