Лет десять назад разработчики Open Source и не помышляли о той популярности, которой теперь могут похвастаться: в разработке ядра Linux участвуют десятки компаний, в т. ч. лидеры ИТ-индустрии, множество открытых решений становятся отраслевыми стандартами, количество Open Source-программ для защиты сетей от уязвимостей, вирусов и хакеров перевалило за несколько тысяч. В исследовании Black Duck Open Source 360° за 2017 г. говорится, что из числа опрошенных исследователями компаний софтом с открытым кодом или свободным ПО пользуется 90% организаций. По сравнению с предыдущим годом число внедрений Open Source выросло на 60%.

В чем же причина популярности Open Source-решений? Ответ на этот вопрос вроде бы очевидный: экономия затрат, поскольку они в большинстве своём бесплатные, отсутствие привязки к проприетарному софту коммерческих компаний и открытый код, который гарантирует бóльшую, как некоторые считают, безопасность ПО. Софт категории Open Source можно свободно загружать, устанавливать и модифицировать. Если иное не предусмотрено ограничительной лицензией, модифицированным софтом можно свободно распоряжаться, выкладывая его код на ресурсы типа GitHub. Список достоинств Open Source продолжает отсутствие каких-либо лицензионных ограничений по количеству установок программ.

Руководитель специальных проектов компании Mosaic451 (она занимается предоставлением управляемых услуг, а также защитой и поддержкой критически важных ИТ-систем) Энди Джордан полагает, что выгода от внедрения открытых решений не столь однозначна, как принято считать, а их защищенность напрямую зависит от того, настолько ответственен применяющий открытое ПО персонал. Своим мнением он поделился с порталом InformationWeek. По словам Джордана, применение Open Source-решений влечет прямые и непрямые издержки и в некоторых случаях эти затраты могут быть не ниже, чем развертывание проприетарного решения (особенно, если это программы для обеспечения защиты компании).

Свои рассуждения он предваряет тем, что в некоторых случаях «бесплатность» ПО с открытым исходным кодом оборачивается закупкой дополнительного оборудования, что может быть неприятным открытием для многих предприятий. Причина: после установки программного решения может выясниться, что оно не соответствует корпоративным политикам компании, или что для того, чтобы полностью раскрыть его функционал, придется перейти на платную версию либо приобрести аддоны или расширения. Например, для надлежащей защиты корпоративных пользователей платформы с открытым исходным кодом Elastic Stack требуется приобрести расширение безопасности X-Pack.

Затраты на внедрение Open Source

Программ с открытым кодом бесчисленное множество. Некоторые из них предназначены специально для выполнения тестовых задач или интегрированных сред разработки. Учитывая, что по большей части они рассчитаны на опытных разработчиков, их пользовательские интерфейсы могут выглядеть весьма аскетично. Что касается аналогичных бизнес-решений, то их разработка у программистов занимает гораздо больше времени — такие программы должны учитывать потребности клиента, соответствовать его представлению об удобстве интерфейса и т. д. И в этом, говорит Джордан, кроется одна из основных скрытых издержек Open Source.

Выбирающей Open Source компании придется смириться с тем, что разработка и кастомизация интерфейсов требуют огромных затрат времени. В отличие от популярных проприетарных решений, предлагающих решение «из коробки», Open Source — это DIY (сделай это самостоятельно): такой софт нужно правильно установить, настроить, выполнить необходимые изменения и обучить сотрудников, как его использовать. Ситуация усложняется тем, что если что-то пойдет не так, вместо готовой программы на выходе окажется полуфабрикат. Что ещё хуже, при его доработке нельзя рассчитывать на профессиональную техническую поддержку — все должно быть исправлено силами самого внедренца.

Но что, если инженеры компании, рискнувшей перейти на Open Source, не обладают достаточными навыками, чтобы исправить недочеты? В этом случае им на помощь придёт сообщество, но при этом не стоит забывать, что никто из его членов не несет ответственности за советы или рекомендации. Не исключено, что оказавшаяся в трудном положении организация утонет в потоке огромных объёмов информации и поиск ответов на форумах так и не даст ожидаемого ответа. Не стоит также забывать, что сообщества — это не всегда пул профессионалов: многие его участники имеют поверхностные знания. Увы, но внедряющие Open Source компании очень часто сталкиваются с проблемами его обслуживания и поддержки на протяжении всего его жизненного цикла.

