«Бизнес легкомысленно относится к кибербезопасности»

22 Октября, 2014 21:57
Олег Николаев
Валерий Еланин, технический директор компании «ITbiz», полагает, что для того, чтобы успешно противостоять киберпреступникам, бизнес должен больше внимания уделять политикам безопасности, а государство, вместо поощрения коррупционных схем сертификации защитного оборудования, должно развивать собственные институты по информационной безопасности.

C4IT: Как Вы оцениваете ситуацию с защитой киберпространства в нашей стране?

Валерий Еланин: В целом, ситуация в Украине с кибербезопасностью не отличается особо от ситуации, например, в странах Восточной Европы, а также в России, несколько лет назад. Это связано с общим развитием IT, а также степенью проникновения западных инвестиций в нашу страну, поскольку безопасность в первую очередь связана с защитой бизнес-интересов. Киберзащита в государственном секторе – это, наверное, уже следствие, второй этап этого развития. В настоящее время мы пребываем на самом начальном этапе. Скажем откровенно, достаточно малое количество компаний владеет умением и возможностью правильно построить систему безопасности. Что касается интернет-провайдеров, то они, как правило, мало интересуются кибербезопасностью. Больше ею интересуются именно финансовые структуры и те компании, бизнес которых так или иначе связан с секретами, бизнес-тайной и коммерческой тайной. С другой стороны, сервис-провайдеры могут размещать у себя какие-то конфиденциальные данные. Например, если игровой сервер хранит у себя данные по кредитным картам, это требует защиты.

Казалось бы, провайдер должен защищать своего клиента, но, чтобы провайдеру построить систему защиты анти-DDoS, ему придется потратить примерно миллион долларов. Чтобы окупить такие затраты, хостинг должен стоить в десятки раз дороже, чем он сейчас стоит в Украине.

C4IT: Какие есть пути для блокировки DDoS-атак?

В. Е.: Потоковая защита от DDoS-атак возможна только на аппаратных системах. Допустим, вы хотите сэкономить и нанимаете программистов, которые разрабатывают систему самостоятельно. Но в этом случае помощь программистов нужна будет постоянно. За пару лет такая работа выльется в существенные суммы. Аналогичная по своим функциям система у Arbor Networks стоит миллион долларов, но зато там есть техническая поддержка, обновление сигнатур и признание на мировом уровне.

C4IT: Так что выгоднее – купить готовое или писать самому?

В. Е.: Конечно же, простую атаку можно заблокировать «ручками» или при помощи самописной системы. В то же время серьезная атака может положить не один сайт, а весь сервер.

Ведь сейчас мощность атак выросла колоссально. Поток 400 Гбит/с — это уже не сенсация, а заурядная атака. Кроме того, есть сложные многовекторные атаки. Чтобы их фильтровать, нужны квалифицированные администраторы, кроме того, их должно быть много. Поэтому хостинг-провайдеру проще закрыть глаза на атаки, чем решать эти проблемы при стоимости хостинга в несколько десятков долларов в месяц.

В Европе строят защищенные дата-центры, там другая бизнес-модель, но и другая стоимость хостинга. В среднем подписка на защиту сайта в месяц стоит от 300 долларов. У нас на такие суммы может раскошелиться разве что крупный корпоративный клиент. 

C4IT: Как можно переломить ситуацию? Уже много говорилось о том, что «всеобщая безопасность – это дело рук каждого пользователя», но что к этому еще можно добавить, исходя из Вашего опыта?

В. Е.: Кибербезопасность – это вечная гонка за технологиями, погоня специалистов по безопасности за киберпреступниками. Чем выше технологический уровень, тем совершеннее и изощреннее действуют злоумышленники. Защита обычно идет на шаг позади. Вначале появляется угроза, потом – защита. Очень редко случается, когда защита является проактивной. Поэтому нельзя наверняка сказать, как переломить ситуацию. Нужно просто вкладывать в это направление деньги и активно его развивать. Яркий пример – правительство США. В этой стране есть отдельные институты, которые занимаются исследованием киберугроз и разработкой защиты. Есть сообщества по безопасности, задача которых — сотрудничать в области разработки решений для защиты от киберугроз. 

C4IT: Но есть мнение, что даже частные компании, а не только государственные организации, относятся к безопасности довольно легкомысленно?

