Информационная безопасность

Количество компаний, инвестирующих в широко разрекламированную технологию блокчейна, растет. Все говорят, что распределенный реестр обладает огромным потенциалом в части изменения ключевых бизнес-процессов. Но, как и любая другая передовая технология, блокчейн несет в себе определенные риски для бизнеса. А в Forrester предостерегают: пока что не существует даже четкого определения блокчейна.

Выступая на проходившей в Лондоне конференции Forrester Digital Transformation Europe, главный аналитик компании Forrester Research Марта Беннетт перечислила основные риски и рассказала о том, что нужно сделать, чтобы в полной мере раскрыть потенциал блокчейна.

1. Отсутствие четких определений

Прежде всего важно выработать общие соглашения в части рабочего определения блокчейна. Беннетт характеризует блокчейн как «хранилище записей, реализующее однократную запись и добавление данных». Перезаписывать их запрещено. Блокчейн, или цепочка блоков транзакций, имеет распределенную структуру и полностью или частично реплицируется.

Такой подход безопасен с криптографической точки зрения, но не эквивалентен шифрованию. По умолчанию контент блокчейна – транзакция или собственно запись – не шифруется. Криптографическая безопасность обеспечивается за счет хеширования транзакции и привязки ее к хешу. Попытки изменения сразу выявляются, поскольку хеш перестает соответствовать транзакции.

А если слово «реестр» заменить «базой данных», поводов для спора станет еще меньше. Почему это так важно? При обсуждении блокчейна убедитесь, что говорите с собеседником об одном и том же, ведь блокчейн, подобно облакам или Большим Данным, несет в себе ту смысловую нагрузку, которую вы в него закладываете.

2. Безопасность и риск

Одной из ключевых особенностей блокчейна, которую ценят поставщики финансовых услуг и страховые компании, является возможность гарантировать безопасное выполнение транзакций и снижение рисков за счет того, что любые изменения немедленно становятся заметны.

Но здесь есть и побочные эффекты. Блокчейн все выставляет напоказ, поскольку его содержимое, как правило, представляет собой открытый текст. Но даже при принятии специальных мер существуют технологии, позволяющие любому желающему получить доступ к контенту.

Между тем даже простейшие правила личной безопасности нередко не соблюдаются, а ведь в блокчейне присутствует очень много персональных данных. И мошенники могут воспользоваться ими в своих интересах. Нарушаются требования к конфиденциальности и защите данных.

Если информация обо всех торговых операциях содержится в цепочке, ее могут использовать конкуренты. Компании уже осознали это и с большей осторожностью прибегают к помощи блокчейна, стремясь сохранить коммерческую конфиденциальность и не допустить преследования со стороны антимонопольных органов. Возможным рискам, безопасности и политике доступа необходимо уделять самое серьезное внимание.

3. Управление ключами

Беннетт рассказала о недавних случаях проникновения киберпреступников в глобальную платежную систему SWIFT и о том, что блокчейн не смог бы воспрепятствовать этому.

«Вы говорите об однократных неизменяемых записях, но людям свойственно допускать ошибки, – заметила она. – В цепочке все равно появятся мошеннические транзакции, ведь там, где есть деньги, без взломщиков никогда не обходится. Благодаря цепочке обнаружить их становится проще, но полностью исключить мошенничество цепочка не в состоянии. Некоторые утверждают, что при использовании блокчейна проникновение в систему SWIFT невозможно. На самом деле это не так. Ведь мы столкнулись с кражей учетных записей, но с тем же успехом можно украсть и ключи для цепочки. Да, блокчейн помогает выявлять операции такого рода, но он не в состоянии предотвратить их».

4. Полномочия и права доступа

Здесь тоже возникает ряд вопросов, на которые ИТ-специалистам еще предстоит ответить в случае перехода к блокчейну.

Сколько наборов ключей нужно иметь для управления правами и шифрованием? Как происходит отзыв полномочий? Как работает цепочка? Какие алгоритмы и соглашения при этом используются? Сколько узлов?

Задав поставщикам эти важные вопросы, вы обнаружите, что многие не могут на них ответить.

5. Развертывание на предприятии

Сегодня технологии, позволяющие проводить платежи, денежные переводы, осуществлять послепродажную поддержку и обеспечивать соответствие журналов предъявляемым к ним требованиям, кажутся предприятиям уже достаточно зрелыми. Но это вовсе не означает, что их легко можно интегрировать в корпоративную среду. Напротив, по мнению Беннетт, технологии в целом сегодня находятся лишь в зачаточном состоянии.

«Их полномасштабного распространения можно ожидать лишь через пять-десять лет, ибо сегодня в нашем распоряжении имеется только набор весьма незрелых технологий, – констатировала она. – В компаниях их совершенствованием занимаются яркие и талантливые люди, но вопросы масштабирования, обеспечения безопасности и интероперабельности пока еще не решены».

6. Хранение

Всем, кто собрался внедрять у себя технологию блокчейна, придется задуматься об организации хранения данных.

Хранилище может быть встроено непосредственно в цепочку, может находиться где-то еще или даже размещаться в параллельном блокчейне. Все это остается предметом исследований. При интенсивной обработке транзакций и их репликации в несколько баз данных вы неизбежно столкнетесь с задержками, поэтому какую-то часть хранилища или организацию вычислений придется выносить за пределы цепочки.

7. Соответствие общим стандартам

Необходимо выработать соглашения об общих стандартах и процессах. Определенные шаги в этом направлении уже предпринимаются (образован, в частности, консорциум R3, объединивший крупнейшие финансовые организации мира), но вопросы взаимодействия по-прежнему порождают определенные трудности. «Когда в последний раз вам удавалось внедрить в 40 банках одну и ту же процедуру?» – вопрошает Беннетт.

И наконец, последний совет всем, кто рассматривает возможность внедрения у себя блокчейна. «Начинайте не с технологии, а со сценариев ее использования, – рекомендует Беннетт. – Мне жаль, когда миллионы фунтов стерлингов тратятся на проекты, которые никогда так и не будут реализованы. Поэтому надо трудиться не покладая рук, пробовать различные сценарии и смотреть, что из этого получится».

— Scott Carey. Seven reasons blockchain isn't ready for mainstream deployment. Computerworld UK. June 13, 2016

Киберпреступность стала гораздо более зрелой. Прошло то время, когда российские и китайские преступники исследовали рынок, пытаясь работать индивидуально. Сейчас это организованная преступность, и масштабы ее деятельности впечатляют. Группировки обладают серьезными ресурсами и возможностями и могут себе позволить инвестировать в сложные многоходовые операции, имеющие высокую эффективность.

«Целевые атаки на организации совершались и раньше. Например, “точкой входа” для них являлись мобильные устройства сотрудников, куда засылались вредоносные файлы, а собранная информация использовалась для целевых атак. Просто до некоторых пор про это не знали», – говорит Денис Масленников, старший аналитик IDC. В 2015 году было уже много очень интересных примеров, когда успешные проникновения в сеть компании начинались с атаки на персональные устройства ее топ-менеджеров. Безусловно, такие прецеденты повлияли на то, как компании реагируют на подобные угрозы.

В будущем одним из ключевых факторов роста рынка ИБ станут продукты и сервисы, созданные для анализа специализированных сложных угроз. Коробочные решения не всегда справляются с этой проблемой.

Кибербезопасность играет все возрастающую роль в бизнесе, и ей следует уделять больше внимания. Компании идут по пути цифровой трансформации, меняют свою инфраструктуру и архитектуру. Это влияет на их функционирование в целом, на их безопасность и процедуры управления рисками.

Жертвы экономической нестабильности

Алексей Плешков, начальник управления режима ИБ департамента защиты информации «Газпромбанка»: «Рост целевых атак, особенно на финансовые организации, в первую очередь, обусловлен экономической ситуацией»

«Не секрет, что нынешние киберпреступники хорошо осведомлены и технически подкованы. Они прекрасно понимают, что любая система защиты уязвима – надо лишь найти ее слабые места», – отмечает в ходе конференции IDC Security Roadshow Алексей Плешков, начальник управления режима ИБ департамента защиты информации «Газпромбанка».

По его признанию, специалисты по информационной безопасности сами загнали себя в тяжелую ситуацию. До 2013-2014 годов большинство их полагали, что главное – не быть последним, как в анекдоте про охотников, убегающих от медведя. Предпринимаемый ими минимум действий, позволяющий защититься от атак, не охватывал всего спектра возможных угроз. Но все же, как правило, это позволяло оставаться на плаву. Однако с 2014 года парадигма поменялась: сейчас уже необходимо догонять – и злоумышленников, и другие банки.

«Рост целевых атак, особенно на финансовые организации, обусловлен в первую очередь экономической ситуацией», – уверен Плешков. Идут увольнения ИТ-специалистов – пусть не самых сильных и грамотных, но в любом случае обладающих минимальным набором знаний о существующих уязвимостях приложений и брешах в системах безопасности.

Появляется множество инструкций, в том числе видеороликов, демонстрирующих техники осуществления атак. Люди, оставшиеся без работы, понимают, что им вполне по силам такие же действия. Но главное – это очень быстрые деньги. От просмотра обучающего ролика до получения прибыли, пусть и небольшой, проходит минимум времени. Это мотивирует на более сложные и прибыльные атаки.

Свежий пример актуальных для банков угроз – атаки на платежные терминалы и банкоматы. У них есть общая деталь, которая выясняется в результате расследований: информацией об уязвимостях ПО на конкретных устройствах обладают либо сотрудники технических служб, производящих и обслуживающих терминалы, либо те, кто создают платежные приложения для них. После увольнения эти люди пошли и продали данную информацию.

