На пути к единому решению вопросов внутренней ИТ-безопасности
Сегодня внутренняя ИТ-безопасность требует к себе все больше внимания. Однако при более детальном знакомстве с проблемой возникает ощущение, что каждый игрок рынка имеет собственные представления о том, как надо защищаться от внутренних нарушителей. Нет единства как среди поставщиков решений, так и среди организаций-заказчиков. Чтобы разобраться в сложившейся ситуации, мы обратились за комментариями к Денису Зенкину, директору по маркетингу компании InfoWatch.
КомпьютерПресс: Денис, сегодня действительно отсутствует единое понятие о внутренней информационной безопасности?
Денис Зенкин: Да, это на самом деле так. Наилучшим подтверждением этому являются результаты исследования «Внутренние ИТ-угрозы в России 2006», в ходе которого компания InfoWatch опросила 1450 российских государственных и коммерческих организаций. Респондентам был задан вопрос о самых серьезных препятствиях на пути внедрения систем защиты от инсайдеров и утечек. Особый интерес представляют ответы компаний из двух наиболее продвинутых отраслей: банковского сектора и телекоммуникаций. Как известно, данные отрасли опережают многие другие по использованию новейших средств ИТ и ИБ. Так вот, самым трудным препятствием оказалось отсутствие стандартного подхода к внутренней ИБ. Среди представителей банков так ответили 32%, а телекоммуникационных компаний — 30%. В обоих случаях названная причина заняла первое место.
Денис Зенкин, директор
по маркетингу компании InfoWatch
КП: Получается, что каждая организация-заказчик предъявляет собственные требования к системам внутренней ИБ?
Д.З.: Совершенно верно. Давайте для примера сравним защиту от инсайдеров с антивирусной защитой. В нескольких запросах от разных компаний-заказчиков на поставку антивирусных средств требования к продуктам будут на 90% совпадать. Однако когда речь заходит о защите от инсайдеров и утечек, то запросы, наоборот, будут иметь лишь 10% общих требований.
КП: Однако единства нет и по другую сторону рынка — среди поставщиков и разработчиков. Так?
Д.З.: К сожалению, да. Рынок еще молод, так что каждый поставщик старается предложить что-то свое. Это затрудняет выбор конкретного продукта для заказчиков, мешает планировать бюджеты и растягивает циклы продаж.
КП: Не могли бы вы привести примеры того, как некоторые поставщики и заказчики решают проблемы внутренней ИБ?
Д.З.: Конечно. Давайте рассмотрим класс программ, который в мире принято называть smart-drivers, а в России — контроль над сменными носителями. К этой группе относятся все программы, которые обеспечивают контроль над портами рабочей станции, чтобы исключить утечку данных через флэшки, компакт-диски и т.д. Очевидно, что все эти продукты позиционируются как средства защиты от инсайдеров. Причем многие организации-заказчики тоже воспринимают их как средства внутренней ИБ. Однако на самом деле эти продукты защищают от внутренних нарушителей точно так же, как и от внешних угроз, например от вредоносных кодов. Ведь если компания запретила сотруднику использовать USB-порт, то это значит, что служащий не сможет принести из дома вирус и заразить корпоративную сеть.
Более того, 99% «умных» драйверов не умеют отличать конфиденциальную информацию от публичных документов. Поэтому такие продукты работают в режиме «разрешить/запретить», то есть пользователю либо разрешается, либо запрещается использовать порт. Никаких вариантов типа «можно записать на флэшку публичные данные, но нельзя секретную информацию» эти продукты предложить не могут. Другими словами, контроль над портами — это все равно что турникет в метро. «Умный» драйвер стоит на входе и выдает билеты. Если у пользователя есть билет — он может пройти, а если нет — не может. А что если у человека есть билет и пулемет? Турникет его спокойно пропустит, так как его задача просто проверить наличие билета. Что же касается пулемета, то это уже заботы внутреннего наряда милиции, системы видеонаблюдения и т.д.
