Рынок ПО для обеспечения безопасности

Светлана Шляхтина

Потенциальные ИТ-угрозы

Структура рынка ПО для обеспечения безопасности

Программные системы 3A (Security 3A)

Программные брандмауэры и VPN (Firewall/VPN SW)

Решения для управления безопасностью контента (Secure Content Management, SCM)

ПО для оценки уязвимостей и выявления вторжений (Intrusion detection software/Vulnerability Assesment, IDS VA)

Обеспечение информационной безопасности — обязательное условие функционирования любой информационной системы, ведь любое нарушение ее защиты может повлечь за собой потерю времени и финансов, повреждение или разрушение данных, утрату доверия клиентов и пр.

По мере стремительного развития и усложнения ИТ-инфраструктуры проблема защиты информации приобретает все большее значение. Дело в том, что для повышения эффективности бизнес-процессов предприятия расширяют сферы взаимодействия, что автоматически приводит к росту числа потенциальных угроз и рисков. Следовательно, возрастает и потребность в формировании четкой, основанной на тщательно разработанных политиках системы обеспечения безопасности.

ПО в сфере ИТ-безопасности охватывает широкий спектр технологий, используемых для обеспечения безопасности компьютеров, информационных систем, интернет-коммуникаций и транзакций. На базе данного ПО организации могут обеспечивать целостность, конфиденциальность и аутентичность информации, контролировать доступ к информационным ресурсам на основе политик безопасности и предотвращать несанкционированный доступ к ним, защищать ИТ-системы от вирусов, шифровать важные данные, обнаруживать вторжения, выявлять уязвимости и т.п.

Прежде чем перейти к описанию структуры рынка для обеспечения безопасности и используемого в данной сфере программного обеспечения, кратко рассмотрим потенциальные угрозы, формирующие те или иные направления обеспечения ИТ-безопасности.

Потенциальные ИТ-угрозы

Как известно, обеспечение ИТ-безопасности предполагает защиту от внешних и внутренних угроз. Под внешними угрозами подразумеваются вирусы, спам, хакерские атаки и шпионские модули. Под внутренними — атаки, исходящие изнутри, такие как кражи конфиденциальных сведений, умышленные и случайные противоправные действия сотрудников, нецелевое использование сетевых ресурсов компании и т.п. И те и другие представляют серьезную опасность для компьютерных систем и могут приводить к потере важных данных, прямым финансовым убыткам, ухудшению имиджа компании и пр.

Ранее наиболее пристальное внимание уделялось внешним угрозам, в первую очередь вирусам, которые считались самыми опасными, — действительно, вирусные атаки по-прежнему наносят наиболее ощутимый финансовый ущерб. Так, согласно последнему отчету CSI/FBI Computer Crime and Security Survey, в принявших участие в исследовании американских корпорациях потери от вирусных атак составили почти 30% от всех их потерь (рис. 1). Вместе с тем сегодня ИТ-руководители все более обеспокоены внутренними угрозами, для чего у них имеются все основания. Во-первых, это касается неавторизованного доступа, который прочно удерживает второе место по наносимому финансовому ущербу. Во-вторых, это такие угрозы, как кража ноутбуков и других мобильных устройств и кража частной информации, занимающие третье и четвертое места в рейтинге угроз, приводящих к наибольшим финансовым потерям. В целом на названные четыре вида атак приходится более 74% финансовых убытков.

Рис. 1. Объем потерь от различных видов атак, долл. (источник: CSI/FBI Computer Crime
and Security Survey, 2006)

Однако явные финансовые потери — это еще не самое страшное для бизнеса, куда более серьезным ущербом является ухудшение репутации компании, что помимо прямых финансовых убытков автоматически влечет за собой потерю партнеров и клиентов, падение стоимости акций, недополучение прибыли и т.д. Поэтому возглавляют рейтинг самых опасных угроз не вирусы (они на 3-м месте), а кража информации (65,8%) и халатность сотрудников (55,1%) — рис. 2.

