Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Александр Чуб: Аппаратная платформа — очень важная, но не главная составляющая успеха наших IPS

На вопросы CNews ответил Александр Чуб, глава представительства 3Com, генеральный менеджер по России и СНГ.

CNews: Какие основные тенденции наблюдаются на мировом рынке ИБ? Насколько они актуальны для России?

Александр Чуб: Мировой рынок ИТ в целом и решений безопасности в частности развивается последние годы в одном направлении — стандартизованных и комплексных решений. Информационная безопасность стала неотъемлемой составляющие каждой сети и это соответствующим образом отражается на расширении продуктовых линеек крупнейших игроков. Лидеры рынка укрепляют свои позиции за счет самостоятельного представления полного спектра решений или объединения с перспективными нишевыми игроками. Пример тому крупные альянсы последних лет, например 3Com и TippingPoint, недавно объявленное слияние IBM и компании ISS.

Второе принципиальное направление развития решений безопасности — логическое разделение инфраструктуры передачи данных и инфраструктуры обеспечения безопасности и управления сетью. Не смотря на то, что все современные устройства передачи данных содержат встроенные функции по обеспечению безопасности, общей тенденцией является вынесение возможностей независимого определения политик и централизованного управления правилами безопасной работы в сети на отдельный уровень. Все вышеперечисленное актуально для рынка Российской Федерации. Тенденции имеют общий характер.

CNews: Какие основные различия в подходах обеспечения ИБ есть между российскими и иностранными компаниями?

Александр Чуб: Больших отличий я не вижу. Скорее, выделил бы особенности, характерные для различных вертикалей рынка, и это будет справедливо как для Российских, так и для иностранных компаний. Например, для банковского сектора или провайдеров телеком-услуг наиболее критичной сейчас является защита от хакерских атак внешних ресурсов, таких как сайты интернет-банкинга или пользовательские сайты для доступа в интернет. Наиболее «популярный» вид атак здесь распределенные DDos атаки, способные остановить работу ресурса за счет многократного обращения к нему.

Компании, чья деятельность подразумевает беспрерывное функционирование внутренней сети, например биржи, уделяют огромное внимание защите собственной инфраструктуры, работа которой критична для бизнеса и так далее. Кроме того, следует отметить, что на стандарты организации информационной безопасности оказывает влияние соответствующая законодательная база той или иной страны, которая во многом определяет технологии, используемые государственными структурами, и существенно влияет на таковые в крупных коммерческих компаниях.

CNews: Какова роль направления информационной безопасности в бизнесе 3Com?

Александр Чуб: Те, кто внимательно следят за развитием компании 3Com в последние несколько лет, не могли не отметить ярко выраженного и очевидного стремления 3Com восстановить «статус кво» в корпоративной среде, а именно стать лидером в этой области. 3Com позиционирует себя как производитель и поставщик безопасных конвергентных сетей (где данные и голос передаются одновременно), и фактор безопасности является для нас решающим.

Четыре года назад 3Com приобрела  компанию TippingPoint, технологического лидера в области систем предотвращения несанкционированных атак (IPS), а сегодня она полностью адаптирована внутри 3Com и продуктовая линейка TippingPoint комплиментарно дополняет сетевые решений 3Com.

Видение 3Com относительно развития и методике построения сетей основано на собственной концепции Би-планарной сети. Она подразумевает выделение в сети двух уровней — собственно транспортного уровня, задача которого состоит в физической передаче данных и коммутировании и маршрутизации данных, и уровня управления и организации безопасности. Это новая философия, новый взгляд на организацию сетевого пространства,  и в нем вопросам безопасности уделяется первостепенное значение.

Данная концепция была презентована  на последней конференции RSI. Тот факт, что это было сделано в рамках мероприятия по информационной безопасности, лишний раз подчеркивает значимость данного направления для 3Com.

CNews: Какая доля продаж компании приходится сегодня на продукты по обеспечению информационной безопасности в России и в мире?

Александр Чуб: Следуя правилам компаний, я не могу комментировать  цифры кроме тех, что были опубликованы в пресс-релизах, а они не содержат детализации по разным продуктовым направлениям. Что касается наших долей на мировом рынке, то в сегменте систем предотвращения вторжений (IPS) мы являемся бесспорными лидерами. Например, отчет независимого исследовательского центра Infonetics Research ставит TippingPoint на первое место по объему продаж с долей рынка 33%, при этом ближайшие конкуренты находятся на уровне 16-17%.

