Рынок средств защиты от внешних угроз

Тема информационной безопасности уже давно является одной из наиболее актуальных как для корпоративных, так и для частных ИТ-пользователей. По сути, несмотря на наличие специализированных средств защиты, сегодня практически каждый программный продукт включает в себя те или иные защитные механизмы. Глобальный, многогранный, всепроникающий характер проблемы создает вполне очевидные трудности на пути ее решения. Именно поэтому сегодня фактически нет единых продуктов, реализующих защиту информационных систем в целом, и приходится строить многокомпонентные многоуровневые комплексы обеспечения безопасности. Но вместе с тем общая тенденция развития данных средств в сторону создания интегрированных комплексных решений вполне очевидна.

Для понимания ситуации на рынке информационной безопасности, наверное, можно предложить такую классификацию отдельных аспектов проблемы:

• защита от внешних угроз;
• управление правами доступа (в том числе защита информации от несанкционированного доступа);
• защита от внутренних утечек информации (в том числе без нарушения прав доступа);
• обеспечение надежной работы ИТ-системы в условиях сбоев и неисправностей программных и аппаратных средств.

Далее мы будем говорить о первой категории продуктов — средствах защиты от внешних угроз. В этой сфере уже давно минули времена, когда главную опасность представляли вирусы, которые распространялись преимущество на дискетах. Сегодня спектр “заразы” существенно расширился и включает также разного рода шпионское (spyware) и рекламное (adware) ПО, спам. При этом для общей характеристики всего этого программного набора сейчас чаще всего используются термины вредоносное (malware = malicious software) или нежелательное ПО, реже — плохое (badware) или загрязняющее (contaminate) ПО.

В самом общем случае malware обычно определяется как ПО, которое проникает в компьютерную систему без информирования об этом ее владельца. Если же говорить о защите от нежелательно-вредоносных программ, то здесь имеется одна принципиальная проблема: и на юридическом, и на техническом уровнях сложно провести грань между полезным и вредным ПО.

Вообще-то развитие ИТ-безопасности всегда нужно рассматривать в двух аспектах: технологическом и деловом. С технологической точки зрения рост внешних угроз и повышение их актуальности для пользователя определяются вполне очевидными факторами: рост значимости ИТ для заказчика, повышение сложности и глобализация ИТ (тут, конечно, в первую очередь нужно сказать про Интернет).

Однако не менее важна и другая сторона: за последнее десятилетие сфера разработки malware превратилась из любительско-хулиганского занятия (которым преимущественно занимались молодые люди, желающие проявить свои способности, и лица с больной психикой) в серьезный бизнес с конкретными коммерческими целями.

Как ни странно, но, наверное, именно коммерциализация данного направления привела к тому, что тема защиты от внешних угроз за последние годы стала заметно меньше освещаться в СМИ: современным “заразописателям” сейчас уже не нужны громкие скандалы, нынешним киберпреступникам желательно, чтобы их действия никак внешне не проявлялись. Ну а пострадавшие стороны никогда не были склонны публично рассказывать о своих потерях, и только недавно законодательно их стали обязывать делать это (SoX и т. п.).

Что думает об этом Gartner

Рассматривая рынок средств защиты, эксперты компании Gartner пришли к выводу, что стратегические преобразования тут связаны с тем, что ранее существовавший самостоятельно рынок антивирусных продуктов фактически исчез, поскольку данные средства теперь нужно рассматривать в составе более широкого набора технологий обеспечения безопасности, причем в сочетании с инструментами управления компьютерными системами в целом. Именно этот тезис является центральным в отчете Gartner “Magic Quadrant for Endpoint Protection Platforms, 2007”, опубликованном в декабре 2007 г.

