В чем состоит опасность Веб 2.0, почему старые методики ИБ уже не работают, и какие технологии защиты информации будут использоваться в будущем – об этом мы говорили с главой представительства компании Websense в СНГ Мидхатом Семирхановым
PC WEEK/UE: Еще несколько лет назад для защиты организации было достаточно установить антивирусы на всех серверах и рабочих станциях, а также брандмауэр по периметру корпоративной сети. Сегодня компания Websense заявляет, что для надежной защиты этого недостаточно. Чем обусловлено такое мнение?
Мидхат Семирханов: Во-первых, изменился сам подход к проблеме. Если раньше все, грубо говоря, строили «заборы» – ставили файрвол и огораживали свое «железо», которое находилось внутри сети, то сейчас реалии меняются. Все больше людей не привязаны к офисной сети и периметральной работе, поскольку работают удаленно либо на выездах.
Информация уже хранится не внутри компании, а в «облаке» – то есть применяются так называемые cloud-технологии, когда организации задействуют сторонние дата-центры. Все это накладывает свои условия на подход к защите информации. Не самого оборудования, а именно информации, которая составляет основную ценность для компании. Тем более, что акцент угроз тоже достаточно серьезно сместился. Если раньше они приходили в виде каких-либо файлов, то сейчас большинство угроз поступает в виде ссылок на какие-либо ресурсы в Интернете. Причем, эти ресурсы могут быть вполне законопослушны. Мы не говорим, что нужно отказываться от того, что есть – от тех же файрволов, антивирусов и т. д. Однако нужно смотреть более широко и отслеживать разные способы решения тех или иных задач, связанных с безопасностью.
PC WEEK/UE: В чем функции и задачи решений Websense пересекаются с современными антивирусами, а в чем их дополняют?
М. С.: На рынке антивирусов все достаточно понятно. Основные направления деятельности – контроль рабочей станции и канала, то есть, защита от тех угроз, которые уже известны. К сожалению, новые вирусные угрозы и прочие «штуки» антивирусами отлавливаются не так хорошо. То же касается и специфических атак на конкретные активы. Грубо говоря, антивирус должен знать, что он ловит.
Наша задача – не привязываться к действующим угрозам, а отлавливать те угрозы, которые только что появились. Это один из компонентов нашего решения, которое занимается защитой от утечек. Аналогичные разработки есть у Symantec и у McAfee, но у нас это интегрировано в единое решение. Мы не конкурент антивирусу – во многом мы его расширяем и дополняем, у нас есть очень много проектов, где наши продукты работают в связке с антивирусом.
PC WEEK/UE: Как решения Websense помогают защитить удаленных сотрудников, которые работают из дома, «на ходу» через 3G, из интернет-кафе и т. д.?
М. С.: Наши решения строятся на основе так называемого гибрида. Существуют разные платформы – некоторые из них могут строиться на аппаратной базе (appliance), то есть, на сервере с развернутым программным обеспечением. Кроме того, это может быть просто программное обеспечение, или решение на базе технологии hosted по модели SaaS – обработка данных через наш дата-центр. Из этих трех компонентов мы можем собрать то, что нужно конкретному заказчику.
В качестве примера приведу банк. Эта организация состоит из головного офиса, множества отделений и несколько филиалов. Соответственно, для штаб-квартиры, где требуется достаточно большая производительность для большого количества сотрудников, будет использоваться аппаратная платформа (appliance).
Филиал в 50 сотрудников сможет работать с программным обеспечением, которое требует меньше ресурсов по внедрению и менее требовательно по «железу». Филиалы, где работают 5-10 сотрудников, работают по технологии hosted, поскольку здесь не требуется администрирования и аппаратного оборудования на площадке. При этом все администрирование, настройки и отчетность доступны головному офису. Это набор разных решений для разной численности сотрудников и разной производительности, построенный на единой платформе с единой системой отчетности и единой политикой.
PC WEEK/UE: Исходя из вашего опыта, как вы считаете, когда организация покупает решение класса веб-фильтрации, какую задачу, как правило, она преследует в первую очередь: оптимизировать использование сотрудниками ресурсов Интернета или все же защитить корпоративную сеть от вредоносов?
М. С.: В данный момент стоимость интернета не критична для компании, поскольку безлимитные тарифы позволяют не экономить на трафике. Но есть другие важные факторы. Первый – производительность труда сотрудников. Наши решения позволяют понимать, чем занимается сотрудник на рабочем месте и как он тратит свое время. При этом наша задача не только запрещать, но и четко контролировать.
Раньше подход был следующим: в компании отключали интернет для всех сотрудников, оставляя выход в Сеть только ключевым работникам или же разрешая доступ буквально к 10-15 сайтам. Сегодня облачные технологии коренным образом меняют подход, и Интернет становится таким же инструментом как телефон и даже в чем-то его превосходит. Поэтому сотрудник на самом обычном рабочем месте должен иметь доступ к интернету и, по большому счету, невозможно силами одних системных администраторов запрещать или разрешать доступ к определенным веб-сайтам.
Статичный интернет, каким мы его знали несколько лет назад, позволял создавать веб-фильтрацию в виде списка некоторых URL. Теперь этот подход умер, потому что Веб 2.0 коренным образом все изменил. Сегодня только с помощью домена Google.com в своем браузере можно иметь практически все – онлайн игры, онлайн-аукционы, сайты сомнительного содержания, террористические сайты. При этом не надо забывать, что 70% мирового трафика приходится на 100 ведущих порталов. В первую очередь, это социальные сервисы и поисковики технологии Веб 2.0. Здесь невозможно так сходу понять, что хорошо, что плохо, что разрешить, что запрещать.