CNews: Решения по обеспечению безопасности сети вы начали продавать в России только в 2004 г, хотя к тому моменту производили их уже достаточно давно. Чем была обусловлена такая задержка?

Александр Чуб: Я не хотел бы комментировать события 2004 года — с того времени в компании произошло масса изменений, и в офисе практически не осталось участников тех событий. Сейчас мы предлагаем нашим партнерам и заказчикам продукты по мере их появления и готовности к продаже на локальном рынке. Задержка с выходом на новый рынок определяется временем, необходимым на сертификацию и выполнение местных требований для продажи продуктов. Никаких других факторов, влияющих на вывод новых продуктов нет, т.к. Россия является для 3Com стратегическим рынком.

Что касается TippingPoint, то появление данных решений на рынке СНГ проходит в рамках запланированного графика — компания TippingPoint стала частью 3Com в 2004 году, затем был определен план выхода ее продукции на международные рынки, и продажи в СНГ мы начали уже в конце 2005 года в соответствии с этим планом.

CNews: Какого рода трудности у вас возникают в связи с ограничениями на деятельность иностранных компаний в сфере ИБ в России?

Александр Чуб: Любая международная компания должна находить возможности и способы адаптироваться к условиям того или иного рынка, если этот рынок для нее важен. Рынок Российской Федерации для 3Com исключительно важен, этим объясняется целый ряд действий, которые компания предпринимает в отношении усиления своего присутствия на нем.

Безусловно, такой ряд сложностей появляется в силу уже тех причин, что РФ сегодня отделена таможенными и экономическими границами от того же Евросоюза. Унифицированные в объединенной Европе правила сегодня  не распространяются на Россию. Во всем остальном я могу сказать, что в каждой стране есть набор правил, и в случае с Россией не стоит драматизировать ситуацию. Кроме того, большая часть нашей продукции не связана с шифрованием, например, IPS TippingPoint, поэтому у нас нет преград для работы и с корпоративным, и с государственным сектором.

CNews: Насколько спрос на ваши продукты в сфере ИБ коррелирует с мировым?

Александр Чуб: Информационная безопасность в 3Com — это целый набор технологий, которые используется для организации безопасности в сетях любого масштаба. В той или иной форме технологии, обеспечивающие безопасность, уже встроены в классические коммутаторы или маршрутизаторы 3Com (например, списки контроля доступа, централизованная аутентификация пользователей и устройств, автоматическое назначение профилей, автоматическое определение и выделение в отдельный VLAN голосового потока данных и т.п).
Использование таких технологий в современных сетевых устройствах уже является стандартом, для большинства производителей. Спрос на них сопоставим со спросом на собственно коммутационное оборудование, и в России не уступает, а где-то даже опережает мировой спрос.
Отличием 3Com является ориентированность на защиту и качественную работу этих технологий не только при передаче данных, но и голоса.

Что касается технологии предотвращения вторжений, то это отдельная тема. Опыт последних  десяти месяцев активного продвижения IPS TippingPoint на российском рынке говорит о том, что рынок  IPS в России существует и  потребность в этом классе решений очень высокая.

На сегодняшний день разные производители могут фрагментарно представить решение тех или иных задач в этой области. Но мы считаем, что продуктов, которые полноценно решают вопросы безопасности  компьютерной сети, передающей данные и голос, без искажения и с высокой степенью точности, достоверности и быстродействия кроме TippingPoint просто нет. Для нас это тоже был приятный и интересный вывод.

CNews: Насколько востребованы IPS сегодня, из вашей практики?