Рис. 2. Рейтинг самых опасных угроз
в 2004-2006 годах (источник: InfoWatch, 2006)

Как видно из этого рисунка, наиболее опасной угрозой является утечка конфиденциальной информации, совершаемая инсайдерами. Последствия такой утечки для компаний могут оказаться весьма существенными — это и прямые финансовые убытки (46%), и ухудшение имиджа и общественного мнения (42,3%), и потеря клиентов (36,9%) и т.д. (рис. 3).

Рис. 3. Наиболее серьезные последствия
утечки конфиденциальной информации
(источник: InfoWatch, 2006)

Если попробовать четко разделить все угрозы на внутренние и внешние, отнеся в категорию внутренних угроз халатность сотрудников, саботаж и финансовое мошенничество, а в категорию внешних — вирусы, хакеры и спам, и нормировать рейтинг опасности каждой категории, то легко увидеть, что внутренние угрозы превалируют над внешними (рис. 4). Правда, стоит признать, что такое разбиение несколько относительно, поскольку угрозы кражи информации, различных сбоев и кражи оборудования сложно отнести к одной из категорий — они могут быть реализованы как изнутри, так и снаружи или вообще без вмешательства человека, например в результате аппаратных сбоев.

Рис. 4. Соотношение опасности от внутренних
и внешних угроз, % (источник: InfoWatch, 2006)

Конечно, нельзя категорически утверждать, что внутренние риски в сфере информационной безопасности опаснее внешних, но факт налицо: угрозы со стороны сотрудников сегодня вызывают гораздо больше беспокойства, чем вирусы, хакеры, спам и т.д. Это объясняется тем, что от внутренних нарушителей нельзя защититься так же надежно, как, например, от вредоносных программ, установив антивирус и регулярно обновляя его сигнатурные базы, — потребуется сформировать куда более сложную систему защиты.

Интересно сравнить, насколько активно компании подвергаются атакам со стороны киберпреступников, атакующих извне, и инсайдеров, нападающих изнутри. Так, инсайдеры лидируют (56%) в категории «кража конфиденциальной информации» (что вполне логично) — рис. 5, причем количество организаций, пострадавших от собственных сотрудников, за последний год выросло почти в полтора раза. Однако с не меньшим успехом конфиденциальную информацию крадут и при внешних атаках (49%). Опережают инсайдеры киберпреступников и в плане саботажа, вымогательства, а также преднамеренной порчи либо уничтожения информации, систем и сетей (49 против 41%). Зато к неавторизованному доступу или к несанкционированному использованию информационных ресурсов и сетей чаще прибегают киберпреступники, чем сотрудники компаний (60 против 47%). Они же чаще специализируются на фальсификации (69 против 47%) и краже личных данных (79 против 46%). Так что в целом можно сделать вывод, что внутренние атаки не менее часты, чем внешние, а фокус в обеспечении ИТ-безопасности все более смещается с защиты от внешних угроз — вредоносных кодов, сетевых атак и фильтрации спама — к предотвращению атак, исходящих изнутри.

Рис. 5. Направленность преступлений в сфере информационной безопасности, %
(источник: исследование «2006 E-Crime Watch Survey», 2006)

Все это вынуждает компании более серьезно отнестись к проблеме обеспечения информационной безопасности, которые постепенно начинают предпринимать определенные шаги для изменения ситуации. Так, согласно исследованию «2006 E-Crime Watch Survey», проведенному журналом CSO (Chief Security Officer) совместно с Секретной службой США (US Secret Service) на базе 15 тыс. читателей журнала, большую (по сравнению с 2005 годом) озабоченность компаний угрозами электронной безопасности подтвердили более половины респондентов. При этом 69% сообщили, что организации, в которых они работают, теперь лучше подготовлены к пресечению электронных атак. Приведенные данные вполне закономерны, ведь последствия компьютерных преступлений обходятся для компаний намного дороже, чем внедрение средств по их предотвращению — так, согласно заявлению аналитиков Gartner, на утечках данных экономия в среднем может достигать 500%.