Но гораздо большую угрозу несут фишинговые атаки на сотрудников крупных финансовых организаций. Основная идея злоумышленников заключается в установке вредоносного ПО на рабочие станции сотрудников и дальнейшей работе в режиме удаленного доступа. Адресатами чаще всего являются сотрудники бухгалтерии, кадровых и юридических служб. Письма составлены так, что провоцируют открывать вложение, – часто они по структуре похожи на внутреннюю рассылку, а их тема вполне близка адресату.

«Информация о структуре писем, о том, кому и как необходимо отсылать файлы, находится внутри атакуемой организации», – подчеркивает Плешков. Рассылка писем с юридическими вопросами в адрес бухгалтера не даст эффекта, но если такое письмо поступит сотруднику юридического отдела, он, скорее всего, откроет прикрепленный файл. Кроме того, участились случаи, когда письма рассылаются помощникам крупных руководителей от лица их босса. Это тоже весьма действенный способ внедрения вирусных вложений.

Свежий пример весьма успешной массовой атаки – рассылка, проведенная злоумышленниками 15 марта от имени FinCERT ЦБ РФ, с инструкциями по противодействию атакам. Письма отправлялись с адреса, имеющего сходство с настоящим адресом FinCERT, и представляли собой инструкцию по запуску вложенного макроса. Рассылка шла не наугад, а с использованием специальной базы, составленной из материалов отраслевых конференций и банковских служебных документов. Каждое письмо начиналось обращением по фамилии, имени и отчеству к конкретному получателю. В течение первого часа после атаки более 20 сотрудников банков запустили вложение.

«Главный способ защиты от таких угроз – это отделение контуров, связанных с обработкой конфиденциальной информации, от внешнего контура с доступом в Интернет», – полагает Плешков. Это старый, но действенный метод: даже если файл попадет внутрь защищенного сегмента и будет запущен, он «не достучится» до своего хозяина.

Не менее важно продолжать обучать сотрудников противодействовать фишингу. Человеческий фактор по-прежнему представляет серьезную угрозу для безопасности компаний.

Профессионалы против виртуозов

До недавнего времени внимание специалистов службы информационной безопасности было главным образом направлено на троянцев, внутренние утечки, сетевые атаки, мошенничество. Сотрудники разных организаций обменивались между собой информацией о том, какие системы противодействия угрозам они внедрили у себя, что повышало эффективность их действий. Однако появление новой проблемы – целевых атак – во многом спутало их карты. Ситуацию усугубляет то, что злоумышленники, в числе которых могут быть бывшие сотрудники, отлично знают инфраструктуру компании-жертвы.

Елена Петрова, начальник управления ИБ «Экономикс-Банка»: «Против специалистов ИБ играет группа профессионалов, каждый из которых – виртуоз, специализирующийся на конкретном направлении. Силы неравны»

«Даже самые современные средства информационной безопасности в коробочном виде совершенно не готовы к целевой атаке, созданной таким образом, чтобы вероятность ее реализации была максимальной», – подчеркивает Елена Петрова, начальник управления ИБ «Экономикс-Банка».

Схема таких атак стандартна. После того как злоумышленник решил, чью систему атакует, он должен найти контактные данные сотрудников организации. Сотрудники бухгалтерских и кадровых служб стали более осмотрительными, поскольку рассылка писем в их адрес участилась, но можно подобрать подразделение, которое совершенно не готово к атаке. Когда нужное подразделение выбрано, подготавливается письмо со ссылкой или вредоносным вложением таким образом, чтобы работник даже не задумался о том, что надо проконсультироваться о его содержимом.

Как получить внутренние контакты сотрудника? Можно походить по конференциям, можно спросить кого-то внутри организации. Ну и «помочь» могут контрагенты, посчитавшие, что скрывать контакты почтовых ящиков, являющихся приватными, совершенно не нужно, и опубликовавшие их в открытом доступе.

Код, будучи внедренным, может затаиться на срок до нескольких месяцев. При этом программа достаточно умна, а потому способна самостоятельно отыскать уязвимую систему.

По мнению Петровой, в связи с появлением новых угроз следует радикально изменить подход к безопасности. «Сегодня в большинстве случаев используются шаблонные решения, а контроль событий настроен на типовые сценарии. Малозначимые события практически не анализируются, иначе число сообщений о них будет столь велико, что не будет поддаваться анализу. Кроме того, практически отсутствует контроль действий администраторов», – констатирует она.

Во-первых, предлагается задействовать несколько средств безопасности. В дополнение к основной крупной системе – на отдалении использовать малобюджетные дополнительные способы контроля. Злоумышленник увидит и обойдет известное решение, а малоизвестный инструмент, находящийся на отдалении, может не увидеть.

Кроме того, нужно, чтобы реагирование на инциденты зависело от важности системы: контроль критичных систем должен быть более точным. Отследить все события невозможно, но, выделив несколько критичных объектов, можно выявить даже малозначительные изменения в них. А чтобы снизить число ложных тревог, необходимо минимизировать окружение важных систем, изолировать их в подсети и максимально упростить, исключив дополнительные инструменты, которые любят включать интеграторы, – например, автоматический перенос файлов или удаленное управление.

«Сейчас ситуация такова, что против специалистов по информационной безопасности играет группа профессионалов, каждый из которых – виртуоз, специализирующийся на конкретном направлении. Силы неравны», – признает Петрова.

Сотрудникам ИБ требуется помощь. Нужно обмениваться информацией с теми, кто подвергся таргетированным атакам, – конечно, без риска репутационных угроз для передающих информацию. Усилий FinCERT в этой области явно недостаточно.

«Не должно быть страха перед регулятором: успех атаки говорит о хорошей ее подготовке, а не о слабой защите. Иначе придется скрывать данные об атаках, а это ни к чему хорошему не приведет», – считает Петрова.

Ситуация с безопасностью в кредитных организациях и без того сильно зарегулирована, отделы перегружены регламентирующими документами. Если такое будет продолжаться, у служб информационной безопасности не останется времени реагировать на атаки.

Разведка боем

Одна из наиболее эффективных мер профилактики инцидентов – это тестирование на проникновение. Более того, для финансовых корпораций такое тестирование и сопутствующие мероприятия являются критичными с точки зрения регуляторов. Но, как правило, общий, традиционный подход весьма ограничен. Он состоит в четком обозначении границ тестируемой системы и векторов атак, выполняемых в определенные периоды времени, когда на рабочих местах находится персонал служб информационной безопасности и эксплуатации. У этого подхода есть еще одна особенность – так называемый вайтлистинг, когда служба безопасности не реагирует на атакующего, зная о допустимой аномальной активности.

Светлана Архипова, руководитель направления информационной безопасности и ИБ-мониторинга Qiwi: «Мы сильно разочаровались в своих дорогостоящих ИТ-системах. Они замечательно себя показывают в “мирной” эксплуатации, в боевых условиях оказались неэффективными»

«Подход хорош тем, что в плане бизнеса практически никак не влияет на стабильность системы и ее производительность, за редким исключением – может случиться отказ в обслуживании. В целом все проходит довольно гладко», – отмечает Светлана Архипова, руководитель направления информационной безопасности и ИБ-мониторинга Qiwi. Но есть и очевидные минусы. Первый, и очень существенный: так как область тестирования диктуется заказчиком, покрытие угроз может быть неполным. Как правило, ограничиваются наиболее критичными сегментами.

Вторая «ложка дегтя» – ограничение тестирования использованием утилит. Тестирование проводится с помощью распространенных сканеров, после чего результаты обрабатываются. По сути, на выходе получается запись сканера безопасности с комментариями аналитика.

Но самый существенный негатив – отношение к подходу исключительно как к проекту «для галочки», требованию регулятора, а не как к реальной оценке угроз и уровня защищенности. «В итоге все проводимые мероприятия совершенно не похожи на реальные инциденты. Когда команда безопасности сталкивается с реальными проблемами, результат оказывается плачевным», – говорит Архипова.

В Qiwi на протяжении 2014-2015 годов создавался центр безопасности – Qiwi Security Operations Center. Для тестирования созданного центра выбрали кардинально отличающийся от стандартного подход – Red Team, весьма распространенный на Западе. Как можно догадаться из названия, этот термин пришел из военной среды и описывает действия «дружественного» атакующего, целью которого является доступ к критичному оборудованию, захват базы и т. п.

Аналогичный подход использовался в Qiwi для тестирования корпоративной сети и всех процессов ИБ. Его главная отличительная особенность – полное отсутствие ограничений на проникновение в сеть, в том числе временных. Это могут быть внешняя атака, действия инсайдера, физическое проникновение в офис и подключение к сети, а нападение может произойти круглосуточно. Со стороны атакующих работает смешанная высококвалифицированная команда из нескольких поставщиков услуг «белых хакеров».

«Во время тестирования на протяжении нескольких месяцев у нас нет понятия “выходной” и “нерабочие часы”. Это полная эмуляция атаки, которая может произойти», – подчеркивает Архипова.

Со стороны защищающихся – Blue Team – стоит задача сохранить свои ресурсы. Команда не оповещается о старте и окончании тестирования. В лучшем случае известен месяц, когда происходит проверка. Неизвестно, реальная атака идет или дружественная, поэтому реагировать приходится по-настоящему. Для «полного счастья» в команде есть инсайдер – как правило, это директор по информационной безопасности.

Тем не менее ограничение все-таки есть: вывода из строя ключевых систем произойти не должно. Если атакующим удастся зайти столь далеко, они поинтересуются у инсайдера, нужно ли идти дальше. Со своей стороны, инсайдер видит реакцию команды и ее действия. Если атака замечена, она дальше не имеет смысла, и атакующие переходят на другой вектор.