В. Е.: Да, и это большая ошибка. Особенно наплевательски относятся к безопасности именно небольшие компании, поскольку они считают, что не владеют информацией, которая может привлечь киберпреступников. Но ведь на самом деле мелкий бизнес часто является партнером более крупных компаний. Мелкий бизнес все больше мигрирует в интернет, и киберпреступники обычно действуют именно через небольшие компании, поскольку у них нет защищенного периметра сети. Хакеры похищают контакты, договора, различные конфиденциальные данные, а затем, представляясь третьей компанией, проникают в крупную корпорацию. 

C4IT: Однако малый бизнес не может выделять крупные средства на безопасность. Что в этом случае делать?

В. Е.: Большие деньги и не нужны. Требуется лишь уделять внимание этому направлению, не делать глупых вещей. Например, применять сложные пароли, не размещать конфиденциальные данные в папках с общим доступом. Это сравнимо с требованиями гигиены: «мойте руки перед едой».

В западных компаниях применятся другой подход, который стимулируется крупным бизнесом. Чтобы работать с крупной корпорацией, малый бизнес должен иметь соответствующий уровень защищенности — это оговаривается в контракте. И пока крупная корпорация не проведет аудит и не удостоверится, что в малой компании все соответствует требованиям, никакого сотрудничества не будет. У нас это направление пока не развито, поскольку для многих проекты по безопасности заканчиваются установкой шлагбаума или охранника на входе.

C4IT: Государство сейчас активно демонстрирует стремление перейти на электронный документооборот (ЭД). Однако эксперты предупреждают, что в ЭД намного проще совершать махинации с документами, подлогом, уничтожением документов и т.д. Якобы с бумажными документами все надежнее…

В. Е.: Электронный документооборот упирается в систему электронных ключей или электронной подписи. Для этого нужна инфраструктура. И во многих госкомпаниях в Украине уже давно есть системы электронного документооборота, однако ими не пользуются. Их запускали в эксплуатацию, а потом оказывалось, что в электронной системе документооборота гораздо труднее скрыть махинации. Ведь если ты в обычной системе похитил бумажный документ, то никто не сможет определить, кто это сделал, а зачастую нельзя даже доказать, что эта бумага существовала. В правильно разработанной электронной системе нельзя так сделать, остается очень много следов. Можно проанализировать журналы, просмотреть резервные копии. Поэтому через какое-то время системами СЭД перестают пользоваться.

Однако будущее все равно за электронным документооборотом. И здесь появляются риски новых махинаций, связанных с хакерским взломом систем, подменой записей в базах данных и других нарушений. С другой стороны, все эти угрозы приведут к росту потребностей в системах защиты, в квалифицированных системных администраторах и менеджерах информационной безопасности, инженерах. Более того, я уверен, что организации, внедряющие документооборот, будут обязывать проводить аудиты и модернизировать свои системы кибербезопасности.

C4IT: Кто будет проводить аудиты?

В. Е.: Есть разные варианты. Существуют частные компании, которые способны проводить аудиты, но это может быть и государственный орган или институт.

C4IT: На одном из круглых столов, организованном по инициативе Администрации Президента, прозвучало предложение полностью перейти на европейские стандарты безопасности. Вплоть до того, что вообще ничего не корректировать в содержании этих стандартов, а только переводить и менять обложку. Насколько оправдан такой подход?

В. Е.: Именно таким путем пошли Польша и Эстония. Ведь в Европе есть целые институты стандартизации, которые выполняют огромный объем работы при разработке стандартов. Так зачем делать двойную работу?

C4IT: Кто занимается стандартизацией в Украине?

В. Е.: Служба ГСССЗИ, а также СБУ. Для того, чтобы продавать в госорганы решения по информационной безопасности, необходимо вначале сертифицировать их в этих учреждениях.

Сертификация стоит несколько тысяч долларов, но это лишь пустая формальность. В то же время в Европе нет обязательной сертификации. Они продают оборудование в госорганы без всяких сертификатов. Однако в каждой государственной организации есть институт, который проверяет соответствие внедряемого продукта внутренней политике безопасности.

C4IT: Компания ITBiz содержит в своем портфеле достаточно широкий набор решений по ИБ от различных вендоров. С вашей точки зрения, эти вендоры конкурируют между собой или взаимно дополняют друг друга в тендерах? В чем особенности каждого из них?

