Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

Контур-Фокус – быстрая проверка контрагентов

Trend Micro

Разработка и продажа программного обеспечения, предназначенного для предупреждения эпидемий, защиты от спама, вирусов и другого ...
Тел.: +7 (495) 629-7514
Сайт: www.trendmicro.com
E-mail: russia@trendmicro.com
Контактная информация: О компании
Регионы работы: Москва
Статья

Вениамин Левцов: В "облаках" производителям ИБ придётся непросто

Вениамин Левцов: В "облаках" производителям ИБ придётся непросто
Считается, что проблемы с безопасностью являются основным препятствием для активного перехода бизнеса в "облака". Однако тем не менее облачные вычисления становятся все более востребованными. Уже сейчас крупные международные организации озабочены разработкой и принятием стандартов обеспечения безопасности в Cloud, готовят описания типичного ландшафта угроз. При этом очевидно, что от антивирусных вендоров требуется расширение поля деятельности. Теперь безопасность данных предполагает и защиту от угроз конфиденциальности, и обеспечение их доступности для пользователя. Ведущие мировые корпорации, занятые проблемами security-as-a-service, это понимают. О своём видении ситуации CNews рассказал Вениамин Левцов – региональный менеджер компании Trend Micro в России и СНГ.

CNews: Насколько, на ваш взгляд, популярны облачные вычисления в России?

Вениамин Левцов: Давайте опустимся на грешную землю и признаем, что говорить о победоносном шествии облачной архитектуры в корпоративной среде в России пока рано. Специалисты рассматривают возможность переноса части инфраструктуры за пределы собственных ЦОД - но не более того. Популярность частных "облаков", представляющих объединенные дата-центры крупных компаний с распределенной структурой, безусловно растет, а вот о каком-то прогрессе в публичных "облаках" я бы говорить не стал.

Активно развиваются различные действительно облачные сервисы для домашних пользователей, малый бизнес также понемногу начинает использовать эти возможности. Но российский корпоративный сегмент намного более консервативен, и динамика проникновения облачных сервисов в нем существенно ниже. Поскольку компания Trend Micro в России широко известна именно в корпоративном сегменте, говорить мы будем именно об этой области.

CNews: Какие наиболее распространенные угрозы существуют для виртуальных и облачных сред?

Вениамин Левцов: Начнём с того, что никуда не исчезают старые угрозы и сценарии их возникновения. При этом появляются новые условия функционирования защищаемой среды, новые объекты и схемы атак, а также дополнительные весьма серьезные требования по минимизации нагрузки, создаваемой средствами ИБ. О чем идет речь? Использование технологий виртуализации среды исполнения влечет жесткие требования по ресурсам, которые выделяются каждой виртуальной машине на хосте. Ресурсы, в первую очередь, оперативной памяти, которые приходятся на группу виртуальных машин, серьезно ограничены. И вот представьте, что на всех них одновременно запускается потребляющий немало ресурсов процесс антивирусной проверки: на каждой виртуальной машине включается обособленное сканирование – эту ситуацию называют "антивирусным штормом". В результате под угрозой оказывается работоспособность всего хоста.

Из новых объектов атаки следует отметить гипервизор виртуализированной среды. Ясно, что если захватить контроль над ним, то может возникнуть серьёзная "дыра" в системе безопасности. С одной стороны, это лакомый кусочек для взлома, с другой– гипервизор очень хорошо защищён и, как правило, не имеет внешних сервисов, которые могут быть использованы злоумышленниками. Снаружи захватить контроль над гипервизором основных производителей решений по виртуализации пока никому не удавалось. Скажем так: на сегодняшний день это хоть и серьезная, но скорее теоретическая угроза. В качестве защиты от неё могут быть использованы механизмы безопасного способа загрузки и исполнения системного ПО, реализованные в решениях Intel и AMD. Вовлечение этих средств обеспечивает защищенный режим запуска монитора виртуальных машин, что существенно снижает риски атаки с использованием гипервизора. К слову, Trend Micro уже поддерживает интеграцию с технологией Intel TPM/TXT для обеспечения контроля целостности гипервизора, реализованную в продукте Deep Security версии 8.

CNews: Какие тенденции в угрозах для виртуальных и облачных сред вы наблюдаете? Как они меняются со временем? Очевидно, что их становится больше – ведь и "облаков" становится больше. Но как угрозы меняются качественно?

