Журнал Connect!
Решения под маркой Stonesoft хорошо зарекомендовали себя на рынке информационной безопасности в разных странах мира. И Россия не исключение. Продуктам Stonesoft в сфере кибербезопасности не было равных в момент их появления на рынке. Кластерный подход к проектированию систем защиты, обеспечение доступности и целостности данных – эти принципы разработки решений во многом определили индустриальные стандарты. В середине текущего года после покупки акций финской компании начался процесс интеграции Stonesoft в McAfee Group Company. Ожидаемое взаимопроникновение решений и технологий двух игроков, не исключают эксперты, расширит возможности заказчиков, заинтересованных в обеспечении защиты объектов, которые относятся к категории критически важных. В интервью нашему журналу директор по развитию компании Stonesoft a McAfee Group Company в России и странах СНГ Михаил РОМАНОВ приоткрыл планы развития продуктов, сообщил о том, что не видит принципиальной разницы между объектами с точки зрения их защиты, и пояснил, при каких условиях в нашей стране могут быть созданы отечественные продукты и решения в сфере ИБ, не уступающие лучшим зарубежным образцам.
– В чем, на ваш взгляд, заключается специфика угроз в области безопасности и защиты информации на критически важных объектах?
– С точки зрения информационной безопасности не вижу разницы между критически важным объектом и обычным. Ведь не бывает чернил для восьмого класса, глобуса Украины, не бывает и вирусов исключительно для малого или крупного бизнеса. Бывают целенаправленные атаки где вирус может быть написан например, для атомной станции (достаточно вспомнить Stuxnet) или для конкретной банковской системы, атакам подвергаются любые объекты, представляющие интерес для злоумышленников. В целом набор угроз для любых объектов примерно одинаков и базируется он на потенциальных уязвимостях или ошибках. Различия – в последствиях, наступающих в результате подобных действий, в размере причиненного ущерба, произведенном эффекте, характере влияния на общественное мнение или окружающую среду. Поэтому на крупных и критически важных объектах подход к безопасности более жесткий.
– Насколько своевременно учитываются существующие вызовы и угрозы при разработке и корректировке основных положений государственной политики в этой сфере?
– На протяжении многих лет в области нормативного регулирования был застой. Толчком к изменению такого положения дел послужила ситуация с персональными данными. В настоящее время регулярно издаются руководящие документы, касающиеся обеспечения безопасности. На мой взгляд, это движение в правильном направлении. Хотя по традиции практики недовольны теоретиками – теми, кто разрабатывает постановления, инструкции, дает рекомендации. Отчасти это объясняется тем, что формирование новой нормативной базы началось не так давно и до создания целостной системы в этой сфере далеко, предстоит подготовить очень много документов.
Процесс трудоемкий и, как показывает зарубежный опыт, непростой. Существующие стандарты ИСО 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», на мой взгляд, далеки от совершенства. Нужно поддерживать в актуальном состоянии огромное количество документов по продуктам, и как показала практика, по крайней мере при сертификации по Common Criteria, эти документы и все процессы имеют очень далекое отношение к возможностям противостоять атакам конкретного средства безопасности. Когда мы начинали эту процедуру в компании Stonesoft, надеялись, что упорядочим бизнес-процессы, обеспечим их прозрачность и автоматически сможем рассчитывать на улучшения на практике. Но система построена так, что создает дополнительную головную боль, требует больших расходов и реально не помогает сделать продукт более защищенным. С вступлением России в ВТО регулятор вынужден гармонизировать нормативные требования с международным законодательством. Возможно, поэтому пока больше внимания уделяется формальной стороне дела. Но, насколько мне известно, ФСТЭК старается обращать внимание и на обеспечение жизненного цикла систем защиты.
– Какие системы защиты входят сегодня в перечень базовых? Какими принципами при их выборе должны руководствоваться заказчик и компания, разрабатывающая проекты в сферы защиты информации?