«Плюс данного подхода – полное покрытие систем. Так как целью являются все и каждый, можно многое узнать о системе видеорегистрации, старом забытом сервере, который все боятся выключить, и т. п.», – считает Архипова. Следует помнить, что область тестирования ограничена не только ИТ-системами. Тестируются общие процессы физической безопасности и осведомленность сотрудников. Это отличный способ протестировать команду и используемые инструменты. Например, можно сильно разочароваться в том, как дорогостоящие системы работают под нагрузкой, как моновендорная система ведет себя на стыках между модулями. Но это безопасный способ получить реальные данные о состоянии дел, на основании которых можно принимать меры.

Главный недостаток заключается в том, что такой подход может и будет приводить к отказам в обслуживании неключевых систем и к прочим неудобствам для бизнеса. Все сотрудники, включая топ-менеджмент, также становятся целью для атаки, что чаще всего приводит к массовой блокировке учетных записей. Это вызывает много нареканий, а потому действия следует заранее согласовывать со всеми подразделениями. Из-за круглосуточного характера атак нагрузка на команду безопасности возрастает в несколько раз, и это хорошая проверка на профессионализм и стрессоустойчивость.

Свежий взгляд на безопасность

В прошлом году тестирование в Qiwi проводилось при помощи команд ONSEC и Digital Security и длилось два с половиной месяца. Ключевые цели для атакующих – доступ к любой из критичных систем либо доступ уровня администратора; для команды защиты – 90% атак должно быть зафиксировано и отражено в реальном времени.

«Это были месяцы ада, мы сталкивались с социальной инженерией, переборами паролей, массово заблокированными аккаунтами, экстренно выключали каналы связи, отключали серверы и изолировали отдельные сегменты сети. Находили странные “потерянные” устройства в офисе, обнаруживали подозрительных личностей возле коммутационной, в прямом смысле слова ловя за руку команду атакующих. Часами сидели над событиями в SIEM-системах, анализировали видеозаписи», – вспоминает Архипова.

Это был первый тест, и его результаты оказались неудовлетворительными. Несмотря на то что центр безопасности строился с привлечением известного системного интегратора, уровень фиксации инцидентов системами не превысил 70%. Практика подтвердила, что социальная инженерия и фишинг работают по-прежнему эффективно: самым успешным вектором атак стали фишинговые письма, имитирующие внутреннюю рассылку.

«Мы сильно разочаровались в своих дорогостоящих ИТ-системах. Они замечательно себя показывают в “мирной” эксплуатации, в боевых условиях оказались неэффективными», – признает Архипова. Поэтому от части систем пришлось отказаться, а оставшиеся были доработаны совместно с производителями. На устранение проблем по результатам тестирования ушло около пяти месяцев.

В результате столь жесткого тестирования удалось по-новому взглянуть на системы, политики, регламенты и процедуры. «Не секрет, что при долгой работе над одной системой восприятие притупляется и какие-то недостатки просто не замечаешь. Нас заставили их заметить», – подчеркивает Архипова.

Кроме того, произошел резкий скачок квалификации всех команд безопасности – как физической, так и информационной. Были получены ценнейшие данные о действиях, которые приводят к инцидентам. Их можно повторить и избежать проблем в дальнейшем.

Если компания хорошо проходит подобное тестирование и принимает меры по его результатам, то стоимость атаки на нее существенно возрастает. В мире киберпреступности законы экономики работают так же, как в бизнесе, – скорее всего, от атаки на такую компанию просто откажутся, найдут более дешевую и безопасную цель.

Оценивать состояние информационной безопасности на предприятиях стоит прежде всего с точки зрения защищенности от тех уязвимостей, с помощью которых атакующие уже сумели нанести серьезный ущерб – или вашей организации, или коллегам по отрасли. Если на какое-либо решение полагаются чересчур сильно, то оно само по себе становится слабым местом защиты. Следует искать эффективное сочетание инструментов. В то же время не стоит игнорировать действенные средства только из-за того, что они недостаточно удобны в использовании. Решениям безопасности, делающим акцент на удобстве, но упускающим из виду реальные опасности, нередко доверяют слишком сильно.

Какие системы безопасности делают вас уязвимыми

В компаниях нередко возлагают чересчур большие надежды на решения безопасности, которые в будущем могут не оправдать доверия из-за собственных дыр. Зияющие бреши, способные открыть вход атакующим, были обнаружены не только в OpenSSL, но и в ряде других технологий шифрования.

«Это как если бы у вас был надежнейший дверной замок, а потом выяснилось, что саму дверь можно легко отжать и снять с петель», – говорит Уолтер О’Брайен, эксперт по кибербезопасности, глава компании Scorpion Computer Services, который стал прототипом главного героя в сериале «Скорпион». (В сериале речь идет о группе вундеркиндов и эксцентричном руководителе их команды, работающей на службу национальной безопасности, и их задача – разбираться со сложными угрозами современности. «Скорпион» – это программа, которая помогает героям в получении информации о совершенных преступлениях. – Прим. ред.)

Так, протокол шифрования VoIP-звонков Mikey-Sakke, разработанный в британском Центре правительственной связи – спецслужбе, занимающейся электронной разведкой, имеет специально предусмотренный черный вход, а значит, является ненадежным по определению. Другой пример: в правоохранительных органах сразу двух стран, Голландии и Канады, сообщали об извлечении зашифрованных по алгоритму PGP сообщений электронной почты из специальной модели BlackBerry, отвечающей военным стандартам защищенности. Вряд ли после этого стоит доверять надежности такого шифрования.

Механизмы шифрования, используемые в виртуальных частных сетях, защищают данные в пути между ноутбуками дистанционных работников и корпоративными сетями. Но если сам ноутбук заражен и контролируется атакующим, защищенное соединение становится орудием взломщика, с помощью которого он возьмет под контроль сетевую систему на другом конце соединения и будет атаковать уже с нее, напоминает Эндрю Гинтер, сопредседатель комитета по кибербезопасности Международной ассоциации автоматизации ISA.

Самоконфигурируемые межсетевые экраны – еще один инструмент, обеспечивающий меньше защиты, чем некоторые полагают.

«Установившие такой сетевой экран начинают чувствовать себя в полной безопасности и не думают о том, что еще нужно заботиться о защищенности приложений, баз данных, исходных кодов», – продолжает О’Брайен.

Еще один вид самообмана – когда ограничиваются выбором самых современных решений (скажем, систем испытания на возможность проникновения, отчетности об аномалиях и т. п.). Внедрив их, ошибочно полагают, что этого достаточно.

«Вы видите, что система выдержала десятки тысяч тестов на уязвимость для SQL-инъекций за какой-то период времени, и у вас появляется ложное чувство защищенности, – говорит О’Брайен. – Но подобные тесты нередко просто варианты тех, что существуют уже лет десять или двадцать, а вовсе не новые. Устаревшие тесты не смогут показать, уязвимы ли ваши системы для свежих эксплойтов».

Каким решениям стоит доверять больше

В организациях следует вести учет мест размещения наиболее ценных данных, в том числе облачных сервисов, документировать маршруты и операции передачи данных, точки их входа в сеть и выхода из сети, а также обнаруженные уязвимости. Стоит также внедрять технологии, позволяющие защититься от возможных потерь самой ценной информации.

Целесообразно, в частности, внедрить защитные решения на основе искусственного интеллекта. Такие предлагаются той же Scorpion Computer Services, а также компаниями Lancope, AlienVault и другими – в сочетании с решениями, в полной мере реализующими базовые функции информационной безопасности. Если задействовать такие системы совместно с другими эффективными средствами и отказаться в то же время от решений, не удовлетворяющих современным требованиям, то организация сможет надежнее защититься от вторжений: можно будет более результативно тестировать системы на уязвимости и отмечать аномалии их поведения.

Действенность даже лучшего оружия определяется мастерством того, кто им пользуется, – если у воина связаны руки, он будет бессилен перед нападающим. «У специалиста, к которому поступают предупреждения системы безопасности, должны быть полномочия немедленно принять меры – отключить отдел от сети, отозвать чьи-то привилегии в системе или взять кого-то под стражу, – подчеркивает О’Брайен. – А если все, что вы можете, – это отчитаться в конце квартала, то смысла в ваших защитных системах – никакого».

Некоторые защитные механизмы работают практически без участия человека просто в силу особенностей своего принципа действия

Некоторые защитные механизмы работают практически без участия человека просто в силу особенностей своего принципа действия. В организациях стоит подумать о применении подобных подходов. «Мне, к примеру, по душе однонаправленная связь – шлюзы, которые разрешают прохождение информации только в одном направлении», – отмечает Гинтер.

Это, конечно, не подойдет, если сотрудники могут удаленно заходить в сеть по VPN и работать в режиме двунаправленного обмена данными из дома, как в офисе. Но если есть риск того, что бизнес может погибнуть из-за единственного проникновения в сеть, значит, позволять дистанционный обмен данными с системами, содержащими критически важную информацию, просто недопустимо.

– David Geer. Which security products do enterprises expect too much from? CSO. Feb 11, 2016

Большие Данные рассматриваются отраслевым сообществом как один из ключевых инструментов цифровой трансформации предприятий и организаций. Этот инструмент предоставляет им огромные возможности для обогащения «сырой руды» данных и превращения ее в знания, помогающие совершенствовать деловые и организационные процессы, повышать эффективность бизнеса и конкурентоспособность. Но у каждой продуктивной идеи есть свои ограничения, и применить означенные возможности на практике не так просто, а иногда эти усилия сопряжены с риском компрометации важной информации.

Цифровой дуализм

По мнению Алексея Лукацкого, эксперта Cisco в области информационной безопасности, Большие Данные – это и благо, и зло для любого предприятия, ступившего на путь их освоения. Благо – потому что Большие Данные при должном умении действительно могут дать доступ к таким сведениям, которые нельзя получить при традиционной обработке информации. Зло – потому что мало кто умеет работать с такими данными и извлекать из них ценность.

