Базы данных являются главной мишенью хакерских атак, а основной “дорогой”, по которой кибер-взломщики пытаются добраться до желанной цели, стал Интернет. С недавней поры ряд вендоров сосредоточили свои усилия на разработке специальных средств защиты СУБД и веб-серверов, формируя рынок систем предотвращения вытеснения данных (Database Extrusion Prevention, DBEP).
О своем видении развития этого направления защиты информации научному редактору PC Week/RE Валерию Васильеву рассказал вице-президент компании Imperva в регионе EMEA Хенк Ян Спаньярд.
PC Week: Какова цель вашего — кстати, первого — визита в Москву?
Хенк Ян Спаньярд: Imperva развивает свой бизнес по традиционному для ИТ-компании пути: сначала она освоила рынок США, потом Европы, затем начала продвижение на Восток и немногим более года стала работать в России. Сегодня мы думаем о том, как и сколько нам следует инвестировать в ваш рынок в ближайшее время. Моя задача — постараться понять это. С этой целью я запланировал провести во время своего первого визита в Москву встречи с представителями компании Netwell — нашего регионального дистрибьютора, с почти десятью российскими партнерами, продающими наши продукты, и с самыми важными заказчиками.
PC Week: Что отличает российских заказчиков ваших продуктов от заказчиков из стран с развитой экономикой и из стран с развивающейся экономикой?
Х. Я. С.: Компании разных стран решают с помощью наших продуктов одни и те же задачи: они зарабатывают деньги, защищая свои информационные ресурсы от кибер-преступников и выполняя регулятивные требования своих государств и международных организаций. Я бы сказал, что различия между ними скорее культурные, относящиеся к области духовных ценностей и национальных традиций.
PC Week: Возможно, в ходе ваших первых встреч здесь в России вы уже почувствовали ментальную специфику российского бизнеса?
Х. Я. С.: В одних странах бизнес ориентирован на формирование формализованных бизнес-процессов, в других больше зависит от отношений между людьми. В России он сильно завязан на конкретных людей, на отношения между ними.
PC Week: Компания Imperva участвует в таких крупных международных мероприятиях по ИБ, как конференции RSA, Infosecurity Europe, Interop. А какие российские ИБ-мероприятия представляют интерес для вас?
Х. Я. С.: В этом году мы хотим принять участие в нескольких российских ИБ-мероприятиях, и у нас запланированы на это средства. Полагаясь на компанию Netwell, мы сейчас выбираем, какие из них нам больше подходят по формам организации и по развиваемым их устроителями идеям. В стадии обсуждения наше участие весной в конференциях в Екатеринбурге и Казани, а осенью — в мероприятиях в центральном регионе России.
PC Week: Почему Imperva сосредоточена на защите именно CУБД и веб-приложений? Ведь есть еще сетевой периметр, конечные точки сети, серверы приложений...
Х. Я. С.: Когда Шломо Крамер основывал в 2002 г. компанию Imperva, идея защиты периметра уже была реализована им как одним из соучредителей компании Check Point. Следующей его идеей стала защита CУБД и веб-приложений, и Imperva успешно эту идею реализует. Как свидетельствуют эксперты и опыт нашей фирмы, рынок этого направления сейчас очень интересен.
PC Week: Чем продукты Imperva отличаются от предложений конкурентов?
Х. Я. С.: Мы не видим смысла повторять то, что уже есть у других разработчиков, поэтому наши продукты уникальны. Основное наше отличие от конкурентов заключается в том, что мы предлагаем для защиты CУБД и веб-приложений решения комплексные и с высоким уровнем автоматизации управления.
PC Week: Но компании хотят иметь безопасный бизнес, а не защищать CУБД, веб-приложения или периметр сети…
Х. Я. С.: Нельзя быть специалистами во всем, и не стоит преуменьшать значения выбранной нами ниши. Защита CУБД и веб-приложений — большая и важная часть в построении корпоративной ИБ; кроме того, следует учитывать то, что наши предложения по ИБ этой ниши не имеют аналогов. Например, с помощью продуктов Imperva можно с высокой точностью выявлять и блокировать вредоносные действия злоумышленников, обращающихся к базам данных как напрямую, так и через различные веб-приложения. У конкурентов этого нет.
Решения Imperva в состоянии выявлять необычные действия пользователей с БД и уведомлять об этом администраторов. Портрет “обычного” поведения пользователя наши решения могут сформировать самостоятельно, будучи переведены в режим “обучения”, или использовать для этого политики, прописанные администратором решения на основе бизнес-ролей пользователей.
Как я уже говорил, управление нашими продуктами производится централизованно, с единого сервера. На одной “железке” может консолидироваться и анализироваться информация с 15 наших устройств защиты, а при необходимости расширения достаточно добавить в инфраструктуру дополнительные серверы управления. Продукты Imperva можно интегрировать в системы других разработчиков класса централизованного управления ИБ Security Operations Center (SOC) и управления событиями и инцидентами ИБ (Security Information and Event Management, SIEM/SIM). Они поддерживают основные стандартные протоколы, такие как SNMP, syslog, стандарты электронной почты...
Помимо этого с помощью наших продуктов компаниям несложно выполнять требования таких международных регулятивных стандартов, как PCI DSS, SOX, HIPAA, BASEL II и т. п. За счет настроек продуктов Imperva можно следовать лучшим практикам безопасного ведения бизнеса.
