Вектор развития информационной безопасности

20 апреля 2011 года в конференц-зале гостиницы «Русь» в Киеве состоялось масштабное событие, определяющее вектор развития информационной безопасности в Украине   – Третий ежегодный Security Innovation Forum 2011  «Выбор года. Презентация решений и инноваций в сфере корпоративной безопасности», организованный компанией «Бизнес Саммит» (www.summitbiz.com.ua), специализирующейся на организации крупных деловых и специализированных конференций для решения операционных задач бизнеса.

Форум собрал 183 делегата со всей Украины – ведущих CIO, руководителей ИТ-отделов и служб информационной безопасности компаний ведущих отраслей экономики (банки и финансовый сектор, телекоммуникационные компании, государственные структуры, министерства и ведомства, энергетика, промышленность, ритейл, транспортные и логистические компании, гостиничные операторы, фармацевтика и другие), а также топ-менеджеров ведущих ИТ-компаний, экспертов и аналитиков рынка, представителей деловых и специализированных СМИ.

Важным преимуществом для делегатов, которые посетили событие, была возможность получить одновременно весь спектр появившихся в начале финансового года, в том числе и конкурентные между собой, новые решения и технологии противодействия информационным угрозам от ведущих производителей и участников рынка информационной безопасности, узнать главные тренды информационных угроз, получить компетентную информацию от участников рынка, прогноз и вектор развития отрасли в Украине и мире.

Докладчики форума предложили аудитории компетентный выбор оптимальных решений в сфере ИБ на ближайший год; делегаты получили доступ к аналитике и опыту успешных проектов, передовой экспертизе в сфере защиты корпоративной информации.

Форум открылся пресс-конференцией «Стратегическая роль управления информационной безопасностью и оптимизацией рисков в обеспечении эффективности бизнеса, промышленности и государственного управления», в которой приняли участие Евгений Гончаренко, менеджер по развитию бизнеса компании «Бакотек», Михаил Савельев, менеджер проектов «Лаборатории Касперского», Роман Сологуб, генеральный менеджер ISSP | Information Systems Security Partners, Алексей Герасимчук, исполнительный директор ESET в Украине; Юрий Кузин, коммерческий директор Brainkeeper, Денис Матросов, директор компании «Тибериус»; Павел Коновалов, руководитель отдела регионального развития по СНГ, Aflex Distribution, Россия; а также модератор форума, независимый эксперт в сфере информационной безопасности Василий Сметанин. Участники пресс-конференции кратко изложили суть решений своих компаний в сфере информационной безопасности, а также ответили на вопросы делегатов и СМИ.

На выставке, развернутой в рамках форума, делегаты имели возможность познакомиться с аппаратными и программными решениями лидеров рынка – McAfee, «Лаборатории Касперского», ESET, Quest Software, Celestix, StorageCraft, Sourcefire, ArcSight ESM, InZero, Checkpoint.

Программу Форума открыл доклад Михаила Савельева, менеджера проектов «Лаборатории Касперского», который представил концепцию эффективного противодействия DDOS-атакам (Distributed Denial of Service – распределенный отказ в обслуживании). Цель атаки состоит в том, чтобы заблокировать легальным пользователям доступ к какому-либо интернет-ресурсу или крайне затруднить его. Для этого используется два типа воздействия: атака на канал связи, который «забивается» огромной массой бесполезных данных, и атака на исчерпание вычислительных мощностей обслуживающих ресурс серверов, которые обрабатывают множество ложных запросов. Более 60% DDoS-атак проводятся с целью прямого шантажа компаний, то есть компании предлагается заплатить определенную сумму для того чтобы атака прекратилась. Для современных компаний, которые широко используют новые информационные технологии, неработоспособность интернет-ресурса приводит к существенным убыткам, поэтому многие организации соглашаются заплатить эту сумму, даже не обращаясь в милицию или другие правоохранительные органы, чем успешно пользуются хакеры. Kaspersky DDoS Prevention представляет собой мощную систему распределенной фильтрации трафика, состоящую из высокопроизводительных серверов, расположенных в разных странах и подключенных к интернету по высокоскоростным каналам связи. Kaspersky DDoS Prevention  является программно-аппаратным комплексом, состоящим из нескольких компонентов: сенсоров, коллекторов и центров очистки трафика, которые могут быть установлены в любом месте Сети. Данная система успешно выявляет аномалии, выходящие за рамки пользовательского профиля, и принимает решения о фильтрации опасного трафика путем перенаправления всех запросов, адресованных защищаемому ресурсу, на центр очистки. Центр очистки фильтрует опасный трафик DDoS-атаки, оставляя только легальные обращения. Такое решение позволяет выдержать DDoS-атаку практически любой мощности.

