«Облачные» перспективы защиты корпоративных endpoint-компьютеров

Подлинными изобретателями и первыми «промышленными» внедренцами столь популярных сегодня технологий «облачных» вычислений (Cloud Computing) были не Amazon, IBM или Sun, a киберкриминальные технологи, которые уже 10 лет назад эксплуатировали пиринговые «варезные сети», представлявшие собой, по сути, прототипы современных распределенных сетей Cloud Computing, — такой на первый взгляд парадоксальный, но, если вдуматься, резонный вывод сделал в своем блоге (http://www.elasticvapor.com/2008/11/fraud-as-service-did-criminals-invent.html) Рювен Коэн (Reuven Cohen), основатель и главный технолог компании Enomaly, разработчика программных Cloud-платформ.

Столь же резонным было предупреждение о деструктивном влиянии Cloud Computing-технологии Live Mesh компании Microsoft на корпоративную ИБ, сделанное сразу после ее анонса главным редактором по технологиям еженедельника eWeek Insider Channel Франком Олхорстом (Frank Ohlhorst). В своей статье «Microsoft Live Mesh — следующая большая угроза бизнесу» (http://blogs.channelinsider.com/tech_tidbits/content/new_products/microsoft_live_meshthe_next_big_security_threat_for_business_1.html) он назвал Live Mesh «антитезой управления сетевым доступом и информационной безопасности endpoint-компьютеров». Опасения у Олхорста вызвала уникальная способность технологии Live Mesh преодолевать периметры частных корпоративных сетей независимо от политик защищающих их межсетевых экранов (МЭ) и NAT-шлюзов. Прообразом Live Mesh, по его мнению, была система IP-телефонии Skype, всепроникающую силу которой уже в полной мере ощутили практически все ИТ-организации.

Подобные комментарии, очевидно, не добавляют оптимизма в отношении перспектив внедрения Cloud Computing, одобрения ее руководителями и главными специалистами служб информационной безопасности организаций финансового сектора экономики.

Сегодня, когда невиданные доселе «вычислительные тучи» только собираются на далеком заморском горизонте, ситуация с обеспечением ИБ оконечных вычислительных устройств (рабочих станций, десктопов и ноутбуков) организаций далека от безоблачной, о чем свидетельствует свежая статистика компании Ponemon Institute, которая опубликовала в феврале результаты исследований размера ущерба от утечек данных в организациях США и Великобритании за 2008 год. Согласно этим отчетам, угрозы корпоративной ИБ со стороны инсайдеров в Америке не уменьшаются (прирост 2-5%), а в Европе существенно возрастают (прирост 22-28%), причем подавляющее количество случаев утечек данных связано с нарушением ИБ компьютеров сотрудников.

Поэтому без преувеличения можно сказать, что для специалистов в области ИБ кредитно-финансовых организаций один из важнейших вопросов завтрашнего дня состоит в том, как на уровень инсайдерских угроз и прежде всего на защищенность endpoint-компьютеров повлияет внедрение технологий Cloud Computing в корпоративные ИТ.

В технологической интерпретации этот вопрос можно сформулировать так: сможет ли индустрия ИБ использовать уникальные, внутренне присущие архитектурам Cloud Computing характеристики, такие как глобальная распределенность, динамическая масштабируемость и оперативная связность, для повышения эффективности и надежности работы средств защиты информации (СЗИ) множества оконечных вычислительных узлов?

Следует отметить, что в последние три года наблюдается постепенный прогресс участников отрасли ИБ в этом направлении. Исторически первым реальным примером применения преимуществ Cloud Computing еще до выделения этой технологии в отдельный отраслевой сегмент стало предоставление услуг аутсорсинга ИБ для корпоративных клиентов. Один из пионеров этого движения — «Лаборатория Касперского», услуга Hosted Security Services (http://www.kaspersky.ru/hosted_security) которой пользуется популярностью как в России, так и за рубежом. В качестве другого, недавнего примера можно вспомнить анонс в октябре 2008 года трехлетнего плана (http://www.zdnetasia.com/news/security/0,39044215,62046931,00.htm) компании Symantec по предоставлению всех своих продуктов ИБ в виде услуг SaaS.

