Обзор InfoSecurity Europe 2005

Алексей Кивиристи, akiviristi@mail.ru

Лондон встретил посетителей выставки InfoSecurity Europe 2005 пасмурным утром и слегка моросящим дождем. Однако к середине дня распогодилось, и крупнейшая в Европе выставка по информационной безопасности показалась во всей красе. Свыше 10000 посетителей, 259 экспонентов, 10% новых имен – рост по всем показателям. Никакого официоза, разрезания ленточек, поддержки со стороны министерств и других «советских» примочек. Однако это не помешало тысячам специалистов из разных стран посетить эту выставку.

Начну рассказ не с представленных экспонентов, а с самой организации мероприятия, которое было выше всяких похвал (хотелось бы, чтобы и организаторы сентябрьской выставки в Москве учтут лучшее, что было в Лондоне). Регистрация на выставке началась задолго до открытия. Более того, заполнение регистрационной формы на сайте выставке привело к тому, что я получил по почте целую посылку, содержащую каталог выставки и семинаров, схему проезда и даже бейдж участника. Кстати о бейджах. Каждый из них содержал уникальный штрихкод, который позволил всем экспонентам не заполнять каждый раз анкету посетителя стенда, а провести считать его штрих-код. Зарегистрироваться, конечно, можно было и при входе на выставку, но предварительная регистрация позволила сэкономить уйму времени.

Несмотря на большое число представленных на выставке решений, они все могут быть разделены на 7 категорий:

• Системы управления угрозами (threat management)
• Системы контроля содержимого (антиспам, контроль URL)
• Системы управления информационной безопасности (security information management solution)
• Услуги в области информационной безопасности (security services)
• Средства анализа защищенности, инвентаризации и построения карты сети
• Антивирусы
• Все остальное.

Большое число компаний представило свои решения по обнаружению и предотвращению атак. Были все известные игроки – Cisco, SourceFire, Enterasys, TippingPoint (ныне подразделение 3Com), Radware, NFR, Symantec и V-Secure. Причем все позиционируют свои решения именно как системы предотвращения, а не просто обнаружения несанкционированных воздействий.

Cisco Systems представила самую широкую линейку средств данного класса – они работают и на уровне сети (серия устройств Cisco IPS 4200 с новой версией программного обеспечения 5.0) и на уровне серверов и рабочих станций (Cisco Security Agent); функционируют как самостоятельные устройства (Cisco Guard) и как интегрированные в сетевое оборудование (IDSM-2 для коммутаторов и NM-IDS для маршрутизаторов). Многие производители делают ставку на специальные механизмы снижения числа ложных срабатываний (например, Confidence Indexing в NFR Sentivist IPS или Risk Rating в Cisco IPS 5.0). В отдельную категорию выносятся решения по защите от DoS-атак. Такие решения, ориентированные в первую очередь на операторов связи с их гигабитными скоростями, предлагает Radware (система DefensePro), Cisco (система Cisco Guard и CiscoTraffic Anomaly Detector) и другие.

ISS помимо мятных таблеток и инструментов для часовых мастеров показывала Proventia – свою «железную» платформу для обнаружения и предотвращения широкого спектра угроз. И эта тенденция проявилась не только у ISS, но и многих других производителей, которые выпускаю интегрированные устройства (FW + IPS + AV + VPN + Antispam + content filtering). Компания Fortinet предложила широкий модельный ряд устройств FortiGate; компания NETASQ представила NETASQ IPS-Firewall, который включает в себя все, что только можно представить – МСЭ, IPS, IPSec и SSL VPN, PKI, RADIUS и другие варианты аутентификации, антивирус, контроль содержимого, антиспам. И при этом устройство поддерживает многие протоколы, отказоустойчивость, VLAN 802.1q и т.д. Компания Cisco анонсировала мультифункциональные устройства ASA 5500 Series.

Наряду с переходом к многофункциональным устройствам, ориентированным на защиту небольших компаний и удаленных офисов (только в этом случае может понадобиться устройство «все в одном», нарушающем принцип «не класть все яйца в одну корзину»), уже давно наметилась тенденция (подтвержденная и на выставке) об отказе от программных решений для сетевой безопасности с их постепенной заменой программно-аппаратными комплексами. Вот и традиционные программные вендоры отказываются от своих продуктов в пользу security appliance. Например, ISS на выставке вообще не показывал RealSecure и даже ни разу не упомянул про эту систему обнаружения атак. Компания Network Engines продемонстрировала набор устройств (модели NS 6400, NS 6300 и NS 6200) с предустановленными на них Microsoft ISA Server 2004. Отличия только в производительности – от 76 до 400 Мбит/сек. Пожалуй, это единственный пример компании, которая выпустила устройства, использующие решения Microsoft. Другие производители используют на своей платформе либо свои же решения, либо решения известных вендоров.

В железе выпускают свои решения даже производители сканеров безопасности, например, Qualys с QualysGuard или Aplliansys с AuditBos200. Были конечно и традиционные сканеры безопасности - SPI Dynamics, ISS, eEye и другие.

Для устранения обнаруженных сканерами безопасности дыр могут и должны использоваться системы управления и автоматической установки патчей и других обновлений. Одна из них – BigFix. Эта же система умеет еще анализировать защищенность узлов, на которых стоит агент BigFix, заниматься распределением и установкой антивирусов и персональных МСЭ и т.д. На InfoSecurity была представлена и система Patch Manager от Criston. Последняя также предлагает и решения для инвентаризации компьютеров и установленного на них ПО. Кстати инвентаризация сети – это одно из интересных направлений в информационной безопасности, для которого были представлены многочисленные решений. Например, тот же BigFix Enterprise Suite, который не только определяет, что и где установлено, но и красиво визуализирует эту информацию на карет сети – на глобусе показывается вся сеть со всеми ее узлами, установленным ПО, ОС, обновлениями и т.п. Другим решением инвентаризации и визуализации карты сети является IPSonar.