– Все зависит от конкретной организации и ее требований. Как показывает практика, антивирус, межсетевой экран, система предотвращения вторжений (часто в составе UTM или Межсетевого экрана), аутентификация – это то, без чего сложно представить компанию, заботящуюся об информационной безопасности. В госструктурах в соответствии с требованиями законодательства применяются несколько обязательных подсистем, в частности, системы защиты от несанкционированного доступа. Территориально распределенные компании при построении системы защиты вынуждены учитывать и другие критерии, например, разграничение доступа, создавать централизованные системы управления, внедрять DLP и т. д. В крупных организациях может насчитываться до 15–18 систем. Но, пожалуй, пока никто не может отказаться от использования средств защиты от вирусов.
– Сегодня это базовый элемент системы обеспечения безопасности?
– Да, хотя недавно я провел любопытный эксперимент. Толчком к нему послужило одно исследование, в ходе которого было установлено около 600 способов проникновения вирусов в системы. Решили проверить теорию на практике. Специальным образом настроили Windows, и я удалил антивирус, полгода обходился без него. Правда, всегда пользуюсь программой, которая контролирует все, что записывается в загрузочные сектора, лишнего не загружаю, на ресурсы сомнительного содержания не захожу. В итоге ничего не случилось, будто работал в среде Mac или Linux. Следует отметить также, что антивирусы меняются, сигнатурный анализ перестает быть основным.
– С чего начинается реализация комплексного проекта защиты информации на критически важных объектах?
– С правильной постановки задачи. Некорректно требовать защиты объекта от любых видов угроз на 100%. Для начала следует оценить инфраструктуру, определить цели которых надо достичь и придумать архитектуру системы защиты. Случается, что обеспечивается защита от нескольких видов угроз, но комбинации нескольких из них представляют собой новую угрозу, которая легко преодолевает систему безопасности. Это вопрос опыта, квалификации и новых знаний, которые появляются уже после завершения проекта. К сожалению, все предусмотреть зачастую невозможно. Для этого проектируется система так называемой эшелонированной обороны, где каждая функция защиты дублируется иной функцией защиты другой системы.
– Одна из особенностей систем управления технологическими процессами в том, что они, как правило, работают в режиме реального времени. Какие требования в связи с этим предъявляются к применению средств защиты?
– При построении системы защиты информации на условиях ее целостности, безопасности и доступности главный принцип, которым следует руководствоваться, – не навреди. Во-первых, любой простой системы, работающей в режиме реального времени, может привести к катастрофе. Во-вторых, традиционные средства защиты при решении задач подобного уровня зачастую не подходят.
Система безопасности АСУ ТП должна противостоять в принципе тем же угрозам, что и аналогичная система на другом объекте. Но есть нюансы, например, в таких системах на разных уровнях часто используются нестандартные протоколы связи. При этом жизненный цикл оборудования как минимум лет десять, а любой автоматизированной системы – часто едва ли больше года, и ее приходится обновлять. «Железное» оборудование в отличие от программных средств поменять крайне сложно, если допущена ошибка или появилась уязвимость, поскольку микропрограммы там часто «зашиты намертво». В то же время процесс обработки системой безопасности проходящего через нее потока информации занимает миллисекунды а иногда и больше, что может сказаться на работоспособности АСУ ТП.
Около 200 уязвимостей, на начало этого года, было зарегистрировано во всех системах АСУ ТП, в которых используется полтора десятка протоколов. По сути, ничто по сравнению с более чем 60 тыс. уязвимостей, характерных для традиционных информационных систем . Но проблема в том, что нейтрализовать уязвимости в АСУ ТП сложнее, соответствующие средства защиты, работающие на низком уровне, должны, например, быть компактными. А это требование часто из разряда невыполнимых для большинства вендоров.
Опасность для АСУ ТП зачастую исходит не от внешних воздействий, а изнутри. Сбой системы безопасности на этапе сбора информации может привести к катастрофе. Представьте, что система защиты на атомной станции зависла, и данные телеметрии не поступают…
– Можно ли повысить уровень защиты введенной в эксплуатацию АСУ ТП?
– Конечно, у специализированных вендоров есть решения для АСУ ТП, в частности, для конкретного оборудования. Проводится анализ данных, выявляются возможные аномалии, и предлагаются средства защиты. Для защиты от внешних воздействий, часто не обязательно встраиваться в технический процесс. Контроль точек появления возможных угроз позволяет повысить уровень безопасности введенной в эксплуатацию АСУ ТП. Многие компании активно развивают данное направление деятельности.