«Неверные выводы, которые можно сделать на основе Больших Данных, – вот основная проблема при их использовании. И угрозы информационной безопасности обычно уходят в такой ситуации на второй план. Вообще, каких-то особых и новых угроз для Больших Данных нет. Красть такие данные, не имея представления о том, как их можно использовать, смысла нет (да и красть колоссальные объемы данных довольно проблематично). Вносить в них изменения? При условии неопределенности принимаемых на их основе решений – тоже бессмысленно», – рассуждает Лукацкий.

Но это, скорее, концептуальный взгляд на проблему. В реальности же злоумышленники, получив доступ к Большим Данным, могут нанести очень серьезный ущерб их владельцам. Вот, например, какой случай описывает в своей статье известный архитектор встраиваемого программного обеспечения, инженер-консультант компании Emulex Тим Джонс (статья размещена на сайте IBM). Дело было в 2006 году. Тогда компания Netflix в рамках конкурса по совершенствованию рекомендательного сервиса выбора кинофильмов предоставила разработчикам большой пакет данных. Это было нужно для совершенствования поисковых алгоритмов сервиса. В пакете содержались внутренние данные Netflix, из которых предусмотрительно была удалена информация, позволяющая точно идентифицировать клиентов компании. Однако разработчики смогли легко выявить всех клиентов по их идентификаторам в базе данных Netflix, сопоставив анонимные рецензии в предоставленном Netflix пакете и рецензии, опубликованные на одном из специальных сайтов.

«Этот случай наглядно показал, что даже анонимные данные можно отследить вплоть до истинных пользователей, установив взаимосвязь между имеющейся информацией из базы данных и сведениями из других общедоступных источников», – подчеркивает Джонс.

Берегите базы данных

Дмитрий Частухин, директор департамента аудита SAP в компании Digital Security, подтверждает наличие подобных рисков: «Конечно же, основные проблемы у крупных предприятий, реализующих концепцию Больших Данных, начинаются тогда, когда атакующий получает доступ к базам данных и происходит, собственно, нарушение целостности, доступности, конфиденциальности информации. Можно представить, какой простор возможностей по монетизации атак открывается для злоумышленника, например, получившего доступ к данным о работе крупной корпорации за последние десять лет или к предпочтениям людей в выборе продуктов питания».

По словам Частухина, атакующий может реализовывать множество сценариев нападений на Большие Данные, ведь схемы компрометации инфраструктуры, работающей с ними, мало чем отличаются от тех схем, которые применяются во время атак на общую инфраструктуру предприятий. Социотехнические атаки, уязвимости в программном обеспечении, неверно разграниченный доступ и другие уязвимости – все это в конечном итоге может привести к тому, что данные, бережно накапливаемые и хранимые компанией для анализа, окажутся доступны третьим лицам.

Лукацкий же считает: основная проблема в контексте информационной безопасности, встающая перед владельцами Больших Данных, – это приватность. Он приводит в пример известный случай, когда крупный американский магазин сделал вывод о беременности своей покупательницы только по анализу ее поведения в онлайн-магазине.

Впрочем, собираемые по отдельности сведения о человеке могут не представлять большого интереса ни для него самого, ни для злоумышленников. Владелец таких сведений, поскольку считает их малозначащими, может даже не заботиться о защите.

«Только в комбинации с множеством других малозначащих данных они превращаются в мощное оружие (если его умело использовать). И как бороться с нарушением приватности, пока никто не знает. Где та граница, за которой разрозненные данные становятся Большими и важными? Как соблюсти баланс между бизнес-потребностями и предотвращением вторжения в частную жизнь гражданина? Эти вопросы задают сегодня многие специалисты по праву, информационной безопасности, ИТ. И ответа пока что нет. Каждый руководствуется принципом целесообразности, а целесообразность у всех своя», – таков взгляд на проблему эксперта из Cisco.

Опасная масштабируемость

На прикладном же уровне безопасность Больших Данных во многом определяется защищенностью того, что называют их «столпом», а именно – инфраструктурой Hadoop.

Специалисты проверили наиболее распространенные Hadoop-окружения и нашли ряд критичных уязвимостей, способных омрачить репутацию Больших Данных как продуктивного инструмента цифровой трансформации

Якуб Калюжный, старший консультант по ИТ-безопасности компании SecuRing, рассказал на международной конференции ZeroNights, что их специалисты проверили наиболее распространенные Hadoop-окружения и нашли ряд критичных уязвимостей, способных омрачить репутацию Больших Данных как продуктивного инструмента цифровой трансформации. По его словам, злоумышленники могут попытаться скомпрометировать данные, атаковав как внешние, так и внутренние интерфейсы в экосистеме Hadoop, а также ее отдельные элементы, включая каналы связи с базами данных, системы администрирования и т. д. Так, одно из главных преимуществ Hadoop – почти неограниченная масштабируемость – является и одним из главных источников угроз для безопасности. Ведь масштабируемость Hadoop обеспечивается тем, что данные размещаются на множестве узлов обработки, объединенных в кластер. Это серьезно осложняет и администрирование доступа к данным, и их защиту от потерь путем резервного копирования.

Учитывая сложность и масштаб систем на основе Hadoop, можно говорить, что поддержание безопасности в них само по себе является сложнейшей задачей и защитная система, чтобы обеспечить безопасность на надлежащем уровне, должна быть интегрирована со всей инфраструктурой Hadoop, а у нее есть свои природные слабости, подчеркивает Тим Джонс.

В частности, файловая система Hadoop Distributed File System реализуется поверх другой файловой системы (например, ext3). И средства контроля доступа для Hadoop реализуются с использованием разрешений на основе файлов, соответствующих модели разрешений UNIX. Эта модель предоставляет разрешения на уровне файлов в рамках HDFS, однако ей не хватает детализированных средств управления доступом. Недостаточная эффективность системы управления доступом чревата серьезными последствиями для безопасности.

Приоритет – комплексность

Частухин дополняет перечень угроз, специфичных для концепции Больших Данных: «Например, могут быть предприняты атаки на нейронные сети или классификаторы. Не секрет, что Большие Данные обычно хранятся неструктурированными и для работы с ними могут применяться разного рода алгоритмы. Скомпрометировав методы обработки Больших Данных, можно нанести ущерб компании, изменив, допустим, алгоритмы, принимающие решения о выдаче кредитных займов или закупках тех или иных товаров».

В Digital Security полагают, что большинство атак на инфраструктуру Больших Данных имеют направленный характер, преследуют конкретные цели, в основном – преступным путем заработать деньги. Для того чтобы атаковать такого рода системы, злоумышленникам все же необходимо обладать специальными знаниями, впрочем, как и для успешных атак на системы ERP и SCADA. Тем не менее подход к защите Больших Данных должен быть комплексным. Поставив перед собой цель скомпрометировать данные, злоумышленник будет использовать для атаки самые незащищенные элементы системы. Это могут быть программное обеспечение или человеческие ресурсы. Именно поэтому одинаково важно применять на практике как организационные, так и программные механизмы обеспечения безопасности, утверждают эксперты.

Кибербезопасность остается главным приоритетом для компаний всех отраслей. Причина понятна. Криминальные и прочие деструктивные элементы имеют доступ к недорогим инструментам и обучающим средствам, которые позволяют им совершать атаки на компании и правительства. Издание New York Times уже сообщало о росте числа вредоносных программ, направленных на вымогательство. Они шифруют данные пользователей, после чего предлагают им заплатить за расшифровку (в противном случае данные будут уничтожены).

Многие организации выделяют на сдерживание хакеров значительные ресурсы. В Google ликвидацией уязвимых мест постоянно занимается команда из десяти специалистов. Чтобы уберечься от существующих угроз, руководители организаций и их технических подразделений озабочены поиском наилучших методов и технологий. Повышение осведомленности персонала о мерах безопасности, увеличение числа специалистов по безопасности и оснащение ИТ-служб соответствующими средствами мониторинга остаются важнейшими составляющими стратегии управления безопасностью в целом.

Проверка сотрудников путем рассылки фишинговых писем

Весьма ограниченные возможности и знания клиентов и персонала, не имеющего отношения к техническим вопросам, – одна из главных угроз в области кибербезопасности. Попытки склонить пользователей к выполнению действий, помогающих злоумышленникам преодолеть заслоны системы безопасности, относятся к сфере социальной инженерии. Тактика социальной инженерии (а точнее, фишинговые письма) была положена в основу взлома в 2011 году технологии RSA SecurID. Событие это вызвало настоящий шок во всем мире, породив недоверие к системам безопасности. Инцидент показал, что даже самые уважаемые компании и технологии безопасности остаются уязвимыми перед лицом угроз социальной инженерии. Поэтому ведущие компании используют для снижения рисков сразу несколько различных подходов.

«У нас имеется программа подготовки персонала, направленная на обеспечение информационной безопасности, – указал Патрик Харбауэр, технический руководитель сервисов Neohapsis PCI DSS компании Cisco Systems. – Ежегодное обучение и компьютерное тестирование играют ключевую роль в привитии персоналу всех необходимых навыков для обнаружения и устранения угроз фишинга и прочих попыток преодоления системы информационной безопасности. Недавно мы, чтобы проверить эффективность обучения, решили посмотреть, как отреагируют сотрудники на разосланные им фишинговые письма. Одно из таких тестовых писем получил и я. Оно было замаскировано под рассылку сервиса Amazon Prime, и распознать его оказалось довольно сложно! Тестирование качества обучения мерам безопасности приобретает все более важное значение, поскольку идентификация фишинговых писем по старым признакам – отсутствию логотипа компании или грамматическим ошибкам – становится все менее эффективной. Теперь во многих фишинговых письмах присутствуют коды, изображения и другие материалы, взятые непосредственно с сайта компании».

