Согласно результатам исследования компании Webroot, 80% от участвовавших в опросе восьмисот ИТ-служащих США, Великобритании и Австралии считают, что в текущем году основным источником информационных угроз, серьезно осложняющих работу предприятий, являются технологии Web 2.0. Этот вывод подтверждают также специалисты ряда ведущих мировых ИБ-поставщиков и аналитических компаний. Например, аналитики Gartner пишут, что кибер-преступники активно используют веб как среду распространения вредоносных программ и канал управления ими.
Казалось бы, коль скоро основные угрозы вновь переместились вовне, компаниям опять нужно сосредоточиться на защите периметра. Однако установка новых шлюзовых решений для борьбы с угрозами Web 2.0 вовсе не означает, что можно ослабить внимание к средствам прямой защиты конечных точек, как правило, располагающихся позади этих шлюзов, внутри периметровой защиты. Так, посвященный именно этой проблеме опрос, проведенный компанией Check Point Software среди двухсот с лишним специалистов по ИТ и компьютерной безопасности из разных стран и секторов экономики, привел экспертов к выводу о том, что количество незащищенных конечных точек в корпоративном сегменте растет. Похоже, сами предприятия относятся к этой ситуации с пониманием, поскольку около 47% респондентов указали, что в течение года планируют купить новые продукты для защиты конечных точек, при том что у 90% из них уже используются антивирусные пакеты, а примерно у половины установлены также персональные шлюзы безопасности и средства VPN.
Функциональный состав решения для защиты конечных точек
Говоря о функциональном составе решения для защиты конечных точек и о его основных характеристиках, эксперты единодушно указывают на комплексность, что означает способность защищать и мобильные, и стационарные конечные точки как от внешних, так и от внутренних атак. Именно поэтому устанавливаемые практически на всех рабочих станциях антивирусы давно переросли рамки средства противодействия только вирусным заражениям, превратившись, по выражению аналитика компании “Доктор Веб” Валерия Ледовского, в комбайны, вобравшие в себя кроме антивирусного также и функционал персонального межсетевого экрана, способность защищать рабочие станции от широкого класса вредоносных программ, спама и внешних атак, используя для этого не только сигнатурный анализ, но и проактивные технологии обнаружения злонамеренных активностей в вычислительной среде точки подключения к сети (HIPS). Важным компонентом антивируса, как отмечает г-н Ледовской, являются средства защиты самого антивируса от используемых современными вредоносными программами изощренных механизмов блокирования его работы.
На основании проведенных исследований эксперты из компании Webroot пришли к удручающему выводу о состоянии интернет-безопасности в компаниях, несмотря на то что в 88% опрошенных организаций введены жесткие политики пользования Интернетом, в 69% предприятий регулярно доводят до каждого сотрудника информацию об интернет- опасностях, у 56% респондентов есть строгие запреты на посещение сайтов социальных сетей, а в 44% не реже, чем раз в год, рассылают соответствующие оповещения. Из этого следует, что одними организационными мерами не обойтись и параллельно по-прежнему нужно совершенствовать технические средства контроля информационной безопасности рабочих мест.
Возрастающая роль мониторинга и принудительного выполнения политик в области ИБ определяет потребность в функционале контроля доступа к сети (NAC). Опрос Check Point показывает, что 22% компаний уже готовы купить NAC-продукты для того, чтобы в соответствии с установленными политиками контролировать состояние пользовательских компьютеров.
Оправданная статистикой ИБ-инцидентов и диктуемая регуляторами озабоченность компаний сохранением конфиденциальности определенного вида корпоративной информации обуславливает рост спроса на средства борьбы с утечками данных (DLP). Системы DLP обеспечивают контроль обращения пользователей с информацией, помогают бороться с кражами и непреднамеренными утечками данных, представляющих ценность для бизнеса или относящихся к разряду критически важных в силу действующих регулятивных требований.
Практически неотъемлемым для систем защиты конечных точек становится единый для всего комплекса средств такой защиты интерфейс. Причем к объединению под общим “зонтиком” администрирования и эксплуатации выпускаются не только моновендорные решения. К примеру, компании BigFix и Trend Micro объединились в рамках OEM-партнерства для того, чтобы обеспечить пользователям решений безопасности, построенных на продуктах Trend Micro, доступ к разработанным BigFix функциям управления жизненным циклом компьютеров (PCLCM), таким как управление патчами и электропотреблением.
Важное значение, особенно для мобильных средств подключения к корпоративной сети, приобретает функция шифрования данных на жестких дисках и сменных носителях информации. Чтобы подчеркнуть актуальность этого средства защиты, можно сослаться на весьма показательные данные из США: в 2008 г. только в аэропортах этой страны еженедельно терялось в среднем 12 тыс. ноутбуков. По мере неуклонного роста количества мобильных коммуникационно-вычислительных устройств будет возрастать и роль шифрования, ведь уже сегодня ноутбуков покупается больше, чем настольных систем. Правда, технический консультант Trend Micro в России и СНГ Николай Романов обращает внимание на то, что распространение средств шифрования данных иностранного производства в России пока имеет законодательные ограничения и их использование в ряде случаев не представляется возможным. “Однако не исключаю, что под давлением объективных факторов ситуация со временем изменится”, — полагает он.
