КОНФЕРЕНЦИИ
В стратегии бизнеса российской компании Aladdin все взаимо
После десяти лет работы в России компания Aladdin нынешней осенью впервые собрала партнеров и их ключевых заказчиков на выездную конференцию, чтобы обсудить перспективные решения, развитие бизнеса и проблемы взаимоотношения друг с другом.
Основная программа, круглые столы и неформальные беседы были посвящены инфраструктурным решениям в области информационной безопасности и возможностям, которые открывают перед предприятиями разработки Aladdin и ее партнеров. В частности, обсуждалось использование продуктов Aladdin в решениях IBM (Tivoli), Oracle, Microsoft, Cisco, “1C”.
Старина HASP
Самое традиционное и сложившееся направление в бизнесе компании - выпуск продукта HASP, защищающего ПО от несанкционированного использования. Он привязывает программный пакет к ключу, помогает управлять и реализовывать различные модели лицензирования ПО - в сети, по времени использования, по количеству запусков, предоставление пробных версий (trialware) и др. Продукт позволяет подготовить софт к разным моделям продаж - прямым, через дилерскую сеть, через Web. В России HASP продается с 1995 г., а вообще на рынке присутствует с 1992-го.
Сергей Груздев
В мире по этому решению Aladdin конкурирует с Rainbow, их доли составляют по 35%, немного различаясь уже после запятой. В России Aladdin оценивает свою долю в 80%, а ближайшим конкурентом считает компанию “Актив” (с 10%) и только потом - Rainbow. В мире динамика развития этого направления оценивается в 7,3%, в России оно растет быстрее - на 25-30% в год.
ААА на основе eToken
К защите софта примыкает быстрорастущий рынок ААА (авторизация, аутентификация, администрирование), на котором Aladdin присутствует с USB-ключами и смарт-картами eToken, а также собственными решениями для обеспечения безопасного доступа к информационным ресурсам (их у компании более 200 ). Отдельно надо выделить систему управления (TMS) многочисленными токенами и картами, без которой немыслима инфраструктура современной корпоративной защиты.
Эти решения предназначены для разработчиков и крупных предприятий. Токены и смарт-карты - основные типы решений в аппаратной аутентификации. (Для полноты картины можно назвать еще таблетки iButton, которые тоже имеются в арсенале Aladdin.)
Решения на основе eToken направлены на снижение потерь от влияния “человеческого фактора” - самых больших по сравнению с остальными напастями, подстерегающими предприятия (см. рис.). Снизив эти потери, нейтрализовав эти факторы угроз, можно серьезно усилить защиту ИС. Поэтому основное направление инвестиций - упростить авторизацию, одновременно повысив надежность, свести вход в систему к простой процедуре - вставить токен в порт или карту в ридер.
Эксперты из Athena Smartcard Solutions, японской дочки Aladdin, совместно с российскими коллегами анонсировали на конференции систему централизованного управления инфраструктурой смарт-карт Card Management System (CMS) и возможности обеспечения единой точки входа в ИС предприятия. Технологически система CMS аналогична TMS.
Такое решение избавляет от необходимости помнить множество паролей, позволяет сотрудникам использовать единую смарт-карту или токен и избавляет от лишней информации (не надо запоминать имена серверов, логины и пр.). Но все это работает в случае лояльных пользователей.
Для нелояльных сотрудников сдерживающим фактором оказывается персональная ответственность, персонифицированный аудит. Появляется возможность контроля за действиями пользователей и администраторов.
С такими решениями связываются первоочередные и самые эффективные вложения компаний в ИБ. Это самый быстрорастущий сегмент рынка ИБ - объем продаж токенов с 2002 г. у Aladdin ежегодно удваивается.
Свою долю в сегменте AAA в России Aladdin оценивает в 75%, тогда как в прошлом году она составляла около 70%. За ней следуют Rainbow (25%) и “Актив” (5%).
По утверждению руководителя Aladdin Сергея Груздева, соотношение решений на токенах и смарт-картах составляет 80:20. Однако компания намерена несколько сократить разрыв, регулируя цены.
Ежегодный рост продаж продуктов на основе eToken составляет в России 100-140% (в мире 92,3%).
Gartner называет USB-токены и смарт-карты для информационной безопасности лучшим инвестиционным вложением в обеспечение безопасности в 2005 г. Столь сильное заявление связано с тем, что сегодня нет другого способа надежной аутентификации.
Распределение потерь по источникам
По данным IDC, в 2003 г. почти половина мирового рынка USB-токенов принадлежала всего двум компаниям - Rainbow (около 30%) и Aladdin (около 16%), доли остальных игроков не превышали 10%. Однако этот рынок привлекает небольшие фирмы, и они могут найти себе ниши, малоинтересные для главных игроков, что способно изменить положение на рынке. Согласно данным IDC, объем мирового рынка токенов к 2008 г. достигнет 607 млн. долл., тогда как в 2003-м его объем равнялся 317 млн. долл. Объем рынка смарт-карт в 2003 г. составил около 100 млн. долл., а скорость его роста сопоставима со скоростью роста рынка токенов.
Сегодня практически все ведущие разработчики корпоративных решений включают в свои продукты поддержку токенов, что открывает широкие возможности для их применения и построения систем защиты на их основе.