«Наш подход к безопасности предусматривает мониторинг признаков действий, сопряженных с высоким риском, – сообщила Анджела Хайзе, вице-президент по коммерческим рынкам в Lockheed Martin, компании, специализирующейся в области авиастроения, авиакосмической техники, судостроения, автоматизации почтовых служб и аэропортовой логистики. – Если, к примеру, к корпоративной сети в три часа ночи подключается сотрудник, прежде никогда этого не делавший, система устанавливает соответствующий флажок. Конечно, сотрудник вполне мог проверить электронную почту, после того как встал ночью к маленькому ребенку, поэтому окончательное решение принимается с учетом всей совокупности факторов».

Битва за таланты в области кибербезопасности

Успех программы кибербезопасности по-прежнему зависит от талантливых специалистов. Ряд исследований показал, что знания в области безопасности пользуются высоким спросом, а наиболее квалифицированные специалисты вполне могут претендовать на зарплату выше 200 тыс. долл. в год. Опрос «Состояние кибербезопасности и ее влияние в 2015 году», проведенный Ассоциацией аудита и контроля информационных систем, показал, что 35% организаций не удается заполнить имеющиеся вакансии в области безопасности.

Lockheed Martin, выпускающая оборудование военного назначения и космическую технику, известна своим умением противостоять угрозам. Со стороны военных заказчиков компании приходится постоянно сталкиваться с очень высокими требованиями к безопасности. Благодаря своей репутации Lockheed Martin предоставляет сегодня большое количество услуг в сфере безопасности и поддерживает много предприятий, входящих в список Fortune 500, в том числе энергетических, финансовых и коммунальных.

Успех Lockheed в области безопасности объясняется ее подходом к привлечению специалистов. «У аналитика по безопасности, приглашаемого нами, есть возможность перемещаться между различными группами: подразделением внутренней безопасности Lockheed, группой, обслуживающей правительственных клиентов, а также работать с коммерческими клиентами, – пояснила Хайзе. – Наши специалисты могут выбирать наиболее удобные для себя инструменты, выбрать направление, которое им интересно. А мы помогаем нашим сотрудникам продвигаться по карьерной лестнице. Представители разных поколений оказывают помощь друг другу. Я видела много организаций, где предпочтение отдают опытным профессионалам. Мы же охотно приглашаем и выпускников вузов. Им есть чему поучиться у грамотных специалистов, которые готовы делиться с ними своими знаниями».

Лучшие решения (передовой опыт) для ИТ-руководителей

Когда происходит инцидент в области безопасности, ИТ-директор или директор по информационной безопасности должен руководить принятием решения. Отвечать на такие инциденты нужно всегда незамедлительно, а ведущие организации стараются проводить еще и упреждающие мероприятия. Обнаружение угроз и управление другими участниками процесса – вот что в первую очередь требуется от ИТ-руководителей.

«Лучшие ИТ-руководители, с которыми мы работаем, для снижения рисков кибербезопасности придерживаются нескольких стратегий мониторинга, – указала Кэролин Холкоум, руководитель направлений защиты данных при страховании рисков и обеспечения конфиденциальности частной жизни PricewaterhouseCoopers. – При управлении поставщиками и партнерами лучше всего придерживаться отчетности SOC2, предполагающей тщательную оценку безопасности, конфиденциальности и других параметров силами независимой организации». SOC2 – отчетность для внутреннего контроля, разработанная Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA) и предназначенная для оценки параметров безопасности, готовности, целостности информации, ее конфиденциальности и защиты сведений личного характера.

Если подход SOC2 по каким-то причинам не устраивает, есть две альтернативы: использование зафиксированного в договоре права на аудит и опросные листы. Право на аудит позволяет аудиторам организации или специалистам в области безопасности проверить поставщика. Более простой и дешевый вариант – направить поставщику опросный лист, который позволит получить сведения о его методах и технологиях обеспечения безопасности. Однако при таком варианте в вашем распоряжении оказывается менее детализированная информация.

ИТ-директор, будучи одним из представителей высшего руководства, располагает весьма ограниченным временем на управление безопасностью. А потому Холкоум рекомендует обращать внимание на наиболее важные аспекты. Чаще всего целью атаки хакеров становятся клиентские данные, информация о слияниях и приобретениях, интеллектуальная собственность, финансовые сведения. Имеет смысл использовать дополнительные средства контроля и защиты этой информации.

Люди и управление – центральное звено стратегии безопасности ИТ

По оценкам Gartner, мировые затраты на услуги ИТ-безопасности в 2015 году превысят 70 млрд долл. Возможность заработать на этом привлекает множество самых разных поставщиков услуг, начиная от стартапов и заканчивая весьма известными игроками, например IBM. С учетом того, что поставщики консультационных услуг в сфере безопасности просто обязаны пользоваться высоким доверием, выбор у ИТ-директоров достаточно широк. Как показывает опыт Lockheed Martin и Cisco, для обеспечения эффективной безопасности важнейшее значение имеет совершенствование соответствующих навыков в масштабах всей организации.

– Bruce Harpham. How Lockheed Martin, Cisco and PWC manage cybersecurity. CIO. November 24, 2015

Наступление эпохи Интернета вещей сулит появление более умных и полезных устройств как для потребителей, так и для предприятий. А корпоративным специалистам по ИТ и информационной безопасности Интернет вещей обещает новую «головную боль».

Во многих компаниях торопятся осваивать «умные» устройства и технологии Интернета вещей, чтобы поскорее поставить их преимущества себе на службу. Но восхищение может мешать трезво оценивать риски безопасности. Опрос ИТ-руководителей и специалистов, проведенный компанией Tripwire, показал, что 63% топ-менеджеров готовы внедрять Интернет вещей для повышения продуктивности и эффективности, но только 27% выразили серьезную озабоченность по поводу возможности появления новых рисков безопасности.

При этом лишь 30% ИТ-специалистов, участвовавших в опросе, сообщили, что их компании располагают всем необходимым, чтобы оценить защищенность внедряемых IoT-систем, тогда как 59% сотрудников средних и крупных предприятий считают, что Интернет вещей потенциально создает серьезнейшие риски для безопасности их сетей.

Чтобы подготовиться к наступлению эпохи Интернета вещей, специалистам по ИТ и безопасности нужно понимать риски и знать, как их ограничить. Перечислим, от чего стоит отталкиваться при анализе рисков Интернета вещей.

Нельзя недооценивать влияние Интернета вещей на безопасность

Интернет вещей уже становится объектом кибератак. В 2013 году компания Proofpoint, поставщик средств безопасности, объявила об обнаружении «первого достоверного случая» атаки на «умную» бытовую технику. Специалисты компании выявили ботнет, организованный с участием более 100 тыс. устройств, распространивших свыше 750 тыс. сообщений электронной почты со ссылками на вредоносы. Как выяснилось, больше 25% этих устройств – не компьютеры, планшеты или смартфоны, а «умные» телевизоры, холодильники и т. п.

Инцидент, в большей степени затрагивающий предприятия, произошел, когда розничная сеть Target подверглась массированному взлому. Оказалось, что атакующие воспользовались для проникновения в корпоративную сеть верительными данными, украденными у поставщика систем обогрева и кондиционирования воздуха, с которым сотрудничали в Target. Специалисты по информационной безопасности тогда указали на то, что в розничных магазинах растет применение «умных» инструментов управления температурой воздуха, внедряемых для улучшения обслуживания покупателей и оптимизации затрат на электроэнергию. Производители подобных устройств предусматривают для себя возможность дистанционного доступа к ним по сети для установки обновлений, заплат и т. п., а также для устранения проблем со связью. Сами заказчики таких решений прибегают к услугам дистанционной технической поддержки от производителя, поскольку они обходятся дешевле.

Поставщик, с которым работали в Target, отрицает, что выполнял дистанционный мониторинг своих систем. Тем не менее подобные ситуации вполне вероятны, и случившийся инцидент убедительно демонстрирует риски Интернета вещей для корпоративной сети. Сторонний поставщик, выполняющий возложенное на него дистанционное управление своими продуктами, может стать слабым звеном, через которое злоумышленники получат доступ к конфиденциальным данным. Учитывая, с какой готовностью во многих компаниях внедряют «умную» технику, данный риск нельзя недооценивать.

ИТ-служба должна быть в курсе покупки и внедрения «умных» устройств

Так повелось, что на предприятиях редко уделяли внимание вопросам кибербезопасности при покупке офисного и инженерного оборудования. Но теперь, когда эта прежде «безмозглая» техника соединяется с Интернетом, ИТ-службу просто необходимо информировать о всех подобных покупках.

Еще недавно вице-президент по исследованиям Gartner Хью Лехонг предостерегал: грядет наплыв «умной» техники, от медицинской аппаратуры до торговых автоматов. Обо всех этих устройствах в отделах ИТ раньше беспокоиться не было нужды. Теперь же, с наступлением реальности Интернета вещей, необходимо уведомлять ИТ-специалистов, даже когда в компании собираются купить новый торговый автомат.

«ИТ-директорам необходимо помнить об этом, – подчеркнул Лехонг. – Даже если они не будут отвечать за обслуживание такого автомата, о его возможностях им нужно знать. Именно это мы подразумеваем под конвергенцией. Операционный и ИТ-персонал больше не могут существовать в разных мирах. Им нужно согласовывать друг с другом такие вещи, как руководство, безопасность, лицензирование программного обеспечения и сопровождение».

Следите за обновлениями ПО для «умных» устройств

По словам Керка Штайнклаубера, ведущего сетевого архитектора IBM, «если сегодня мы не справляемся с тем, чтобы следить за свежестью ПО на компьютерах, смартфонах и планшетах, то организовать своевременную установку обновлений и заплат на все эти миллионы устройств завтрашнего дня будет и вовсе нереально».