То же самое происходит и на рабочей станции: если у служащего есть разрешение на использование USB-порта, то он может сливать все секреты на флэшку. Конечно, разработчики «умных» драйверов все это прекрасно понимают, поэтому пытаются добавить такие, казалось бы, полезные возможности, как задание номеров разрешенных к использованию флэшек. Например, у служащего есть флэшка и на нее он может записывать данные, а на другие — нет. Здесь сразу же приходят на ум слова одного коммерческого директора: «Отлично! Дайте две!» Действительно, будет ли организации легче, если служащий украдет информацию на разрешенной флэшке, а не на какой-то еще?
Завершая рассказ об «умных» драйверах, отметим еще одну возможность, которую в последнее время поставщики позиционируют как защиту от инсайдеров. Речь идет о теневом копировании, при котором все файлы, записываемые на флэшку, складываются в специальный архив для последующего анализа. Безусловно, это хорошая функциональность. Но заказчики часто упускают из виду, что теневой архив каждого пользователя хранится прямо на его рабочей станции. Нет никакой базы данных, а следовательно, нет возможности централизованно и достаточно эффективно анализировать всю собранную информацию. У такого подхода есть и другие недостатки. Во-первых, он не способен предотвратить утечку данных, а может лишь выявить ее источник постфактум, после анализа уже произошедших событий. Во-вторых, теневое копирование вызывает существенное замедление работы как рабочей станции, так и сети в целом из-за огромного объема дополнительного трафика.
Таким образом, сегодня на рынке внутренней ИБ представлено довольно много одних только smart-drivers, хотя к защите от утечек они имеют весьма отдаленное отношение.
КП: Какое видение внутренней ИБ сейчас преобладает на рынке?
Д.З.: Сегодня основными являются два подхода: канальная система защиты и периметральная система защиты. Они противоположны друг другу, причем канальная защита постепенно сдает свои позиции.
КП: В чем состоит суть канальной системы защиты в контексте внутренней ИБ?
Д.З.: Канальная система защиты строится на том, что каждый коммуникационный канал защищается отдельно от других видов угроз, то есть электронную почту защищают от вирусов, спама и утечек, доступ в Интернет — от вирусов и утечек и т.д. Ключевое преимущество канальных решений состоит в том, что весь канал находится под контролем одного человека. Такие решения имеют очень широкую функциональность, добавляя к технологиям контроля за движением информации специфическую для каждого канала функциональность, не имеющую прямого отношения к защите от утечек (антивирус, антиспам, антифишинг) или ИБ вообще (URL-фильтр, контроль расхода бумаги на принтерах и т.д.).
КП: В чем недостаток такого подхода?
Д.З.: Недостатком применения канальных решений является невозможность комплексного подхода. Если служба ИБ организована по функциональному принципу, то она будет постоянно страдать от невозможности интеграции анализа данных в разных каналах и централизованного распространения политик. Используя решения для разных каналов от одного производителя, офицеру ИБ придется работать с различными консолями управления политиками, хранить контент в нескольких БД и архивировать данные в разных хранилищах. Даже идентификация пользователя происходит по различным параметрам. Например, почтовый фильтр идентифицирует пользователей по почтовому адресу, а web-фильтр — по IP-адресу. Это затрудняет синхронизацию и индексацию информации для анализа деятельности нарушителя. Невозможно централизованно посмотреть, что конкретно отсылал пользователь и по каким каналам. В то же время службе безопасности, если она организована функционально, безразлично, по какому каналу произошла утечка, но канальная организация защиты не позволяет ей сфокусироваться на нарушителе и защищаемой информации, предоставляя неконсолидированную информацию по каждому из каналов.
КП: А если посмотреть на такой подход с позиций стандартов ИБ?
Д.З.: С этой точки зрения канальные решения представляют собой традиционный подход к защите канала утечки на основе модели «угроза — техническое решение». В таком случае служба ИБ концентрируется на контроле каналов вместо того, чтобы защищать информацию, раздавая профили доступа к каналам и контролируя их соблюдение. Для службы ИБ эксплуатация многофункциональной канальной защиты может привести к конфликту со службой ИТ, связанному с постоянным разделением прав на функции и настройки, касающиеся и не касающиеся безопасности. Однако, несмотря на все эти проблемы, поставщики канальных решений продолжают активно продвигать свои продукты на рынок. С одной стороны, это неплохо, так как на них все еще есть спрос, а с другой — рано или поздно заказчикам придется отказаться от этих технологий, так как их потенциал изначально ограничен.
