Технологический консультант компании Cisco Павел Антонов рассказал о SaaS-платформе для организации услуг веб-безопасности операторами связи – Cisco ScanSafe. По словам выступающего, SaaS-услуги в области безопасности являются достаточно новой темой для российского рынка и в целом для компании Cisco тоже. ScanSafe является одним из последних приобретений компании Cisco, и сейчас уже стала частью организации (процесс приобретения был окончательно завершён в декабре 2009 года). В своё время компания ScanSafe была пионером в области SaaS-услуг для веб-безопасности – именно она запустила первый коммерческий сервис, который оказался достаточно успешным на рынке. На данный момент компания является мировым лидером, и, по оценкам специалистов, 40 % рынка SaaS-услуг для веб-безопасности принадлежат ScanSafe (а теперь уже Cisco). Основной сферой деятельности ScanSafe является защита компаний по всему миру от актуальных на сегодняшний день веб-угроз. За день производится более 1 млрд веб-транзакций, а 80 % продаж ведутся через операторов связи. Клиенты компании находятся более чем в 100 странах, причём сейчас за счёт присоединения к Cisco наращивание клиентской базы значительно ускорилось. Так, среди особо значимых клиентов ScanSafe такие крупные компании, как Shell и IKEA.
По словам г-на Антонова, SaaS-технология имеет большое преимущество перед остальными сервисами безопасности, которое выражается в том, что никакого «железа» на сайт клиента ставить не нужно – за счёт этого заказчик освобождается от многих сложностей, связанных с доставкой, установкой, размещением и т. д. Оплата также берётся как за сервис (то есть услугу), а не как за оборудование. «Данный «облачный» сервис целиком и полностью нацелен на проверку веб-трафика и защиту от угроз, потому что именно http-трафик стал «новым TCP» – и именно на нём генерируется весь бизнес. Кроме того, злоумышленники также посылают свои угрозы через http – это стало удобно во многом не только с точки зрения бизнеса, но и с точки зрения техники и оборудования. Дело в том, что у большинства владельцев сайтов попросту нет технических возможностей, чтобы обеспечить полную безопасность своего контента. Поскольку контент берётся из разных мест, злоумышленники этим пользуются и «заражают» страницы, просто помещая туда ссылку на скрипт из другого домена. Этот скрипт и предпринимает попытки атаковать браузер и в случае удачной атаки загружает туда вредоносный код», – объяснил Павел Антонов.
Рассказывая о том, как от данных угроз может помочь SaaS, г-н Антонов упомянул, что у компании ScanSafe имеется несколько ЦОД’ов в разных частях света и работа ведётся каждый раз с тем ЦОД’ом, который находится ближе всех. По поводу того, как происходит собственно защита от вредоносного кода, выступающий пояснил, что каждая страничка разбирается на компоненты, для каждого объекта есть специализированный «движок», который проверяет данный компонент на предмет угроз. Технология у ScanSafe практически вся своя, кроме того, на данный момент используются «движки» двух компаний – Symantec и отечественной «Лаборатории Касперского». Помимо защиты от веб-угроз сервис, по словам г-на Антонова, предоставляет возможность фильтрации контента. Это в первую очередь традиционная URL-фильтрация сайтов по категориям, динамическая классификация неизвестных сайтов (за 1/1000 секунды), а также обработка поисковых запросов SearchAhead (в рамках данной технологии происходит классификация запросов и уведомление пользователя). У каждого клиента ScanSafe имеется портал, в котором он может провести все настройки, в том числе настроить политики веб-фильтрации.
Компания Cisco ScanSafe предоставляет своим партнёрам помощь по продаже данного решения – осуществляется обучение продавцов, служб маркетинга и инженеров, кроме того, проводятся маркетинговые акции, семинары и telesales. Также на первых порах компании снабжаются маркетинговыми материалами и калькуляторами ROI, и происходит интеграция в существующую инфраструктуру OSS/BSS. По словам Павла Антонова, весь этот процесс направлен на то, чтобы оператор связи был успешен в этом бизнесе, в продаже данной услуги – это выгодно как самому оператору, так и компании-поставщику.
О системе менеджмента информационной безопасности системы управления IP-сети «Компании «ТрансТелеКом» рассказал руководитель ее группы сопровождения систем информационной безопасности Станислав Косогоров. Начав свое выступление с короткого рассказа о компании, г-н Косогоров упомянул, что данная организация была создана в 1997 году, акционером её является ОАО «Российские железные дороги», а магистральная сеть ТТК включает в себя более 53 тыс. км. оптических линий связи и охватывает 71 субъект России (90 % населения страны). Целью построения СМИБ (системы менеджмент-информационной безопасности) является, по словам выступающего, обеспечение выбора адекватных и соответствующих мер обеспечения безопасности, с помощью которых осуществляется адекватная защита информационных активов и создаётся доверие заинтересованных сторон. Областью распространения СМИБ является система управления магистральной IP-сети, а объект защиты представляет собой распределённый аппаратно-программный комплекс, который предназначен для выполнения некоторых функций управления, мониторинга, контроля и отслеживания сбоев в сети и параметров производительности. В комплекс предоставляемых системой услуг входит в том числе создание защищённых корпоративных сетей компаний, фильтрация DDoS-атак, противодействие распространению нежелательного контента, а также организация защищённого доступа в Интернет из виртуальных частных сетей корпораций и организация удалённого доступа к виртуальным частным сетям корпораций.