Элементарный пример – Википедия. Хорошо это или плохо? С одной стороны нельзя запретить сотрудникам ею пользоваться, потому что это глобальный источник информации, с другой стороны, на ее страницах может быть абсолютно все. Поэтому наш подход таков, что мы категоризируем информацию на лету. Система классификации и контроля контента, заключенного в конкретной строке, сейчас встроена в наше решение и работает уже на площадке заказчика. При каждом конкретном обращении на URL происходит категоризация этой ссылки с точки зрения безопасности и типа контента.
PC WEEK/UE: Не секрет, что иногда под категорию подозрительных могут попадать вполне безобидные веб-ресурсы, в результате чего доступ к ним ошибочно блокируется. Как решают эти вопросы в Websense и может ли заказчик самостоятельно решить подобную задачу путем внесения в «белый список» и т. д.?
М. С.: Гипотетически я предполагаю, что такая проблема возможна. Простой пример – «Яндекс» ввел систему обработки сайтов на предмет безопасности и выдает при поиске сообщение, что данный сайт может навредить вашему компьютеру. Здесь возможны несколько вариантов, которые зависят от работы администратора. Первый – пользователь может быть предупрежден, но при желании все же сможет зайти на эту страницу, если это необходимо. Второй вариант – перекатегоризировать для себя, для своей лично организации этот сайт и переместить его в другую категорию или в «белый список».
Честно скажу, я ни разу с этим не сталкивался. Несколько раз ко мне обращались владельцы сайтов, которые жаловались, что их отнесли не в ту категорию. Но обычно это сайты, которые не отличаются большой популярностью. Их тяжело категоризировать.
Например, есть туристический сайт, который можно отнести и к категории «спорт», и к категории «аукцион» – на сайте происходит достаточно много продаж туристического оборудования. Мы его категоризировали как онлайн-аукцион, хотя владелец посчитал, что это просто туристический сайт.
Я не считаю это какой-то проблемой и у меня ни разу не было случая, чтоб заказчик жаловался, что он не получил доступ к нужным ресурсам. Обычно это зависит от администратора, и если такая проблема возникает, пользователь всегда может обратиться к центру информационной безопасности, который при необходимости разрешит доступ к ресурсу.
PC WEEK/UE: Какие решения Websense пользуются наибольшей популярностью в СНГ и почему, с вашей точки зрения?
М. С.: В настоящий момент наиболее популярный наш продукт в странах СНГ, в частности, в России – это Websence Security Suite, который работает на стандартной системе фильтрации, то есть, по URL-ссылкам. Однако в нынешнем году мы наблюдаем достаточно серьезный интерес к нашему основному решению — Web Security Gateway. Все наши ведущие клиенты либо уже используют, либо активно тестируют этот продукт. Он ориентирован на корпоративный сектор, и чем более разветвленная у компании сеть филиалов, тем меньше у нас конкурентов.
Если мы говорим о заказчике, у которого всего 100-200 рабочих станций, то здесь можно рассматривать порядка десяти продуктов вендоров, присутствующих на рынке. Если это компания, у которой пять филиалов и более тысячи сотрудников, в игре остается 2-3 игрока. А если мы говорим о 30-40 тысячах пользователей, то на рынке есть только две компании, способные удовлетворить требования заказчиков.
PC WEEK/UE: Проведите срез рынка СНГ с точки зрения спроса на решения Websense: в каких отраслях ваши продукты наиболее популярны?
М. С.: Финансовые учреждения дают достаточно серьезный процент заказов. Но если брать Россию и Украину, то наши заказчики очень разноплановые: начиная от школ, больниц и спортклубов, и заканчивая крупными государственными учреждениями. Практически в любом сегменте экономики у нас есть внедрения.
PC WEEK/UE: Что вы может сказать об угрозах завтрашнего дня? Что нас ждет и чем это обусловлено?
М. С.: По моему мнению, атака «Аврора» показала, что сейчас все больше и больше серьезных структур понимают, что Интернет становится важным источником как информации, так и финансовой выгоды. Например недавно я прочитал, что государства пошли по пути развития кибер-войск – структур, которые нацелены на ведение достаточно серьезных силовых игр именно в Интернете. Не хочу пугать, потому что, скорее всего, это не коснется небольших бизнесов, но если мы говорим о глобальных компаниях, то угрозы сохранятся. Что особенно важно для госструктур, так это понимание того, чем их служащие занимаются в Интернете.
Не так давно был судебный процесс в Испании и Франции, когда сотрудники в рабочее время и на рабочем компьютере занимались обсуждением каких-то не совсем корректных вещей на «специфических» сайтах и форумах. При этом в процессе расследования данных дел были предъявлены вопросы и к самим компаниям: почему, предоставляя интернет сотрудникам, они не контролировали его использование.
Данный вопрос достаточно важный и актуальный – компания должна контролировать, чем занимаются люди в рабочее время. Одно дело — просто трата времени на какие-то развлечения, и совсем другое дело, если люди могут повлиять на имидж компании. Не исключены случаи, когда люди, используя домен или корпоративную почту, занимаются какими-то неблаговидными вещами.
Наш подход таков – мы всегда должны помогать компаниям. Если это бизнес – то зарабатывать деньги, если это госструктуры – эффективно работать.
