7-8 июня в Казани прошел шестой по счету съезд представителей российской ИТ и ИБ отрасли под названием IT & Security Forum. Организуемый местным системным интегратором ОАО «ICL-КПО ВС» и ООО «Научно-производственное объединение вычислительных систем». Мое автомобильное путешествие в Казань на данное мероприятие прошло не без приключений, началось с трехчасового стояния в подмосковных пробках и включало в себя, в том числе, форсирование лесополосы с целью объезда безнадежных пробок, возникавших из-за безобразных дорог и их столь же безобразного ремонта. Зато сама Казань, как и прежде, была тепла, весела и гостеприимна.
Официальные сообщения о IT & Security Forum можно будет прочитать на соответствующих интернет-ресурсах, поддерживающих данное мероприятие, в том числе и на этом сайте. Я же ограничусь одобрительным кивком головы. Мероприятие было организовано на хорошем уровне в пятизвездочном отеле Корстон. Оказался я там в непривычном для себя качестве, а именно, в качестве журналиста информационно-аналитического портала ISO27000.ru. Девочки на ресепшине сначала долго искали меня в списке зарегистрированных участников, пока я не вспомнил про свою журналистскую ипостась и не обратил внимание на список аккредитованных представителей прессы. В качестве такого представителя опишу здесь некоторые свои впечатления от увиденного и услышанного.
Доклады
Доклады я слушал недолго. Времени было мало, да и слушание доклада продолжительностью более 10 минут я давно уже считаю издевательством над своим мозгом. К тому же, то, что я услышал, носило чисто продуктовый характер, а это означает, что почитав в течении 5 минут сайт разработчика, можно получить куда больше информации о продукте, чем слушая доклад о том же, только с многочисленными философскими и риторическими ответвлениями. Это не значит, что доклады были плохими. Они были такими, какими и должны быть на подобных мероприятиях, и, наверное, вполне соответствовали ожиданиям основной части аудитории. Отмечу лишь несколько моментов, которые успели броситься в глаза, и которые характеризуют не только данное мероприятие, а некоторые общие тенденции, отмечаемые мной уже неоднократно.
Момент 1. Идиотские, выдуманные маркетологами, названия обычных продуктов в сфере ИБ
Раздутые до безобразных размеров маркетинговые службы основных поставщиков СЗИ, соревнуясь между собой в количестве и уровне маразма своих пресс-релизов, кликабельности сайтов, частоте упомянаемости в прессе и прочих, не имеющих отношения к технологиям ИБ, маркетинговых показателях, продолжают генерировать “белый шум”, скрывающий от потенциальных пользователей продуктов ИБ, их реальные эксплуатационные характеристики.
Например, чего стоят названия продуктов компании Symantec?
Что скрывается за названием Symantec Critical System Protection?
Что такое Symantec Data Insigt?
Что такое CCS Vulnerability Manager?
и т.д.
Если раньше по названию продукта, хотя бы приблизительно можно было судить о том, к какой категории он относится, то сейчас это уже совсем невозможно сделать. Более того, и по описанию многих продуктов вы все еще толком не сможете понять для чего они предназначены. И происходит это не из-за того, что в этих продуктах реализованы какие-то новые технологии, еще не имеющие названия. Как это ни странно, все что говорили докладчики было хорошо известно и реализовано многими вендорами еще, как минимум, 10-15 лет назад, будь то SEIM-системы, средства контроля защищенности или соответствия, DLP-системы, сканеры безопасности, средства управления идентификационной информацией, системы ролевого управления доступом (RBAC) и т.д. и т.п. Все продукты и технологии, о которых говорили представители вендоров, являются новыми, разве что, только для этих вендоров, которые раньше этими технологиями просто не занимались.
Где простой сетевой сканер безопасности Symantec NetRecon сравнительно по доступной цене, разработанный реально инновационной и успешно забытой компанией AXENT, поглощенной финансовым гигантом еще в конце 90-х? Вместо него сейчас нам предлагают продукт со странным названием Symantec Control Compliance Suite Vulnerability Manager, заоблачную стоимость которого даже нельзя нигде опубликовать и страшно вслух произнести. Может быть такое усложнение названия и увеличение стоимости продукта связано с бурным развитием инновационных технологий ИБ, непрерывно совершаемым в лабораториях компании Symantec? Может быть простой сетевой сканер NetRecon путем эволюционного развития превратился в нечто такое, что стоит на качественно ином более высоком уровне? Свежо предание, да верится с трудом. И представитель Symantec сразу же развеял наши фантазии на тему инновационности данного продукта. Он примерно так и сказал: “Зачем мы будем что-то придумывать, а потом еще и разрабатывать, если есть хорошие, да еще и условно бесплатные, сетевые сканеры Metasploit и SAINT, известные еще с незапамятных для безопасника времен?”. Вы поняли что скрывается за странным названием Symantec Control Compliance Suite Vulnerability Manager? Вот и PGP уже к рукам прибрали и теперь интегрируют это с DLP-системой, тоже, конечно, покупной.