Российские ИТ-руководители также все больше склоняются к необходимости принятия мер по формированию надежной системы безопасности — например за 2006 год, согласно исследованию InfoWatch, число российских компаний, внедривших системы защиты от утечек информации, выросло почти в пять раз. Хотя говорить о массовом внедрении у нас систем обеспечения безопасности, конечно, пока не приходится, поскольку подобная работа ведется лишь в одной из десяти компаний.

Рис. 6. Динамика неавторизованного
использования компьютерных систем
в 1999-2006 годах (источник: Computer
Security Institute, 2006)

Имеются и конкретные факты относительно результатов применения тех или иных технологий в плане защиты от нарушений в сфере информационной безопасности. Например, по последним оценкам Computer Security Institute, в 2006 году немного уменьшилось неавторизованное использование компьютерных систем (рис. 6). Согласно данным отчета CSI/FBI Computer Crime and Security Survey, сократился также ущерб от неавторизованного использования (с 303,2 тыс. в 2005-м до 85,6 тыс. долл. в 2006 году), вирусных атак (с 179,8 до 69,1 тыс. долл.) и атак типа «отказ в обслуживании» (Denial of Service, DoS) — с 56,7 до 20,9 тыс. долл. Более 80% организаций проводят теперь аудит надежности системы информационной безопасности. В 98% компаний для предотвращения нарушений информационной безопасности используются межсетевые экраны, в 97% установлены антивирусы, в 79% — антишпионские программы, в 70% — серверные списки контроля, а в 69% — системы обнаружения вторжений (рис. 7).

Рис. 7. Применяемые технологии для предотвращения нарушений информационной безопасности, %
(источник: исследование «2006 CSI/FBI Computer Crime and Security Survey», 2006)

Структура рынка ПО для обеспечения безопасности

Как видно из рис. 7, для формирования систем обеспечения безопасности компании используют самые разные технологии — как программные, так и аппаратные. При этом нередко система защиты разрабатывается, внедряется и затем поддерживается сторонней по отношению к заказчику организацией. Поэтому рынок ИТ-безопасности условно разделяется на три основных сегмента: рынок услуг управления ИТ-безопасностью (Security Services Market), рынок программных средств ИТ-безопасности (Security Software Market) и рынок аппаратных систем ИТ-безопасности (Security Hardware Market). Перекрытие последних двух рынков достаточно широко, так как зачастую однозначно отнести ту или иную систему либо технологию к чисто программным или чисто аппаратным средствам довольно сложно.

Единой точки зрения на структуру рынка ПО для обеспечения ИТ-безопасности (Security Software Market), рассматриваемого в ракурсе данной статьи, не существует. Наиболее полной представляется структуризация компании IDC (рис. 8), согласно которой к числу основных секторов этого рынка относятся программные средства для аутентификации, авторизации и администрирования (Security 3A), программные брандмауэры и VPN (Firewall/VPN SW), решения для управления безопасностью контента (Secure Content Management, SCM) и ПО для оценки уязвимостей и выявления вторжений (Intrusion detection software/Vulnerability Assesment, IDS&VA).

Рис. 8. Структура рынка ПО для обеспечения ИТ-безопасности (источник: IDC, 2005)

Все остальные виды ПО, нацеленные на решение проблем ИТ-безопасности, компания IDC относит к разделу «Другое», куда попадают криптографическое ПО (Encryption), приложения безопасности в беспроводных соединениях (Wireless Security), системах хранения данных (Storage Security) и web-сервисах (web Services Security), приложения, отвечающие за безопасность и входящие в состав операционных систем (Secure OS).

Согласно данным IDC, рынок программных систем безопасности SSM (Security Software Market) растет в среднем со скоростью CAGR более 15%. Наиболее высокие темпы роста — свыше 16% — зафиксированы в Азиатско-Тихоокеанском регионе (без Японии). По предварительным оценкам IDC, в 2005 году мировой объем оборота на данном рынке составил 10,8 млрд долл., а в 2006-м превысил 12 млрд. Данные Gartner заметно скромнее — 7,4 млрд в 2005 году, а 12 млрд — лишь в 2010-м. Столь заметные расхождения, по всей видимости, связаны с различными подходами в структуризации данного рынка.