Очень многие делают ставку на визуализацию. И не только защищаемой сети, но и атак, распространяющихся по ним. Например, м точки подключения, уязвимые места компании и т.п. Система Cisco MARS показывает путь распространения атаки в реальном масштабе времени. Аналогичные модули визуализации имеют и другие системы управления информационной безопасностью, например, SolSoft, SkyBox, CiscoWorks SIMS и т.п. В решении SolSoft есть специальный инструмент Security Designer, который позволяет в графическ одуль RNA Visualization в SourceFire 3D System, показывающий несанкционированные ом редакторе указать все узлы сети, информационные потоки между ними и т.д. На основе данной информации автоматически будут созданы правила для средств защиты и распространены по ним. Таких систем на выставке было представлено очень много. Помимо визуализации пути распространения атак и показа карты защищаемой сети системы данного класса могут управлять инцидентами, эмулировать возможные атаки, проводить анализ «что произойдет если...».

Некоторые производители называют свои решения не просто системами управления ИБ, но и системами управления рисками. Такие продукты могут вычислять риски путем использования не только информации об атаках и уязвимостях, но и стоимости их воздействия на бизнес-ресурсы. И, конечно же, эти системы могут рекомендовать методы устранения обнаруженных проблем. Однако, большинство производителей обеспечивают решение только технологических задач - централизованный сбор, анализ и корреляцию событий безопасности от разных вендоров. Примером такой системы помимо SolSoft, CiscoWorks SIMS или SkyBox, можно назвать ExaProtect Advanced Software от ExaProtect. Достоинством таких систем является поддержка широкого спектра защитных решений различных производителей – Cisco, Check Point, ISS, Nokia, Juniper, Nortel и т.д.

Для обнаружения не только дыр на узлах, но и политике безопасности компании некоторые вендоры предложили системы анализа рисков, аналогичные российскому Грифу от Digital Security. Например, система RuleSafe от компании Secoda. Она позволяет оценивать компанию на соответствие не только ISO 17799, но и HIPAA, GMITS и многих других стандартов по безопасности, в т.ч. и индустриальных и корпоративных. Эта же система содержит широкий список готовых политик, руководств, инструкций для разных категорий персонала. Оценкой риска по всестороннему опроснику занимается и система iQSM (Intelligent Quality Security Management). Она же позволяет не только проводить новый аудит, но и сравнивать текущее состояние компании с предыдущим.

Много было решений по защите от спама и контролю содержимого, но для России они малоактуальны по причине «непонимания» русского языка. Также как были неактуальными для нас и шифровальные средства, в большом количестве представленные на InfoSecurity Europe. Антивирусные вендоры тоже были представлены почти в полном составе – TrendMicro, Symantec, McAfee, Sophos, MessageLabs, Лаборатория Касперского и т.д. Из нераспространенных были представлены решения для защиты пиринговых сетей и Интернет-пейджеров (от компании Akonix), а также межсетевой экран для SIP-протокола (от BorderWare). Хотя появление последних было достаточно непонятным, т.к. данный функционал встроен во многие межсетевые экраны (периметровые или персональные). Интересно, что на выставке не было Check Point, которая также не участвовала и в CeBIT.

Большинство представленных решений функционирует под управлением Windows и Unix/ Редким исключением стала система анализа логов для Novell - LT Auditor+ . Основными потребителями выставленных решений являются корпоративные пользователи и компании рынка SMB. Для последних решения предлагали небольшие компании. Интересную «железку» представил ZyXEL, который выпустил «ручной» персональный межсетевой экран ZyWALL P1 размером чуть больше КПК - всего 129 x 82 x 20 мм. Этим устройством компания лишний раз подтвердила свой статус игрока рынка SOHO. Также свои решения представляла и компания Kerio.

Достаточно многочисленным был класс средств, направленных на защиту компьютера от утечки информации через внешние периферийные устройства – USB, PCMCIA, Bluetooth и т.д. Такие решения предлагают DeviceWall, SmartLine, SecureWave и Cisco.

Достаточно бедно выглядел «Русский павильон», а точнее небольшой стенд, на котором стояли только члены АЗИ (Ассоциации защиты информации). Надо заметить, что россияне отличались не только стендом, но и стендистами. В первый мой проход мимо стенда на нем вообще никого не было, а на втором круге – один стендист и два стендиста были заняты тем, что фотографировались на фоне других стендов. Из российских компаний выделились только 2 – Инфосистемы Джет и Лаборатория Касперского, которые показывали в Европе свои решения в области антивирусной защиты, контроля содержимого, межсетевой экран и шифратор.

Много компаний предлагали различные услуги в области информационной безопасности:

• Защита от DoS-атак – например, компания Globix с сервисом IP Defender
• аудит, разработка нормативных документов и т.д. – компании Symantec, CyberTrust, Counterpane, Imerja и т.д.
• расследование инцидентов – компания CY4OR
• аутсорсинг в области ИБ – компании Counterpane, Network Defense, NetSec и другие
• тестирование на проникновение – компания ProCheckUp.

В заключение надо отметить, что выставка мне понравилась. И с точки зрения организации мероприятия, и с точки зрения показанных решений. Остается надеяться, что и проходящая 7-9 сентября в Москве одноименная выставка (http://www.infosecuritymoscow.com) будет также полезна российским специалистам.