В нем констатируется, что отдельные продукты — антивирусное и антишпионское ПО, межсетевые экраны (брандмауэры), хост-системы защиты от вторжений (host-based intrusion prevention, HIPS) — заменяются комплексными платформами с использованием централизованных многофункциональных сред управления, для обозначения которых Gartner применяет термин “платформы защиты оконечных точек” (endpoint protection platform, EPP). При этом подчеркивается, что EPP имеют модульную структуру, поскольку для борьбы с разными видами угроз используются все же различные методы и технологии. Состав таких платформ постоянно расширяется, в частности, в последнее время в них появились такие новые средства, как шифрование дисков и защита данных при потере устройств (data loss Prevention, DLP). Расширенные варианты EPP включают сегодня также средства управления сетевым доступом network access control (NAC).

В рынок EPP эксперты Gartner включили продукты и поставщиков, которые удовлетворяют следующим минимальными требованиям:

• продукты должны обеспечивать защиту (включая лечение и удаление) от вредоносного ПО (вирусы, шпионы, рукиты, трояны и черви), включать персональные межсетевые экраны, а также другие дополнительные средства защиты ПК;
• вендоры должны иметь возможности централизованного управления своими системами и,в частности, обеспечивать их функционирование у заказчиков, обладающих не менее чем 5000 географически распределенных оконечных точек;
• поставщики должны иметь глобальные службы поддержки своих продуктов.

По оценкам Gartner, общий объем рынка EPP в 2005 г. превысил планку в 2,2 млрд. долл. и вырастет к 2010-му до отметки в 3,6 млрд. долл. На конец 2007 г. расстановка сил на нем представлена в виде магического квадранта (см. рисунок). Исторические корни этого сегмента находятся все же именно в антивирусных средствах, поэтому не удивительно, что лидирует на нем большая тройка традиционных антивирусных вендоров — McAfee, Symantec и Trend Micro, на их долю приходится около 85% общего объема поставок. В то же время тут есть много “проворных” поставщиков, которые с помощью своих инновационных решений постоянно вносят корректировки в текущую расстановку сил на рынке. Хотя выход Microsoft на корпоративный рынок средств защиты еще находится в начальной стадии, можно не сомневаться, что доля корпорации тут будет со временем возрастать.

Специфика сегодняшнего этапа развития EPP определяется тем, что основой создания подобных платформ являются комплексные средства управления информационными системами, которые помимо прочего решают вопросы оперативного развертывания обновлений. Механизмы сканирования и базы данных для обнаружения шпионов и вирусов сегодня объединяются в единые системы борьбы с вредоносными агентами (ВА). Но делается это в основном для удобства пользователей, так как методы и технологии борьбы с различными видами ВА все-таки разные.

Предприятия заинтересованы в замене автономных персональных экранов комплексными платформами обеспечения безопасности, тем более что Microsoft уже включила достаточно хороший набор средств защиты в состав настольной Windows. В то же время пользователям сегодня нужны расширенные возможности экранов, в частности такие, как:

• возможности аудита установленного ПО и функционирования средств защиты и проверка работы обновлений;
• детальное протоколирование событий;
• совместное использование экрана со средствами защиты от вредоносного ПО;
• обеспечение защиты в условиях беспроводных сетей;
• применение политики экранов для управления сетевым трафиком и правами доступа.

В современных условиях также возрастает роль HIPS-технологий, где применяется целый набор различных подходов (сигнатурных и эвристических) по выявлению потенциальных внешних атак и так называемых угроз zero-day (атака через уже обнаруженные, но еще незакрытые вендором бреши в программных продуктах).

Что касается перспектив развития EPP, то Gartner считает, что уже сейчас передовые решения включают в свой состав технологии управления сетевым доступом, а в ближайшей перспективе они будут двигаться в направлении интеграции с инструментами управления ИТ-инфраструктурой. Но, по мнению экспертов, о реальной конвергенции средств защиты и управления можно будет говорить не ранее 2010 г.

Чего можно ожидать на рынке средств защиты

Достаточно осторожный прогноз Gartner мы попробуем дополнить некоторыми собственными соображениями.

Для начала отметим, что, разумеется, развитие рынка в основном определяется базовыми факторами, среди которых мы выше уже выделили два: повышение сложности и актуальности для бизнеса информационных систем и коммерциализация рынка “поставщиков угроз”. Однако нужно упомянуть и еще один важный субъективный момент (являющийся катализатором объективных рыночных процессов): изменения в стратегии действий поставщиков средств защиты и происходящая на этом рынке перестановка сил ключевых игроков.