Наиболее весомыми на рынке SSM являются сегменты решений для управления безопасностью контента (SCM) с долей в 44% и систем аутентификации, авторизации и администрирования (3A), доля которых в общем обороте составляет 33% (рис. 9). Причем в ряде регионов доля SCM-решений еще выше — например в Азиатско-Тихоокеанском регионе на них, согласно IDC, приходится более 57% рынка, что, по всей видимости, связано в первую очередь с ростом числа вирусов, spyware-компонентов и спама. Доля программных брандмауэров и VPN сопоставима с долей ПО для оценки уязвимостей и обнаружения вторжений и оценивается примерно в 9-10%. Влияние иных решений в области безопасности (которые пока объединены в сегменте «Другое») в обороте мирового рынка Security Software Market сегодня несущественно.

Рис. 9. Распределение мирового рынка
Security Software (источник: IDC, 2005)

Ведущими разработчиками на рынке SSM считаются компании Symantec, Check Point, RSA Security, Computer Associates и IBM.

Несмотря на сравнительно высокие темпы роста рынка, ситуация в плане корпоративной ИТ-безопасности пока выглядит довольно печально. Согласно данным отчета Ponemone Institute, лишь 37% ИТ-профессионалов полагают, что установленная в их компаниях система обеспечения безопасности достаточно эффективна, а 43% респондентов считают, что их компании смогут выявить только очень крупные нарушения. Более половины компаний, охваченных исследованием международной аудиторской компании Deloitte Touche, признали наличие в течение последних 12 месяцев потерь данных, связанных с внутренними атаками и нарушением политик, причем 33% имевших место в компаниях инцидентов привели к финансовым потерям.

Однако все большее число руководителей осознают, что обеспечение информационной безопасности — необходимое условие развития их бизнеса. Об этом свидетельствуют, в частности, данные опроса, проведенного телекоммуникационной компанией AT&T среди руководителей американских компаний, согласно которым в 2006 году уже 81% респондентов включили задачу построения системы ИТ-безопасности в бизнес-план (для сравнения — в 2005 году таковых было 75%).

Программные системы 3A (Security 3A)

Программные системы Security 3A объединяют решения для аутентификации, авторизации и администрирования и широко используются для обеспечения безопасности в компьютерных системах.

Аутентификационное ПО используется для верификации пользователей и, как правило, предполагает ввод имени пользователя и пароля для предоставления ему входа в систему.

Авторизационное ПО отвечает за определение уровня привилегий, предоставленных администратором пользователю в соответствии с корпоративной политикой безопасности, и регулирует уровень доступа к системным ресурсам. Обычно авторизация осуществляется последовательно с аутентификацией.

ПО администрирования включает решения для управления безопасностью, обеспечивающие контроль доступа к информации пользователей в соответствии с политиками безопасности и снижение потенциальной уязвимости системы со стороны как внутренних, так и внешних пользователей и фокусирующиеся на увеличении производительности пользователей, снижении ошибок администрирования и обеспечении управления различными службами безопасности из одной точки контроля.

Программные системы Security 3A обеспечивают управление правами доступа централизованно (то есть при появлении нового пользователя, изменении его состояния или в случае его ухода корректируются данные во всех системах одновременно) и с применением высокоуровневых политик, что необходимо для упрощения работы по контролю прав доступа. При этом создание, модификация и удаление учетных записей во всех приложениях информационной системы полностью автоматизированы.

Наиболее известными разработчиками программных продуктов на этом рынке являются компании Computer Associates, Netegrity, RSA Security и IBM (ранее представляемые ею продукты предлагались компанией Tivoli). В рамках данной статьи мы кратко рассмотрим лишь решения RSA Security: RSA Access Manager, RSA Digital Certificate Management Solutions и RSA SecurID.

