ИБ: возврат к натуральному хозяйству?

Информационная безопасность на предприятии схожа с процессом приготовления пищи. Большинство людей покупает продукты в магазине и готовит из них те блюда, на которые хватает собственного кулинарного искусства (у кого-то весьма и весьма недурного). Отдельные, особо обеспеченные категории потребителей готовы рассматривать процесс поглощения пищи как сервис и поэтому пользуются услугами внешних организаций — ресторанов (приготовление пищи на чужой территории) или кейтеринговых компаний (приготовление пищи на территории заказчика). А есть «маргиналы», ценящие в пище ее натуральность и потому собственноручно выращивающие продукты питания и готовящие из них простые, но безусловно вкусные и временами полезные блюда.

В безопасности все так же. В массе своей компании любого масштаба предпочитают приобретать готовые средства защиты и самостоятельно встраивать в существующую инфраструктуру. Среди ингредиентов, используемых в данном «блюде», обычно встречаются антивирусы, межсетевые экраны, системы предотвращения вторжений, сканеры безопасности и другие низкоуровневые и широко распространенные на рынке ИБ-решения. 

В особых случаях, когда типовые блюда надоедают и хочется «чего-нибудь этакого» или недостаточно возможностей для приготовления чего-то действительно сложного, предприятие обращается к интеграторам, которые объединяют различные ингредиенты системы защиты в единый комплекс. Это сродни приглашению кейтеринговой компании, берущей на себя все вопросы приготовления блюд, но на территории потребителя. Обычно по данному пути идут те, кто хочет внедрить что-то сложное, — DLP, удостоверяющий центр, систему защиты приложений и т. п.

В особых случаях можно полностью переложить все вопросы обеспечения ИБ на внешнюю организацию — отдать безопасность на аутсорсинг. Такому варианту уже не раз предрекали полную победу над всеми остальными, но из года в год аутсорсинг ИБ пусть и отвоевывает себе место под солнцем, но пока не занял доминирующего положения, что бы ни говорили об этом именитые консалтинговые компании. Обычно к подобным сервисам можно отнести отражение DDoS-атак, мониторинг угроз (Security Operations Center, SOC), реагирование на инциденты и т. п.

Наконец, самую немногочисленную когорту представляют организации, действующие по принципу «все сами». Они даже средства защиты пишут самостоятельно, не найдя на рынке ничего подходящего. Однако этому способу следуют не столько компании, у которых нет денег на безопасность, сколько те, кто просто не находит ничего адекватного в меню производителей и предпочитает не допиливать готовое блюдо под себя, а изготовить его целиком самостоятельно в соответствии со своими вкусами. Так было еще совсем недавно...

Мы вступаем в непростой год с точки зрения информационной безопасности, в котором жить по-старому точно не сможем. Какие-то продукты покинут продуктовые полки. Кто-то из шеф-поваров будет вынужден искать себе новое место. Одни из ресторанов закроются, а другие взвинтят цены. Да и покупательская способность многих потребителей изменится — «семейный» бюджет явно не был рассчитан на курс доллара «около 70-ти». Придется менять свои кулинарные пристрастия и в прямом, и в переносном смысле. 

Есть ли альтернативы традиционным блюдам?

Давайте попробуем определить решения, которыми в предыдущие годы российские предприятия пользовались для реализации различных задач в области информационной безопасности. На рис.1 изображены классы защитных средств, выделенные консалтинговой компанией IDC.

Рис.1. Классификация защитных средств.

 

Так сложилось, что по абсолютному большинству классов у платных решений есть свои бесплатные аналоги. В чем-то хорошие, в чем-то не очень. Где-то приспособленные для работы в крупных территориально-распределенных сетях, где-то нет. Но и утверждать, что альтернативы не существует, тоже нельзя.

Возьмем, например, межсетевой экран, являющийся посредником между внешней и внутренней сетями. Не в качестве замены, но как альтернативу на нестабильное время можно рассматривать функции межсетевого экрана в современных маршрутизаторах. Эти функции закрывают до 70–80% потребностей большинства пользователей. Аналогичная ситуация и с системами обнаружения и предотвращения вторжений. Стандартом де-факто в области систем open source класса IPS давно стала Snort, чья 3-я версия недавно появилась. Установив ее, можно получить эффективное решение по обнаружению сетевых и даже прикладных атак.

Антивирус... Про бесплатные антивирусы Immunet и ClamAV известно уже давно, но ими не ограничивается современный рынок борьбы с вредоносным ПО. Почему бы не рассмотреть встроенные функции операционных систем или бесплатные решения от их производителей (тот же MS Essentials)? В конце концов, в данный сегмент сейчас приходят новые игроки, готовые предлагать свои решения за бесценок, только чтобы закрепиться в сегменте, где прочно сидят «Лаборатория Касперского», Dr.Web, ESET, Symantec и Trend Micro. Почему бы не воспользоваться такой возможностью?