Андрей Пастушенко, инженер по продукции компании БАКОТЕК, рассказал об инновационных технологиях McAfee Enterprise Firewall — межсетевого экрана следующего поколения, который восстанавливает контроль и защиту вашей сети. Расширенные возможности, например, визуализация приложений, глобальный сбор информации об угрозах на основе репутации, автоматические сообщения об угрозах, проверка зашифрованного трафика, предотвращение вторжений, антивирусная защита и фильтрация содержимого позволяют блокировать атаки до их возникновения. Firewall Enterprise также включает в себя обеспечение повышенного уровня безопасности благодаря McAfee Global Threat Intelligence — комплексной «облачной» службе репутаций  сетевых соединений McAfee  для выявления доменов, IP-адресов и портов, которые могут использоваться злоумышленными атаками, и блокировать эти атаки. Кроме того, Firewall Enterprise использует службу веб-репутаций для выявления зараженных или использующихся злоумышленными атаками URL-адресов, а также сайты с нежелательным содержимым. В состав McAfee Enterprise Firewall также входит McAfee Firewall Profiler, который выполняет анализ сетевого трафика и правил межсетевого экрана, давая вам представление об эффективности конфигурации вашего межсетевого экрана и помогает реализовать корпоративную политику безопасности;  McAfee Firewall Reporter ведет централизованный мониторинг и обеспечивает взаимосвязь уведомлений и отчетности для обеспечения соответствия всем основным нормативным требованиям, включая PCI DSS и другие стандарты. McAfee Firewall Enterprise Control Center предлагает централизованное управление политиками межсетевого экрана для широкомасштабных развертываний на предприятиях.

Павел Демьяненко, руководитель технической поддержки ESET в Украине, представил делегатам комплексные решение ESET по обеспечению комплексной безопасности предприятия. Продукт ESET NOD32 Smart Security разработан на основе передовой технологии ThreatSense. Ядро программы обеспечивает проактивное обнаружение всех типов угроз и лечение зараженных файлов (в том числе, в архивах) благодаря широкому применению интеллектуальных технологий, сочетанию эвристических методов и традиционного сигнатурного детектирования. Действует усовершенствованная система защиты от попыток внешнего воздействия HIPS. Для мониторинга процессов, файлов и ключей реестра HIPS используется сочетание технологий поведенческого анализа с возможностями сетевого фильтра, что позволяет эффективно детектировать, блокировать и предотвращать подобные попытки вторжения. Осуществляется  фильтрация входящих сообщений, поддержка различных наборов технологий сканирования, реализована полная интеграция в популярные почтовые клиенты. Персональный файервол обеспечивает защиту от внешних вторжений. Использование функции низкоуровневого сканирования трафика, позволяет файерволу отражать большинство атак, которые могли бы пройти незамеченными. Работа программы не отражается на производительности компьютера – сканирование и процессы обновления происходят практически незаметно для пользователя, не нагружая систему. Решение ESET NOD32 Smart Security разработано по принципу минимальной нагрузки на систему и занимает не более 48Мб памяти, обладает компактным и интуитивно понятным пользовательским интерфейсом. Помимо продуктов для рабочих станций (NOD32, Smart Security), компания располагает решениями для безопасности серверов (Mail Security, File Security, Gateway Security), а также мобильных устройств (Mobile Antivirus, Mobile Security). Продукты для файловых и почтовых серверов обладают особенно широким функционалом, поддерживают все основные ОС (Microsoft, Linux, BSD, Solaris, Novell), обладают проактивными алгоритмами обнаружения и очистки. Продукты сертифицированы ГСССЗИ Украины.