КП: Но на смену канальному подходу постепенно приходит периметральная защита, не так ли?
Д.З.: Да, причем периметральная защита, судя по всему, станет тем стандартом или единым видением внутренней ИБ, которого сейчас не хватает. Отметим, что предприятия, использующие такую защиту, перешли от канального способа построения служб ИБ к функциональной структуре, то есть рынок потребовал появления решения, которое смогло бы управлять защитой от каждой из угроз (вирусов, хакерских атак, действий инсайдеров) независимо от того, по какому каналу она может быть осуществлена. Как и внешние, внутренние угрозы могут быть реализованы по нескольким каналам, поэтому и решения должны быть комплексными.
КП: В чем проявляется комплексность периметрального решения?
Д.З.: Комплексное решение сочетает в себе единое хранилище данных независимо от того, по какому каналу они покинули сеть, сервер контентной фильтрации и перехватчиков, контролирующих какой-то один канал и направляющих данные на анализ на сервер контентной фильтрации. Перехватчики могут быть реализованы в трех архитектурах:
- шлюз (gateway) — отдельно стоящий сервер или отдельное устройство, работающее в режиме прозрачного прокси-сервера;
- plug-in для сервера, например plug-in для прокси-сервера, почтового или принт-сервера;
- агент на стороне клиента, например на уровне рабочей станции.
КП: В чем плюсы такого подхода?
Д.З.: Достоинством систем периметральной защиты является комплексность и возможность централизованного управления, а также простота масштабирования. Поскольку функции анализа контента и архивирования вынесены в отдельные модули, при увеличении нагрузки на перехватчики достаточно резервировать и кластеризовать только их. Это существенное преимущество по сравнению с канальными решениями, которые масштабируются только целиком.
К достоинствам системы периметральной защиты также относится защита инвестиций при внедрении защиты даже одного канала. Нужно лишь однажды создать правила и настроить хранилище, базу контентного анализа и правила для групп пользователей. При внедрении защиты остальных каналов достаточно будет установить и подключить перехватчики следующего канала — вся остальная работа по настройке системы уже будет сделана.
КП: И снова — как это выглядит с точки зрения стандартов ИБ?
Д.З.: С точки зрения стандартов ИБ периметральные решения представляют собой новый подход, обеспечивающий минимизацию рисков: риск — действия по уменьшению рисков. Они фокусируются не на конкретном канале, а на риске утечки информации. В этом случае служба ИБ концентрируется на том, какая информация не должна покинуть периметр. Вопрос, по какому каналу она попытается его покинуть, уже вторичен.
Более того, для службы ИБ модель эксплуатации системы периметральной защиты не подразумевает функционального контакта с ИТ-департаментом. Это исключительно продукт для эксплуатации службой ИБ, а следовательно, не может быть никаких конфликтов между этими двумя отделами.
КП: Каковы недостатки периметральной защиты?
Д.З.: Конечно, было бы неверно утверждать, что у такого подхода нет недостатков. Они все-таки есть. Во-первых, периметральная защита дорого стоит, если используется только для одного канала, так как для внедрения даже на одном канале приходится покупать хранилище и сервер контентной фильтрации, рассчитанные на работу со всеми каналами. Однако уже при внедрении второго канала стоимость двух канальных решений сравнивается, а при внедрении защиты третьего канала при сравнимой функциональности получается значительный выигрыш.
Во-вторых, при покупке периметрального решения для одного канала к недостаткам иногда относят отсутствие «сопутствующей» канальной функциональности — антивируса, антиспама, антифишинга, URL-фильтра и т.д. Однако после внедрения второго и следующих каналов эти претензии обычно снимаются, так как защита от внешних угроз также строится не по канальному, а по периметральному принципу.
КП: Денис, сделайте, пожалуйста, прогноз относительно дальнейшего развития рынка внутренней ИБ.
Д.З.: Уже сейчас на рынке начинает формироваться единое видение внутренней ИБ. Более того, все указывает на то, что уже через два-три года ситуация стабилизируется, рынок станет более зрелым, а в сегменте внутренней безопасности будут доминировать комплексные периметральные решения.
КП: Спасибо, что ответили на все наши вопросы. Удачи вам и всего хорошего!