У нас действует специальная программа работы с клиентами для создания таких практик, а также для выявления потребностей в возможных доработках продуктов и расширении их функционала. В рамках этой программы на регулярной основе (пару раз в год в каждом регионе, где мы работаем) проводятся совещания с наиболее крупными и зрелыми заказчиками для определения лучших режимов использования наших продуктов , клиентских потребностей и возможностей интеграции с продуктами других производителей. Это также позволяет адаптировать наши разработки для наиболее эффективного их использования на вертикальных рынках, учитывать культурные особенности ведения бизнеса и методы подготовки технических специалистов в разных регионах. Кстати, ближайшая такая встреча состоится в мае в Барселоне, на ней будут присутствовать 20 представителей заказчиков из региона EMEA, в число которых войдут и специалисты российских компаний.
PC Week: Современные кибер-атаки стали адресными, их разрабатывают порой по нескольку месяцев и нацеливают на конкретную компанию. Какие способы защиты предлагает Imperva от этого вида угроз?
Х. Я. С.: У Imperva есть средства для предотвращения в числе прочих и таких, целевых, атак. Наш международный центр реагирования Application Defense Center (ADC) постоянно отслеживает, консолидирует и исследует состояние кибер-угроз. В ADC собирают сведения о преступных кибер-группировках, отслеживают стадии активизации их ботнетов. Специалисты центра постоянно обновляют базу данных с сигнатурами вредоносных программ, обнаруженными уязвимостями в программных приложениях. Они составляют отчеты об угрозах, репутационные списки веб-ресурсов, разрабатывают правила корреляции между всей собранной информацией для выявления возможных новых атак. Подготавливаемую центром информацию покупают ведущие разработчики ПО. Специальные программные агенты Imperva умеют в режиме онлайн подгружать данные ADC на наши устройства, которые, в свою очередь, руководствуясь правилами и данными, обновляемыми специалистами Imperva, автоматически изменяют свои настройки, чтобы в режиме реального времени быть готовыми противостоять новым угрозам.
PC Week: Какова, на ваш взгляд, роль организационных мер в сравнении с ролью технических средств в организации ИБ? Как в общих затратах на ИБ соотносятся затраты на технические средства и организационные мероприятия?
Х. Я. С.: В обеспечении ИБ важны и организационные мероприятия, и техника, но более эффективны все-таки технические средства. Люди остаются людьми — это наиболее уязвимое место в построении ИБ. Однако, организуя ИБ, мы в итоге все равно приходим к процедурам, объединяющим и людей, и технику.
Что же касается затрат, то несложно спланировать капитальные издержки на покупку техники, а вот оценить затраты на выполнение ИБ-политик, например, на соответствие требованиям PCI DSS или SOX, трудно. Вполне определенно могу сказать, что необходимость принятия организационных мер для выполнения регулятивных отраслевых и государственных требований в США привела к тому, что в этой стране наши продукты продаются очень хорошо, ведь если у американской компании нет механизмов обеспечения соответствия требованиям регуляторов, то она просто не сможет выйти на рынок.
PC Week: Похоже, что при отсутствии государственного и отраслевого регулирования бизнес не всегда готов учитывать интересы граждан в области ИБ даже в экономически развитых странах, если понадобились такие законодательные акты, как SOX, PCI DSS, HIPAА?
Х. Я. С.: Кибер-преступность не признает границ, хакеры действуют как на зрелых, так и на развивающихся рынках. Не играет роли, в какой стране воспользуются похищенной у вас банковской карточкой или с территории какого государства украдут данные вашей медицинской карты. Для обеспечения информационной безопасности граждан бизнес и правительства должны объединять свои усилия. Правительства для того и избираются, чтобы обеспечивать безопасность, благополучие граждан. Что касается бизнеса, то он остается самим собой. Например, экономическая выгода не всегда способна заставить производителя пластиковых бутылок изменить технологию, чтобы использовать свою продукцию повторно, — здесь нужен “зеленый” закон. Понятие “соответствия” пришло и в вашу страну, однако масштабы расходов на него в России сегодня оценить сложно.
PC Week: Эксперты отмечают, что корпоративные пользователи сегодня предпочитают для защиты своих ИТ-ресурсов применять не ПО, а ИБ-устройства, что объясняется простотой их обслуживания и меньшими затратами на него, да и ИБ-вендорам эта форма продукции больше по душе из-за более высокой маржинальности. Как ведет себя в этом плане Imperva?
Х. Я. С.: Мы стремимся производить безопасные решения, не привязываясь к исполнению — программному или аппаратному. Так, у нас есть ОЕМ-соглашение с компанией Crossbeam Systems, по которому мы выпускаем свое ПО для ее серверов. Однако преобладают в нашем продуктовом портфеле все же программно-аппаратные варианты.
PC Week: Как влияют на организацию защиты CУБД и веб-приложений новые технологические направления — виртуализация и облачные вычисления?
Х. Я. С.: Побудительным мотивом для перехода к виртуализации и облачным вычислениям стало стремление к снижению капитальных и операционных расходов на содержание ИТ-инфраструктуры. Эти технологии способствуют развитию услуг Security as a Service (SaaS), которые становятся все популярнее в США, Великобритании, Германии…Однако какую бы технологию вы ни использовали, в итоге приходите к конкретному, не важно где находящемуся серверу. Облачные вычисления и виртуализация представляют собой несложные (с позиции обеспечения ИБ) архитектурные изменения. Просто те вычислительные ресурсы, которые размещались в непосредственной близости от пользователя, переезжают в удаленные ЦОДы, где об их безопасности заботится провайдер.
Мы изначально ориентированы на защиту СУБД, в том числе и очень сложных, а там разграничения прав доступа к ресурсам, вплоть до конкретных полей записей, реализованы и поддерживаются давно. Поэтому для нас требования виртуализации не ведут к значительным, принципиальным изменениям в технологии защиты СУБД.
PC Week: Благодарю за беседу.