Об актуальной визуализации и анализе рисков в локальных и глобальных сетях рассказал участникам форума Илья Головацкий, директор департамента информационной безопасности  компании Brainkeeper. Докладчик представил новый подход к аудиту сетевого трафика, который стал возможен благодаря появлению на мировом рынке технологий App-ID, User-ID и Content-ID, позволяющих идентифицировать в трафике отдельно данные, приложения, генерирующие эти данные, а также пользователей,  инициировавших поток. Данная методика позволяет наглядно показать все используемые сетевые приложения, инкапсуляцию базовых приложений в другие протоколы с  привязкой к реальным пользователям сети компании. При проведении аудита используются инновационные технологии идентификации приложений на базе решений PaloAlto Networks. Трафик анализируется не на основании портов, а с помощью сигнатурного анализа пакетов данных.  Идентификация пользователей директории проводится без установок агентов по всей сети. Заказчик сервиса получает перечень всех, в том числе непроизводственных и нерегламентированных информационных потоков, сетевых приложений и их владельцев в сети; перечень угроз и их типов в сети; рекомендации и план работ по модернизации, варианты решений по блокированию выявленных нерегламентированных потоков и приложений, а также по защите от атак и угроз сети прямыми техническими или компенсационными мерами. На основе полученных данных заказчик может принять проактивные управленческие решения по модернизации, защите и управлению сетью, необходимых изменениях в политиках работы, что в свою очередь минимизирует риски, сокращает нерабочий трафик, оптимизирует затраты на средства защиты.

Систему адаптивной сетевой безопасности Sourcefire 3D: Discover Determine Defense представил делегатам Сергей Маковец, директор по технологиям компании ISSP | Information Systems Security Partners. Обладая мощью технологий, разработанных на основе открытого кода, данная динамическая система гибко и многомерно анализирует состояние сети и риски информационных систем «в трех измерениях» — угрозы, поведение сети, поведение пользователей. Консоль централизованного управления Sourcefire Defense Center устанавливает взаимосвязь атак с данными анализа активности пользователей и сети реального времени и централизованно управляющая сетевой безопасностью и операциями, включая мониторинг событий, назначение приоритетов инцидентов, криминалистический анализ и отчетность, усиливая тем самым защиту бизнеса. Sourcefire 3D Sensors представляют собой отказоустойчивые сетевые устройства с пропускной способностью от 5Mbps до 10Gbps, они могут работать в режиме пассивной сборки информации о сетевой активности и активности пользователей, а также активно защищать сеть от внутренних и внешних атак. Адаптивная система IDSIPS корпоративного уровня способна комплексно отслеживать события в сети и обеспечивать безопасность информационных систем.

В своем втором выступлении на форуме Сергей Маковец на базе решения ArcSight ESM провел интерактивное управление системой на глазах у аудитории, моделирование инцидентов и проведение интерактивных расследований. ArcSight ESM  позволяет управлять журналами безопасности, отслеживать и предотвращать случаи использования сетевыми ресурсами незащищенных протоколов, уязвимости баз данных, активностей злонамеренного ПО и несанкционированных изменений конфигурации оборудования, а также оптимизировать процесс управления инцидентами. ArcSight ESM  обеспечивает мониторинг соответствия стандартам PCI-DSS,  ISO 27001 и формирует более 80 готовых отчетов управления рисками и соответствия техническим требованиям.

 

Евгений Гончаренко, Менеджер по развитию бизнеса, БАКОТЕК, предложил пути автоматизации и управления корпоративными политиками безопасности в гетерогенной ИТ среде, используя решения Quest Software, которые успешно решают задачи оптимизации и администрирования баз данных Oracle и SQL Server, осуществляют мониторинг и управления инфраструктурой Windows  (Active Directory, Microsoft Exchange, Microsoft SharePoint,  Microsoft Lync), гетерогенных сред Microsoft/Unix/Linux/Mac, миграцию  данных без влияния на работу пользователей (на AD c NT и NDS, на последние версии Microsoft Exchange и Microsoft SharePoint с предыдущих версий и конкурирующих платформ, на последние версии Oracle с предыдущих версий), а также управление виртуализацией и облачными вычислениями.

