Одед Гонда, вице-президент по продуктам сетевой безопасности компании Check Point Software Technologies, является одним из наиболее авторитетных мировых специалистов в области ИБ. Мы встретились с экспертом на конференции CPX 2011 и задали ему несколько вопросов о «горячих» проблемах в области ИБ, актуальных тенденциях и дальнейшей стратегии развития компании Check Point.

PCWEEK/UE: Многие эксперты полагают, что современные вирусы очень усложнились в сравнении с теми, что были 5-7 лет назад. Но есть и другая точка зрения, в соответствие с которой вредоносы сегодня в общей массе стали примитивнее, поскольку для их создания нередко применяются специальные конструкторы, написанные сторонними программистами, а сами вирусы создаются аматорами в этой области. Каково ваше мнение?

ОДЕД ГОНДА: Я придерживаюсь точки зрения, что вирусы, конечно же, стали намного более сложными. Большинство современных вредоносов (если мы говорим о наиболее продвинутых образцах) способны детектировать антивирус в системе и в некоторых случаях даже отключить его. Вирусы используют шифрование данных и другие изощрённые способы для передачи информации и установки связи с другими вирусами вне зараженной системы.

Могу отметить также и появление руткитов, присутствие которых в системе очень тяжело определить. Они используют довольно сложные технологии для заражения компьютеров, для миграции с одного ПК на другой.

В прошлом основная задача вредоносного ПО заключалась в том, чтобы нанести некий вред компьютерной системе. Например, удалить или зашифровать файлы, либо сыграть какую-либо злую шутку с пользователем ПК. Сегодня большинство вредоносов нацелены на хищение данных, таких как номера кредитных карт, различные логины и пароли, а также создание ботнетов для рассылки спама. Таким образом, раньше разработкой вирусов занимались энтузиасты, теперь же их усилия подкреплены солидным финансовым вознаграждением. Вследствие этого выросло число киберпреступников, часть которых действительно являются аматорами, но есть среди них и высококлассные программисты, которые разрабатывают очень сложное и «хитрое» вредоносное ПО.

Поэтому первая проблема на антивирусном фронте сегодня заключается в растущем количестве вирусов и их разновидностей, а вторая – в их сложности. И это значительно затрудняет деятельность производителей антивирусов.

PCWEEK/UE: По результатам недавнего опроса, проведенного в Украине, оказалось, что большинство пользователей считают антивирус наиболее важным средством для защиты информации. При этом респонденты практически не упоминали такие системы как IPS, DLP, web-filtering. Какова ситуация в данной сфере в странах ЕС и США?

О. Г.: Полагаю, что люди сегодня все более осознают, что панацеи от всех бед не существует. Вы не сможете обеспечить защиту своих данных при помощи только одного решения. Большинство ИТ-специалистов начинают понимать, что для надежной защиты требуется и файрвол, и IPS, и DLP. Каждая из систем решает свои задачи, поэтому наиболее продвинутые заказчики развертывают множество решений.

Иными словами, необходимо применять различные механизмы: одни должны быть нацелены на контроль конечных точек, другие – на контроль локальной сети. И если первый фронт обороны прорван — например, рабочая станция уже инфицирована, то специальные средства должны заблокировать доступ к этой машине по сети.

Отмечу, что, помимо использования «фирменных» решений, есть и другие способы избежать заражения. Один из них заключается в том, чтобы отключать те системы, которые не используются. Например, если работа не требует применения USB-накопителей и других USB-устройств, то необходимо принять меры для отключения USB-портов. Но если вы применяете USB-накопители, то необходимо прибегнуть к специальным инструментам для шифрования данных на них и ограничению к ним доступа при помощи пароля.

PCWEEK/UE: Если антивирус – это наиболее важный инструмент для защиты данных, то что бы вы поставили на второе место?

О. Г.: Я думаю, что сегодня уже нельзя сказать, что есть средства защиты первостепенной важности, а есть — вспомогательные. Если у вас установлен только антивирус, вы можете столкнуться с проблемами в области сетевого проникновения, если же вы используете еще и IPS, то удар вас может поджидать со стороны инсайдеров и т. д. Чтобы получить действительно всестороннюю защиту, вам придется прибегнуть к различным решениям.

PCWEEK/UE: В прошлом году одна из аналитических компаний в своем отчете по рынку ИБ предсказала появление в скором времени такой услуги как malware-as-a-service. Как вы полагаете, насколько это возможно в ближайшем будущем? 

О. Г.: Это не только возможно, но в определенной степени доступно уже сегодня. Например, за весьма умеренную плату вы можете арендовать ботнет для организации dDOS-атаки или рассылки спама. Отличие MaaS от облачной концепции ITaaS состоит лишь в том, что кибер-криминал не предоставляет эту услугу посредством определенной облачной инфраструктуры, как поступают многие вендоры, поскольку они уже имеют разветвленную бот-сеть, в которую входит тысячи компьютеров по всему миру. И этот ботнет они продают как сервис для злоумышленников. Так что, malware-as-service — это реальность сегодняшнего дня.

PCWEEK/UE: Виртуализация сегодня является одним из основных трендов на ИТ-рынке. Однако многие вендоры в области ИБ прогнозируют, что виртуализация, помимо всем известных преимуществ, несет с собой множество рисков для безопасности, и компании ощутят злободневность этих прогнозов уже в ближайшее время. Работаете ли вы с Microsoft, VMware, Citrix с целью сделать решения по виртуализации более защищенными? 

