Статья

«Купил-забыл»: о чем умалчивает реклама средств ИБ

Безопасность Интеграция Бизнес-приложения
мобильная версия

Средства обеспечения информационной безопасности необходимы для работы любой современной компании, однако технологическое развитие в этой области несколько замедлилось. Отсутствие принципиально новых решений компенсируется здесь агрессивной рекламой. Но не искажается ли информация, пройдя через рекламный фильтр? И каковы последствия такого искажения?

В настоящее время рынок средств защиты информации уже достиг определенного технологического насыщения. Бурное развитие новых технологий в этой сфере уже прекратилось, и производители достаточно давно не радовали нас чем-то принципиально новым. Все те же антивирусы на тех же, только «улучшенных» движках, все те же системы обнаружения атак, появление новой функциональной возможности в которых позиционируется как революционное решение и т.п.

Отсутствие инноваций компенсируется агрессивной и достаточно интересной политикой продвижения этих средств. Попробуем провести некоторую аналогию. Многие современные авиационные ракеты уже достаточно давно и успешно реализуют принцип «пустил-забыл»: летчику необходимо лишь обнаружить цель, захватить ее в перекрестие прицела своего радара и нажать красную кнопку.

Мечта пользователя - достижение безопасности нажатием одной клавиши
Мечта пользователя - достижение безопасности нажатием одной клавиши

Современная реклама различных систем и средств защиты информации: навязывает тот же самый алгоритм «купил-забыл». Купи систему XXX, реши свою проблему и забудь о ней. При этом данная система как таковая является не решением самой проблемы, а всего лишь средством, которое имеет достаточно возможностей для решения задачи. Очень часто о последнем предпочитают умалчивать. Традиционно умалчивают и о том, что средство защиты информации — это не то средство, которое может обеспечить однозначный результат «защита обеспечена» либо «защита не обеспечена». Интересно в сложившейся ситуации общепринятое мнение о том, что без закупки средств защиты информации компания априори беззащитна. Тем не менее, никто не дает стопроцентной гарантии защиты покупателю, даже если приобретено средство самой мощной конфигурации.

Реклама в сфере информационной безопасности стала агрессивно акцентировать внимание аудитории на ярких аналогиях, а не на технических характеристиках той или иной системы. В специализированной прессе периодически появляются рекламные слоганы, которые напоминают старый телевизионный ролик, в котором странное существо задорным голосом выкрикивало фразу: «Теперь банановый!». Открывая любой специализированный журнал или сайт, вы обязательно найдете среди прочих привычных нам рекламных статей или баннеров фразы наподобие «Теперь лучше!», Теперь быстрее!», «Теперь проще!». Чуть ниже, уже под яркими заголовками, можно отыскать описание функционала системы, но все-таки часто между техническими характеристиками мелькают фразы «это умное решение», «замечательная масштабируемость системы» и т.д.

Иллюзия защищенности

Однако самое неприятное в сложившейся ситуации, конечно, не рекламные материалы. И даже не то, что компании приобретают системы защиты, надеясь решить свои проблемы по принципу «купил-забыл». Самое неприятное состоит в том, что купленные средства защиты создают «иллюзию защищенности».

Рассмотрим такой пример. Ни для кого не секрет, что простой межсетевой экран при настройках по умолчанию ничего не фильтрует и, соответственно, ни от чего не защищает. Только грамотной настройкой можно добиться того, чтобы данное средство наконец-то начало выполнять те функции, для которых, собственно, и предназначено.

Рассмотрим как пример более сложные и продвинутые системы — IPS (системы предотвращения атак), ситуация с которыми складывается еще более печальным образом. Сама по себе такая система, купленная и внедренная в вашу сеть, не обеспечит практически никакой защиты. Опять же, необходимо настроить ее, причем будет недостаточно сделать это один раз при внедрении. Необходимо постоянно и гибко отслеживать работу системы, четко анализировать происходящие события, оперативно реагировать на новые угрозы и т.д. В подобных системах декларируются возможности «умного реагирования» на те или иные события, но это совершенно не означает, что можно забыть о настройке защитных механизмов. Например, если в контролируемой зоне наблюдается «подозрительное» поведение процессов, система обнаружения атак самостоятельно реагирует на это достаточно жестко: закрывает и запрещает все, что только можно закрыть и запретить. Если не отследить этот факт своевременно, ваша информационная система на время превратится практически в калеку, то есть количество выполняемых ею функций будет сокращено до жизненно необходимого минимума.

Реакция со стороны специалиста должна быть адекватна ситуации: необходимо обнаружить причину такого поведения системы, проанализировать полученные данные (то есть определить, была это преднамеренная, запланированная атака или же система среагировала на случайное стечение обстоятельств), произвести перенастройку системы вручную в соответствии со сделанными выводами. Кстати, часто подобные события уникальны по своим характеристикам и не предусмотрены в инструкциях.

Естественно, что в такой ситуации по меньшей мере глупо приобретать IPS, надеясь купить и забыть о том, что такое сетевые атаки. Это еще раз доказывает, что любая система защиты — лишь средство в человеческих руках, а не полноценное решение проблемы, что бы ни утверждали производители и рекламисты.

Приятное исключение в данном случае составляют лишь антивирусные решения. Их развитие достигло весьма впечатляющего уровня, о чем свидетельствует почти полная автоматизация защитных функций: обновления происходят постоянно и автоматически, необходимо лишь соглашаться с ними или не соглашаться. Часто клиент определяет качество защиты совсем не количеством отлавливаемых вирусов (по этому показателю средства различных производителей практически одинаковы), а сроком реагирования на эпидемию нового вируса, неизвестного ранее.

Предвзятый взгляд на безопасность

Чтобы не впасть в голословность, предлагаю очень показательный пример. Открыв любой специализированный журнал или сайт, мы найдем самые разные материалы по «модной» сейчас теме — защите от внутренних угроз. Предполагается, что внешний периметр информационной системы организации защищен достаточно надежно, а то, что творится внутри — очень больной вопрос для многих организаций. Однако средства, предлагаемые для решения проблемы внутренних угроз, также позиционируются по принципу «купил-забыл», что в данном случае не только неверно, но и просто опасно.

Один из российских разработчиков в области информационной безопасности полагает, что внутренние угрозы — это всевозможные USB-устройства, что их стало слишком много и что несанкционированное использование таких устройств сотрудниками скрывает опасность утечки информации из корпоративной сети.

Таким образом, набившая оскомину проблема внутренних угроз сужается до контроля внешних устройств, в первую очередь — USB-устройств. Никто не спорит с тем, что постоянный и разносторонний контроль - одна из аксиом при организации любой работы, связанной с неразглашением информации. Однако заявлять о всесторонней защите от внутренних угроз только при помощи контроля одного из возможных и специфических каналов утечки информации — мягко говоря, неверно.