Александр Чуб: Использование систем предотвращения вторжений стало очень актуальным на сегодняшний день — динамика роста продаж разных производителей это подтверждает. Спрос в первую очередь формируется за счет заказчиков, чей бизнес наиболее тесно связан с передаваемой или хранимой информацией (провайдеры услуг, финансовые организации, телевизионные компании, производственные компании, крупные распределенные структуры и т.д). Решения IPS еще не вышли на массовый уровень, но это вопрос ближайшей перспективы, например TippingPoint, предлагает решения для всех игроков рынка — от недорогих решений средней производительности для малого бизнеса или небольших офисов, до систем, позволяющих обслуживать магистральные каналы передачи данных. Есть если говорить о денежных составляющих приобретения оборудования TippingPoint, минимальный комплекс стоит порядка 4-5 тысяч долларов, при этом максимальная стоимость оценивается приблизительно в 150 000 долларов. Этот разброс цен соответствует разбросу масштаба задач, разбросу иерархичности структуры компьютерных сетей наших клиентов. Поэтому сегодня среди наших клиентов компании есть и из SMB, и из корпоративного сектора. Помимо прочего, успех данного решения заключается в простоте его использования. Благодаря рекомендованным настройкам, после включения устройства в сеть, оно фактически готово к активному отражению широкого круга угроз. В России и СНГ среди наших клиентов есть государственные структуры, сервис-провайдеры, телекоммуникационные компании, финансовые учреждения.

CNews: В чем вы видите ключевые конкурентные преимущества решения TippingPoint?

Александр Чуб: Базисом для реализации возможностей современных IPS является аппаратная платформа. Сегодня это уже не новость, но в свое время именно TippingPoint продемонстрировала возможность за счет использования специализированных микросхем и программного обеспечения реализовать непрерывную и полную проверку потока данных без формирования критичных для разнородного потока данных задержек. Аппаратный комплекс в данном случае призван обеспечить высокую скорость обработки информации и распараллеливание этих процессов, а программная среда — механизмы выявления несанкционированного трафика.

Несмотря на общее понимание преимуществ построения IPS на базе программно-аппаратного комплекса, сегодня далеко не все представленные на рынке решения позволяют полноценно распараллелить процессы фильтрации, обеспечивают регулярные обновления систем, а полноценных решений с 5-ти гигабитной производительностью, кроме нашего, нет вовсе. Сегодня, например, только мы можем предложить решение, отвечающие потребностям сервис-провайдеров, в случае которых речь идёт о защите гигабитных транспортных каналов.
Объясняется это тем, что практически все наши конкуренты пошли эволюционным путем развития, перейдя от производства IDS (систем мониторинга атак) к IPS. Пытаясь модифицировать и адаптировать IDS к новым задачам, они нажили себе немало проблем. Мы же пошли революционным путем. Именно поэтому у нас сегодня есть большое преимущество перед остальными.

В качестве примера могу привести недавно публикованное исследование лаборатории ICSA. Оно очень показательно, так как критерии к решениям IPS составлялись совместно лабораторией и большинством существующих производителей таких систем (17 компаний). В результате только 10 устройств было выставлено на тестирование и только 3 получили сертификаты лаборатории. Система TippingPoint стала первой по двум ключевым параметрам — высокая производительность и самый низкий уровень задержки при проверке данных.

Не менее важная составляющая — это команда аналитиков, которая занимается сбором и анализом информации о появляющихся угрозах, а затем разрабатывает вакцины и фильтры, своевременно предоставляемые нашим пользователям.
Можно по-разному оценивать техническую базу решения, но без своевременного обновления фильтров оно теряет смысл. 3Com гарантирует пользователям решений TippingPoint доставку еженедельных обновлений, в которые включаются выявленные за неделю угрозы. Это время отводится на ранжирование угроз, написание и тестирование самих фильтров. Не все подобные сервисы могут этим похвастаться. Кроме того, если обнаруживаются какие-то критичные угрозы, то у команды разработчиков есть возможность среагировать с выпуском фильтров в течение нескольких часов.

CNews: Рассматриваете ли вы антивирусные компании как своих конкурентов? Некоторые функции, доступные сегодняшним IPS, раньше были прерогативой антивирусов.

Александр Чуб: Не думаю, что здесь можно говорить о конкуренции, по крайней мере, в ближайшее время. Защита, информации требует комплексного  подхода, и здесь, безусловно, есть место и антивирусам и IPS. Раньше у сети была четкая граница, сегодня ее нет. Контролировать ее необходимо комплексными решениями, каждое из которых будет решать свои задачи.