О. Г.: В мире существует множество различных технологий, которые требуют усовершенствования в области защиты. В виртуальных средах действительно имеются некоторые крупные проблемы, связанные с безопасностью. С другой стороны, часть этих проблем не являются специфичными, они аналогичны тем, что были еще в физических средах. В линейке наших продуктов есть решение Check Point V («V» означает Virtualization), предназначенное для виртуальной среды VMware, которое позволяет защитить супервизор, а также обмен данными между виртуальными машинами.

PCWEEK/UE: В прошлом году ИТ-мир был шокирован атакой червя Stuxnet. Аналитики полагают, что атака класса Stuxnet заняла свыше полгода кропотливой работы высококлассных специалистов. Причем многие связывают Stuxnet с политикой, а не просто криминальным бизнесом. Как вы считаете, станут ли такие атаки обыденной реальностью в будущем?

О. Г.: Да. Хотя это звучит не очень весело, но атаки такого рода являются эффективным путем для некоторых организаций получить то, что им нужно. Причем, я полагаю, что заказчиками таких атак будут как политики, так и обычный бизнес-криминал. Дело в том, что сегодня мы входим в эру, когда при помощи технологий можно добыть огромные деньги, которые ранее зарабатывались другим путем. Например, если раньше банда гангстеров хотела ограбить банк, она готовилась к этому много месяцев. Если сегодня они хотят сделать то же самое, но не в масках с автоматами, а электронным способом, они также будут готовиться к этому несколько месяцев.

Что можем сделать мы? Очень важно, чтобы компании были уже предупреждены о возможных способах нападения и приняли меры для того, чтобы защитить свою систему и максимально усложнить задачу преступников.

PCWEEK/UE: Аналитики в сфере безопасности предсказывают появление такого понятия как «взломанный» автомобиль. Имеется в виду, что вирусным атакам будет подвержено любое устройство, в котором используется программное обеспечение, будь то автомобиль…

О. Г.: …или Sony Playstation. Действительно, потенциально может быть взломано любое устройство, которое содержит в себе программное обеспечение, особенно если оно содержит в себе уязвимости.

Суть в том, что большинство систем обмениваются между собой данными. Если в вашей машине установлен бортовой компьютер с «навороченным» ПО, эта программа может использоваться для получения, например, данных о трафике на дорогах или прогноза погоды из интернета. В тот момент, когда программа связывается с внешним миром, она может быть взломана.

PCWEEK/UE: То есть, чем проще устройство — тем оно надежнее. Вековой принцип остается действенным и сегодня?

О. Г.: Я не могу с этим согласится. Если бы мы следовали такому принципу, то до сих пор бы ходили с каменными топорами и добывали огонь трением. Но люди хотят получить более высокий уровень жизни и в более продвинутой среде. С другой стороны, это несет в себе определенные риски. Но всему можно найти адекватную защиту.

PCWEEK/UE: В последнее время активно растет рынок планшетов и смартфонов. Какая из мобильных ОС наиболее небезопасна, с вашей точки зрения?

О. Г.: Думаю, что чем более открыта система, тем легче ее взломать. Конечно, абсолютно защищенных систем не существует, но чем более закрыта система, тем тяжелее найти в ней уязвимость. С этой точки зрения, iOS и Blackberry OS более закрыты, чем другие системы, и все же вероятность их взлома — это лишь вопрос времени. Например, браузер iOS построен на базе WebKit. Почти каждый месяц в этом браузере находят уязвимости. И хотя разработчики регулярно выпускают заплаты для данного ПО, рано или поздно хакеры опередят их и успеют воспользоваться уязвимостью раньше, чем будет выпущена заплата.

PCWEEK/UE: Взрывной рост популярности социальных сетей привел к тому, что сегодня трудно найти компьютерного пользователя, который не зарегистрирован не в одной сети. Например, Facebook сегодня насчитывает свыше полумиллиарда учетных записей. Какие риски для пользователей несут в себе социальные сети, такие как Facebook, Twitter и другие?

О. Г.: Я полагаю, что мы можем говорить о рисках для домашнего пользователя, и угрозах для корпоративного применния. Для домашнего пользователя опасность лежит в публичности приватных данных. Поскольку люди выкладывают в Facebook большие объемы персональной информации, злоумышленники могут использовать эти сведения для мошенничества, обмана и прочих преступлений, которые при этом не обязательно связаны с компьютером. Изучив персональную информацию человека, несложно прибегнуть к социальной инженерии, чтобы обмануть его.

Кстати, некоторое время назад Check Point выпустил так называемое руководство по использованию социальных сетей. Это продукт ориентирован, в первую очередь, на родителей, которых волнует судьба их детей, «обитающих» в социальных сетях.

На корпоративном уровне опасность заключается в том, что большинство организаций не могут или не хотят заблокировать доступ к социальным сетям, и сотрудники проводят много рабочего времени, например, в Facebook. Во-первых, это снижает их продуктивность, во-вторых, через социальные сети может «утекать» различная конфиденциальная бизнес-информация. Вот две основные угрозы.

PCWEEK/UE: Компания Check Point Technology изначально производила только софтверные решения, что заложено даже в самом названии. Однако в настоящее время вы массово производите и аппаратные решения. Какое из этих направлений более важно для вас, какой сегмент вы намерены более активно развивать?

О. Г.: Сегодня мы единственный вендор в мире, который предоставляет одинаковые функциональные возможности как в программном решении, так и аппаратном устройстве. Мы всегда давали заказчику выбор, поэтому не планируем менять нашу стратегию. Check Point будет и далее предлагать решения в различных вариантах и в зависимости от того, что требуется заказчику, он может выбрать программный продукт, аппаратное устройство или же решение для виртуальной среды. Так что все направления одинаково важны для нас.