Но ладно Symantec. Всем известно, что подобно CA и некоторым другим компаниям, это финансовая корпорация, специализирующая на инвестициях в рынок ИБ, скупающая, сливающая и торгующая активами на данном рынке. Выдающийся Питер Нортор, давно уже не имеет отношения к этой компании, превратившись в одну из ее торговых марок. Но как же компания Check Point, традиционный технологический лидер рынка межсетевых экранов, основанный экспертами в области сетевой безопасности? Там тоже к власти пришли маркетологи и финансисты, погрязшие в словоблудии и финансовых потоках? Бизнес – это финансовый актив, генерирующий денежный поток. Плевать на технологии и смысл этих технологий для потребителя? Check Point всегда отличалась крайне запутанной лицензионной политикой, в которой могли разобраться только эксперты, специально обученные и имеющие опыт работы именно с этими продуктами. Линейка продуктов этой компании значительно расширилась, появились VPN-шлюзы для мобильных пользователей Mobile Access Software Blade и линейка продуктов для защиты конечных устройств под названием EndPoint Security, а также DLP, Document Security (DRM), Full Disk Encryption, Anti-Malware & Program Control Software Blade и т.д. Нового в этих технологиях тоже ничего нет, а маркетинговой мути не меньше, чем у Symantec.
Вот и Cisco продвигает старые технологии в новой маркетинговой обертке. Cisco Identity Services Engine (ISE)- решение для централизованного управления политиками в рамках решения Cisco TrustSec. Вы что нибудь поняли из этого описания? Тогда читаем дальше: Оно позволяет эффективно определять политики информационной безопасности и управлять ими в масштабе всей организации. Cisco ISE:
– решает задачу поддержки “любого устройства” с помощью политики контроля доступа с учетом контекста;
– различает корпоративные и личные пользовательские устройства;
– автоматизирует функции обеспечения информационной безопасности по всей организации с помощью средств контроля доступа и шифрования, реализованных на уровне сети;
– упрощает повседневную работу ИТ-подразделения, позволяя разрабатывать политики, отражающие правила ведения бизнеса с учетом пользователей, устройств, приложений и местоположения;
– интегрируется с системой управления корпоративной ИТ-инфраструктурой Cisco PrimeTM, обеспечивая управление подключением оконечных устройств.
Все равно не понятно о чем речь? Тогда скажем по-простому, ISE – это программно-аппаратная реализация политики ролевого управления доступом (RBAC), позволяющая динамически формировать списки контроля доступа на МЭ (ACL), производить аутентификацию и контроль сетевого доступа конечных устройств (NAC).
Момент 2. Технологии удаленной и домашней работы
Компания Cisco уделяет особое внимание повышению мобильности своих сотрудников, включая работу на дому. Для этих целей для всех сотрудников, а их без малого 70 000 человек, были закуплены последние версии смартфонов. При этом однако не была учтена одна малозначительная деталь, а именно, что новые версии смартфонов выпускаются производителями практически ежемесячно, а с устаревшими версиями пользователям работать не уперлось. Поэтому уже через полгода корпоративными смартфонами мало кто из сотрудников пользовался и от этой благородной идеи менеджерам Cisco пришлось отказаться, также как от видеокамер и прочих непрофильных для себя проектов.
Вообще идея удаленной работы, включая работу из дома, очень неплоха и уже много лет используется не только в Cisco. Стопорят применение этих технологий невозможность обеспечения адекватного уровня информационной безопасности при такой организации работы и человеческий фактор. Немногие категории сотрудников могут эффективно работать на дому. Большинство нуждаются в соответствующей организации рабочего пространства, постоянном присмотре, подбадривании, а также в орально-визуальном взаимодействии со своими сослуживцами. Как удобная опция – годится, как основной способ организации труда – homeworking развалит практически любую компанию, т.к. не будет ни дисциплины, ни мотивации, ни безопасности, не говоря уже о загубленном семейном счастье тех работников, которые превратили собственное жилище в удаленный офис.
Момент 3. Технологии Imperva в борьбе с атаками хакерской группы Anonymous
Израильская компания Imperva была основана выходцем из Check Point с целью разработки СЗИ способных эффективно противостоять современным угрозам, с которыми не очень хорошо справляются традиционные МЭ и IPS системы, включая хакерские атаки на веб-приложения (SecureSphere Web Application Firewall) и базы данных (SecureSphere Database Monitoring Gateway & Security Gateway).
Кстати, объем мирового рынка ИБ в 2010 году оценивался в $27B, а в 2014 по прогнозам составит $37B. Это значит, что технологии ИБ находятся только в начале своего развития и места на рынке хватит всем креативщикам.
Продукты Imperva, в частности, активно используются для противодействия атакам прославленной хакерской группы Anonymous. На эту тему представители компании выпустили отчет под названием “Анатомия атак Anonymous”. Известно, что эта хакерская группа использует внештатную схему работы над своими “проектами”, вербуя добровольцев для очередной атаки в социальных сетях. Ядро группы составляют 10-15 опытных хакеров, тщательно планирующих все атаки и раздающих задания добровольцам. Бот-сети, вирусы и фишинговые схемы они не используют. Основное оружие – SQL-инъекции и атаки на веб-приложения. В случае, если взлом сайта не удается, против него инициируется DDoS-атака.
SQL-инъекции, уязвимости PHP-интерпретаторов и обходы WAF далее были продемонстрированы Дмитрием Евтеевым из Позитива. Демонстрация подобных уязвимостей – это ковыряние в криво написанных программных кодах и SQL-запросах. Тема неисчерпаемая, до тех пор, пока разработчикам веб-приложений и баз данных наплевать на безопасность. Инструментария для поиска подобных уязвимостей полно: Acunetix Web Security Scanner, Nikto и десятки других сканеров.
PS
В следующей статье, посвященной впечатлениям от IT & Security Forum, планирую рассказать еще о Казанском Кремле, ИТ парках Татарстана, системе Глонас и бизнес-инкубаторах.