Вениамин Левцов: Очень серьезно меняется роль периметра и доверенной среды исполнения. Раньше мы создавали защищенную среду в масштабах всей корпоративной сети предприятия, активно используя шлюзовые продукты. Сейчас, в условиях тотальной виртуализации, контролируемой зоной становится хост – сервер с виртуальными машинами, периметр и внутренние коммуникации которого мы должны контролировать. Для решения этой задачи необходимо привлекать новые комплексные решения, оптимизированные для работы в условиях виртуального хоста и включающие межсетевой экран, антивирус, систему защиты от использования известных уязвимостей, систему контроля целостности и другие важнейшие подсистемы.

Кроме того, переводя работу внутренних систем в "облака", мы сталкиваемся с рисками отсутствия контроля над принимающей средой. Гарантиям провайдера доверять сложно, не сложилась пока эта практика у нас, но обеспечить защиту виртуальных машин, перемещаемых вовне, - необходимо. Так мы приходим к концепции "безопасность следует за данными". На практике реализация сводится к установке на виртуальную машину агента, который отслеживает выполнение корпоративных политик безопасности (включая антивирус, HIPS, логирование событий и т.д.) даже для машины, находящейся в "облаке".

С ростом популярности облачных сред меняется отношение и к DDoS-атакам. Со временем в облака начнут выносить и критичные веб-приложения и данные. А теперь представим, что "облачный" ресурс становится целью атаки на отказ в обслуживании. Очевидно, что потеря его доступности обернется потерей доступности размещенных на нем систем. Как добиться высокой защищенности провайдера от внешних атак? Вероятно, в будущем мы станем свидетелями появления стандартов разработки веб-приложений и базовых уровней безопасности для площадок, на которых заказчики будут размещать свои приложения.

Более острым становится и вопрос доверия к персоналу, ведь в случае "облачной" среды он перестает быть вам подконтролен. Причём речь идёт не только о доступе к этим данным, но и о гарантии уничтожения сведений, которые вам больше не нужны, для чего потребуется получение юридических гарантий от провайдера. Необходимо понимать, что с контролем над данными в любом случае придется проститься - сделать копию виртуальной машины не составляет никаких проблем для администратора, и обезопасить себя от подобной утечки данных очень сложно. В общем, очевидно, что все данные, передаваемые на обработку или хранение вне контролируемой вами сети, должны будут шифроваться, что приведет к росту интереса к системам шифрования данных в "облачных" средах.

CNews: Какие средства защиты от указанных угроз можно предложить? Речь о методологии.

Вениамин Левцов: Очень важно организовать архитектуру системы защиты таким образом, чтобы СЗИ потребляла минимум системных ресурсов. Так технологически мы приходим к идее выноса процессов безопасности на отдельный виртуализированный сервер (Virtual Security Appliance) в рамках хоста. Естественно требуется интеграция с программным интерфейсом платформенного ПО виртуализированной среды, что позволяет контролировать файлообменные операции и коммуникации между гостевыми виртуальными машинами.

Использование выделенного "сервера безопасности" (по сути, это обособленная виртуальная машина) позволяет консолидировать в его пределах нагрузку, создаваемую средствами безопасности. Проблема "антивирусного шторма", когда 20 антивирусных ядер начинают сканирование на всех 20-ти виртуальных гостевых машинах, остается в прошлом. Кроме того, использование этой архитектуры обеспечивает и ряд других преимуществ.

Во-первых, сам по себе такой "сервер безопасности" - это внутренняя система, не поддерживающая клиентских сервисов. А если к ней нельзя обратиться снаружи, значит и атаковать её крайне сложно. Таким образом, в корне решается проблема самозащиты антивирусного решения.

Во-вторых, такому "серверу безопасности" будет видна вся картина: операции между виртуальными машинами, коммуникации через порты хоста и т.д. В случае подозрительного процесса на одной из машин или попытки установления подозрительных коммуникаций, с такой позиции будет гораздо проще провести анализ ситуации и возможно локализовать источник заражения.

От доступа третьих лиц к информации в "облаке" защищает только тотальное шифрование данных, как я уже говорил.

А в качестве противодействия инсайдерству можно предложить использование тактики отделения данных от приложений. В результате тот, кто копирует виртуальную машину, получает всего лишь копию экземпляров инсталлированного ПО, а не доступ к основной массе данных. Необходимо подумать и об управляемой дезинтеграции данных. В этом случае, даже если система шифрования будет взломана, и данные попадут в чужие руки, интегрально собрать из них, скажем, базу, будет невозможно.

Для защиты от действий собственных администраторов могу посоветовать лишь появляющийся сейчас новый класс решений, обеспечивающий дополнительный контроль ролевого доступа системных администраторов к виртуальным ресурсам.

