Компания Softline провела 12 марта в Москве Softline Security Day, на котором Symantec, Check Point, WebSense и NetIQ представили свое видение современного состояния дел в сфере информационной безопасности. Практически все выступающие сошлись на том, что современные методы защиты информации сильно отличаются от тех, которые использовались на заре развития информационных технологий и Internet.
Security 2.0
Представитель компании Symantec даже использовал в своем выступлении термин Security 2.0. По словам выступавших, современные методы защиты отличаются от Security 1.0 так же, как современная армия отличается от войск средневековья, когда защита базировалась на фортификационных сооружениях. Тогда толстые стены и выгодное расположение крепости могли достаточно долго сдерживать армию неприятеля. В современных войнах толщина стен уже не имеет значения, а защита от вторжения врага определяется координацией действий различных родов войск. Исход битвы зависит от мобильных, хорошо вооруженных и профессионально подготовленных боевых подразделений, которые действуют по обстановке, а не по заранее установленным правилам.
В Security 2.0 так же нет жестких правил и специальных "укрепленных" систем, защищенность информационной системы определяется координацией действий различных защитных механизмов. Да и сами защитные механизмы сейчас действуют уже не по строго фиксированным правилам, записанным в политике безопасности, а стараются принимать решения по обстановке - проактивно. При этом защищается не просто "периметр предприятия", но ключевые системы, такие как хранилища данных, серверы приложений и шлюзы. Немаловажным элементом современной защиты является централизованное управление всеми механизмами защиты.
Как и силовые структуры в современном государстве, средства информационной защиты можно поделить на внутренние войска, армию, защищающую от внешнего врага, и генеральный штаб. Внутренние средства защиты сейчас в основном обеспечивают безопасность рабочих мест - это концепция Endpoint Security, сформулированная Gartner. Защита от внешнего врага сконцентрирована на шлюзовых устройствах, которые контролируют взаимодействие с Internet. Они же обеспечивают целостность информационной системы. Генеральным штабом является система централизованного управления защитой, в которую сейчас добавляют и системы корреляционного анализа, и мониторинг активности пользователей и приложений, и подготовку отчетов, и даже проверку на соответствие требованиям законодательства.
Endpoint
Традиционно компании, занимающиеся антивирусной деятельностью, такие как Symantec, производят хорошие продукты для защиты рабочих станций. Поэтому основу рыночной стратегии Symantec составляет продукт Symantec Endpoint Protection 11, для которого компания готовится выпустить второй набор исправлений MR2. В состав этого продукта вошли разработки четырех компаний, в том числе и самого Symantec. Он включает в себя антивирус с антишпионом, спам-фильтр, персональный межсетевой экран с системой обнаружения вторжений, механизм принудительного исполнения политики безопасности (Symantec NAC), систему управления периферийными устройствами и поведением приложений. Со временем планируется интегрировать в этот продукт систему шифрования пользовательских данных (сейчас это отдельный продукт Endpoint Encryption) и технологию контроля утечек конфиденциальной информации от компании Vontu.
Аналогичный продукт предлагает и Check Point под названием Endpoint Security 7.0. Он также реализует большинство функций, перечисленных для Endpoint Protection. Однако, поскольку его разрабатывала компания, специализирующаяся на разработке шлюзовых решений, в нем больше возможностей по созданию VPN, контролю удаленного доступа и защите сетевых соединений.
UTM
Check Point традиционно сильна в разработке шлюзовых продуктов, которые соответствуют концепции унифицированного управления угрозами – UTM, унифицированной системы управления угрозами. Этот термин, придуманный в Gartner, используется для обозначения аппаратных устройств, которые обеспечивают максимально возможный набор защитных механизмов: антивирус, спам-фильтр, межсетевой экран с системой предотвращения вторжений, VPN, систему контроля утечек конфиденциальной информации, NAC, URL-фильтр и некоторые др. Фактически набор функций шлюзовых и клиентских средств защиты очень похож, однако методы их работы сильно различаются.
У Check Point продукты этого класса называются UTM-1 Total Security. Они поставляются в двух вариантах: в виде готового устройства или как программное обеспечение, которое можно установить на любой компьютер, если он удовлетворяет системным требованиям. Впрочем, у компании есть и узкоспециальные продукты для каждой из функций, например отдельный межсетевой экран или VPN-устройство, которые предназначены для защиты больших потоков информации. Стратегия организации продуктов у Check Point носит название PURE Security, где PURE - сокращение от характеристик безопасности: Protect (защищенная), Unified (унифицированная), Reliable (безотказная) и Extensible (расширяемая).
К шлюзовым продуктам относятся и разработки компании WebSense. Она предлагает два типа средств защиты - URL-фильтр и средства контроля за утечками конфиденциальной информации. Фильтрация сайтов осуществляется на основе базы данных, подготовленной и проверенной сотрудниками WebSense. С помощью этого же продукта можно контролировать использование Internet собственными сотрудниками, а также проводить расследование инцидентов. Контроль утечек конфиденциальной информации реализован в WebSense в виде специальной поисковой технологии, которая может определять похожесть документов. Ей нужно указать набор конфиденциальной информации, а она будет вылавливать из потока передаваемых в Internet данных файлы и определять, насколько они похожи на то, что передаче не подлежит. Обе технологии иногда встречаются и в универсальных шлюзах, однако у WebSense они реализованы качественнее.
Управление
Разработчики, которые имеют широкий ассортимент инструментов защиты, как правило, в корпоративные пакеты продуктов включают еще и средства управления всем комплексом защитных механизмов. Однако, поскольку практически все подобные пакеты собраны из продуктов разных производителей, то не всегда единые консоли действительно управляют всеми защитными механизмами, установленными на предприятии, даже если формально все они от одного производителя. Тем не менее с каждым новым выпуском набор доступных для управления с помощью единой консоли защитных средств расширяется. Однако такие системы нельзя назвать полностью централизованными системами управления информационной безопасностью предприятия - в большинстве случаев они ограничены набором продуктов одного поставщика.
Существуют и специализированные продукты для системного управления средствами информационной безопасности. В частности, это разработки компании NetIQ, купленной недавно Attachmate. Это Secure Configuration Manager и Security Manager. Первый предназначен для анализа конфигурации различных систем с точки зрения информационной безопасности, а второй обеспечивает централизованный мониторинг систем защиты и управление ими. Поскольку NetIQ специализируется на разработке средств системного управления, то ее продукты могут работать с защитными системами различных производителей.