– При обсуждении проблем, связанных с работой АСУ ТП критически важных объектов, постоянно говорится о необходимости отдавать приоритет отечественным разработчикам средств защиты. Как вы аргументируете целесообразность использования продуктов Stonesoft на критически важных объектах в нашей стране?
– Боюсь, скажу крамольную вещь. Достойные отечественные разработки не появятся в нашей стране, пока не будут созданы условия для честной конкуренции на рынке информационной безопасности. (При этом я не имею в виду компании «Лаборатория Касперского» и «ДиалогНаука», которые добились больших успехов – кстати в условиях нормальной конкуренции.) К сожалению, в России пока еще в ходу понятие «свои разработчики». «Свои» и «отечественные» – принципиально разные вещи. Первые не заинтересованы в создании хорошего продукта, поскольку и так пользуются режимом наибольшего благоприятствования, а также некоторые продукты у нас Российские разработчики делают не для пользователей а для регуляторов. Еще одна проблема в том, что качество продукта в нашей стране зачастую ассоциируется с дешевизной, доступностью. Простой пример в автомобилестроении. Могу ошибаться, например автоваз, на мой взгляд все время пытается создать дешевый автомобиль а уже потом конкурентноспособный на нашем рынке. Примерно так же и с разработкой средств безопасности - во главу угла ставится цена и соответствие требованиям регуляторов а не пользователей.... Понятно желание сэкономить, но если, например, антивирус плохой, в чем вы убедитесь на примере зараженного компьютера, то вряд ли вам смогут навязать этот же продукт повторно. А вот безопасность как таковую крайне сложно измерить, поэтому многим разработчикам приходится верить на слово.
– Что же, по вашему мнению, может стимулировать создание достойных российских продуктов в этой сфере?
– Честная конкуренция. Но для этого нужно формировать соответствующую бизнес-культуру. Если безусловный приоритет российским компаниям отдавать только потому, что они отечественные, значит смириться с отсутствием хороших продуктов даже в перспективе. Питательной средой для российских разработок может служить здоровая конкуренция со стороны зарубежных вендоров с разумным регулированием со стороны регуляторов и государства. Задача регулятора – найти баланс интересов, создав тем самым условия для конкурентной борьбы как двигателя прогресса.
– Известно два подхода к защите систем от внешних вторжений: с использованием систем, работающих на сетевом уровне (таких как IDS/IPS или антивирус), и «псевдосерверов-ловушек», идентифицирующих атакующие системы. Какой подход вы считаете более перспективным для защиты АСУ ТП?
– Так называемые ловушки, о которых речь идет уже не первый год, не используют наши клиенты, скептическое к ним отношение и среди интернет-сообщества. Ловушки нашли пока наибольшее применение в вендорских сервисах, когда вендор создает сеть «ловушек» и тем самым может создавать сигнатуры для защиты от атак быстрее чем обычно. Существует как минимум пять подходов к обеспечению защиты от внешних вторжений. Традиционные IDS/IPS для АСУ ТП не самый эффективный вариант, который можно, конечно, использовать на верхнем уровне агрегации. Но если говорить об оборудовании, оснащенном современными датчиками, то вряд ли имеет смысл устанавливать типичную систему IPS для обнаружения и нейтрализации не более пяти уязвимостей для конкретного оборудования. Для этого применяются специализированные решения. IPS – лишь часть многоуровневой технологии контроля и комплексной системы защиты. Кластерный подход к проектированию систем защиты, обеспечение доступности и целостности данных – основные критерии оценки решений для АСУ ТП. Кроме того, важно, чтобы IPS система разбирала протоколы связи АСУ ТП и имела дополнительный набор шаблонов, сигнатур, профилей и прочего для именно атак на оборудование АСУ ТП. Именно в этом направлении мы сейчас идем.
– Безопасность соединений и простота эксплуатации – это взаимоисключающие понятия применительно к решениям, используемым для защиты критически важных объектов?