CNews: Как бы вы оценили предложения на рынке систем защиты для виртуальных и облачных сред – они отстают от кибер-злоумышленников, соответствуют уровню угрозы или даже опережают их?

Вениамин Левцов: Как только злоумышленники начнут взламывать уровень администрирования виртуализированных систем, ландшафт угроз может измениться существенно. И тогда производителям продуктов ИБ придётся непросто.

Но сегодня мы этого, к счастью, не наблюдаем, и можно говорить лишь о ряде дополнительных требований к существующим системам обеспечения ИБ. Как я уже упоминал, это в первую очередь, уважительное отношение к ресурсам виртуальных машин, контроль коммуникаций и файлообменных операций в пределах всего хоста, перенос функции управления безопасности на специально выделенные виртуальные машины, возможность применения корпоративных политик безопасности ко всем узлам, независимо от того, являются они физическими серверами, виртуальными или "облачными". Как видите, всё это требования к архитектуре средств защиты. Собственно вредоносное ПО – то же самое, и с ним существующие "движки" успешно справляются.

CNews: Какие облачные антивирусные продукты предлагает Trend Micro и в чем особенности этих решений?

Вениамин Левцов: Во-первых, это наш флагманский продукт Trend Micro Deep Security, созданный для защиты виртуализированных систем. Его использование позволяет построить комплексную защиту виртуальных машин с минимальной нагрузкой на ресурсы хоста. На протяжении последних 2-х лет мы активно инвестировали в его продвижение и евангелизацию самой идеи. И вот, начиная со второй половины текущего года, пошли проекты, причем число пилотов практически удваивается каждый квартал.

Кроме того, наш традиционно флагманский продукт Trend Micro OfficeScan, решение для защиты конечных точек, был адаптирован к условиям использования в среде виртуальных десктопов (VDI). Релиз был выпущен осенью прошлого года, так что мы полностью готовы к появлению запросов на антивирус для среды виртуальных рабочих столов.

Кроме того, мы успешно развиваем такое решение, как SecureCloud – это система шифрования данных, находящихся на внешних ресурсах. Мы очень надеемся, что со временем нам удастся адаптировать её под российские реалии.

CNews: Расскажите, как решается проблема интероперабельности продуктов Trend Micro и других вендоров, например, на базе виртуальной среды VMware?

Вениамин Левцов: Наши продукты глубоко интегрированы с виртуальной средой VMware как на уровне интерфейсов защиты (vShield Endpoint API, VMsafe API), так и на уровне системы управления. Честно говоря, мне неизвестно о случаях, когда наши решения оказывали негативное влияние на работу виртуализированной среды, на уровне платформенного ПО, в каких-то проектах. Наш продукт Deep Security в течение этого года передавался в тестовые лаборатории ряда ведущих системных интеграторов. Результаты тестирования доказали возможность успешной интеграции с системами сбора и корреляции событий ИБ (SIEM), а также с системами, обеспечивающими дополнительный контроль прав администраторов хоста (например, vGate).

Тестирование решений Trend Micro, проведенное в рамках процедуры получения сертификата ФСТЭК России, также не выявило проблем, связанных с интероперабельностью.

CNews: Компания Intel и недавно поглощенная ею McAfee совместно анонсировали сервисную платформу под названием Cloud Security Platform (CSP). Является ли этот продукт вашим конкурентом и в каких областях? В чем его сильные стороны - и в чем ваши?

Вениамин Левцов: Все три крупнейших игрока антивирусного рынка - Symantec, McAfee (теперь уже в составе Intel) и Trend Micro – безусловно, учитывают растущее проникновение облачных сред в архитектурах своих решений. Я бы выделил несколько важных аспектов, реализацию которых в программных продуктах мы наблюдаем на практике.

Во-первых, это единство защиты всех видов узлов, независимо от того, идет ли речь о физических серверах, виртуальных машинах или облачных ресурсах. Система обеспечения безопасности должна воспринимать их как компоненты единого пространства, на которое распространяются корпоративные политики, причем в рамках единой консоли управления. Насколько я понимаю, именно эта идеология была положена в основу решения McAfee. Мы в Trend Micro Deep Security также четко следуем этой концепции, предоставляя единое средство для защиты ресурсов, имеющих различную природу.