В своем втором докладе Евгений Гончаренко рассказал о реализации безопасного доступа в интернет и эффективном управлении удаленным доступом на базе Microsoft Forefront Security Appliances от компании Celestix. Многослойная защита периметра сети включает в себя веб-фильтрацию и антивирусную защиту, расширенный брандмауэр уровня приложений защищает сеть анализируя пакеты на нескольких уровнях, сканирование HTTPS исследует зашифрованный трафик на вредоносное ПО и malware-туннели, мониторинг IDS/IPS предотвращает аномальную активность внутри брандмауэра. Режим обратного прокси-сервера (reverse proxy) позволяет безопасно публиковать приложения и обеспечивает безопасный веб-серфинг пользователей. Функции кеширования сохраняют пропускную способность сети во время работы security-приложений.

Маркус Ауэр, директор по продажам в Центральной и Восточной Европе компании Q1 Labs, представил делегатам новые для рынка Украины поколение  решения  SIEM решений. QRadar SIEM помогает службам безопасности обнаруживать угрозы, соответствовать нормативным требованиям регуляторов, прогнозировать риски и обнаруживать инсайдеров, а также собирать информацию о событиях систем безопасности – (брандмауэров, VPNs, IDS/IPS и других), анализировать активность сети (контекстные идентификаторы протоколов 7-го уровня от сетевого трафика и приложений) и активность пользователей (данные продуктов Identity and Access Management и сканеров уязвимостей, журналов событий приложений — ERP, документооборота, баз данных приложений, административных платформ. В Украине дистрибутором Q1 Labs является компания headtechnology.

Инновационную технологию InZero для защиты ПК и предотвращения несанкционированного доступа к информации представил Денис Матросов, директор компании «Тибериус». Программно-аппаратный комплекс, подключаемый к ПК по USB, «прячет» ПК в оффлайн и принимает на себя все атаки —  в сети виден только InZero. Вся информация, поступающая извне, транслируется пользователю в видео-потоке с устройства. Находящиеся на ПК зловредное ПО не может отправить какую-либо информацию в сеть, т.к. сетевые интерфейсы на ПК отключены. Дополнительные функции защиты, такие как аппаратный фаервол, некеширующийся прокси, анализ файлов по внутренней структуре и их конвертация в безопасные форматы, а также аппаратное подтверждение исходящей почты обеспечивают защиту данных. Браузер на InZero позволяет безопасно посещать любые ресурсы и общаться в социальных сетях без угрозы заражения ПК. Предустановленные на InZero IM и VoIP защищают сетевые коммуникации. Офисные приложения – Office, PDF, Archiver и ImageViewer позволяют работать с любыми файлами без угрозы компрометации информации на ПК. Также реализована возможность организации безопасных VPN каналов для подключения к существующим сетям, установки персональных VPN каналов между 2-мя (и более) InZero. Сетевые интерфейсы – Ethernet и Wi-Fi, позволяют подключаться к сети практически в любой точке, где есть доступ. InZero можно в крупных организациях для защиты важных ПК, для организации защищенных сегментов сети, например выделения бухгалтерии в защищенную подсеть, подключения удаленных сотрудников, организации защищенных конференций.

Управление административными правами доступа на основе продуктов BeyondTrust представил Павел Коновалов, руководитель отдела регионального развития по СНГ российской компании AFLEX  DISTRIBUTION. BeyondTrust является экспертом в области управления и контроля правами доступа, а также одним из лидеров рынка решений для управления безопасностью виртуальных и «облачных» окружений. С точки зрения бизнеса, осуществляется управление действиями пользователей стационарных и мобильных рабочих станций, а также управление действиями системных администраторов в средах, требующих высокого уровня безопасности, например, рабочих баз данных, контроллеров доменов и сетевого оборудования.