Состояние рынка средств защиты конечных точек
Начиная с 2007 г. компания Gartner выделила такие средства в отдельный класс продуктов, который назвала платформами защиты конечных точек (Endpoint Protection Platform, EPP). Это обособление аналитики обосновывают тем, что специализированные рынки традиционных антивирусов, средств защиты от шпионских программ и персональных межсетевых экранов вытесняются более широкими комплексами взаимосвязанных технологий безопасности.
Зафиксировав в 2008 г. объем мирового рынка EPP в 2,5 млрд. долл., Gartner на 2009-й предсказывала его рост на 8% (данных о точности прогноза пока нет). Лидерами, разделяющими между собой 85% этого рынка, в прошлом году оставались McAfee, Symantec и Trend Micro. Вместе с тем компания ожидает в нынешнем году усиления позиций в области EPP от Microsoft, отмечая, что в основном это касается сегмента среднего и малого бизнеса. В 2009-м в магическом квадранте EPP появились новички: фирмы Eset, Prevx и SkyRecon Sytems. Активное поведение этих молодых в технологиях EPP игроков — провидцев и претендентов — стимулирует лидеров к наращиванию функционала и вместе с тем к тому, чтобы держать разумные цены.
Gartner обращает внимание на то, что поставщики средств контроля операционных ресурсов, среди которых присутствуют BigFix и LANDesk, активно дополняют свои инструменты средствами сигнатурной и проактивной защиты информации, поглощая производителей таких продуктов или заключая с ними партнерские соглашения, и тем самым упрочивают свои позиции в магическом квадранте вендоров EPP. Со своей стороны традиционные ИБ-вендоры наступают там, где сильны BigFix и LANDesk. Например, Trend Micro и IBM некоторое время назад лицензировали технологию управления жизненным циклом рабочих станций PCLCM компании BigFix, а Symantec купила фирму Altiris и интегрировала ее средства с аналогичным функционалом в управление своей платформой Symantec Endpoint Protection.
Отмечается, что только четыре вендора, присутствующие в магическом квадранте EPP, — Check Point, McAfee, Sophos и Symantec — имеют функционал NAC, достаточно развитый для того, чтобы одновременно находиться и в магическом квадранте поставщиков NAC. Продукты остальных EPP-вендоров либо имеют только основу функционала NAC, либо вообще игнорируют эту технологию, склоняясь к другим способам контроля доступа компьютеров в сеть, основанным на технологиях сетевого управления.
Факторы влияния на рынок средств защиты конечных точек
Экономическая обстановка. Согласно исследованию состояния ИБ в 2009 г. в России, которое недавно завершила компания PricewaterhouseCoopers, почти половина респондентов считают, что финансовый кризис не оказал значительного влияния на обеспечение информационной безопасности в российских компаниях.
Регулирование. По мнению руководителя отдела компании “Айдеко” Алексея Мурзина регуляторы, долгое время даже по ключевым вопросам ИБ занимавшие позицию: “Делайте, что хотите, только чтобы это не противоречило руководящим документам”, — теперь активно включились в процессы выработки конкретных рекомендаций по всем основным аспектам защиты конечных точек. Как следствие, отмечает он, стремительно растет спрос на сертифицированные решения, а доверие заказчиков смещается в пользу российских ИБ-производителей, тогда как еще два-три года назад во многих сегментах ИБ-рынка первые позиции уверенно держали западные компании. Вместе с тем выбор сертифицированных продуктов делается не всегда осознанно, поскольку еще не все операторы детально погрузились в особенности национального закона о защите персональных данных и зачастую выбирают “самое сертифицированное” решение, тогда как в конкретных условиях своей ИТ-инфраструктуры могли бы обходиться и менее дорогими средствами. “Однако правовые знания ИТ-менеджеров стремительно растут, и такое положение дел долго не продержится”, — полагает г-н Мурзин.
Положительное влияние продиктованной законом “О персональных данных” необходимости использования сертифицированных средств, и прежде всего такого массового продукта, как антивирус, Валерий Ледовской усматривает в снижении показателя использования нелицензионных программных продуктов в корпоративной среде.
Николай Романов обращает внимание на то, что, организуя выполнение требований к обработке персональных данных, компании должны четко разделять рабочие места сотрудников, которые обрабатывают данные, не являющиеся персональными (к ним закон гораздо менее требователен, и потому их защита обходится гораздое дешевле), и специалистов, чьи компьютеры надлежит защищать особенно тщательно (например, бухгалтеров и работников кадровой службы).
Изменение ландшафта угроз. Аналитики Gartner отмечают, что сигнатурные антивирусные движки быстро утрачивают эффективность из-за роста количества вредоносных программ в геометрической пропорции и слабого противодействия целевым атакам. Они не способны противостоять неизвестным угрозам и угрозам “нулевого дня”. Поэтому, считают в Gartner, сегодня эффективнее несигнатурные проактивные технологии, такие как HIPS, а также контроль работы конечных точек, направленный на обнаружение ресурсов, управление конфигурациями, оценку угроз, управление ПО, использование белых списков.