Далее. Есть ли альтернатива платному антиспаму? Тоже немало. Начиная от регулярно обновляемых репутационных баз и белых/черных списков, подключаемых к почтовым серверам (например, ASSP), и заканчивая самостоятельными решениями, например SpamAssassin.

И этот список можно продолжать долго. Я взял на себя смелость вынести в таблицу бесплатные аналоги отдельных классов коммерческих решений по информационной безопасности, позволяющих на время изменить свои кулинарные привычки в условиях урезанного бюджета или необходимости найти альтернативу решению, которое покидает российский рынок ИБ (см.табл.1).

Разумеется, такие замены не будут полноценными. Будь так, все бы давно перешли на решения open source и производители средств защиты вынуждены были бы покинуть рынок ИБ. Можно выделить две ключевых проблемы у вышеперечисленных решений — отсутствие централизованного управления и необходимость наличия высокой квалификации у персонала, их использующего и настраивающего. Причем обе проблемы не так просто решаются. особенно сейчас, в условиях сокращения персонала во многих компаниях. 

2015 год потребует изменения кулинарных предпочтений

Выше мы проанализировали, может ли «натуральное хозяйство» в информационной безопасности заменить нам привычные «походы в магазин». Оказалось да, может. Но рынок не стоит на месте, и каждый год появляется что-то новое, а что-то забытое вновь становится востребованным. Можно ли и новые «рецепты» реализовать с минимальными затратами? 

В конце прошлого и начале этого года я провел анализ 144 прогнозов по информационной безопасности, сделанных разными экспертами и компаниями (всего 58 источников). Абсолютная десятка (10-е и 11-е пункты списка из 144 прогнозов поделили между собой 10-е место) выглядит так:

1. Информационная безопасность Всеобъемлющего Интернета (его еще часто называют Интернет вещей, что не совсем верно, так как последнее понятие ýже), включая тематику АСУ ТП.

2. Безопасность мобильных устройств, в том числе BYOD.

3. Рост числа целенаправленных угроз (APT).

4. ИБ облачных вычислений.

5. Увеличение прессинга со стороны регуляторов, в частности рост числа нормативных актов.

6. Повышение интернет-мошенничества и угроз мобильным платежным системам; особенно после заявлений Visa о том, что она планирует привезти в Россию Apple Pay.

7. Увеличение количества инцидентов, связанных с уязвимостями в open source- и открытых протоколах.

8. Рост числа угроз со стороны государств.

9. Visibility & Analytics с точки зрения ИБ.

10. Повышние количества атак на медицинские системы.

11. Рост угрозы со стороны программ-вымогателей.

 

Во вторую десятку (указано больше 10 прогнозов, потому что последние места во второй десятке поделили сразу несколько предсказаний) входят:

1. Атаки на банкоматы, PoS-терминалы и киоски оплаты.

2. Рост интереса к безопасности ПО, включая тематику SDLC.

3. Повышение угроз электронной почте.

4. Увеличение интереса к Threat Intelligence, включая необходимость активизации обмена информацией об угрозах в рамках частно-государственного партнерства.

5. Слабость парольной защиты и необходимость обращения к многофакторной аутентификации.

6. Рост интереса к биометрической аутентификации.

7. Милитаризация темы информационной безопасности (кибервойны).

8. Рост использования теневого Интернета и анонимизации, как угроза ИБ.

9. Постепенный сдвиг в мотивации киберпреступников в сторону кибершпионажа и политики/идеологии.

10. Автоматизация, коммерциализация и повышение эффективности киберпреступных сервисов (crime-as-a-service).

11. Рост атак на социальные сети.

12. Национальные ограничения на приобретение ИТ-/ИБ-решений.

Исключим из данного списка общенациональные тренды и посмотрим, как данные задачи могут быть решены (см. табл. 2)

***

Как мы видим, никакого сюрприза — большинство потребителей предпочитали приобретать готовую продукцию на «прилавках магазинов» и использовать ее по назначению. В условиях роста цен, исчезновения ряда продуктовых наименований, снижения бюджетов многие компании задумаются: либо отказаться от некоторых проектов, отложив их до лучших времен, либо выискивать денежные резервы, переходя на язык финансового обоснования эффективности инвестиций в тот или иной проект по ИБ, либо заменяя платные решения их бесплатными аналогами, фокусируясь на «допиливании» продуктов open source под свои нужды. У каждого из трех вариантов есть преимущества и недостатки, свои за и против. Выбирать придется каждому потребителю, опираясь на собственное понимание возможностей и желания в части изменения поведения на своей ИБ-кухне. Но какой бы вариант ни был выбран, он потребует от специалистов по безопасности или ИТ новых подходов и взглядов на прежде привычные вопросы.