Проблема обеспечения информационной безопасности становится слишком сложной для ИТ-персонала компаний
Web-узел фирмы Espanol.com (Уэйкфилд, шт. Массачусетс) постоянно подвергается атакам одного и того же хакера, настойчиво пытающегося проникнуть через брандмауэр. К счастью, взломщика вовсе не интересуют ни номера кредитных карточек клиентов, ни финансовая информация самой фирмы, продающей музыкальные записи, видеокассеты и книги испаноговорящим американцам. Злоумышленник - не кто иной, как Кристофер Пламмер, системный администратор самой Espanol.com. Именно он тратит львиную долю своего времени на поиск брешей в системе безопасности узла.
Сайт Espanol.com - лакомый кусочек для высокотехнологичных карманников. Открыв свою сеть деловым клиентам, эта начинающая фирма вольно или невольно привлекла внимание и нежеланных гостей, которые вполне могут попытаться позаимствовать конфиденциальную информацию или запустить в систему вирус.
Спрос на услуги обеспечения безопасности растет
Конвергенция технологий, широкое применение средств удаленного доступа, спрос на услуги по
передаче данных и голоса, потребность в бесшовных соединениях - все это открывает огромные
возможности перед поставщиками услуг в области обеспечения безопасности. По последним
оценкам, ежегодно вплоть до 2003 г. мировой рынок услуг сетевой защиты будет расти на 34%.
По мере распространения сетевых средств одновременной передачи голоса и данных и предоставления удаленного доступа к корпоративным сетям все большему числу служащих растет и угроза взлома систем безопасности. Проблема защиты информации становится столь серьезной, что привычного брандмауэра для ее решения уже недостаточно. Возникает насущная потребность в круглосуточном мониторинге сети, контроле систем безопасности и выявлении попыток их взлома. В результате руководству компании приходится выбирать: направить все усилия своих ИТ-служб исключительно на охрану сети или делегировать эти функции сторонним специалистам.
Решать проблему безопасности собственными силами весьма непросто. Она требует значительных затрат времени, труда и финансовых средств, и, кроме того, сегодня все труднее найти квалифицированного менеджера систем безопасности. Именно поэтому ИТ-менеджеры целого ряда компаний, включая Espanol.com, Newsweek и Fremont Bank, предпочли воспользоваться услугами сторонних фирм.
Конечно, подобный шаг с передачей ключей от корпоративной сети в чужие руки кому-то покажется весьма опрометчивым, но при правильном подходе вполне можно обезопасить себя от неприятностей. ИТ-менеджеры советуют новичкам не спешить и постепенно повышать уровень доверительности в отношениях с партнерами. Например, в Espanol.com Пламмер начал с того, что разместил свои Web-серверы на оборудовании фирмы GTE Internetworking, а для подключения офиса к Интернету арендовал канал Т-1 у фирмы GTE (Ирвинг, шт. Техас). Однако Espanol.com быстро развивалась, и вскоре стало ясно, что для обеспечения безопасности ее узла требуется помощь извне. Естественно, Пламмер решил прибегнуть к услугам хорошо зарекомендовавшего себя партнера и подписал контракт с GTE на использование ее службы брандмауэра.
“Мы попросили GTE взять на себя функции обеспечения безопасности, потому что подобно большинству других начинающих фирм ощущали острую нехватку собственных специалистов, - рассказал Пламмер. - Я не мог тратить все свое время на защиту сети, и это не та сфера, в которую можно бросаться сломя голову”.
Аналитики согласны с тем, что защита узлов - дело серьезное, и полагают, что после перехода компаний к аутсорсингу приложений, обслуживающих, например, электронную почту, виртуальные частные сети и системы удаленного доступа, передача специализированным фирмам функций круглосуточного управления системами безопасности - вполне очевидный и естественный очередной шаг. Сейчас самое время приступать к поиску тех, кому можно доверить столь ответственную задачу.
“Компании все чаще выносят в Интернет свои важнейшие приложения, а это невероятно ужесточает требования к системам обеспечения безопасности”, - считает Джилани Зериби, аналитик фирмы Current Analysis (Стерлинг, шт. Виргиния). Как следствие, уже сегодня отмечается быстрое развитие мирового рынка услуг защиты сетей. По оценкам корпорации International Data, вплоть до 2003 г. ежегодный рост оборота в этом секторе составит около 34%.
Спрос рождает предложение, и все больше компаний предлагают подобные услуги. Удовлетворить растущие потребности потенциальных клиентов сегодня готовы корпорация AT&T, фирмы Pilot Network Services, Internet Security Systems, Network Associates, GTE Internetworking, Meta Secur e-COM Solutions и многие другие. Они предлагают самый широкий спектр услуг, начиная с аудита сети и заканчивая определением политики в области безопасности и сетевого управления.