Сказанное касается не только самой техники, но и приложений для управления ими, которые могут устанавливаться на множество оконечных устройств в компании.

Здесь еще раз важно напомнить о необходимости взаимодействия между ИТ-службой и операционным персоналом при внедрении Интернета вещей и «умной» техники. В ИТ-службе должны разработать строгие процессы и протоколы учета ПО, сопровождающего «умные» устройства. Ведь уже когда служащие начали пользоваться личными смартфонами для доступа к корпоративным данным, стало очевидно, что обеспечивать контроль над всем многообразием устройств и их программных ошибок постфактум – гораздо сложнее.

Разъясняйте риски конечным пользователям

Некоторые организации могут оказаться уязвимыми для угроз Интернета вещей, даже если не внедряют соответствующие технологии. Согласно опросу Tripwire, 75% удаленных сотрудников и специалистов отделов ИТ сообщили, что работают с корпоративными данными из домашних сетей через Интернет. В связи с этим возможны проблемы, если учесть что от 25 до 50% респондентов из тех же категорий указали, что к домашней сети у них также подключено как минимум одно «умное» устройство.

Несложно представить, чем это чревато. В докладе Tripwire, в частности, приводили в пример порт USB, известный своими уязвимостями. Поскольку через него заряжают всевозможную персональную электронику, он может стать точкой проникновения в компьютер вредоноса, способного из домашней сети «перебежать» в корпоративную.

Кроме укрепления внутренней антивирусной защиты, на предприятиях мало что могут сделать для снижения этого риска – разве что разъяснять служащим риски, существующие при дистанционной работе. Помимо прочего, необходимо постоянно подчеркивать, как важно применять инструменты, позволяющие изолировать личные данные от корпоративных.

В ИТ-службе должны быть в курсе нюансов Интернета вещей

Интернет вещей пока находится на самой ранней стадии развития. Во многих крупных ИТ-компаниях еще не определились, какие стандарты будет целесообразнее взять на вооружение, и пока еще не появились платформы, столь же влиятельные, как iOS и Android в мобильном мире. Под действием уникального сочетания конкурирующих сил формируется совершенно новая экосистема, в которой непросто будет освоиться даже опытным ИТ-специалистам. Это понимают, в частности, в компании Cisco, где год назад объявили о создании консорциума с участием вузов и агентств по найму. Задача консорциума – помогать ИТ-специалистам в приобретении навыков, необходимых для решения проблем безопасности Интернета вещей.

Но образовательные инициативы только начинают появляться, а потому сегодня Интернет вещей остается областью ИТ, в которой еще даже не устоялся набор необходимых компетенций. Компаниям, где не готовы заниматься решением проблем безопасности Интернета вещей, возможно, лучше всего будет подождать с внедрениями, пока ситуация не станет проще.

– Colin Neagle. 5 ways to prepare for Internet of Things security threats. Network World

Все больше привычных устройств, включая бытовую технику, приобретают приставку smart – мы становимся свидетелями «умной» революции. В сетях предприятий используется множество подобных устройств: камер наблюдения, принтеров, телефонов и т. п. При этом их безопасность часто не попадает в поле зрения служб информационной безопасности. Появляясь в корпоративных сетях, эти устройства начинают представлять такую же угрозу, как компьютеры без актуальных обновлений и средств защиты. 

Недооценка этой угрозы может привести к плачевным результатам: наши исследования показывают, что злоумышленники уже вовсю сканируют Сеть в поисках подключенных устройств», – утверждает Михаил Кондрашин, технический директор Trend Micro в России. Исследователи подключали в сеть фантомные «умные» устройства, и на большинстве из них была выявлена активность хакеров. Интерес у злоумышленников вызывали устройства как в США, так и в России. Уровень подобной угрозы во всех частях света примерно одинаковый.

Масштаб последствий успешной атаки трудно переоценить – от простой недоступности устройств до кражи записей с камер наблюдения. Скомпрометированные видеокамеры, принтеры и телевизоры могут впоследствии стать компонентами более масштабной атаки на конфиденциальные данные компании.

«Риски те же, что и для классических вычислительных систем: кража данных и нарушение работы систем», – полагает Денис Легезо, эксперт «Лаборатории Касперского». Только нарушение работы может быть совсем критичным, а данные будут не из финансовой или бухгалтерской системы, а технологическими, но не менее интересными для атакующих.

Для минимизации рисков нужно, во-первых, правильно настраивать механизмы защиты, уже предусмотренные производителями, а во-вторых, пользоваться специализированными защитными решениями

«Для анализа рисков нужно понимать, как Интернет вещей может повлиять на корпоративные информационные ресурсы», – подчеркивает Олег Левенков, руководитель инновационных проектов компании «Аладдин Р.Д.». С целью такого анализа все устройства Интернета вещей можно разделить на два класса: датчики, поставляющие данные для информационных систем, и контроллеры, управляющие физическими устройствами. Конкретное устройство может реализовывать функции одного или двух классов сразу.

При анализе угроз, помимо самих устройств и каналов связи, рассматриваются и серверы управления. Как отмечает Левенков, отличительными чертами устройств Интернета вещей являются миниатюризация и коммуникационные возможности. Поэтому основные риски в отношении корпоративных систем будут связаны с недостаточной защищенностью каналов связи и дефицитом вычислительных ресурсов для размещения клиентов традиционных виртуальных сетей (VPN). Многообразие платформ для Интернета вещей делает задачу по разработке универсальных клиентов VPN для таких устройств нетривиальной.

Часть рисков снижается благодаря правильной политике безопасности в корпоративной системе. «Основной акцент должен делаться на организации дифференцированного, избирательного доступа к ресурсам корпоративных систем», – говорит Левенков. Чтобы управлять такими устройствами, нужно обеспечить доверенный канал, гарантирующий целостность сообщений, подлинность источника сообщений и при необходимости конфиденциальность.

Для минимизации рисков нужно правильно настраивать механизмы защиты, уже предусмотренные производителями, и пользоваться специализированными защитными решениями, считает Лагезо. В случае встроенных систем важно добиться контроля целостности прошивок, запрета их неавторизованной замены и жесткого разделения доступа к уже реализованным в прошивке функциям. Тогда предприятие точно будет знать, какие именно возможности есть у контроллеров встроенных систем и как могут меняться их настройки.

По мнению Кондрашина, эффективным средством защиты будет вынос каждой группы «умных» устройств в свои виртуальные сети (VLAN), с тем чтобы даже при их компрометации они не смогли повлиять на работу всей сети предприятия. Главным направлением минимизации рисков должен стать элементарный учет устройств.

Сегодня предприятиям, нацеленным на использование инновационных технологий, необходимо прибегать к превентивным мерам защиты, поскольку разработчики, стремясь оснастить свои изделия максимально богатой функциональностью, оставляют некоторые аспекты информационной безопасности без внимания.

Применение интегрированных систем для защиты конечных точек от комплексных кибератак и угроз различного типа может обернуться для предприятий определенными сложностями. Логика здесь простая – чем многограннее решение, чем больше защитных функций оно объединяет в себе, тем сложнее процесс его внедрения в существующую ИТ-инфраструктуру. Непросто будет в этом случае обеспечить и корректную совместную работу всех модулей интегрированного решения. Кроме того, запущенные одновременно защитные механизмы могут замедлять работу критически важных пользовательских систем. Зарубежные разработчики рассматривают различные варианты решения этих проблем. Наиболее перспективные из них предусматривают оперативный анализ процессов, коммуникаций и активностей, которые могут свидетельствовать о нарушении режима безопасности корпоративных ресурсов.

Одна из особенностей защитных систем нового поколения в том, что они могут собирать информацию о происходящем на устройствах как с помощью клиентских программных компонентов, так и без них. Компании оказываются перед выбором: отказаться от клиентских программ и собирать менее подробные сведения об угрозах или регистрировать массу деталей, но при этом иметь дело с трудностями развертывания, администрирования и обновления агентов.

Также нужны механизмы, позволяющие в огромном потоке собираемых данных выделять свидетельства происходящих вторжений. А как только атака обнаружена, приходится решать, каким образом остановить ее максимально быстро.

Сегодня на рынке множество разработчиков, пытающихся решить эти проблемы: крупные компании с широким продуктовым ассортиментом, например Cisco и EMC; представители рынка безопасности, такие как Bit9+Carbon, ForeScout, Guidance Software и Trend Micro; новички, предлагающие только средства защиты оконечных устройств, – Cylance, Light Cyber, Outlier Security и Tanium. Здесь представлена лишь небольшая выборка – рынок переполнен, и его участники предлагают различные способы решения перечисленных проблем.

Ценность платформ защиты оконечных устройств – в способности распознавать тип атаки и помогать оперативнее на нее реагировать. Распознавание осуществляется путем сбора информации о трафике, которым обмениваются оконечные и другие устройства в сети, а также об изменениях, указывающих на компрометацию. Журнал телеметрии, полученной от оконечных устройств, впоследствии становится инструментом экспертизы при расследовании атак, позволяющим выяснить, как именно они проходили, установить, каким устройствам нужна дезинфекция, и в некоторых случаях предсказывать дальнейшие угрозы.

Пользоваться ли агентами?

Главным возражением является то, что агент – это дополнительная программа, и ее надо устанавливать, администрировать и обновлять. Будучи частью защитных систем нового поколения, агенты собирают гигантские объемы информации об оконечных устройствах, которую иначе получить нельзя, но это же может быть и недостатком.

Агенты для конечных точек собирают так много данных, что некоторые атаки трудно отличить от «фонового шума», и важно, чтобы агент дополнялся аналитическим механизмом, способным справиться с подобным объемом информации, отмечает аналитик Gartner Лоренс Пингри.

