«Облачные» перспективы защиты корпоративных endpoint-компьютеров

«Облачные» перспективы защиты
корпоративных endpoint-компьютеров

Подлинными изобретателями и первыми «промышленными» внедренцами столь популярных сегодня технологий «облачных» вычислений (Cloud Computing) были не Amazon, IBM или Sun, a кибер-криминальные технологи, которые уже 10 лет назад эксплуатировали пиринговые «варезные сети», представлявшие, по сути, прототипы современных распределенных сетей Cloud Computing – такой, на первый взгляд, парадоксальный, но, если вдуматься, небезосновательный вывод сделал в своем блоге [1] Рювен Коэн (Reuven Cohen), основатель и главный технолог компании Enomaly, разработчика программных Cloud-платформ.

Столь же небезосновательно сразу после анонса Microsoft их Cloud Computing технологии Live Mesh главный редактор по технологиям еженедельника eWeek Insider Channel Франк Олхорст (Frank Ohlhorst) предупреждал о ее деструктивном влиянии на корпоративную информационную безопасность (ИБ). В своей статье «Microsoft Live Mesh – следующая большая угроза бизнесу» [2] он назвал Live Mesh «антитезой управления сетевым доступом и информационной безопасности endpoint-компьютеров». Причиной опасений Олхорста послужила уникальная способность технологии Live Mesh преодолевать периметры частных корпоративных сетей вне зависимости от политик защищающих их межсетевых экранов (МЭ) и NAT-шлюзов. Прообразом Live Mesh, по его мнению, была система IP-телефонии Skype, всепроникающую «силу» которой уже в полной мере ощутили практически все ИТ-организации.

Подобные комментарии, очевидно, не добавляют оптимизма в отношении завтрашних перспектив внедрения Cloud Computing со стороны руководителей и главных специалистов служб ИБ организаций финансового сектора экономики.

Равно как и сегодня, когда невиданные доселе «вычислительные тучи» только собираются на далеком заморском горизонте, ситуация с обеспечением ИБ оконечных вычислительных устройств (рабочих станций, десктопов и ноутбуков) организаций далека от безоблачной, о чем свидетельствует свежая статистика организации Ponemon Institute, которая в феврале опубликовала результаты исследований размера ущерба от утечек данных в организациях США и Великобритании за 2008 год. Согласно этим отчетам, угрозы корпоративной ИБ со стороны инсайдеров в Америке не уменьшаются (прирост 2-5%), а в Европе – существенно возрастают (прирост 22-28%), причем подавляющая часть случаев утечек данных связана с нарушением ИБ компьютеров сотрудников.

Поэтому без преувеличения можно сказать, что для специалистов в области ИБ кредитно-финансовых организаций один из важнейших вопросов завтрашнего дня состоит в том, как на уровень инсайдерских угроз и, прежде всего, защищенность endpoint-компьютеров повлияет внедрение в корпоративные ИТ-технологий Cloud Computing.

В технологической интерпретации это вопрос о том, сможет ли индустрия ИБ использовать уникальные внутренне присущие архитектурам Cloud Computing характеристики – глобальную распределенность, динамическую масштабируемость и оперативную связность – для повышения эффективности и надежности работы средств защиты информации (СЗИ) множества оконечных вычислительных узлов?

Следует отметить, что в последние три года наблюдается постепенный прогресс участников отрасли ИБ в этом направлении.

Исторически, первым реальным примером использования преимуществ Cloud Computing – еще до выделения этой технологии в отдельный отраслевой сегмент – стало предоставление услуг аутсорсинга ИБ для корпоративных клиентов. Один из пионеров этого движения – «Лаборатория Касперского», услуга Hosted Security Services [3] которой пользуется популярностью как в России, так и за рубежом. В качестве другого – недавнего по времени – примера следует отметить анонс в октябре 2008 года трехлетнего плана [4] компании Symantec по предоставлению всех своих продуктов ИБ в виде услуг SaaS.