Однако далеко не все потенциальные потребители уверены в безопасности подобных услуг. “Сейчас на рынке можно найти множество автономных средств сетевой защиты самых разных производителей, - отметил Зериби. - И это заставляет с особым вниманием относиться к выбору наиболее подходящего для компании решения”.
Опасные сети
Вероятно, многие ИТ-администраторы подобно Пламмеру способны самостоятельно управлять защитой своих сетей, однако мало у кого из них найдется для этого достаточно времени. А острая нехватка специалистов по сетевой безопасности усложняет и удорожает поиск, подготовку и закрепление на предприятии таких кадров. Когда Лен Карелла, директор по информационным технологиям издающегося в Нью-Йорке журнала Newsweek, приступил к разработке политики безопасности, он быстро понял, что в качестве брандмауэра можно использовать имеющийся в продаже и готовый к работе программный пакет. Но сразу же возник вопрос: кто будет контролировать сеть 24 часа в сутки?
“Я боялся, что наш узел может стать жертвой хакера, - признается Карелла. - Нам был крайне нужен человек, который постоянно наблюдал бы за сетью и поддерживал ее защиту на самом современном уровне. Это, однако, потребовало бы огромных затрат денег и времени”.
Поэтому Карелла обратился к услугам фирмы Pilot Network Services (Аламеда, шт. Калифорния). Именно она начиная с октября 1998 г. обслуживает все внешние связи Newsweek, используя для этого два своих центра обеспечения сетевой безопасности, расположенных в г. Аламеде (шт. Калифорния). Кроме того, Pilot осуществляет сканирование вирусов, аутентификацию пользователей, техническое обслуживание брандмауэра прокси-сервера. “Нам больше не о чем беспокоиться, - считает Карелла. - Фирма предоставляет нам все что нужно, избавляя от необходимости иметь собственных специалистов в этой области. А в нашей ситуации это дает немалую экономию”. GTE не ограничивается управлением службы брандмауэра фирмы Espanol.com, защищающей ее финансовую информацию и фонды от посторонних глаз, она также осуществляет круглосуточный мониторинг активности узла и уведомляет Пламмера обо всех подозрительных операциях в сети.
Проведя несложный расчет, Пламмер получил убедительное подтверждение рентабельности таких услуг. По его оценкам, для выполнения подобных функций собственными силами пришлось бы нанять двух менеджеров безопасности и платить каждому не менее 50 тыс. долл. в год, тогда как полный пакет услуг GTE, включая размещение серверов и аренду оборудования, обходится фирме примерно в эту же сумму, т. е. вдвое дешевле.
“Казалось бы, зачем платить 50 тыс. долл. за работу, которую в принципе можно было бы выполнить самостоятельно? - говорит Пламмер. - Однако мы проанализировали ситуацию, и выяснилось, что бывают дни, когда я ни на минуту не могу отвлечься от других дел. Лучше уж поручить эту работу GTE, а самому заняться решением срочных проблем”.
Постепенность - залог спокойствия
Пламмеру потребовалось немало времени, чтобы, передав функции контроля безопасности сети фирме GTE, избавиться от тревожных сомнений по этому поводу. Да и Карелла не просто так доверил ключи от своей сети специалистам Pilot. Отношения с этой фирмой развивались постепенно. Сначала с ее помощью Карелла подключился к Интернету, затем воспользовался услугами по сканированию вирусов и обслуживанию электронной почты. Освоившись, он предложил Pilot предоставить такой же спектр услуг европейским отделениям журнала, дополнив его созданием так называемой “демилитаризованной зоны” для обслуживания входящих и исходящих FTP-транзакций европейских коллег. Следующим шагом стала организация с помощью Pilot виртуальной частной сети для разъездных сотрудников Newsweek.
Сегодня Карелла рассматривает возможность создания “демилитаризованной зоны” на территории США, а также планирует развернуть Web-сервер своей интрасети на оборудовании Pilot. В дальнейшем услугами этой фирмы, вероятно, будет охвачена и азиатская сеть Newsweek.
Важность постепенного развития отношений с партнером отмечает и Зериби из фирмы Current Analysis. По его словам, такой подход не только укрепляет взаимное доверие, но и помогает выяснить, насколько эффективно поставщик услуг может справиться с крупными сбоями в системе безопасности. “Мало подписать контракт на услуги, - считает Зериби, - нужно быть уверенным, что в случае нарушения системы защиты, затрагивающего интересы клиентов компании, поставщик услуг сможет мгновенно создать команду, способную быстро нейтрализовать возможные негативные последствия для каждого пользователя”.