Продукт RSA Access Manager, ранее известный как RSA ClearTrust, предназначен для идентификации пользователей и управления доступом в сеть и обеспечивает защищенный доступ к web-приложениям во внутренних сетях организаций, внешних сетях, порталах и инфраструктурах обмена данными. Решение базируется на основе применения корпоративных политик доступа — в нем предусмотрено централизованное внедрение и управление политиками, причем для работы со всеми информационными ресурсами расширенных корпоративных и федеративных сред достаточно однократной регистрации SSO (Single Sign-On). RSA Access Manager предоставляет расширенные возможности поиска и сортировки данных, а благодаря поддержке функции иерархического делегирования администраторских полномочий позволяет более эффективно распределять права и задачи в организациях со сложной организационной структурой (включая схему parent — child).

Пакет RSA Digital Certificate Management Solutions, ранее известный как RSA Keon, представляет собой систему обеспечения информационной безопасности предприятия, предназначенную для предотвращения неавторизованного доступа к конфиденциальным данным, приложениям и ресурсам и позволяющую вести безопасный электронный бизнес с помощью создания, управления и использования цифровых сертификатов или подписей. Аутентификация основана на базе технологии применения открытых ключей (Public Key Infrastructure), вводимых посредством использования смарт-карт. Для формирования инфраструктуры ключей в системе имеется инструментарий, позволяющий создавать сертификаты открытых ключей пользователей, отзывать их, хранить и публиковать (рис. 10). Для повышения уровня безопасности RSA Certificate Manager позволяет (после подключения дополнительного модуля для реализации криптографических функций — криптопровайдера) дополнительно применять криптографические средства.

Рис. 10. Схема создания сертификата
открытого ключа в RSA Digital Certificate Management Solutions

Продукт RSA SecurID является средством аутентификации, предназначенным для предотвращения неавторизованного доступа к конфиденциальным данным, приложениям и ресурсам как в локальной сети предприятия, так и в открытых сетях. Решение обеспечивает двойную защиту, поскольку для доступа пользователь должен знать персональный пароль и обладать аутентификатором SecurID (электронным токеном), каждые 60 секунд генерирующим шестизначный цифровой код, который также придется вводить в систему. RSA Security предлагает широкий выбор типов аутентификаторов — от электронных жетонов и смарт-карт RSA SecurID до электронных сертификатов. Идентификацию пользователя проводит сервер аутентификации ACE/Server, который используется для обработки аутентификационных запросов и администрирования политики безопасности. Аутентификаторы SecurID поддерживаются практически на всех аппаратно-программных платформах и во многих приложениях, а ACE/Server может расширяться до масштаба крупных предприятий и взаимодействовать с большим числом сетевых, интернет- и прикладных решений.

Программные брандмауэры и VPN (Firewall/VPN SW)

Рынок Firewall/VPN SW состоит из ПО, которое идентифицирует и блокирует доступ к определенным приложениям и данным. Кроме того, данные решения могут дополнительно обеспечивать VPN-шифрование. Программные брандмауэры обычно подразделяются на корпоративные, персональные и distributed-брандмауэры. Последние обладают функциональностью персональных десктоп-брандмауэров и одновременно с этим включают дополнительный управленческий инструментарий, что позволяет централизованно управлять политиками компании, VPN-шифрованием и апгрейдом ПО.

Брандмауэры позволяют разделить каждую сеть на две (или более) части и определить различные условия для прохождения пакетов внутри полученных частей сети. Как правило, подобная граница проводится между корпоративной (локальной) сетью предприятия и Интернетом, хотя ее можно провести и внутри корпоративной сети предприятия. При необходимости всю сеть можно разбить на сегменты с разными уровнями секретности и так настроить политики пользователей, чтобы возможности доступа у них были ограничены определенными сетевыми сегментами. Например, можно выделить в отдельный сегмент все внутренние серверы компании и изолировать в итоге потоки информации между пользователями, имеющими различные уровни доступа. Конфиденциальность и целостность передаваемой между разными сегментами сети информации при этом должна обеспечиваться при помощи средств шифрования, использования цифровых подписей и т.п.

Однако брандмауэры не лишены недостатков (и весьма существенных) и не в состоянии решить все проблемы безопасности корпоративной сети. Самым главным их недостатком является то, что брандмауэр может блокировать ряд применяемых пользователями сервисов: Telnet, FTP и др. Что же касается проблем безопасности корпоративной сети, то брандмауэры обычно не обеспечивают защиты от внутренних угроз.

В качестве наиболее известных и хорошо зарекомендовавших себя программных брандмауэров можно назвать такие решения, как FireWall-1/VPN-1 от компании Check Point Software Technologies, Symantec Enterprise Firewall VPN от компании Symantec и eTrust Firewall от компании Computer Associates. Для примера приведем краткую характеристику программного пакета от компании Symantec.

Межсетевой экран Symantec Enterprise Firewall предназначен для активной защиты информационных ресурсов предприятия на сетевом и прикладном уровнях, причем не только от уже известных, но и от новых атак, включая сложные комбинированные угрозы и атаки типа «отказ в обслуживании». А с помощью основанных на стандартах и интегрированных в программное решение средств VPN можно устанавливать экономичное высокоскоростное подключение между филиалами, а также между центральным офисом предприятия и мобильными пользователями. В итоге обеспечивается полный контроль данных, входящих в сеть предприятия и исходящих из нее, в то же время партнерам и клиентам предоставляется защищенный бесперебойный доступ к корпоративным ресурсам. Кроме того, в Symantec Enterprise Firewall поддерживается алгоритм наилучшего совпадения, позволяющий сопоставлять правила доступа и попытки подключения к сети (это помогает избежать случайного создания брешей в системе безопасности), а также возможность фильтрации web-ресурсов по URL-адресам.

Решения для управления безопасностью контента (Secure Content Management, SCM)

Рынок ПО для управления безопасностью контента включает решения, которые обеспечивают управление контентом на базе проводимых в корпорации определенных политик и ограничивают потоки информации, передаваемые и получаемые компанией из Сети. Основными сегментами SCM-рынка являются:

• антивирусное ПО (Antivirus Software, AV) — обеспечивает контроль за проникновением вирусов и предотвращает скачивание нежелательных приложений;
• решения для осуществления фильтрации web-контента (Web Filtering) — позволяет предотвращать проникновение нелегального web-контента в корпоративную сеть;
• сканирование сообщений электронной почты (Email Scanning) — обеспечивает контроль утечки конфиденциальной информации из корпоративной сети и фильтрацию спама.

Иногда к SCM-рынку относят и ряд других направлений, например решения Employee Internet Management (EIM), предназначенные для контроля доступа сотрудников к ресурсам Интернета и др.

Рынок SCM является самым быстрорастущим сектором рынка информационной безопасности (темпы роста в 22-24% в сравнении с 15% для рынка SSM в целом), а его доля на рынке программных систем безопасности (по мнению специалистов IDC) к 2008 году вырастет более чем на 5%. Это неудивительно, если учитывать увеличение активности сетевых угроз и ежегодное удвоение числа вирусов.

Например, согласно опросу компании Bit9, специализирующейся на вопросах компьютерной безопасности, в 34% исследованных организаций в течение последних шести месяцев были нарушения системы безопасности, вызванные вирусами, spyware-компонентами, кейлоггерами, фишингом и т.д. По данным ежегодного отчета Aladdin Malware Report 2006, уровень активности угроз, содержащихся в web-контенте, за 2006 год увеличился на 1300%, а число зафиксированных атак превысило 98 тыс. (для сравнения: в 2005 году их было немногим более 7 тыс.). Не менее серьезной остается и проблема спама, который не собирается сдавать позиции. Как было отмечено на 4-й ежегодной конференции «Проблема спама и ее решения», в течение 2006 года его доля не опускалась ниже 70% от общего почтового трафика. При этом средний объем спамерских сообщений за прошедшие два года вырос с 6 до 9,5 Кбайт (рис. 11). Согласно отчету IBM Internet Security Systems, в 2006 году было идентифицировано и изучено более 200 тыс. новых malware-компонентов, что стало настоящим рекордом, причем, как отмечено в отчете, вредоносные модули становятся все более изощренными. Наибольшая доля (22%) пришлась на downloader-модули, 16% составили трояны (Trojan), 13% — черви (Worm) и 12% — приложения из категории Backdoor. Заметно выросло за последний год и число web-сайтов с нежелательным содержанием, на которые, согласно отчету IBM Internet Security Systems, приходится 12,5% от всех интернет-ресурсов. Так, количество порнографических ресурсов увеличилось на 12,8%, ресурсов, связанных с насилием и жестокостью, — на 14,4%, а ресурсов, замешанных в компьютерных преступлениях, — на 10%.

