– В последнее время в Cisco активизировала работу в направлении информационной безопасности. Расскажите об истории возникновения и развития этого тренда в компании.
– Информационной безопасности в Cisco всегда уделялось большое внимание, т.к. любой маршрутизатор и коммутатор содержит механизмы защиты. Первые решения по безопасности появились у Cisco в 1996 году после покупки одной из компаний, специализировавшихся в этой области, выпускавшей межсетевые экраны, после чего появилось решение Cisco Pix.
С этого момента информационная безопасность начала формироваться в Cisco как отдельное направление. При этом, если изначально вопросы безопасности концентрировалась для нас вокруг сетевой инфраструктуры, то со временем, с появлением мобильных технологий и облаков портфолио ИБ-решений стал расширяться за счёт собственных разработок, приобретения других компаний, а также взаимодействий с партнёрами. За двадцать с лишним лет Cisco приобрела свыше ста двадцати предприятий, специализировавшихся в области информационной безопасности. Их решения впоследствии дополнили наши собственные разработки. Мы выделили информационную безопасность в отдельную вертикаль, и сейчас это самостоятельное направление с приоритетом номер один, так как с нашей точки зрения безопасность пронизывает абсолютно все, а не только сетевую инфраструктуру отдельных предприятий.
– Судя по последним докладам, значительная активизация в этом направлении со стороны Cisco началась не так давно
– Да, за последние года три это направление стало активно развиваться, с момента приобретения компании Source Fire (с технологией Next Generation Security). Если раньше мы концентрировались на уровне сети, то новая технология позволила глубже анализировать трафик, передающийся в веб, Skype, Facebook и т.д. Кроме того, появилась система предотвращения вторжения на сетевом и прикладном уровне с контекстной составляющей, а возможность борьбы с вредоносным кодом. С этого момента мы вышли за рамки вендора решений сетевой безопасности.
– Что побудило к этому шагу и какие моменты за прошедшие несколько лет вы могли бы особо отметить?
– Несколько лет назад мы занимали около 40% международного рынка безопасности. Дальше расти с нашими решениями было сложно, в зависимости от сегмента Cisco была лидером в сегменте систем предотвращения вторжения, сетевых экранов и т.д., поэтому необходимо было н найти решения, которые обеспечили бы рост бизнеса. Кроме того, мы пришли к пониманию, что можно продавать решения, которые используем у себя.
Надо отметить, что сейчас у нас активно развивается направление защиты внутренней сети организации. Как правило, предприятия защищают только точку выхода в Интернет, однако поскольку периметр становится все более размытым из-за появления облаков, удалённого и мобильного доступа, необходима защита и внутри сети. Такую защиту для внутренней сети обеспечивает, например, решение Cisco Ise.
Также мы работаем в направлении безопасности облаков - у нас заключено соглашение с компанией Elastica, и мы предлагаем решение Cloud Access Security, поскольку какой бы периметр ни был у предприятия, данные сложно контролировать, если они ушли в облако. Данное решение позволяет распространить наши технологии на инфраструктуру внешнего провайдера.
И, наконец, ещё одно важное направление - Интернет вещей и его безопасность. Мы приобрели компанию Open DNS, решение которой позволяет отслеживать работу любого устройства, независимо от того, стоит за ним пользователь или нет.
– Как сейчас выглядит базовый набор продуктов Cisco в области информационной безопасности на глобальном уровне?
– Можно выделить несколько больших групп решений. Во-первых, это продукты для защиты периметра -межсетевые экраны, решения для предотвращение вторжения, контентной фильтрации и так далее.
Далее, мы предлагаем продукты для защиты внутренней сети на базе виртуальных решений - контроль доступа, мониторинг аномальной активности, обеспечиваемые Cisco Ise и Lancope.
Для мобильных пользователей предлагаются Any Connect и Advanced Malware protection, Open DNS и решение Cloud Web Security, которое устанавливается у оператора связи и затем предлагается пользователям.
Специально для российских государственных органов мы делаем решения совместно с российскими компаниями (Астерос, Инфотекс, Positive Technologies).
Сегодня мы предоставляем в России не все наши решения, так как поддержка некоторых из них осуществляется только на английском языке. Компания планирует предоставлять российским пользователям весь спектр сервисов в области информационной безопасности, когда в стране появится наш локальный центр. Возможно, это произойдёт к лету текущего года.
– Доступны ли ваши сервисы или продукты частным пользователям?
– Бесплатный сервис Open DNS, который позволяет проверять безопасность трафика, доступен частным пользователям и в России, и за рубежом. Кроме того, российские операторы связи могут разворачивать у себя наши решения и предоставлять своим абонентам наши сервисы уже от своего имени на платной основе.
– Вы бы посоветовали подключить Open DNS нашим домашним пользователям, использующим родительский контроль?
– Да, с помощью Open DNS можно контролировать опасный для детей контент в том числе. Это не исключает работу антивируса, который может быть также дополнен нашим решением Advanced Malware Protection. Однако в России сейчас это решение больше ориентировано на корпоративный рынок, и провайдеры не предлагают этот сервис своим клиентам. Advanced Malware Protection в полном объёме не заменяет антивирус, а расширяет его функционал, и у пользователей возникает очевидный вопрос, зачем нужно за это платить. Однако если традиционный антивирус обнаруживает известные вирусы, то Cisco предлагает возможность обнаружения неизвестных вирусов за счёт анализа данных по четырёмстам различным параметрам – куда обращается файл, шифрует ли он данные, получает ли он команды извне и так далее. Поэтому даже не имея сигнатуры мы можем сказать, что файл вредоносный. При этом решение работает на более глубоком уровне, нежели эвристика, плюс разворачивается на большом количестве платформ – Windows, Mac, Linux, мобильные платформы и т.д.