Такие компании, как F-Secure, MсAfee, Trend Micro, Prevx, активно внедряют в свои продукты поддержку прямых клиентских обращений к облачным сигнатурным базам данных и репутационным характеристикам для определения статуса безопасности подозреваемых ресурсов. Gartner отмечает, что в 2009 г. ИБ-вендоры существенно усовершенствовали свои технологии обнаружения руткитов. Согласно данным этой аналитической компании, вендоры платформ EPP по-прежнему направляют свои усилия на повышение защищенности информации, реализуя для этого полное шифрование данных жестких дисков и съемных носителей, функционал DLP, контроль портов и устройств. При этом, наращивая возможности своих EPP, вендоры из-за жесткой конкуренции ограничены в возможности поднимать цены.
Тенденции развития
Оценивая динамику российского рынка средств защиты конечных точек, Алексей Мурзин полагает, что его объем будет расти, опережая показатели, связанные только с увеличением количества вновь создаваемых рабочих мест. Что касается технологических тенденций, то, по его мнению, хитом продаж в этом сегменте стало бы решение по фильтрации и контролю исходящего голосового трафика. “Однако в ближайшей перспективе таких средств контроля, к сожалению, ждать не приходится”, — заключает он.
Консолидация технологий и централизация управления. Эксперты отмечают, что ИБ-угрозы становятся комплексными, утрачивают признаки только внешних или внутренних. Аналогичные процессы происходят и со средствами защиты: размываются технологические и продуктовые границы в пользу построения комплексных систем ИБ с централизованным управлением средствами защиты, мониторингом и корреляцией ИБ-событий, автоматизацией принятия решений; возрастает актуальность создания центров управления информационной безопасностью (Security Operations Center, SOC). По мнению Алексея Мурзина, сегмент EPP тоже развивается в этом направлении — компании разрабатывают решения, централизованно контролирующие поведение конечных точек, продукты, в которых реализован комплексный подход с поддержкой технологий защиты от интернет-угроз и утечек данных, с возможностью блокирования несанкционированной активности устройств и отдельных портов, с шифрованием данных, аутентификацией пользователей, управлением правами доступа и политиками использования приложений. “Такие решения должны иметь единые средства администрирования и мониторинга, учитывать особенности национального регулирования и способность постоянно актуализироваться, чтобы работать на опережение кибер-преступников”, — считает он.
Как отмечалось выше со ссылкой на сведения Gartner, развитие платформ EPP идет в условиях жесткой конкуренции, не позволяющей поставщикам поднимать цены. Вместе с этим наблюдается повышение зрелости и у заказчиков EPP. Говоря о российских компаниях, Алексей Мурзин отмечает их возросшую прагматичность в выборе средств защиты. “Сегодня вендору недостаточно показать весь функционал своего решения и сослаться на примеры удачного внедрения. Для успешных продаж стало необходимо многоуровневое конкурентное сравнение по всем характеристикам EPP-решения, начиная с параметров защищенности и заканчивая показателями ROI и TCO”, — сказал он.
Защита конечных точек как услуга. Как полагает Николай Романов, вариант аутсорсинга в защите конечных точек интересен компаниям, не желающим тратить собственные ресурсы на обслуживание подобных систем, но прежде всего он важен небольшим компаниям, у которых таких ресурсов попросту недостаточно. Он считает также, что классические клиент-серверные решения в режиме аутсорсинга для большинства небольших компаний остаются дорогими и сложными в эксплуатации. Зато решения типа Hosted (решение как услуга), по его мнению, гораздо привлекательнее: никакого оборудования на стороне заказчика, никаких затрат на администрирование, и можно все внимание переключить на вопросы основного бизнеса. “Такие решения уже есть, и они хорошо зарекомендовали себя”, — говорит он, ссылаясь на опыт продвижения hosted-версии продукта Trend Micro Worry-Free Business Security.
Валерий Ледовской напоминает, что с середины февраля, с выходом интернет-сервиса Dr.Web AV-Desk 5.0.1 компании “Доктор Веб”, корпоративным пользователям стала доступна по модели “программное обеспечение как сервис” услуга “Антивирус Dr.Web”. “Преимущества использования антивируса как услуги очевидны: низкая стоимость, надёжность защиты, удобство оплаты и более точное планирование расходов, снижение затрат на оплату работы администраторов локальной сети”, — пояснил Валерий Ледовской.
Аутсорсинг позволяет за счет провайдера оперативно реагировать на изменение ландшафта угроз: если провайдер не успевает перестроить свою защиту, можно перейти к другому, более расторопному. Вместе с тем, по мнению Алексея Мурзина, сегмент “безопасность как услуга” в общей картине рынка пока заметно себя не проявляет, спрос здесь невысокий. “Российские заказчики ещё не доверяют безопасности “в облаках»”, — утверждает он.