В. Е.: Если говорить о группе безопасности, то портфель решений подобран так, чтобы они работали вместе, а не конкурировали друг с другом. Каждый продукт отвечает за свой сегмент и не относится к традиционным системам защиты: нет смысла конкурировать с решениями, которые уже дано есть на рынке. Когда мы выводили новую разработку на украинский рынок, у нее не было конкурентов: Arbor Networks, FireEye Inc., Juniper Networks,  Splunk Inc., Xceedium. Каждый из этих вендоров закрывает свою брешь в безопасности, чего не делают обычные файрволы и антивирусы.

Так, Arbor Networks присутствует на рынке защиты от DDoS уже 14 лет и считается лидером в данном сегменте. Они выпускают программно-аппаратные решения, предназначенные для интернет-провайдеров и крупных корпораций. Кроме того, у Arbor Networks есть еще одна разработка, которая появилась на базе системы анти-DDoS — это решение по мониторингу сети для корпоративного сектора, осуществляющее сбор данных, аналитику, мониторинг сети и прочее.

Компания FireEye предлагает комплексное решение по защите от киберугроз нового поколения (APT, zero-day, и т.д.), с которыми невозможно бороться традиционными средствами.

Платформа FireEye является модульной и обеспечивает защиту от угроз на разных этапах их жизненного цикла в режиме реального времени без использования сигнатур.

Еще один интересный производитель — Splunk. Его разработка — это ведущая на рынке платформа для операционной аналитики, которая позволяет собирать и индексировать любые машинные данные практически с любого источника в реальном времени. Также она позволяет искать, отслеживать, анализировать, визуализировать данные для получения полезных сведений, индексировать все доступные данные, чтобы получить полное представление о своих системах, расследовать инциденты и устранять неполадки.

Juniper Networks предлагает широкий спектр продуктов для создания комплексных решений для сетевой инфраструктуры, обеспечивающих не только защиту периметра сети, но и обнаружение и предотвращение атак в реальном времени, поддержку виртуальных частных сетей.

Довольно важное направление, которое мы прорабатываем – контроль привилегированного доступа от Xceedium. На рынке есть несколько разных систем, но разработка Xceedium считается наиболее зрелой, продуманной, и к тому же используется госдепом США. Есть программные и аппаратные версии. Решение от Xceedium ограничивает доступ администраторов к сетевым и серверным устройствам, то есть защищает от инсайдерских атак. Иными словами, системный администратор лишается суперпривилегированных прав, он не сможет зайти на устройство и удалить, например, логи. Благодаря Xceedium администратор может войти в систему, а уже в ней работать лишь там, где ему предоставлен доступ. И все его действия фиксируются в журнале. Если у администратора есть доступ к виртуальной инфраструктуре, к виртуальному серверу, он будет записывать все действия, которые он выполняет на экране. Есть возможность запретить одни команды, и разрешить другие.

C4IT: С какими подводными камнями встречаются компании в процессе внедрения?

В. Е.: Когда мы начинаем внедрение, то, прежде всего, интересуемся, есть ли в компании политики безопасности. Если да — то менеджеры компании обычно четко знают, что им необходимо покупать. Если же их нет, то возникает вопрос – может надо начинать с политики безопасности? А потом уже выбирать оборудование для защиты. Необходимо понимать, какой у компании план развития. У нас есть квалифицированные кадры, которые могут посмотреть, как настроен файрвол, как работает служба ИT. Далее мы прописываем на бумаге стратегию развития ИБ. В первую очередь критично закрыть определенные дыры, по этим данным рассчитывается бюджет. Есть и обратный подход, когда исходя из  размера бюджета мы принимаем решение, что сейчас нужно купить антивирус, а не файрвол, поскольку это более критично. Проблема не в технологиях, а в политиках и стратегиях: как и что правильно внедрить.

Именно поэтому на Западе ценятся менеджеры по информационной безопасности, которые способны правильно прописать политику. Они могут не знать, как правильно настроить файрвол или по какому принципу работает IPS, но они понимают, как правильно построить политики безопасности, расписать стратегию, как это все правильно внедрить.

 

Материалы по теме:

Комментарии: