USD 64.63 ЕВРО 72.25

Кризис кризисом, а жизнь продолжается

Аналитика

Начинается период отчетов компаний, работающих на рынке информационной безопасности, в частности в сегментах антивирусов и антиспамов, по состоянию дел за первое полугодие 2009 года. Участники рынка с любопытством ожидали начало этого действа.

Причина тому, если перефразировать слова классика, баланс единства и борьбы противоположностей. Хотя рассматриваемый сегмент в деньгах и «просел» менее остальных, но его уже не хватает, чтобы расти более, чем на 100% в год. Это с одной стороны. С другой – огромный интеллектуальный потенциал как «классических» хакеров, так и тысяч уволенных в результате кризиса классных программистов, психологов, спецов по схемам обналичивания денег и т.д. Было интересно и то, о каких проектах смогут рассказать вендоры.

Как и ожидалось, наиболее уязвимым звеном оказались домашние пользователи. Много раз уже говорилось, что персональные антивирусные пакеты похожи друг на друга как две капли воды. Найти между ними три существенных для домашнего пользователя отличия не представляется возможным, в то время как компьютеры именно этой категории пользователей чаще всего и является составной частью ботнетов – основной ударной силы киберкриминала. А доходы населения, между прочим, падают… Корпорация Cisco на днях официально публикует свой обзор, который и начинается со слов «botnets as a service». Интригует, не правда ли? Наш ресурс планирует на базе этого отчета рассказать о количественных показателях активности компьютерного андеграунда, а сейчас речь пойдет более о технологических достижениях и трендах.

Что касается корпоративного сектора, то тут тоже скучать не приходится. Совсем недавно Cisco и два российских ИБ-вендора выпустили совместное решение NME-RVPN для маршрутизаторов ISR. Мы уже приводили слова генерального директора «С-Терра СиЭсПи» Сергея Рябко, характеризующие основной тренд в обеспечении ИБ для бизнеса. Но они стоят того, что повторить их еще раз: «Угрозы информационной безопасности перестали быть точечными, они стали комплексными. И противостоять им должна комплексная и эшелонированная защита. Речь идет о том, что атаки на информационные системы становятся многоступенчатыми и территориально распределенными. Связано это с развитием «мастерства» киберкриминала, а также с тенденциями в изменении архитектуры бизнеса, когда каждый офис имеет собственный выход в Интернет взамен централизованного подключения к нему».

Свое слово сказали и в McAfee. Специалисты Avert Labs McAfee сообщают, что за прошедший год количество атак на различные цифровые сети выросло более чем на 500%. Согласно проведенным исследованиям, сегодня крупная компания может одновременно использовать до 200 ИБ-продуктов различных поставщиков. Это приводит к значительным издержкам, затрудняет управление системой и снижает уровень защиты, поскольку различные средства ИБ не могут обмениваться информацией, координировать работу превентивных механизмов защиты и соотносить инциденты ИБ между собой. Чтобы помочь компаниям решить данную проблему, лидеры индустрии начинают создавать интегрированные предложения, которые позволяют добиться более высокого уровня безопасности, а также снизить стоимость владения системой ИБ.

Все это продолжает тему, поднятую далеко не сегодня о том, что антивирусные компании, специализирующиеся исключительно на монопродуктах, имеют не ясные рыночные перспективы и становятся нишевыми игроками в корпоративном сегменте, пусть даже и одними из лучших в мире.

В связи с этим возможны и перестановки мест в табелях о рангах антивирусных компаний в России. Если рассматривать заявления и реальные шаги McAfee, то выяснится, что эта компания обладает, пожалуй, одним из самых больших портфелей решений в сфере информационной безопасности: от средств защиты оконечных устройств до средств управления уязвимостями. А тех, людей, которые уже работают в Московском офисе, знают все ИБ-специалисты в России. Что-то похожее происходит и в Trend Micro.

Рамиль Яфизов, технический консультант компании McAfee, делится ближайшими планами: «В нашу «ударную группу», безусловно, войдет линейка ToPS – пакеты модулей под управлением единой консоли. Уже существует несколько основных наборов, выбор конкретного из которых зависит от потребностей заказчика и может быть расширен в любой момент. Разумеется, наша консоль управления ePolicy Orchestrator (с 1-го июля 2009 доступна новая версия ePO 4.5), позволяющая интегрировать управление различными модулями защиты и отчетность, и соответственно выстраивать единую архитектуру обороны, учитывающую слабые и сильные стороны инфраструктуры конкретной компании, и минимизировать возможные риски».

Вернемся в домашний сегмент. В сложившихся условиях вендорам остается не очень много возможностей для маневров. Один из них – технологическая гонка. Здесь максимум успеха добился игрок номер один на этом рынке – корпорация Symantec. Основной вывод, который сделали там, это то, что сегодня уже нельзя полагаться на традиционные решения для безопасности. Сотрудники корпорации, занимающиеся проблемами компьютерной защиты, ежемесячно регистрируют более двухсот миллионов интернет-атак, большая часть которых – неизвестные до сих пор угрозы. Несмотря на то, что Symantec только за 2008 год создала около 1,8 миллионов описаний вирусов, реальность говорит о том, что метод сигнатур и другие традиционные подходы к обеспечению компьютерной безопасности не могут угнаться за возрастающим числом угроз со стороны онлайновых правонарушителей!

