 Таких романов нынче нет. Не хотите ли разве русских? А разве есть русские романы?..Пришли, батюшка, пожалуйста пришли!"Пиковая дама", А. С. ПушкинНа прошедшей 3-4 апреля конференции "Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти" был представлен ряд новых отечественных разработок в области обнаружения атак. За последний год это уже не первый случай, когда отечественные разработчики представляют российскому потребителю свои наработки в этой сфере.
Мало того, многие ВУЗы и институты ведут аналогичные исследования. Казалось бы, можно считать, что наша страна не отстает от своего западного брата и тоже идет в ногу со временем, создавая одни из самых востребованных и эффективных средств защиты корпоративной сети. Однако не все так просто в "датском королевстве". И, несмотря на наличие уже десятка различных систем обнаружения атак, созданных руками отечественных специалистов, по моему мнению в России сейчас отсутствуют компании, действительно способные создать систему корпоративного уровня, которая может потягаться с решениями компаний Internet Security Systems, Cisco, Symantec и Enterasys. Чтобы обосновать свою точку зрения необходимо сделать небольшой экскурс в технологию обнаружения атак. При создании систем используются два основных подхода:Обнаружение аномального поведения, используя хорошо себя зарекомендовавший аппарат математической статистики. Данный подход используется, как правило, при обнаружении DoS-атак, использующих посылку большого числа трафика за короткий интервал времени и т. п. Также данный подход пытаются применять при контроле поведения пользователя в информационной системе. Типичные действия пользователя описываются в шаблоне, отклонения от которого и признаются аномалией, требующей вмешательства соответствующих служб. Обнаружение злоупотреблений, используя сигнатуры, описывающие последовательность байт или действий, характеризующих несанкционированную деятельность. Этот подход знаком всем по антивирусным системам, которые построены именно поэтому принципу. Сейчас трудно выделить какой-то предпочтительный метод для использования его в системе обнаружения атак. Каждый из них имеет свою область применения свои атаки, на обнаружение которых он рассчитан. Например, троянцы и черви проще всего обнаруживать, используя сигнатуры, а различные "лавины" пакетов, выводящие из строя целые сети, - с помощью контроля статистики. Специалисты отмечают, что эти методы используются в современных системах обнаружения атак в соотношении 70/30 в пользу сигнатурного подхода, хотя в последнее время наметилась тенденция к более широкому использованию статистических методов. Появился даже специальный термин, описывающий системы обнаружения атак этого класса - Statistical IDS. Второе, о чем надо сказать, что системы обнаружения атак могут быть ориентированы на предприятия разных масштабов - от уровня малого и среднего бизнеса до уровня крупных корпораций. Создать решение для SMB-рынка достаточно легко. Мало того, их и создавать не нужно. Есть свободно-распространяемая система обнаружения атак Snort - достаточно взять ее исходные тексты и использовать в своем изделии. Некоторые компании так и поступают. Например, Элко или Инфосистемы Джет , которые встроили Snort в свои межсетевые экраны "Эльф" и "Z-2" соответственно. Я оставлю за кадром вопрос использования решений "open source" в корпоративной информационной безопасности. Сошлюсь только на мнение CIO нефтяной компании "ЮКОС" Андрея Кельманзона, который считает, что возможность поддержки со стороны производителя ПО является основным преимуществом коммерческого ПО. Тем более что непосредственно стоимость лицензии программного обеспечения составляет по данным Gartner Group не более 15% от совокупной стоимости владения ПО, которая также включает в себя стоимость компьютера, затраты на внедрение и эксплуатацию системы защиты и т. д. Свободно-распространяемое или условно-бесплатное ПО - удел небольших компаний, которым проще решать вопросы с его управлением, обновлением и поддержкой. Кроме того, именно зрелые и крупные компании четко понимают всю необходимость планирования своей информационной политики, что невозможно без знаний перспектив и некоторых гарантий развития продукта. Однако, я не стану утверждать, что свободно-распространяемое ПО не применимо в крупных компаниях. Мало того, я знаю несколько примеров такого использования системы Snort в организациях, которые очень серьезно относятся к своей безопасности и имеют достаточные средства на приобретение коммерческих систем защиты. Однако такие факты скорее исключение, чем правило. Связано это с тем, что специалисты, применяющие Snort в своей сети, составляют с ней симбиоз и без них это средство превратится в абсолютно неэффективный элемент системы корпоративной защиты информации. Еще один вариант использования свободно-распространяемых систем обнаружения атак в крупных компаниях - действие по принципу "не класть все яйца в одну корзину", т. е. дублирование коммерческого ПО от таких производителей, как Internet Security Systems, Cisco, Enterasys и т. д.
|