В последнее десятилетие мы наблюдаем активный процесс глобализации и консолидации ИТ-рынка, который, в частности, проявляется в том, что поставщики базового платформенного ПО активно выходят на лидирующие позиции в специализированных сегментах, превращаясь в мегавендоров. Все это мы хорошо видели на примере таких крупных сегментов рынка, как ERP (учет и планирование), ECM (управление контентом), BI (бизнес-аналитика), управление ИТ-инфраструктурой. Не следует ли ожидать чего-то подобного и в области средств защиты о внешних угроз? Судя по всему, тут нужно дать положительный ответ, и в ближайшие пару лет мы станем свидетелями постепенного выхода мегавендоров на лидирующие позиции и в этом сегменте.

Собственно, процесс этот уже начался, стартовой его точкой стал широкий выход на рынок средств защиты корпорации Microsoft. Отметим, что аналитики уже давно сошлись во мнении: само появление Microsoft на том или ином рынке, с одной стороны, является свидетельством того, что эта корпорация достигла определенного уровня зрелости и имеет хорошие перспективы для дальнейшего расширения, а с другой — важным катализатором ее развития. И дело тут даже не в обострении конкуренции в связи с тем, что Редмонд будет пытаться увеличить долю рынка. Главнее другое — обычно Microsoft начинает предлагать свои новые правила игры на этом рынке, с которыми вынуждены считаться его традиционные участники.

Активное движение корпорации в сторону технологий защиты началось в 2005 г. с покупки компании Sybari, развитием продуктов Antigen которой является сегодняшнее направление Forefront Server Security. Тогда же Microsoft объявила о намерении продвигать собственные средства защиты от вредоносного ПО для клиентских систем. Уже тогда это вызвало заметную озабоченность традиционных поставщиков защитных средств в связи с перспективой конкуренции с “большим братом”. Но пессимистичные прогнозы о быстром захвате Редмондом рынка не оправдались (да это было и нереально в тот момент), и сегодня мы видим, что Microsoft — это лишь один из участников, пока еще сильно уступающий лидерам.

Год назад Microsoft сделала еще один шаг, связанный уже с внесением изменений традиционных правил игры: в выпущенную тогда Windows Vista не только были включены дополнительные средства защиты, но в ней был существенно ужесточен общий подход к обеспечению безопасности на уровне операционной системы (см. PC Week/RE, № 3/2007). В результате третьи фирмы (в том числе и разработчики средств защиты) были поставлены перед необходимостью переработки своих продуктов с учетом новых требований к безопасности ОС.

Но деятельность Microsoft — это только начало процесса консолидации. Следующим “звонком” на этом рынке стала активизация после ряда приобретений корпорации IBM (стоит особо отметить покупку ею в 2006 г. компании Internet Security Systems). В конце прошлого года Голубой гигант сформулировал свою стратегию в области защиты от внешних угроз, сделав акцент на комплексном управлении рисками, охватывающем все пять основных областей ИТ-безопасности: защита информации, выявление угроз и уязвимостей, защита приложений, управление идентификационными данными и доступом и физическая безопасность.

Стоит обратить внимание на представленный сейчас магический квадрант Gartner — Microsoft и IBM нужно сделать совсем небольшое усилие, чтобы переместиться в группу лидеров. В отношении Редмонда можно сказать, что этот шаг будет сделан уже в недалеком будущем: компания объявила о подготовке интегрированного комплексного антивирусного продукта (кодовое название Stirling), который должен объединить защиту на всех уровнях информационной системы (периметр сети, серверы, ПК). Его бета-версии должны появиться в течение этого года, а окончательный вариант — в 2009-м.

А кроме того, уже в ближайшее время стоит ожидать активизации в сегменте средств защиты и других мегавендоров. Вряд ли, например, сможет удивить появление здесь Oracle, а учитывая тенденцию интеграции технологий защиты и управления ИТ, вполне вероятно, что в этом направлении двинется и HP.