Особую обеспокоенность экспертов вызывает применение открытого ПО в области безопасности. Как и в случае с проприетарным софтом, для его жизнеобеспечения требуются поддержка и техобслуживание, но получение пакетов обновлений ИБ-программ по модели Open Source связано с риском для всей инфраструктуры предприятия — оно отвлекает у специалистов время на загрузку, установку исправлений, устранение возможных неполадок, требует обучения персонала и вся эта нагрузка ложится на компанию, а не на привлеченных специалистов.

Отсутствие контроля приводит к проблемам безопасности

В силу многочисленных различий между решениями с открытым исходным кодом (отличия программных пакетов, разные депозитории) они являются сложной мишенью для хакерских атак, однако, также как и проприетарное ПО, Open Source требует постоянного контроля — его нельзя единожды настроить и «забыть», иначе такая забывчивость может обернуться проблемами, которые настигли Equifax — одно из крупнейших бюро кредитных историй. В сентябре этого года стало известно, что неизвестные злоумышленники завладели личной информацией 143 млн. американцев, включая номера социального страхования и водительских удостоверений, полные имена, адреса и т. д. Выяснилось, что хакеры использовали критическую уязвимость в платформе с открытым кодом Apache Struts (CVE-2017-9805), которую Apache Software Foundation устранила в начале марта 2017 г.. Поскольку взлом Equifax произошел в мае, это означает, что Equifax просто не установила критический патч безопасности для веб-инфраструктуры и поэтому стала добычей злоумышленников.

Нет никаких гарантий, что ситуация с Equifax в будущем не повторится. 60% респондентов опроса Black Duck признали, что не обладают необходимыми инструментами управления своим ПО с открытым кодом либо не знают, как им управлять. В связи с этим Джордан рекомендует усилить контроль для защиты Open Source-решений и не полагаться на общепринятое, но ошибочное мнение об их безопасности.

Отсутствие налаженных процессов и базовых критериев работы ПО с открытым кодом — особенно это касается решений и инструментов по безопасности — создаёт проблемы по всему периметру предприятия. Эти проблемы усложняют мониторинг нормальной сетевой активности с последующим выявлением указывающих на кибератаку аномалий и их эффективное устранение. Еще один недостаток безопасности Open Source — «серверы-снежинки», которые для установки исправлений требуют ручной настройки. Практически исключено, что администратор сетевой безопасности отдельно взятой компании обладает навыками администрирования разношерстных Open Source-решений, поэтому компании нужно выделять отдельные бюджеты на обучение персонала.

Таким образом, прежде чем начать внедрение решений в области обеспечения безопасности с открытым исходным кодом, Джордан рекомендует задаться следующими вопросами:

  1. Обладает ли ваше предприятие необходимыми ресурсами для установки и обслуживания продуктов для защиты инфраструктуры с открытым кодом, которую придётся обслуживать, обходясь без профессиональной поддержки со стороны поставщика?
    Это один из основополагающих вопросов: очень часто при переключении с проприетарных решений на Open Source организации недооценивают те сложности, с которыми они могут столкнуться. Это в первую очередь потеря времени при доработке открытых программ и задействование дополнительных человеческих ресурсов. Ситуация усугубляется тем, что по мере роста спроса на опытных специалистов в области ИТ и безопасности предприятиям не хватает внутренних ресурсов для реализации и управления ПО с открытым исходным кодом.
  2. Предусматривает ли ваш бюджет отдельную статью для обучения пользователей?
    На самом деле не все пользователи готовы переучиваться при переходе на открытое ПО. В профильной прессе неоднократно упоминалось о сложностях, с которыми им приходилось сталкиваться при работе с пакетом офисных программ LibreOffice или овладением базовыми Linux-дистрибутивами типа Ubuntu. В итоге компаниям приходилось отказываться от таких решений, хотя в них инвестировались значительные средства. Избежать подобных ситуаций поможет обучение работе с Open Source. Как показывает практика, легче всего адаптируются к работе с таким софтом сотрудники техподдержки, бизнес-операций и удаленные сотрудники.
  3. В равной ли степени поддерживает выбранный вами ИБ-вендор как собственные платформы, так и платформы с открытым исходным кодом, и есть ли у него опыт работы с Open Source?
    Этому вопросу следует уделить особое внимание, поскольку многие поставщики услуг безопасности обладают экспертизой, которая не простирается дальше рамочных решений гартнеровского магического квадранта.

Инструменты безопасности, будь то решения с открытым кодом или коммерческие продукты, — это всего лишь инструменты и они не заменяют человеческих рук. Это значит, что предприятие, если оно желает сохранить целостность своих рабочих процессов, нуждается в квалифицированных специалистах по обеспечению безопасности. Именно от них зависит установка, наладка, обслуживание ИБ-продуктов, а также сбор информации, необходимой для защиты корпоративных систем.