Антивирусы, как правило, обладают отложенной реакцией: чтобы антивирус сработал, угроза должна быть известна и описана. Мы защищаем от угрозы еще до того, как она появилась, тогда, когда она стала потенциально возможной. Постой пример: вирус или троян использует, как правило, какую то уязвимость в операционной системе либо в приложении, соответственно, сначала появляется уязвимость, потом появляется вирус. Работа антивируса начнется тогда, когда против уже появившегося вируса будет выпущен соответствующий фильтр, идея нашей защиты — защищать клиента сразу при обнаружении уязвимости, когда разработчики вирусов только задумываются, как ее использовать.

Кроме того, фильтр уязвимости пишется с таким заделом, чтобы все возможные пути использования этой уязвимости были закрыты. Это значит, что неважно — есть троян или нет, какой он будет в будущем, все возможные пути подхода к обнаруженной «дыре» закрывают сразу. Такая технология защиты получила название «виртуальная заплатка».
Мощный аналитический инструментарий системы позволяет не только говорить об анализе уязвимостей или защите по сигнатурам, но и анализе аномалий протоколов и потока данных. Например, косвенно сильное отклонение объема передаваемых по сети от среднестатистического данных может свидетельствовать о распределенной атаке на сеть, система уведомит администратора или ограничит этот поток для поддержания работоспособности бизнес-критичных приложений.

CNews: Каждый день находят десятки новых уязвимостей, насколько быстро вы успеваете реагировать?

Александр Чуб: Все уязвимости делятся по степени критичности. Сначала проводится ранжирование по определенным методикам, определяется потенциальная степень угрозы и только потом пишется фильтр. Работу по анализу берет на себя специальная группа инженеров подразделения TippingPoint. Зачастую новые вакцины выпускаются ими еще до опубликования информации о новых уязвимостях — инженеры TippingPoint в том числе занимаются сбором информации и поиском новых «узких мест». Другой пример качества работы этой группы — только TippingPoint обеспечивает стопроцентное покрытие всех уязвимостей в продуктах Microsoft.
Возвращаясь к началу нашего разговора, все это лишний раз говорит о высоком приоритете ИБ в бизнесе 3Com. Мы не просто продаем заказчикам «железо», а оказываем им всестороннюю поддержу на всем сроке его эксплуатации.

CNews: Вы работаете в России как представительство. Нет ли у вас планов заняться чем-то большим, чем просто координирования бизнеса?

Александр Чуб: Да, сегодня мы работаем как представительство, то есть не ведем коммерческую деятельность. Для поставки и продажи оборудования 3Com существует авторизованный канал партнеров, дистрибьюторов, развитием которого занимаются сотрудники представительства. Мы развиваем и поддерживаем контакты с конечными заказчиками, также оказываем квалифицированную техническую поддержку как партнерам, так и заказчикам — офисе есть системные инженеры, которые в состоянии оказать квалифицированную поддержку проектных решений и помочь нашим заказчикам при возникновении вопросов по оборудованию. Если говорить о техническо-гарантийной поддержке, то естественно при необходимости мы помогаем, но есть и специальные call-центры, в которых группа специалистов решает возникающие у клиентов вопросы в режиме 24×7.

В отличие от многих крупных и известных компаний, крупная часть бизнеса которых состоит в продаже услуг, 3Com занимается, в первую очередь, производством и продажей оборудования. Тем не менее, являясь носителем технологий и знаний о построении сложных конвергентных сетей, мы видим потребность рынка в получении профессиональных консультаций и сервисов, связанных с построением проектов их внедрением. 3Com начал продажу такого рода сервисов в США и Европе. Мы к этому будем стремиться и в РФ, хотя этот вопрос и не является самой ближайшей перспективой.

CNews: Какие задачи по развитию направления ИБ стоят перед российским представительством 3Com?

Александр Чуб: Безусловно, основной задачей для нас является увеличение объёма продаж и завоевание большей доли рынка. Мы стремимся по всем этим показателям быть абсолютным лидером. Составляющим элементом для реализации этой задачи, очевидно, является информирование пользователей и представителей нашей партнерской сети о новых продуктах и технологиях, адаптаций продукта к требованиям локального рынка, организация эффективного и профессионального канала продаж. Сегодня, если посмотреть на мировой рынок IPS/IDS решений, мы намного опережаем наших конкурентов, как в технологическом плане, так и по объемам продаж. Наша задача достичь тех же позиций и в России

CNews: Спасибо.