Не торопится передать на сторону функции безопасности и Майк Моран, вице-президент по информационным услугам банка Fremont Bank (Фримонт, шт. Калифорния), - он также избрал постепенный подход, сначала доверив Pilot управление службами брандмауэра, размещение Web-узлов, фильтрацию сообщений электронной почты и организацию внутреннего просмотра Web-ресурсов. Как подсчитал Моран, наем менеджера по безопасности для выполнения всех этих функций обошелся бы банку в 90-100 тыс. долл. в год, тогда как услуги Pilot стоят всего в 5 тыс. долл. в месяц. В эту сумму входит плата за услуги по управлению сетью, аренду канала Т-1, а также использование различных аппаратных средств, включая серверы и маршрутизаторы.
Качество услуг Pilot вполне устраивает Морана, и он уже подумывает о том, чтобы доверить этой фирме мониторинг онлайновых банковских транзакций. Кроме того, во II квартале планируется взять на вооружение продукт Pilot под названием Secure Road Warrior и передать управление развернутыми с его помощью виртуальными частными сетями все той же Pilot.
“Нам была нужна простая система для решения внутренних задач, и мы получили то, что хотели”, - утверждает Моран. Впрочем, как он сам признается, поначалу опасения, что делегирование функций безопасности повышает уровень риска, все-таки были. “Передав сетевую защиту в руки сторонних специалистов, можно и успокоиться, но важно хорошо представлять себе, на что вы идете”, - отметил он.
Моран имеет в виду, что делегирование функций контроля безопасности может ограничить возможности ИТ-служб по текущему изменению конфигурации системы. Скажем, недавно у него возникли трудности, когда партнеру банка, имеющему базу данных в Канаде, понадобилось для запуска Java-приложения пройти через брандмауэрную защиту Pilot. Вместо того чтобы самому устранить возникшую проблему, Моран был вынужден уведомить о ней специалистов Pilot, а затем ждать, пока те предложат свое решение.
“Вы теряете возможность самостоятельно справляться с проблемами, - констатировал Моран. - Впрочем, я не вижу здесь ничего страшного. Зато как приятно сознавать, что в системе безопасности нет дыр, о которых ты ничего не знаешь!”
Проблемы с брандмауэром поставщика услуг знакомы и Пламмеру из Espanol.com. Он периодически сталкивается с ними, когда пытается подключиться к SQL-серверу или воспользоваться средствами обмена сообщениями ICQ. А ведь менеджеру начинающей компании нередко приходится работать по ночам, когда ждать помощи не от кого. “Иногда мы работаем, когда все спят, и в это время просто нереально дозвониться до GTE и рассчитывать, что возникшая проблема будет решена, скажем, к трем часам утра, - отмечает он. - Во время ночных бдений приходится самому быть на высоте”.
Как полагает Пламмер, все это лишний раз подтверждает, что GTE отлично справляется со своими функциями. Если брандмауэрная защита создает проблемы для пользователя, значит, она работает. Отсутствие подобных проблем его бы насторожило.
В конце концов успех или провал электронного бизнеса во многом зависит от уровня безопасности сети. Именно поэтому Пламмер продолжает попытки взломать Web-узел Espanol.com своей собственной фирмы. Пока ему еще ни разу не удалось этого сделать.
Кому доверить ключи от сети, где данные лежат?
Сегодня фирмы предлагают множество услуг по обеспечению сетевой безопасности, и большинству ИТ-менеджеров приходится искать ответ на непростой вопрос: какое из предложений в наибольшей степени отвечает их потребностям? Ниже дана характеристика некоторых типовых услуг и указаны фирмы, их предлагающие.
- Аудит, оценка уязвимости. Проверку сети с целью выявления потенциальных брешей в системе безопасности и выработки рекомендаций по их устранению осуществляют фирмы Comdisco, Meta Secur e-COM, Internet Security Solutions и UUNet.
- Выявление попыток взлома. Поставщик услуг берет на себя мониторинг сети с целью обнаружения подозрительных транзакций и предотвращения возможных последствий атак. Такие услуги оказывают фирмы Trend Micro, ISS, Symantec и GTE Internetworking.
- Управление службами. Поставщик услуг по заказу клиента создает виртуальную частную сеть или развертывает брандмауэр, обеспечивая тем самым защиту данных, которые пересылаются между узлами. На предоставлении таких услуг специализируются фирмы Comdisco, Network Associates, ISS, GTE Internetworking и Pilot Network Services.
- Управление политикой и процедурами безопасности. Эти услуги оказывают фирмы Meta Secur e-COM и Comdisco.
- Мониторинг сети. Выявление вирусов, попыток блокирования Web-узлов, фактов вандализма посредством фильтрации данных и управления доступом к Web-серверам. Предлагается фирмой Pilot Network Services. Источник: PC Week.