Кроме продуктов BeyondTrust, Павел Коновалов представил участникам форума и другие решения в сфере информационной безопасности, входящие в портфель AFLEX  DISTRIBUTION. Продукты Acronis обеспечивают резервное копирование и восстановление данных и ОС на новые устройства или в виртуальную среду, централизованное управление интегрированное с политиками, минимизация дискового пространства архивов с помощью дедупликации. Решения Bitdefender представляют собой комплекс защиты всех компонентов корпоративной сети. Консоль управления и распределенная архитектура Bitdefender управляет контролем пользователей на корпоративном уровне. Решения PrintAudit   используются для полного контроля и оптимизации процессов корпоративной печати, контроля бумажного документооборота для планирования бюджета, расчета затрат и подбора оборудования. Еще один продукт, представленный на форуме – решения Mirapolis Virtual Room, которые представляют собой программное обеспечение для проведения видеосовещаний, корпоративных онлайн-семинаров и удаленных презентаций с широкими возможностями совместной работы.

Модератор Форума, независимый эксперт в сфере информационной безопасности Василий Сметанин выступил с аналитическим докладом «Вектор развития рынка ИТ-безопасности. Главные тренды информационных угроз 2011, новые угрозы и их динамика прогрессирования». Докладчик выделил следующие тенденции рынка ИБ: неэффективность традиционных файлов сигнатур и конкуренция вендоров в несигнатурных проактивных решениях; объединение решений end point protection и data loss prevention; рост инвестиций в технологии контроля приложений и доверия ресурсам – файлам, сайтам, приложениям;  рост приложений контроля и безопасности облачных приложений.

Возможности восстановления систем и данных с помощью решений StorageCraft ShadowProtect раскрыл в своем выступлении Мирослав Бондарь, менеджер по развитию бизнеса компании БАКОТЕК. Программа осуществляет резервное копирование серверов и рабочих станций без остановки работы на локальный, съемный, сетевой или удаленный носитель; полный, инкрементальный и дифференциальный бэкап дисковых разделов на уровне секторов, резервное копирования Exchange и SQL серверов без остановки работы (прямая поддержка Microsoft VSS). Полное восстановление осуществляется без привязки к аппаратной конфигурации в физическую или виртуальную среду (P2P, P2V, V2P, V2V). Образы резервных копий можно смонтировать как отдельный диск и открыть к нему доступ по сети (для восстановления файлов и папок), сканировать на наличие вирусов и лечить. Решение полностью совместимо с VMWare Workstation и Microsoft Virtual PC. Технология для обеспечения непрерывности рабочих процессов HeadStart  Restore позволяет системным администраторам вместе с задачей резервного копирования параллельно выполнять восстановление в виртуальную машину. В случае сбоя или аварии администратору остается только финализировать процесс восстановления последних инкрементальных файлов на виртуальный диск и запустить его в виртуальной среде. В результате процесс восстановления занимает минуты не зависимо от объема данных. Осуществляется централизованное управление процессами резервного копирования.

Контроль web-приложений с помощью программного блейда Check Point Application Control представил делегатам Александр Рапп, консультант по информационной безопасности компании RRC Украина. В новом блейде реализована технология UserCheck, благодаря которой сотрудник вовлечен в процесс принятия решений, а у администратора есть возможность индивидуально настраивать политики использования приложений. Кроме того, программный блейд обеспечивает прозрачность приложений с помощью крупнейшей библиотеки приложений Check Point AppWiki, в которую входят более 50000 виджетов Web 2.0 и более 4500 Интернет-приложений, таких как социальные сети, средства мгновенного обмена сообщениями и системы медиатрансляции. UserCheck также предупреждает пользователей о потенциальных факторах риска, связанных с приложениями, и выясняет цель открытия приложения: для личного или рабочего использования, информирует сотрудников о принятых в компании правилах работы с приложениями и предоставляет ИТ-администраторам сведения о характере их использования. Таким образом реализуется сочетание надежной технологии защиты и средств информирования пользователей.