Проактивный eSafe
Обеспечение безопасности трафика (Content Security Management, CSM) предполагает защиту почты от вредоносного и нежелательного контента (вирусов, троянов, спама, деструктивного ПО), защиту интернет-трафика от шпионских и рекламных (adware) программ, атак с использованием уязвимостей ОС и ПО. Сюда можно отнести и ограничение посещаемых сайтов (т. е. контроль содержимого), в первую очередь детьми, а также защиту от фишинга.
Эти проблемы не решаются средствами аутентификации и требуют новых инструментов безопасности, в частности средств класса CSM. О выходе на этот рынок Aladdin заявила осенью, представив рынку продукт eSafe, разработанный в Израиле. Его главная особенность - проактивность, т. е. способность обнаруживать угрозу прежде, чем она себя проявит.
Это не новый продукт - ему уже девять лет. Первая версия eSafe была выпущена еще в 1997 г. В аналитических отчетах этот продукт фигурирует как один из лидеров рынка CSM.
Сергей Груздев считает, что появился спрос на подобные продукты и пришло время для вывода eSafe на отечественный рынок, что связано с серьезным ростом и усложнением угроз, прежде всего спама, как наиболее заметной и раздражающей. Угроза, менее заметная по сравнению с электронным мусором и от того более опасная, - программы-шпионы. Контролировать контент посредством eSafe и других проактивных программ могут провайдеры, чьи услуги должны быть безопасны. Однако с помощью тех же самых средств могут создать для себя безопасную среду и крупные предприятия. Компания нацеливает его на крупных и средних корпоративных потребителей с числом ПК в сети более 500. Важен также рынок xSP-провайдеров. Перенос фильтров и средств защиты контента на уровень провайдера - часть стратегии Aladdin. В России компания запускает несколько проектов с провайдерами (по программе “чистый трафик”).
По утверждению аналитиков Gartner, “создание средств защиты на уровне конечных устройств - пустая трата времени разработчиков, им не угнаться за вирусописателями. Вместо этого предприятиям нужны эффективные средства защиты на уровне провайдеров”.
В связи с проактивным eSafe уместна аналогия с обеспечением безопасности в аэропортах, где пассажир сначала проходит паспортный контроль (аутентификацию), а затем проверку багажа (контроль контента). В Интернете можно сделать то же самое.
PKI и рынок
Корпоративные удостоверяющие центры (УЦ) и инфраструктура открытых ключей (PKI) - это базовая инфраструктурная технология корпоративной защиты и один из приоритетов Aladdin.
Она предполагает масштабирование и буквально пронизывает все инфраструктурные компоненты защищенной ИС любого уровня, если инфраструктура защиты хорошо продумана. Технология PKI служит базой для аутентификации на основе цифрового сертификата пользователей и ресурсов, а также для обеспечения достоверности и конфиденциальности передаваемой информации.
На предприятии эта технология объединяет разные системы и средства обеспечения безопасности - и это одна из тенденций текущего момента. В то же время рынок еще очень далек от насыщения и по мере распространения технологии наблюдается изменение потребностей заказчиков и соответственно изменение структуры самого рынка PKI.
Это заметно на примере рынка аппаратных средств аутентификации - токенов. Каким образом развитие рынка PKI и УЦ стимулирует бизнес Aladdin по токенам, приобретение ее продуктов? В первую очередь благодаря тому, что они обеспечивают безопасное хранение ключей в отчуждаемом защищенном носителе и удобное мобильное хранение и использование цифровых сертификатов. Важно также удобное и безопасное выполнение криптографических операций (ЭЦП, шифрование) внутри токена или карточки, что открывает возможность безопасной работы в недоверенной среде.
Эти технологии выходят на плато продуктивности (в терминах Gartner), т. е. становятся зрелой технологией.
Алексей Сабанов, коммерческий директор компании Aladdin, считает, что инфраструктурные решения на основе PKI-технологий и USB-токенов для предприятий сегодня становятся особенно востребованными.
ИТ-рынок с позиции ИБ-вендора
Сергей Груздев считает 2004-2005 гг. временем качественного перелома, когда компания на себе ощутила массовое внедрение удостоверяющих центров, PKI-технологий и смарт-карт на корпоративном рынке. Одновременно с этим, по его мнению, биометрия утрачивала для предприятий привлекательность как технология для аутентификации.
Все это, а также встраивание в продукты вендоров решений на основе PKI, привело к их преобладанию над прочими, и этот перевес инфраструктурных решений над наложенными принял качественный характер.
Еще одна тенденция (или, возможно, мода) - использование единого токена или смарт-карты со встроенным чипом RFID для входа в здание, в сеть, для любого авторизованного доступа. Рост этих решений, по словам Сергея Груздева, составляет 200-300% в год.
Многие инфраструктурные проекты стимулировало появление систем управления жизненным циклом - двигателем продаж стал TMS. Сегодня создание крупных систем невозможно представить без ПО управления жизненным циклом.
Обозначился растущий спрос на сертифицированные токены и сертифицированные приложения. Многим предприятиям нужна аппаратно реализованная российская криптография. Встраивание сертифицированной российской криптографии в западные продукты (SAP, Lotus Notes, Novell GroupWise и др.) - один из фокусов спроса компании.