Во-вторых, как я уже не раз упоминал, следует очень серьезно относиться к экономии ресурсов виртуализированной системы. Все это понимают и подход, который используют ряд производителей, заключается в том, что классический антивирус для рабочей станции просто адаптируется к условиям использования на гостевой виртуальной машине. Причем в пределах виртуализированного хоста запускается локальная система управления антивирусными процессами на отдельных машинах. Эта же система хранит что-то вроде локальной базы по инцидентам на данном хосте, информацию о подозрительных активностях, что позволяет минимизировать внешние коммуникации. В целом, этот подход должен обеспечивать снижение нагрузки на ресурсы, но, по моему мнению, одного этого недостаточно для построения удобного в эксплуатации продукта. Наиболее важным фактором успеха продукта, на мой взгляд, является глубокая интеграция с платформенным ПО виртуализированного хоста, позволяющая получать контроль над потоками данных между машинами и включаться в единую среду управления, как это реализовано в Trend Micro Deep Security.

В-третьих, я бы отметил растущий интерес к интеграции с дополнительными аппаратными возможностями. Так, решение, упомянутое в вашем вопросе, активно использует механизмы аутентификации и контроля доступа, реализованные в Intel Express Cloud Access. Отмечу, что и в продукте Trend Micro также используется интеграция с решением Intel - для целей контроля целостности гипервизора виртуальных машин.

Одним словом, мне кажется, сейчас уже ни один антивирусный игрок на осмелится игнорировать нарождающийся рынок решений, о которых мы говорим. Просто некоторые игроки стараются адаптировать существующие продукты, в то время как Trend Micro, не забывая развивать классику – OfficeScan, активно инвестирует в совершенно новое направление. И пока, насколько я могу судить, находится на несколько шагов впереди конкурентов.

CNews: Безопасность как услуга – насколько популярен этот сервис сейчас?

Вениамин Левцов: Сегодня безопасность как услуга пользуется спросом в отдельных направлениях. Развернуть на внешней площадке продукт для обеспечения ИБ, провести его техническую настройку – это пожалуйста. А вот адаптировать СЗИ к условиям конкретной организации, провести, будем говорить, "контентную настройку", а также заниматься последующим мониторингом инцидентов и прочих событий, влиящих на уровень ИБ, – вот эти задачи передавать наружу никто не спешит. Более того, компании, которые могли бы брать такие задачи на аутсорсинг, и сами особо не стремятся активно предлагать такого рода услуги.

Мы видим, что хоть и крайне медленно, на рынок приходит идея страхования рисков в сфере ИТ. По мере развития данной услуги предприятия, которые отважатся брать на аутсорсинг обеспечение информационной безопасности, смогут приобретать страховые продукты и разделять таким образом свою ответственность с профессиональными игроками страхового рынка. В любом случае, пока всё это не может конкурировать с внутренними службами ИБ, которые за годы выстроили работоспособные комплексные решения с учетом особенностей конкретной организации. Операционные и даже проектные затраты на поддержание существующей структуры безопасности оказываются, как правило, существенно ниже, чем использование внешних компаний.

CNews: Как будет выстраиваться стратегия развития "облачного" направления работы Trend Micro в будущем?

Вениамин Левцов: В отличие от ряда конкурентов, компания Trend Micro еще несколько лет назад определила стратегию развития продуктовой линейки с учетом активного развития технологий виртуализации и облачных сред. В соответствии с этой стратегией был приобретен канадский разработчик Third Brigade, располагавший очень интересными и уже достаточно зрелыми технологиями обеспечения безопасности виртуализированной инфраструктуры, солидным опытом внедрений на североамериканском рынке. За 3 года Trend Micro сумел успешно интегрировать приобретенные технологии с собственным антивирусным решением и выпустить продукт Deep Security, который предлагает уникальные возможности для наших заказчиков.

Достаточно активно будут развиваться и сервисы, позволяющие конечным пользователям использовать ресурсы самой Trend Micro. Примером является пока не представленный в России продукт SecureCloud, существенно упрощающий для наших клиентов процессы шифрования данных в облаке за счет внешних сервисов Trend Micro.

При этом мы не планируем продвигать аппаратные решения, поскольку считаем, что в настоящий момент наиболее оптимальная форма существования серверов ИБ – это Virtual Appliance.

Если говорить о развитии бизнеса, то отмечу, что мы продолжим проводить официальную сертификацию решений Trend Micro в системе ФСТЭК России. Хотя существующая практика проведения сертификации не вполне соответствует нынешним реалиям, мы, безусловно, будем выполнять требования регулятора системы сертификации средств защиты информации с тем, чтобы предоставить нашим заказчикам в России возможность использования сертифицированных средств обеспечения безопасности.

Наталья Николаева / CNews


Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс