В интервью редактору раздела аппаратных средств «BYTE/Россия» Александру Николову руководитель Центра компетенции Trend Micro в России и СНГ Михаил Кондрашин рассказывает о проблемах построения комплексной системы информационной безопасности для малых и средних компаний.

«BYTE/Россия»: Какой, с точки зрения компании Trend Micro, должна быть оптимальная и сбалансированная стратегия обеспечения информационной безопасности в средних и небольших компаниях, чтобы она была способна защитить их от всего спектра угроз — вирусов, шпионских программ, враждебных проникновений, спама?

Михаил Кондрашин: Начнем с того, что единой стратегии, пригодной для всех компаний сразу, нет и быть не может — дело в том, что у любого предприятия бизнес устроен по-своему, соответственно, в каждом конкретном случае имеет место свой ряд специфических рисков. Один из ключевых моментов здесь — уровень информатизации компании: чем выше степень проникновения ИТ в бизнес-процессы предприятия, тем сильнее становится зависимость бизнеса от ИТ-инфраструктуры компании, а в результате любая информационная угроза — это уже не чисто техническая проблема второстепенной важности, это прямая угроза бизнесу.

Для крупных компаний у Trend Micro есть специализированная стратегия защиты корпоративных сетей. Это своеобразная матрица, включающая все наши продукты для верхнего корпоративного сегмента и обеспечивающая оптимальный уровень защиты. Одна из особенностей этой стратегии — она предполагает активные действия ИТ-персонала, т. е. необходимо ее сопровождение силами квалифицированных специалистов.

Для малого и среднего бизнеса такой подход, к сожалению, неприменим. Дело в том, что в компаниях небольшого масштаба обычно нет выделенных ИТ-специалистов. Я уж не говорю о том, что там нет выделенных специалистов в области информационной безопасности, — не всегда там даже есть системные администраторы. В результате стратегия, применимая к крупным компаниям, в данном случае не подходит из-за чисто практических ограничений — нет ключевого звена, нет человека, который должен ее реализовать. Поэтому в секторе SMB мы предлагаем стратегию Worry Free. В продуктах, разработанных в ее рамках, все аспекты стратегии для крупных компаний автоматизированы.

Разумеется, при каждом внедрении наши партнеры могут дать конкретную рекомендацию. Однако при этом конечно же есть и некоторые общие рекомендации относительно информационной безопасности для небольших предприятий. Разговор о них лучше всего начать с того, чего делать не следует.

Что же не работает в случае малого и среднего бизнеса? Не работает подход, когда по каждому направлению компания внедряет лучший из имеющихся на рынке продуктов (у каждой компании свой набор критериев, и «лучшими» оказываются разные продукты). Имеются в виду отдельные продукты для защиты от вредоносного кода, для защиты от спама, отдельное решение для архивации электронной почты, модули контроля и управления и т. д. Для малого и среднего бизнеса это немыслимо дорого — построение такой системы обойдется существенно дороже стоимости всех этих продуктов.

В то же время в SMB-секторе распространен прагматический подход к проблеме информационной безопасности: раз в компании есть электронная почта, значит, у нее должна быть защита от вирусов и спама, есть шлюз в Интернет — должен быть межсетевой экран, есть рабочие станции — обезопасить каждую антивирусом. В рамках такого подхода оптимальное решение — это использование устройств типа UTM (Unified Threat Management), которые устанавливаются на шлюзе и защищают сразу от всех угроз, и средств комплексной защиты рабочих станций и серверов. Это позволяет, с одной стороны, построить эффективную систему защиты, а с другой — свести к минимуму количество поставщиков и спектр необходимых решений, что упрощает интеграцию с уже существующей инфраструктурой и дальнейшую эксплуатацию.

Понятно, что решения класса UTM не могут быть оптимальны по всем своим параметрам, какая-то функциональность у них будет хуже, чем у специализированных решений. Однако для малого и среднего бизнеса такой компромисс между функциональностью и удобством вполне приемлем — по сумме баллов UTM-решения наиболее практичны в условиях реальной работы SMB-компаний. Важно отметить, что в данном случае речь не идет о каких-то компромиссах с уровнем безопасности, где UTM-решения уступали бы специализированным системам. Речь идет о гибкости систем управления, о развитости функций для интеграции в ИТ-инфраструктуру, о масштабируемости, о возможности построения отказоустойчивых конфигураций и тому подобных вещах. На самом деле существует множество аспектов построения систем информационной безопасности, жизненно важных для крупных заказчиков, но непринципиальных для малого бизнеса. Все эти возможности обходятся заказчику очень недешево, и раз для малых компаний в них нет особой необходимости, почему бы не отказаться от них вовсе? В этом-то и состоит ключевое различие между UTM-решениями и специализированными системами.

«BYTE/Россия»: Что представляет собой упомянутая вами концепция Worry Free? Какие продукты в рамках этой стратегии предлагает Trend Micro, в чем их особенности и преимущества перед конкурирующими решениями?

М. К.: Концепция Worry Free гласит, что продукты для малого и среднего бизнеса должны быть сделаны адекватно его реалиям. В России мы продвигаем эту концепцию под лозунгом «Легко!», который характеризует ее идею и суть.

У концепции есть три составляющие. Первая — это нулевое администрирование. В небольшой и даже средней компании нет узких специалистов в области информационной безопасности, и это означает, что продукт, по сути, никак не администрируется во время эксплуатации. Даже если такая компания внедряет самое изощренное средство защиты, фактически оно оказывается необслуживаемым, и вспоминают о нем только в критические моменты. В результате эффективность защиты катастрофически низка. Поэтому продукт должен разрабатываться с таким прицелом, чтобы не предполагать участия администратора вовсе.

Вторая составляющая концепции гласит, что продукт должен быть единым. Не нужно набора модулей, каждый из которых предназначен для решения какой-то своей задачи и с каждым из которых еще нужно предметно разбираться. Должен быть один продукт, который защищает сразу все основные точки проникновения вредоносного кода. И третье — это автоматизация всех этапов работы системы. Скажем, если продукт выявляет некий вирусный код, он должен самостоятельно попытаться его удалить. Если это невозможно по каким-либо причинам, продукт также самостоятельно должен активировать другие механизмы борьбы с вирусами, основанные на иных принципах и алгоритмах работы. Это уничтожение заразы непосредственно в оперативной памяти, чистка реестра и т. д. — иначе говоря, все то, что иногда приходится делать администратору в ручном режиме. Таким образом, продукт должен заменять системного администратора при выполнении рутинных процедур.

Продукт, предлагаемый Trend Micro в рамках этой стратегии, называется Client Server Messaging Security for SMB. Он одновременно защищает и почтовые системы Exchange, и файловые серверы, и рабочие станции сотрудников, и при этом его дистрибутив представляет собой один-единственный исполняемый файл. Этот модуль устанавливается на единственный сервер, а уже из него автоматически разворачивается защита для всех остальных систем предприятия. Такого решения нет ни у кого из наших конкурентов.

Ключевые преимущества нашего продукта состоят в следующем. Во-первых, это автоматическая очистка от вредоносного кода, самостоятельно адаптирующаяся к ситуации и использующая целый арсенал инструментов для борьбы с вирусами. Во-вторых, это нулевое администрирование — все сделано так, чтобы исключить лишние вторжения в работу системы. В панели управления текущий статус отображается специальными семафорами, что позволяет легко определить проблемные области, требующие вмешательства. При этом система сообщает не о каких-то маловажных событиях, а действительно о серьезных проблемах — механизм пороговых значений меняет семафоры только тогда, когда проблема принимает системный характер. Например, если количество обнаруженных в единицу времени вирусов превышает некое предустановленное значение, это может означать начало вирусной эпидемии и требует вмешательства персонала. Факт единичного обнаружения вируса в целом не представляет существенного интереса и не требует внимания администратора, которого, как мы помним, в малой компании может и вовсе не быть. Более того, система автоматически сигнализирует о тех событиях, с которым она не в состоянии справиться самостоятельно. Это может быть окончание лицензии на автоматическое обновление антивирусной базы, или отсутствие свободного места на жестком диске сервера, или что-то еще, что требует непосредственного вмешательства человека. Кстати, для того чтобы быть в курсе событий, даже не требуется непосредственно заходить в панель управления — все необходимые отчеты, формируемые по фактам выхода за те или иные пороговые значения, автоматически отсылаются на указанный при установке адрес электронной почты.

Третье преимущество — это возможность дистанционного администрирования через Интернет. Имея в своем распоряжении Web-браузер и доступ в Интернет, можно открыть панель управления и полностью контролировать ситуацию. С точки зрения малых и средних компаний это серьезный плюс. Во-первых, управление системой можно препоручить высококвалифицированным специалистам в области информационной безопасности, при этом их присутствие на территории заказчика практически не требуется. Во-вторых, даже у небольших по масштабам предприятий инфраструктура может быть территориально распределенной. Благодаря удаленному администрированию можно контролировать все ее компоненты из одной точки, что значительно упрощает процесс эксплуатации.

Четвертое преимущество системы Client Server Messaging Security for SMB состоит в том, что она снабжена системой анализа уязвимостей — автоматически определяется, каких критически важных заплат для ОС Microsoft Windows не хватает в текущей системе, и пользователю отправляется соответствующее уведомление. Если клиент внемлет предупреждениям и устанавливает все указанные заплаты, он сразу существенно снижает риск заражения различным вредоносным кодом. Разумеется, сам сканер — это не уникальный продукт; уникальна его интеграция в единую систему — аналогичные по функциональности сканирующие решения требуют отдельного внедрения, стоят отдельных денег и по этой причине чрезвычайно редко используются в среде малого бизнеса.

Следующий, уже пятый по счету, момент связан с тем, что в продукт встроен межсетевой экран, позволяющий блокировать всевозможные сетевые атаки и защищаться от хакеров. Он важен не столько для машин, которые находятся внутри корпоративной сети, сколько для ноутбуков. После отключения от внутренней сети предприятия политики могут автоматически перестроиться на менее дружелюбные к окружению. Помимо стандартной фильтрации пакетов в число возможностей этого экрана входит блокировка сетевых червей. Каждый входящий пакет анализируется с применением специальных технологий, что позволяет обнаружить попытки взлома и проникновения червей на уровне внешнего периметра.

Мнение эксперта

Герман Булинов, продакт-менеджер по направлению информационной безопасности, компания Axoft

Концепция Worry Free была представлена компанией Trend Micro в самом начале года, и мы сразу почувствовали ее потенциал для российского рынка, особенно для региональных компаний. Предельная простота развертывания и администрирования в сочетании с традиционно надежными, хорошо зарекомендовавшими себя в корпоративной среде алгоритмами защиты Trend Micro — это именно то, что ждали потребители из сегмента малого и среднего бизнеса. Не последнюю роль сыграла и локализация решения.

Забегая вперед, скажу, что наша ставка на продвижение продуктов семейства Worry Free в среде наших реселлеров полностью оправдала себя: объем поставок продуктов Trend Micro для среднего и малого бизнеса увеличился более чем вчетверо. Многие партнеры живо откликнулись на наши инициативы, в числе которых была серия региональных партнерских семинаров, сертифицированное обучение специалистов компаний-реселлеров и промоакции, которые мы проводили совместно с компанией АПЛ, центром развития бизнеса Trend Micro в России и странах СНГ.

Развитие этого направления было непростой задачей — конкуренция среди производителей антивирусных и смежных решений на российском рынке сейчас высока как никогда. Но мы удовлетворены совместной работой с компанией АПЛ, ее результатами и на будущий год планируем продолжить активное продвижение SMB-линейки Trend Micro.

«BYTE/Россия»: Существуют ли в арсенале Trend Micro какие-либо консультативные сервисы, нацеленные на то, чтобы помочь небольшим и средним компаниям определить наиболее актуальные для них угрозы и подобрать действенные способы их устранения?

М. К.: Как я уже говорил, работа с заказчиками у нас идет через партнерский канал, и эта область не является исключением — все консультационные услуги оказывают наши локальные партнеры. В свою очередь их компетенцию мы стараемся поддерживать на максимально высоком уровне — в специализированных курсах рассматриваются не только сами продукты Trend Micro, но и стратегия нашей компании в области защиты корпоративных сетей. Это дает партнерам полную картину того, как надо правильно строить защиту. А конкретно то или иное решение уже подбирает системный интегратор или продавец исходя из особенностей бизнеса заказчика и его реальных потребностей.