Рис. 11. Динамика изменения среднего объема спамерских сообщений
(источник: IBM Internet Security Systems, 2007)

Интересно также оценить темпы роста основных сегментов SCM-рынка. Как показывают данные компаний Gartner и IDC, сегменты решений для осуществления фильтрации web-контента (Web Filtering) и сканирования сообщений электронной почты (Email Scanning) развиваются гораздо активнее, нежели уже достаточно зрелый сегмент антивирусного ПО. Так, согласно IDC, доходы в сегменте Web Filtering за 2004 год выросли на 22,9%, в 2005-м и 2006-м они несколько снизились, и, как полагают аналитики, до 2009 года данный рынок продолжит развиваться с темпами роста в 16,5%. В сегменте Email Scanning, по оценкам Gartner, в 2005 году рынок вырос на 40%, в то время как доход на антивирусном рынке увеличился только на 13,6%.

Что касается решений, позиционирующихся на SCM-рынке, то он огромен — мы остановимся лишь на некоторых из них.

Ведущими тремя продавцами антивирусных решений на мировом рынке по-прежнему остаются Symantec, McAfee и Trend Micro, на долю которых, согласно Gartner, приходится более 80% объемов продаж. Объемы продаж антивирусных решений компаний Kaspersky, Panda Software и Eset Nod32 гораздо ниже, однако на некоторых региональных рынках их доли высоки. Например, программные продукты от Panda Software очень активно продаются в Европе, где на их долю приходится более 20% рынка, а антивирусы от Kaspersky лидируют по продажам в России.

В числе известных решений для фильтрации интернет-трафика можно назвать, например, такие продукты, как SuperScout от компании SurfControl и Websense Enterprise от компании WebSense. Они представляют собой что-то вроде межсетевых экранов для информационного наполнения Всемирной сети, открывающих/закрывающих доступ к различным ее ресурсам для пользователей в соответствии с настройками системы корпоративных политик безопасности. Это позволяет защитить компанию от проблем, связанных с нежелательным контентом, и сделать работу сотрудников более эффективной, а также усилить систему безопасности.

Очень интересны решения компании Elron Software — Message Inspector и Web Inspector, которые подойдут не только для web-сканирования и блокирования запрещенных web-узлов, но и позволят фильтровать электронную почту, группы новостей и FTP-сообщения в соответствии с собственным перечнем запретных слов или фраз.

А пакет eSafe компании Aladdin представляет собой целую систему комплексного обеспечения проактивной безопасности информации в корпоративной сети на уровне интернет-шлюзов и почтовых серверов. Данная система предоставляет средства антивирусной защиты (как от известных, так и пока неизвестных вирусов), защиты от интернет-червей, adware/spyware, атак, использующих уязвимости в ПО, web-фильтрации и защиты от спама. С не меньшим успехом eSafe может использоваться для предотвращения утечки конфиденциальных сведений, регулирования времени пребывания пользователей в Интернете и блокирования их доступа к неразрешенным ресурсам. Помимо этого пакет eSafe способен обнаруживать не разрешенные к использованию приложения, надежно блокировать деятельность программ-шпионов, осуществлять потоковую фильтрацию и очистку почтового и интернет-трафиков.

ПО для оценки уязвимостей и выявления вторжений (Intrusion detection software/Vulnerability Assesment, IDS VA)

Данные программные продукты разрабатываются для постоянного мониторинга устройства или сети в плане обнаружения вторжения (ID), предотвращения атак на сети (Intrusion Prevention) и оценки уязвимости системы (VA). Они используются для обеспечения более надежной работы сетей, сетевых устройств и приложений на базе обнаружения вредоносной активности или путем выдачи предупреждения о наличии потенциальной уязвимости.