– Нельзя обеспечить такой же уровень удобства эксплуатации, как без применения системы безопасности. Но сделать ее близкой к тому вполне возможно, многое здесь зависит от вендора. Кстати, это конек компании Stonesoft. Пользователи наших решений со многими рутинными операциями справляются в один клик, и отлаженная система безопасности никому не мешает.
– Какие проекты, успешно реализованные вашей компанией, вы могли бы отметить и почему? Какую долю среди них занимают проекты, выполненные по заказу промышленных предприятий?
– В разные годы компания предлагала продукты для выполнения задач, которые невозможно было решить на основе другого оборудования. Среди наиболее заметных наших проектов – автоматизация подключения разных платежных систем к оборудованию телекоммуникационного оператора. Для этого использовалось «хитрое» VPN-решение. Привычными для нас являются решения по защите крупных дата-центров а также большие распределенные защищенные сети на основе VPN. Крупные проекты реализованы в регионах, на территории которых например, установлено большое количество IPS-сенсеров c централизованным управлением, обеспечивающих сбор информации в единой точке.
– Какие решения и продукты компании завоевали доверие российских заказчиков за последние годы? Как развивается ваша продуктовая линейка?
– Без ложной скромности можно сказать, что вся продуктовая линейка завоевала доверие заказчиков. Правда, должен заметить, что она сравнительно небольшая. И тут мы стараемся уменьшить количество отдельных систем. Напротив, ставка сделана на разработку комбинированного продукта. Идея состоит в том, чтобы предложить заказчикам так называемый динамический трансформер. Новый тип оборудования представляет собой устройство с одним исходным кодом. В зависимости от потребности и лицензии, приобретенной заказчиком, оно преобразуется в нужное в данный период времени решение – Firewall, IPS, VPN, L2 Firewall, антивирусный шлюз и т. д. либо в любую их комбинацию. Таким образом, мы вывели на рынок унифицированную платформу, аккумулирующую в себе семь продуктов, мы называем их «роли». На базе этой платформы можно запустить любое нужное заказчику решение. Если он приобрел что-то ошибочно или изменились потребности бизнеса, несложно произвести замену решения путем приобретения лицензии и включения соответствующей опции.
– Какова реакция рынка на предложенное решение?
– Некоторые потенциальные заказчики отнеслись к этой идее настороженно. Но те, кто уже пользуется платформой, довольны. Приобретенное в дата-центр устройство можно трансформировать в узел доступа, как только выяснится, что мощности ЦОДа увеличились, можно просто добавить еще одно устройство или текущее преобразовать в другую роль и установить его например, в филиале. Все это без необходимости дополнительных вложений или замены оборудования. Гибкость платформы в том, что доступна и обратная последовательность действий – достаточно изменить одну роль трансформера на другую.
– Приоткроете дальнейшие планы развития продуктов на фоне начавшихся интеграционных процессов с McAfee Group Company?
– С этого вопроса предлагаю начать наше следующее интервью…
– …предложение принимается…
– Планы дальнейшего развития в новых для компании Stonesoft условиях сейчас в стадии обсуждения, идут интенсивные консультации. Поэтому говорить о них пока преждевременно. Главное желание сейчас – не навредить, а сделать все, чтобы реализовать возможности, которые открываются для продуктов, известных на рынке под маркой Stonesoft, и конечно, для наших заказчиков. Могу сказать, что ни один продукт не закрывается а планируется только развитие. Что касается собственно продуктов, то на подходе новые решения с расширенным функционалом от DDoS атак, дополнительными возможностями по обеспечению защиты АСУ ТП, дополнительными возможностями для телекоммуникационных операторов. Предусмотрены и другие фишки, представляющие интерес для заказчиков и игроков рынка информационной безопасности. Кроме того, начался процесс интеграции некоторых технологий от компании McAfee в продукты Stonesoft а также и интеграция и взаимодействие систем управления от между собой , что несомненно улучшит обеспечиваемый оборудованием уровень безопасности и вызовет еще больший интерес на рынке безопасности .
Интервью в БИБЛИОТЕКЕ