Вопрос построения центра управления безопасностью осветил руководитель службы развития информационной безопасности компании «ВымпелКом» Сергей Сажин. Напомним, что «ВымпелКом» является одним из ведущих интегрированных телекоммуникационных операторов России, вторым крупнейшим оператором сотовой связи СНГ (по данным 2006 года), предоставляющим услуги под торговой маркой «Билайн». Г-н Сажин рассказал о таком решении, использующемся в компании, как SOC (security operation center). Основными функциями данного центра управления безопасности является сбор, мониторинг и анализ событий ИБ, контроль соответствия элементов инфраструктуры компании требованиям ИБ, а также проведение аудитов информационной безопасности и организация предварительных проверок по фактам выявленных атак и нарушений требований ИБ. По словам выступающего, система безопасности – это довольно большая область, которая затрагивает и операционные вопросы, и существующий в компании регламент, и участие в различных проектах, программные осведомлённости, аудиты, персональные данные и многое другое.
При этом Сергей Сажин упомянул о том, что компания «ВымпелКом» достаточно велика и присутствует по всей России и в странах СНГ, поэтому из какого-то единого места управлять всеми событиями чрезвычайно сложно. Исходя из этого при построении системы безопасности компания наравне с другими центрами построила центральный SOC, который выполняет всю основную работу по мониторингу событий информационной безопасности, происходящих во всех компаниях. «Это позволяет нам на местах обеспечивать качественный и достаточный сбор событий по ИБ, определять их полноту и точность, а также контролировать непрерывность процесса. Во всех центральных управлениях имеются менеджеры, которые помогают нам в обеспечении тех процессов, которые SOC предоставляет компании», – сообщил г-н Сажин. Кроме того, руководитель службы развития ИБ заявил, что на сегодняшний день «ВымпелКом» обрабатывает порядка 120 млн событий в неделю – они собираются по всей имеющейся инфраструктуре. Основными объектами мониторинга являются серверы, базы данных и приложения, публичные сервисы, контроллеры доменов, proxi-серверы и рабочие станции, а также сетевое оборудование компании (межсетевые экраны, роутеры, устройства, терминирующие VPN-доступ) и системы обнаружения и предотвращения атак.
Директор по проектам корпоративного центра компании МТС Дмитрий Костров выступил с докладом на тему «Проблематика слияний/поглощений компаний в разрезе ИБ». По словам г-на Кострова, одним из механизмов создания и регулирования экономической эффективности в рамках деятельности предприятия является рыночное перераспределение прав собственности и смена или корректировка стратегии развития соответствующей компании. «При изучении этой проблематики в центре внимания оказывается рынок корпоративного контроля», который характеризуется двумя разнонаправленными процессами: интеграцией и дезинтеграцией. В первом случае мы имеем дело с такими процессами, как слияния и поглощения предприятий, а во втором – обратный процесс, связанный с выделением и разделением компаний», – заявил Дмитрий Костров. На рынке, по словам выступающего, в 2009 году было отмечено 730 завершённых сделок, что сопоставимо с итогами 2003 года и на 42 % меньше количества сделок за 2008 год. Среди факторов снижения г-н Костров назвал сокращение сделок в рамках приватизации государственных пакетов акций – 33 сделки вместо 2008 годом ранее. Кроме того, по словам докладчика, средние компании, активно использовавшие для роста стратегию М&А в 2004-2006 годах, переориентировались на стратегию оптимизации и реструктуризации. Напомним, что в конце прошлого года ОАО «Мобильные ТелеСистемы» совершило покупку контрольного пакета акций компании «Комстар – ОТС», оператора интегрированных телекоммуникационных услуг в России и СНГ (подробнее – см. новость раздела МТС от 6 августа 2009 г.).
По словам Дмитрия Кострова, по причине того, что операторы связи используют единые принципы (стандарты) организации связи и системы OSS/BSS, модель угроз безопасности и меры противодействия в информационных системах и сетях операторов связи являются схожими. «Имеется возможность и необходимость унификации мер защиты, описания минимального уровня безопасности для операторов связи и применения единого стандарта безопасности в системах операторов связи», – резюмировал г-н Костров.