Защитные платформы могут и без агентов собирать данные об активности оконечных устройств – просматривая трафик маршрутизаторов и коммутаторов, а также взаимодействуя с сетевыми сервисами Windows и инструментарием WMI. Так можно выяснить, кто находится в системе, что этот пользователь делает, уточнить наличие заплат и агентов безопасности, узнать, подключены ли устройства USB, какие запущены процессы и т. п.

Анализ позволяет выяснить, устанавливают ли устройства соединения, не предусмотренные штатным режимом работы, – это может служить признаком того, что атакующие нащупывают способ заразить машину и поднять себе привилегии.

Для агентов может потребоваться дополнительная административная консоль, что повышает уровень сложности и создает потенциальные затраты, отмечает Рэнди Абрамс, директор по исследованиям NSS Labs. Проблема, помимо прочего, и в совместимости – нельзя гарантировать, что агенты разных систем, скажем McAfee и Cylance, смогут сосуществовать.

Необходимо также обращать внимание на защищенность администрирования новых платформ, чтобы свести к минимуму инсайдерские угрозы. Предприятиям стоит выбирать систему защиты оконечных устройств, позволяющую назначать разные уровни доступа ИТ-специалистам в зависимости от их ролей.

Аналитические механизмы

Анализ ценен, но сложен – настолько, что его можно предоставлять в виде отдельного сервиса, как делает международная компания Red Canary, оказывающая услуги по защите оконечных устройств и предлагающая решения по обнаружению киберугроз. Вместо того, чтобы собирать данные об оконечных устройствах с помощью собственных агентов, она применяет «сенсоры» компании Bit9+CarbonBlack. Эти данные дополняются информацией от принадлежащих другим коллегам по отрасли служб разведки угроз и анализируются. При выявлении вторжений в сети клиентов генерируются соответствующие сигналы тревоги.

Аналитический механизм отмечает потенциальные проблемы, а затем люди проверяют отмеченные события, чтобы выяснить, являются ли они реальными угрозами. Автоматизация помогает корпоративным аналитикам по безопасности, так как уменьшает количество предупреждений, которые им приходится просматривать.

Аналитический механизм отмечает потенциальные проблемы, а затем люди проверяют отмеченные события, чтобы выяснить, являются ли они реальными угрозами

В компании Barkly разрабатывают агентскую программу для оконечных устройств, которая локально анализирует активность на каждом из них, автоматически блокирует вредоносную и уведомляет админов о принимаемых мерах.

Подобные механизмы необходимо соединять с крупными источниками разведывательных сведений об угрозах, позволяющими классифицировать атаки и без использования сигнатур обнаруживать активность, которая может окончиться взломом.

Обычно о возможностях системы распознавания и дезинфекции для оконечных устройств заранее можно узнать только то, что говорят ее разработчики. Поэтому на предприятиях стоит проводить собственные тесты, чтобы уточнить функционал и эффективность еще до покупки.

Дезинфекция

Средства распознавания для оконечных устройств собирают колоссальные объемы данных, которые можно использовать и тактически для остановки идущих атак, и для последующей экспертизы, позволяющей установить, как развивалось вторжение. Это дает возможность выяснить, каким устройствам нужна дезинфекция, и некоторые разработчики пытаются автоматизировать этот процесс: общая тенденция – устранять проблемы с помощью тех же платформ, которыми они обнаруживаются.

На предприятиях сталкиваются с тем, что оконечные устройства остаются уязвимыми, несмотря на защиту с помощью традиционных инструментов

На предприятиях сталкиваются с тем, что оконечные устройства остаются уязвимыми, несмотря на защиту с помощью традиционных инструментов, сейчас эволюционировавших в пакеты безопасности, которые одновременно реализуют функции антивирусов, систем распознавания и предотвращения вторжений и т. п. Здесь одна проблема порождает другую.

«Разработчики добавляют все новые продукты к традиционным комплексам для защиты оконечных устройств, что приводит к чрезмерному раздуванию объема программного обеспечения на них, – сетует Ларри Вайтсайд, директор по безопасности Речного управления Нижнего Колорадо. – Лишь благодаря росту скорости твердотельных накопителей и оперативной памяти эта масса ПО не сводит на нет быстродействие компьютеров».

Вайтсайд надеется решить проблему с помощью защитной системы нового поколения компании SentitelOne. По его убеждению, механизмы анализа активности эффективнее, чем традиционные защитные средства, реагирующие на сигнатуры известных вредоносов: «Я не говорю, что сигнатурные механизмы совсем никуда не годятся, но использовать их в качестве главной или единственной защитной системы нельзя. Их необходимо дополнять инструментами распознавания, работающими по принципу анализа поведения».

И это может быть даже важнее, чем гарантированная окупаемость, считает Вайтсайд: «Меня больше заботит сама возможность распознавания. Поэтому я даже, может, и не буду проводить анализ окупаемости. Я уверен в том, что своевременный переход на системы нового поколения принесет пользу организации».

Замена антивируса?

Разработчики защитных систем нового поколения еще не берутся утверждать, что их продукты могут стать заменой антивирусам, – несмотря на впечатляющие результаты тестов. Но ситуация может измениться. Могут исчезнуть нормативно-правовые помехи, мешающие разработчикам систем нового поколения расширять клиентуру, считает Джордж Курц, генеральный директор CrowdStrike: «Мы не сомневаемся в том, что в течение года нормативные требования, которые сейчас обязывают использовать антивирусы, начнут разрешать и применение новых систем защиты оконечных устройств».

Хотя все внимание сейчас сосредоточено на вредоносах, их доля в общем количестве угроз составляет только 40%. Остальное Курц называет «безвирусными вторжениями», приводя в пример инсайдерские хищения, когда атакующие, у которых есть законные права доступа, крадут информацию без использования вредоносов.

Но пока предприятиям придется выполнять требования о применении антивирусов, пусть даже другие платформы и обеспечивают более надежную защиту – в каких-то случаях юридическая защищенность даже важнее, чем способность защититься от атак.

А пока пользователями защитных систем нового поколения, скорее всего, будут крупные предприятия, поскольку на малых предпочтут не тратиться одновременно на антивирусы и более современные средства. Тем не менее даже для малых предприятий затраты могут быть оправданными – потери из-за утраченной информации могут оказаться больше, чем расходы на защиту, напоминают эксперты.

– Tim Greene. Next-generation endpoint protection not as easy as it sounds. Network World. 07/20/2015

С развитием криминальной инфраструктуры, способствующей ускорению разработки новых способов совершения кибератак, директорам по информационной безопасности надо постоянно осваивать новые навыки, чтобы защищать свои предприятия, считает Джеймс Мобли, вице-президент Cisco по решениям в области информационной безопасности.

Помимо твердых знаний в сфере сетевой безопасности, необходимы еще и хорошие коммуникативные навыки, готовность обучать специалистов по безопасности в собственной организации и быть в курсе актуальных изменений ландшафта угроз, подчеркивает Мобли, работавший ранее генеральным директором компании Neohapsis, занимающейся консалтингом в сфере информационной безопасности, – в 2014 году ее приобрела Cisco.

О сложностях, с которыми сталкиваются директора по безопасности, и о том, что делать в условиях непрерывных перемен, идет речь в интервью с Мобли.

Какие навыки вы порекомендовали бы развивать директору по информационной безопасности, чтобы выжить и преуспеть в нынешнюю эпоху стремительных перемен?

В первую очередь, как это ни банально, необходимо глубокое понимание основополагающих принципов информационной безопасности и осознание того, что она затрагивает три области – людей, процессы и технологии.

Во-вторых, нужно не менее глубоко понимать тех, кто создает угрозы. Информационная безопасность – это борьба с угрозами, которая строится на знаниях о том, как создавать платформы, дающие вам максимум гибкости независимо от того, с чем приходится сталкиваться. Сегодня надо предвидеть действия противника и заботиться о том, чтобы созданные вами инструменты можно было очень быстро масштабировать и адаптировать.

Следующий аспект – это лидерство. Роль директора по безопасности становится более важной, в том числе со стратегической точки зрения, поэтому занимающим эту должность нужны навыки лидера, позволяющие руководить не только самой организацией, но и осуществлением перемен в ней, что далеко не просто – нужен набор навыков, не всегда присущих директорам по безопасности.

Помимо этого, нужны способы формирования высококвалифицированной команды. Нужно найти способы не только привлекать и развивать таланты, но и удерживать опытных специалистов.

Как сегодня изменилась роль директора по информационной безопасности в целом?

Сейчас эта должность стала гораздо больше требовать стратегического планирования, чем раньше, когда среди всех руководящих ролей для этой нужно было больше всего тактических умений. Сегодня директора по безопасности находятся в прямом подчинении у ИТ-директоров или даже у финансового директора либо директора по операциям.

Это важно, поскольку в большинстве случаев стратегии разрабатываются «наверху», а когда топ-менеджеры напрямую взаимодействуют с директорами по безопасности, у них больше возможностей пробовать различные пути достижения намеченных целей.

Как сегодня меняется корпоративная сетевая среда?

Характерный пример – так называемые теневые ИТ. Во многих организациях даже не знакомы с облачными системами, к которым разрешено иметь доступ сотрудникам. А когда вы не в курсе, какими платформами пользуются работники, растут риски безопасности.

Еще есть Интернет вещей – для меня это множество устройств, которые, возможно, не защищены. Все больше вещей имеют IP-адреса, в том числе техника для домашней автоматизации и жизненно важные медицинские приборы. Компьютеризация вещей создает новые трудности, ведя к изменению бизнес-моделей – это одна из самых серьезных проблем, с которыми приходится иметь дело.

Говорят, что самое слабое звено безопасности – люди, а сегодня в их руках технологии, о которых директор по информационной безопасности может и не знать. Проблема в том, что сегодня множество атак по-прежнему происходят на уровне приложений, но сейчас у вас меньше возможностей «заглянуть» в эти приложения.