«Если посмотреть на общее количество инфицированных систем в мире, становится абсолютно ясно: базовой защиты не достаточно, – говорит Рован Троллоп (Rowan Trollope), старший вице-президент компании Symantec по работе с клиентами. – Norton был пионером в разработке сигнатурной модели защиты. Сегодня же мы задаем новый стандарт, который будет охватывать все аспекты защиты. Мы начинаем проект «Quorum», который, на наш взгляд, поможет остановить «плохих парней», даже если никто нигде не видел их фотороботы». Таким образом, корпорация Symantec  окончательно вывела в тень то, с чего начинали свою карьеру борцы с вирусами, троянами и прочей компьютерной нечистью. Достаточно мужественный шаг, но он необходим.

Что предлагается взамен? Были анонсированы бета-версии продуктов Norton Internet Security 2010 и Norton AntiVirus 2010. В этих решениях впервые масштабно реализованы технологии защиты, основанные на принципе определения репутации и степени доверия. Да, конечно, и другие вендоры говорят об этом и даже показывают опытные образцы. Но говорить можно сколько угодно, а представить массовый продукт – это совсем другое. Данные версии продуктов семейства Norton – прорыв в развитии систем компьютерной безопасности. Модель защиты, получившая кодовое название «Quorum», будет впервые продемонстрирована широкой публике вместе с официальным запуском новых версий продуктов, которое запланировано на осень 2009 года.

Несмотря на угрожающие темпы роста числа вредоносных программ, разработчики средств защиты вместо поиска новых подходов продолжили совершенствовать существующие модели. В проекте «Quorum» наряду с системой выявления угроз, основанной на репутации, представлены и усовершенствованные традиционные методы: система предупреждений, удаление угроз, защита от спама и родительский контроль.

Новая технология действует подобно ресторанным и гостиничным рейтингам, которые были созданы для того, чтобы потребителям было легче делать выбор. Здесь репутация заведения рассчитывается на основе статистических данных. Точно так же продукты Symantec линейки 2010 используют понятие репутации приложений для противодействия компьютерным преступникам, которые создают все новые угрозы, стремясь обойти известные средства защиты.

Репутация приложения создается на основе миллионов откликов участников программы NortonCommunityWatch, которые анонимно передают данные о характеристиках приложений, работающих на их компьютерах. Большинство приложений, которые запускают пользователи, безопасны, поскольку известно их происхождение, разработчики и другие основные характеристики. Вредоносные программы, наоборот, отличаются тем, что их никогда не видели прежде, их разработчики неизвестны – в результате эти и некоторые другие характеристики определяют плохую репутацию программы. На основе этих статистических данных вычисляется рейтинг каждого приложения. Даже без участия пользователя система в состоянии делать выводы о степени безопасности или вредоносности той или иной программы, причем, с весьма высокой точностью.

Это еще не все. Появилась и система SONAR 2, относящаяся к новому поколению средств защиты от вредоносных программ. Она отвечает за сбор и интеллектуальную обработку данных, поступающих от компьютера пользователя. На основании этих данных система принимает решение о выборе того или иного вида «топлива», то есть модели защиты. SONAR 2 выявляет неизвестные угрозы, основываясь на суммарной интеллектуальности всех защитных функций Norton – для сетевого обмена, программной активности в системе, рейтинговых данных в облаке и т.п.

Любопытна и технология интеллектуальных уведомлений. Все, помнят, что некоторое время назад в Сети появился новый класс угроз: вредоносное программное обеспечение, маскируясь под обновления и кодеки, предлагает пользователям установить его на компьютеры. Традиционные методы распознавания здесь часто оказываются неэффективными, так как не могут сообщить о происходящем на понятном пользователям языке. Новый подход, по уверениям разработчиков, научился в доступной форме и ненавязчиво информировать  попытках заражения. Тем, у кого небольшой опыт общения с компьютером, часто бывает достаточно общего описания проблемы, а пользователи, подкованные в техническом плане, имеют возможность исследовать проблему детально, выявить источник угрозы и выполненные им несанкционированные действия.

Новая модель безопасности дополнительно включает защиту от спама и родительский контроль. Антиспамовый механизм Symantec Brightmail позволяет почтовым ящикам клиентов добиться степени защищенности, которая ранее была характерна для корпоративных систем. Заметно повысились эффективность и скорость обучаемости системы защиты от спама, в основе работы которой лежат проверенная временем эвристика и облака сигнатур.

В рамках одного обзора не возможно, даже приблизительно, описать все те новинки, тренды и действия компаний на рынке ИБ, даже ограничиваясь пределами России. Возможно, ключевым трендом для всех секторов ИБ становится стандартизация и повсеместное распространение риск-менеджмента. Например, в эти дни в Москве проходит международная конференция «Биометрия – новый стандарт жизни», посвященная именно этому вопросу.

В чем-то схожую позицию занимает и Рамиль Яфизов: «Если бы данные стандарты и соглашения (управление рисками, Basel II и т.д.) существовали дольше и соблюдались более строго, многие компании могли бы пострадать заметно меньше от экономического кризиса, если не избежать его вовсе. Фактически кризис подтвердил, что в свое время использовалось недостаточно инструментов управления рисками. Сегодня финансовые институты активно внедряют модули управления рисками – в первую очередь, чтобы сократить текущие потери и эффективнее принимать решения, так что ИБ-компании в краткосрочной и среднесрочной перспективе получают рынок в этом сегменте. Только жесткое управление рисками позволит компаниям выйти из кризиса с минимальными потерями и получить конкурентное преимущество на рестарте. Сегодня это уже поняли и готовы инвестировать».

Вадим Ференец

Не затихает активность и в рядах вендоров, связанных с криптографией. Крупнейшим событием начала июля 2009 стало начало масштабного проекта по созданию системы электронного документооборота в Федеральном фонде обязательного медицинского страхования с использованием защищенных носителей ключевой информации Aladdin eToken. Есть немало иных интересных внедрений. Так что, кризис кризисом, а жизнь продолжается.