Динамика изменения числа выявленных уязвимостей
в 2000-2006 годах (источник: IBM Internet Security Systems, 2007)

Как известно, хакеры применяют уязвимости в ПО для проведения атак на компьютерные системы, и, естественно, большое число уязвимостей приводит к росту числа успешных атак. К сожалению, год от года количество выявленных уязвимостей, как правило, растет — не стал исключением и прошедший год, в течение которого в ведущих программных решениях было найдено более 7 тыс. уязвимостей, что больше в сравнении с 2005 годом на 39,5% (см. таблицу). При этом более половины уязвимостей настолько серьезны, что при успешной атаке позволяют злоумышленнику получить полный доступ к подвергшейся нападению системе. Отметим, что это больше, чем в 2000 году, на 261%. Как полагают специалисты IBM, в 2007 году данная тенденция сохранится и число найденных уязвимостей увеличится не менее чем на 23%.

Однако количество компьютерных атак постепенно (хотя и очень медленно) снижается — по всей видимости, это связано с мерами, принимаемыми для усиления информационной безопасности. Так, среди компаний, которые зафиксировали инциденты в прошлом году, доля респондентов, сообщивших о шести и более атаках, снизилась до 15% (рис. 12). Правда, доля организаций, которые зафиксировали от одной до пяти атак, увеличилась до 48%.

Рис. 12. Динамика изменения количества атак
(источник: Computer Security Institute, 2006)

Если же посмотреть на все категории атак в целом, то станет заметной тенденция некоторого уменьшения числа инцидентов за прошедший год по большинству типов атак (рис. 13). Хотя в некоторых случаях — таких, как финансовое мошенничество, проникновение в систему, саботаж, атака на web-сайты и нецелевое использование web-приложений — наоборот, наблюдался небольшой рост. Что же касается неавторизованного доступа к данным или краж конфиденциальной информации, то число подобных атак не изменилось. Таким образом, очевидно, что принимаемые в компаниях меры по обеспечению информационной безопасности пока недостаточны.

Рис. 13. Типы атак, зафиксированные в течение 2006 года (источник:
исследование «2006 CSI/FBI Computer Crime and Security Survey», 2006)

В качестве примера ключевых решений в данном секторе можно привести программные продуты от компании IBM — IBM Tivoli Security Compliance Manager и IBM Tivoli Risk Manager.

IBM Tivoli Security Compliance Manager — это система обнаружения нарушений политики безопасности и потенциальных уязвимостей, помогающая идентифицировать нарушения политики защиты и выявить потенциальные системные уязвимости задолго до появления реальной угрозы. Данная система позволяет осуществлять контроль политик информационной безопасности в распределенных системах различного уровня, проводить анализ состояния безопасности, отслеживать тенденции и проводить необходимые изменения без привлечения большого штата квалифицированных администраторов, предоставляя тем самым быстрый и действенный способ сбора и обработки информации о состоянии защиты корпоративных систем. Решение содержит шаблоны проверенных практикой лучших политик безопасности, которые могут быть настроены в соответствии с корпоративными требованиями (рис. 14), и базируется на концепции автоматизации по требованию, что обеспечивает автоматизированное защитное сканирование серверов и настольных систем на предмет надежности их защиты.

Рис. 14. Процесс управления и контроля
за соответствием политик безопасности с применением системы
Tivoli Security Compliance Manager

IBM Tivoli Risk Manager — это система для обнаружения вторжений и отражения более 200 различных типов атак, которая позволяет централизованно управлять внешними и внутренними угрозами и реагировать на попытки несанкционированного проникновения в информационную систему. Данное решение позволяет отслеживать, просматривать и управлять событиями защиты, классифицировать события защиты по категориям (это обеспечивает быструю идентификацию и обработку наиболее опасных событий) и выполнять заранее определенные наборы действий для отражения атак типа «отказ в обслуживании», обезвреживания вирусов и пресечения несанкционированного доступа. Кроме того, с его помощью можно просматривать и анализировать шаблоны вторжений, загруженности систем и сети, а также сообщений от средств защиты.

КомпьютерПресс 3'2007