Следующим значительным шагом отрасли ИБ стало использование высокого уровня взаимосвязности сред Cloud Computing для ускорения процессов сбора и проверки сигнатур вредоносных программ. В 2008 году были введены в эксплуатацию системы Smart Protection Network от компании Trend Micro и Artemis от McAfee. В упрощенном виде идея работы этих систем состоит в том, что исполнительные агенты на компьютерах не ждут обновления базы сигнатур с сервера, а по каждому подозрительному объекту считают хэш-сумму и отсылают ее в Cloud-сеть производителя, после чего эти хэш-суммы в онлайн-режиме сравниваются со всеми имеющимися в Cloud сигнатурами и результат возвращается агенту. В итоге скорость выявления сигнатур вредоносных кодов, а также оперативность реагирования на них возросли на порядок, причем без увеличения вычислительной нагрузки на защищаемые компьютеры.

Наконец, самой современной тенденцией применения Cloud Computing в отрасли ИБ стало использование суперинфраструктур «вычислительная платформа как услуга» (Platform-as-a-Service, или PaaS) в качестве платформ, на которые небольшие вендоры программных СЗИ портируют свои продукты и предоставляют своим клиентам доступ к ним как к услугам. Иначе говоря, они используют платформы PaaS для создания собственных услуг аутсорсинга ИБ и представления их в виде Software-as-a-Service. В конечном счете это выгодно пользователям, поскольку состав провайдеров услуг ИБ не ограничивается только крупнейшими игроками типа Symantec, McAfee иTrend Micro, а появляется выбор между множеством услуг мелких, но лучше заботящихся о клиентах субпровайдеров. Примером такой трансформации продукта в услугу ИБ служит портирование компанией FullArmor своей программы PolicyPortal (http://www.fullarmor.com/products-policyportal.htm) на платформу Windows Azure, в результате чего этот продукт стал доступен для клиентов FullArmor непосредственно через Интернет как экономичная услуга централизованного управления политиками ИБ и конфигурирования endpoint-компьютеров.

Безусловно, не каждый продукт ИБ рационально использовать в виде отдельной услуги, например из-за специфики его функционала. Тем не менее если продукт качественный, то он может оказаться весьма полезным как один из компонентов функционально полного набора интегрированных сервисов аутсорсинга ИБ. Приятно радуют в этом отношении популярные российские программные СЗИ. Например, немецкий провайдер аутсорсинга ИБ Logica Managed Services Deutschland в качестве одного из компонентов своих услуг по информационной защите компьютеров клиентов использует программный комплекс DeviceLock производства компании «Смарт Лайн Инк», мирового технологического лидера в этой области.

DeviceLock — это система централизованного контроля доступа пользователей к периферийным устройствам и портам ввода-вывода персональных компьютеров и серверов под управлением ОС Microsoft Windows. Она позволяет контролировать все типы локальных каналов утечки на компьютерах пользователей в корпоративной ИС и полный спектр портов и внешних устройств. В новой версии DeviceLock 6.4 принципиально повышена гранулированность контроля за привилегиями и действиями пользователей за счет поддержки функции детектирования и фильтрации типов файлов для любых операций файловой системы. Обеспечиваются перехват, экстракция, детектирование типа и блокирование файловых объектов во всех локальных каналах утечки данных защищаемого компьютера, при этом администраторы безопасности могут дополнительно задавать гибкие правила событийного протоколирования операций и теневого копирования данных с точностью до типов файлов.

В планах компании «Смарт Лайн Инк» — дальнейшее развитие решений и услуг по информационной защите endpoint-компьютеров на базе DeviceLock.

КомпьютерПресс 4'2009