– Странно, что ни у одного оператора связи в России нет настроенного OpenDNS
– В России решение практически не было представлено, хотя в мире это один из самых популярных сервисов для защиты от вирусов.
Специфика в том, что чистый трафик, без вредоносных примесей, невыгоден для провайдера - чем больше в трафике грязи, тем он тяжелее и провайдер получает больше денег. Возможно, это одна из причин, по которой такие решения как Open DNS не приживаются. Другое дело, если бы за чистый трафик потребитель готов был платить. У пользователей сейчас нет настолько явной потребности в чистом трафике, чтобы он был готов отдавать за него деньги, а провайдеру неинтересно продвигать то, что пользователь не хочет оплачивать. Человеку ведь в большинстве случаев свойственно задумываться о защите не заранее, а только после того, как ему навредит какой-нибудь вирус.
– Что сейчас пользуется спросом на глобальном и российском рынке и есть ли корреляция спроса с общей ситуацией в области информационной безопасности?
– Традиционно пользуются спросом межсетевые экраны, система предотвращения вторжений и системы защиты электронной почты и VPN. По поводу других решений все зависит от нюансов и конкретных проблем отдельных корпоративных потребителей, у которых появилась необходимость защитить свой периметр или облако, и так далее.
Это, к сожалению, не коррелирует с активностью злоумышленников, которые понимают, что у всех есть файерволы, и поэтому ищут механизмы динамической смены кода, либо пытаются проникнуть в сеть. Существует большое несоответствие между тем, как строят системы защиты предприятия, и тем, как действуют злоумышленники. Организациям необходимо защищать не только периметр, но и внутреннюю сеть, не только поставить антивирус на каждую машину, но и анализировать внутренний трафик, защищать облака и т.д.
– Какие угрозы характерны для текущего момента времени и для ближайшего будущего?
– Угрозы не меняются - это вирусы, трояны, DDos-атаки, утечки данных. Меняются только способs их реализации. Если раньше у злоумышленников была в основном одна точка входа через какую-либо уязвимость, то сейчас десятки уязвимостей позволяют им разными способами проникать в сеть и использовать находящиеся там данные. При этом вредоносные программы как правило работают необнаруженными очень долгое время, иногда в течение года. Проблема в том, что из-за конкурентной борьбы и необходимости быстрее выпускать продукты, большинство программных решений выпускаются без надлежащего учёта вопросов информационной безопасности, чем и пользуются злоумышленники. Как известно, бывали случаи, когда у организации снимали со счета до четырёхсот миллионов рублей.
– Можно ли в этом случае отследить, куда пошли деньги и вернуть их обратно?
– Это крайне затруднительно, так как всё делается очень быстро, и средства очень быстро обналичиваются, а также проводятся по разным банкам, и наше законодательство не даёт возможности оперативно блокировать эти цепочки. В частности, банк-получатель не имеет права вернуть средства обратно без судебного решения, но не может отказать своему клиенту в осуществлении платежа.
– Отличается ли структура служб информационной безопасности в России по функционалу и компетенции от западных ИБ-служб?
– В России те же самые проблемы и тренды, что и за рубежом. Подразделение по информационной безопасности как правило подчиняется ИТ-подразделению, несмотря на то, что ИБ по логике должно контролировать ИТ. Иногда ИБ входит в структуру общего подразделения по безопасности, реже – подчиняется напрямую директору. Все зависит от важности ИТ и ИБ на отдельно взятом предприятии. В то же время происходит расширение функционала, специалисты по безопасности начинают заниматься борьбой с мошенничеством, обеспечивать непрерывность процессов – это глобальный тренд.
– В каком направлении планирует двигаться компания Cisco с точки зрения продвижения своих продуктов и услуг на глобальном рынке и в России?
– Это прежде всего повсеместная безопасность – облако, корпоративная сеть, мобильный сегмент. Мы стремимся к тому, чтобы наши решения не только присутствовали в сети, но и могли обмениваться между собой данными, без участия человека давать команды друг другу, обнаруживать нечто, что эти устройства не могут обнаружить, работая каждое в отдельности, анализировать поведение пользователей и программ. Учитывая нехватку специалистов по информационной безопасности, мы предлагаем потребителям соответствующие сервисы Cisco в этой области.
– Можно ли дать прогноз развития рынка информационной безопасности на ближайшие несколько лет?
– Рынок ИБ будет и дальше расти, так как информационная инфраструктура вокруг нас расширяется и меняется, а методы и инструменты злоумышленников со временем будут становиться дешевле и доступнее. При этом наряду с новыми вредоносными методами мы наблюдаем тенденцию возврата злоумышленников к старым средствам – например, к шифрованию в MBR (Master Boot Record) и макровирусам, - то есть к тому, с чего в своё время все начиналось.
В недалёком будущем мобильность, облака и интернет вещей превратятся уже не в эпизодические явления, а станут мейнстримом, и соответственно это заставит тех же самых ИБ-специалистов пересмотреть свои подходы к защите данных. С другой стороны есть понимание, что все небольшие компании уйдут из этого сегмента, останется несколько крупных компаний.