Следующим значительным шагом отрасли ИБ стало использование высокого уровня взаимосвязности сред Cloud Computing для ускорения процессов сбора и проверки сигнатур вредоносных программ. В 2008 году были введены в эксплуатацию системы Smart Protection Network от компании Trend Micro и Artemis от McAfee. В упрощенном виде идея работы этих систем состоит в том, что исполнительные агенты на компьютерах не ждут обновления базы сигнатур с сервера, а по каждому подозрительному объекту считают хэш-сумму и отсылают ее в Cloud-сеть производителя, после чего эти хэш-суммы в онлайн-режиме сравниваются со всеми имеющимися в Cloud сигнатурами и результат возвращается агенту. В результате как скорость выявления сигнатур вредоносных кодов, так и оперативность реагирования на них возрасли на порядок – причем без увеличения вычислительной нагрузки на защищаемые компьютеры.

Наконец, самой современной тенденцией использования Cloud Computing в отрасли ИБ стало использование супер-инфраструктур «вычислительная платформа как услуга» (Platform-as-a-Service или PaaS) в качестве платформ, на которые небольшие вендоры программных СЗИ портируют свои продукты и предоставляют своим клиентам доступ к ним как к услугам. Иначе говоря, они используют платформы PaaS для создания собственных услуг аутсорсинга ИБ и предоставления их в виде Software-as-a-Service. В конечном итоге, это выгодно пользователям, поскольку состав провайдеров услуг ИБ не ограничивается только крупнейшими игроками типа Symantec, McAfee и Trend Micro, а появляется выбор между множеством услуг мелких, но более заботливых для клиентов суб-провайдеров. Примером такой трансформации продукта в услугу ИБ служит портирование компанией FullArmor своей программы PolicyPortal [5] на платформу Windows Azure, в результате чего этот продукт стал доступен для клиентов FullArmor непосредственно через Интернет как экономичная услуга централизованного управления политиками ИБ и конфигурирования endpoint-компьютеров.

Очевидно, не каждый продукт ИБ рационально использовать в виде отдельной услуги – например, из-за специфики его функционала. Тем не менее, если продукт качественный, он может оказаться весьма полезным как один из компонентов функционально полного набора интегрированных сервисов аутсорсинга ИБ. Приятно радуют в этом отношении популярные российские программные СЗИ. Например, немецкий провайдер аутсорсинга ИБ Logica Managed Services Deutschland в качестве одного из компонентов своих услуг по информационной защите компьютеров клиентов использует программный комплекс DeviceLock производства компании «Смарт Лайн Инк», мирового технологического лидера в этой области.

Новый функционал в DeviceLock 6.4 – «контентно-зависимые» правила на уровне файловых операций

DeviceLock – это система централизованного контроля доступа пользователей к периферийным устройствам и портам ввода-вывода персональных компьютеров и серверов под управлением ОС Microsoft Windows. DeviceLock позволяет контролировать все типы локальных каналов утечки на компьютерах пользователей в корпоративной ИС и полный спектр портов и внешних устройств. В новой версии DeviceLock 6.4 принципиально повышена гранулированность контроля за привилегиями и действиями пользователей за счет поддержки функции детектирования и фильтрации типов файлов для любых операций файловой системы. Обеспечиваются перехват, экстракция, детектирование типа и блокирование файловых объектов во всех локальных каналах утечки данных защищаемого компьютера, при этом администраторы безопасности могут дополнительно задавать гибкие правила событийного протоколирования операций и теневого копирования данных с точностью до типов файлов.

DeviceLock контролирует все типы внешних устройств посредством групповых политик

В планах компании «Смарт Лайн Инк» – дальнейшее развитие решений и услуг по информационной защите endpoint-компьютеров на базе DeviceLock.

Алексей Лесных,
менеджер по развитию бизнеса
 компании «Смарт Лайн Инк»

На правах рекламы

1. http://www.elasticvapor.com/2008/11/fraud-as-service-did-criminals-invent.html.
2. http://blogs.channelinsider.com/tech_tidbits/content/new_products/microsoft_live_meshthe_next_big_security_threat_for_business_1.html.
3. http://www.kaspersky.ru/hosted_security.
4. http://www.zdnetasia.com/news/security/0,39044215,62046931,00.htm.
5. http://www.fullarmor.com/products-policyportal.htm.