Еще одна обычная проблема – утрата устройств. Сегодня техника стала компактнее, потерять или забыть ее проще, будь то планшеты, смартфоны или что-то еще.

Если задуматься, насколько увеличилась общая поверхность атаки, количество устройств, людей и остальных элементов в технологической экосистеме, можно представить, насколько возрос общий риск.

Как директорам по информационной безопасности надо реагировать на эти перемены?

Сегодня нужен более стратегический подход к проектированию архитектуры безопасности, исходящий из возможности упрощенного подключения новых технологий по мере необходимости, а также опирающийся на простоту управления. Это еще одна тенденция последнего времени наряду со стремлением к осуществлению проектов, направленных на долгосрочную поддержку бизнеса, а не просто на тактический поиск уязвимостей.

Как директора по безопасности относятся к изменениям ландшафта угроз?

Что сегодня действительно изменилось, так это природа атак. Они стали более развитыми, атакующих лучше финансируют, у них больше ресурсов, чтобы вкладываться в технологии обхода защитных систем. Это позволяет лучше маскировать атаки, на них становится сложнее своевременно реагировать.

Совершенствование атак заставляет брать на вооружение технологии разведки угроз и обработки Больших Данных, чтобы можно было не только реагировать на явные признаки компрометации, но и детально анализировать данные, поступающие от всех компонентов среды – межсетевых экранов, оконечных устройств, серверов электронной почты, сетевого оборудования.

Как сейчас справляются с дефицитом квалифицированных сотрудников?

Сегодня нужны люди с навыками в области прогнозной аналитики, автоматизации различных операций и организации взаимодействия. Нынешние директора по информационной безопасности обращают внимание на все это при найме и ищут способы быстрой самостоятельной подготовки специалистов. Создаются корпоративные программы обучения, позволяющие максимально быстро вводить в курс дела выпускников вузов. Все это помогает, но дефицит специалистов будет сохраняться в связи с большим масштабом проблемы.

Какие подходы применяются для создания защищенных сетей?

Нередко в первую очередь стараются обеспечить необходимый минимум – убедиться в том, что нет каких-либо зияющих дыр. Для этого проводится проверка приложений, сети и инфраструктуры в целом. На контроль защищенности приложений обычно тратится много времени – нужно убедиться, что сеть верно сегментирована, что присутствуют все необходимые системы безопасности.

А когда с необходимым минимумом покончено, проводится подготовка к инцидентам, организуется разведка, вырабатываются меры реагирования.

Как директора по информационной безопасности относятся к Интернету вещей?

Интерес к этой области быстро растет, поскольку все понимают, что эпоха Интернета вещей, или, как его еще называют, «Интернета всего», наступает. Сегодня уже речь идет об оцифровке целых бизнес-процессов. Скажем, некий традиционный для отрасли процесс дополняется датчиками и собирается информация, которая поступает в корпоративные ИТ-системы. Те, в свою очередь, помогают принимать решения по самым разным вопросам.

Об Интернете вещей необходимо думать как о глобальной экосистеме, а не пытаться внедрять его методом «затыкания дыр». Именно в том числе из-за Интернета вещей роль директора по информационной безопасности становится более стратегической.

— Tim Greene. Cisco security chief: 4 things CISOs need to survive. Network World. Sep 3, 2015

Поговорите с любым проповедником идей Open Source, и он наверняка скажет вам, что никакого другого пути просто не существует. Достоинств у программного обеспечения с открытым кодом много, они весьма разнообразны и на сегодняшний день хорошо известны. Использовать такие программные продукты можно бесплатно. Есть возможность самостоятельно адаптировать их к своим нуждам. Поскольку за исходным кодом следит множество людей, прорехи в системе безопасности ликвидируются очень быстро. Устранить ошибку может любой желающий, и в этом смысле от поставщика пользователи не зависят. Закрытые стандарты не ограничивают вашу свободу. И наконец, вы не останетесь без поддержки, если производитель свернет свой бизнес или просто решит, что продукт не приносит ему больше желаемой прибыли.

Однако апологеты программных средств с открытым кодом, скорее всего, не скажут вам, что, несмотря на несомненные и реальные их преимущества, есть ситуации, когда проприетарное программное обеспечение с закрытым кодом окажется для бизнеса более эффективным вариантом.

В каких же случаях имеет смысл отдать предпочтение проприетарным средствам?

Когда неискушенным пользователям справиться с ними легче

Операционная система Linux оказала огромное влияние на рынок серверов, а вот про настольные ПК этого сказать нельзя. И на то есть свои причины. Несмотря на заметный прогресс, достигнутый за последние несколько лет, взаимодействовать с Linux непосвященным по-прежнему сложно, а пользовательский интерфейс различных дистрибутивов в сравнении с интерфейсом Windows или Mac OS X явно проигрывает.

Несмотря на то что в техническом плане Linux, возможно, и превосходит проприетарные операционные системы, большинство пользователей считают эту ОС слишком сложной и не проявляют к ней особого интереса. А снижение производительности труда обойдется предприятию значительно дороже, чем покупка проприетарной операционной системы, с которой персонал хорошо знаком.

Когда они становятся стандартом де-факто

Большинство специалистов, работающих с компьютерами, хорошо знакомы с приложениями Microsoft Word и Excel и активно используют их в своей деятельности. Да, у этих программ есть прекрасные альтернативы (например, LibreOffice и Open Office), но альтернативные варианты отличаются от продуктов Microsoft с точки зрения функционала, пользовательского интерфейса, производительности, плагинов и API, что затрудняет их интеграцию с приложениями независимых разработчиков. В 90% случаев все выглядит абсолютно одинаково, но есть риск того, что существующие различия приведут к каким-либо нестыковкам, особенно при обмене документами с поставщиками или клиентами.

Проприетарные программные средства имеет смысл использовать также при подготовке специалистов. Их поставщики давно пришли в вузы, и теперь студенты обучаются на примере их программного обеспечения. «Их продукты не обязательно являются лучшими, но они были выбраны учебными заведениями еще до того, как вокруг программного обеспечения с открытым кодом сформировалось достаточно большое сообщество, – пояснил участник Apache Software Foundation и старший научный сотрудник Лаборатории реактивного движения НАСА Крис Мэттмен. – В процессе обучения студенты лучше узнают программное обеспечение, предлагаемое такими поставщиками, что позволяет им эффективнее работать с ним. И когда они попадают в бизнес-среду, то вполне естественно стремятся продолжать использовать программные средства, к которым уже привыкли».

Когда проприетарное программное обеспечение лучше поддерживается

Поддержка бизнес-класса иногда распространяется и на программное обеспечение с открытым кодом. Она может исходить от компании, возглавляющей проект, или от независимой организации. Однако встречается не так часто, как хотелось бы.

«Некоторые клиенты предпочитают обращаться за поддержкой к внешнему поставщику услуг и готовы платить за оперативное удовлетворение своих запросов, – указал профессор Университета Карнеги – Меллона Тони Вассерман. – Зачастую представители сообщества очень быстро отвечают на вопросы, опубликованные на форумах, посвященных популярным проектам с открытым кодом, но не надо путать это с гарантированной поддержкой поставщика по телефонному звонку на бесплатную линию».

Когда программное обеспечение предоставляется как сервис

Облачное программное обеспечение несколько отличается от обычного. Как правило, вы не имеете доступа к исходному коду, даже если компоненты, размещенные в облаке, полностью построены на основе платформы с открытым кодом. При этом, строго говоря, программное обеспечение не является проприетарным, но вы не получаете и всех преимуществ открытого исходного кода. Тем не менее достоинства сервисной модели, предполагающей оплату лишь фактически используемых ресурсов, могут перевешивать недостатки, связанные с отсутствием доступа к исходному коду.

Когда проприетарный продукт лучше работает на вашем оборудовании

Многие виды проприетарного оборудования требуют специальных драйверов, которые чаще всего поставляются с закрытым кодом и работают только на аппаратных средствах производителя. Даже если драйвер с открытым кодом существует, он может оказаться не лучшим вариантом. «Разработчики программного обеспечения с открытым кодом могут не знать всех нюансов оборудования, поэтому проприетарный драйвер зачастую работает лучше», – пояснил Мэттмен.

Когда важны гарантии и ответственность поставщика

Некоторые компании, выпускающие программные продукты с открытым кодом (например, Red Hat), работают так же, как и поставщики проприетарного программного обеспечения. Они предлагают на свои продукты ту же ограниченную гарантию, что и производители проприетарных программных средств. «Эти компании действуют точно так же, как и поставщики проприетарных средств, ну разве что реже приглашают вас поиграть в гольф», – заметил Вассерман.

Между тем в мире существует гораздо больше проектов с открытым кодом, которые не поддерживаются коммерческими организациями. Стало быть, вы не получаете и гарантий. И если это не соответствует политике закупок программного обеспечения, которой придерживается ваша организация, вам придется поискать проприетарного поставщика.

Когда нужен надежный поставщик, который в обозримой перспективе вас наверняка не бросит

Да, производитель коммерческого программного обеспечения вряд ли будет продолжать развивать и поддерживать свой продукт, если спрос упадет и продукт перестанет быть прибыльным. Компания может даже полностью свернуть бизнес. Но небольшой проект с открытым кодом тем более подвержен опасности того, что стоящие за ним люди утратят к нему интерес. И если такое произойдет, то найти другого разработчика программного обеспечения с открытым кодом, который возьмет на себя эту миссию, будет непросто. (Это скорее аргумент против небольших проектов с открытым кодом, чем в защиту проприетарного программного обеспечения, но вы по крайней мере можете следить за финансовыми показателями крупных производителей программных средств и, анализируя их, принимать обоснованные решения.)

- Paul Rubens. 7 Reasons Not to Use Open Source Software. CIO Magazine.