C 27 февраля по 3 марта в Сан-Франциско в Moscona Center прошла выставка-конференция RSA Security 2012. Я был на ней первый раз. Поэтому обращал внимание практически на все.
Прежде всего поразил масштаб выставки. Это несколько тысяч человек, большинство из которых работает в области ИБ или интересуется ею. Высокий платеж за участие отсекал праздношатающихся посетителей и собирателей рекламы.
Второе, что бросилось в глаза, — возрастной состав участников. Если на наших выставках и конференциях их возраст можно охарактеризовать как 27+, ну, в крайнем случае, 30+, то на RSA 2012 большинство участников — 40+. То есть это люди, которые реально проработали в отрасли много лет.
Третье — статус выступающих в пленарной части выставки. Мероприятие это коммерческое, но здесь выступали бывший премьер-министр Великобритании и директор FBI. Я не припомню выставок в России, на которых были бы замечены, например, директор ФСБ или министр внутренних дел.
Четвертое — состав участников. Повторюсь, выставка — коммерческая. Я был очень удивлен, когда рядом со стендами крупных игроков рынка увидел стенды трех организаций — Department of Homeland Security, FBI и (как ни странно) NSA. Причем на стенде NSA был размещен плакат — «Делай бизнес с NSA!». Попробуйте хоть на минуту представить себе подобное в России. То-то же. На мой простой вопрос «а чего, ребята, вы все здесь делаете?» последовал не менее простой ответ — «а мы без частного сектора своих задач не решим, поэтому и пытаемся вписаться в эту экосистему на правах участника, пускай и с особым статусом». Как говорится, почувствуйте разницу.
Вывод прост: информационная безопасность в Европе и США — это активно развивающийся рынок, участники которого не зациклены исключительно на требованиях регуляторов. Есть реальные проблемы и потребности в безопасности у госведомств, коммерческих структур из разных отраслей. Поставщики продуктов и услуг и заказчики работают, ищут возможности для устранения проблем, минимизации рисков и развития своих организаций.
Какие еще выводы? Их немного, но они достаточно важные.
Прошедший год показал, что hacktivism (социальный протест с использование методов хакеров) представляет собой большую угрозу для большинства компаний.
Атаки стали более направленными и сложными. Появился новый класс атак — APT. Слабые стороны: совместное использование информации, человек — как уязвимое звено в ИБ, возрастающая сложность используемых систем и ограниченные возможности управления ими.
Все осознают серьезность угроз со стороны компьютерных злоумышленников, но никто пока не знает, что этим угрозам противопоставить. Директор FBI сказал замечательную фразу: «Сейчас организации находятся в двух состояниях. Либо вас уже сломали, либо сделают это в ближайшем будущем. Если раньше системы безопасности строились, чтобы защитить от взлома, то сейчас их главное предназначение в том, чтобы своевременно обнаружить взлом и начать противодействие».
Есть понимание принципов построения систем безопасности будущего (гибкость, проактивность, возможности расследования инцидентов и принятия ответных мер). Как это делать — пока никто не знает, все находятся в процессе поиска.
Сложная задача — защитить то, что ты не можешь напрямик контролировать. Системы будущего должны обладать следующими свойствами: базироваться на анализе рисков, быть гибкими, настраиваемыми и контекстуальными. Для этого в управлении ИБ нужно использовать модель big data.
В рамках этой выставки кроме экспозиции различных вендоров (EMC/RSA, Cisco, Symantec, McAfee, Sonicwall) была очень обширная дискуссионная программа, состоящая из совершенно разных по формату мероприятий: разбор кейсов, «круглые столы», некие подобия деловых игр, показательные взломы тех или иных систем.
Посетить хотя бы четверть мероприятий программы одному человеку физически невозможно. Поэтому я выбирал те, которые были интересны хотя бы по названиям и на которые можно было попасть, не выстаивая часовую очередь. Поэтому коротко резюмирую впечатления от тех мероприятий, на которых побывал.
На семинаре по рискам собрались эксперты: одни признают риск-менеджмент, другие — не признают. Разговор был высокоинтеллектуальным с преобладанием метафор и сравнений из живой и неживой природы.
Первые говорили о том, что чем безопаснее машина, тем рискованнее человек ею управляет. Вторые уверяли, что модель управления рисками не работает, потому что нет реальных сведений о вероятностях и проч. Если взять реальную таблицу проблем и частоты их возникновения, — то большая ее часть останется пустой. Поэтому нужно собирать статистику по своей организации, но не просто регистрацию инцидентов, а того, чем это вызвано и можно ли это было предотвратить, если да, то что надо поправить.
Это единственная ценная мысль, которую удалось вынести с семинара.
Дискуссия на тему удобной политики безопасности собрала много специалистов. Ее вел генеральный директор компании, специализирующийся на написании таких политик. Было затронуто много нюансов как написания таких политик, так и их внедрения в жизнь организации. Но закончилось ровно так, как и у нас. Словосочетание «политика безопасности» стало синонимом сферического коня в вакууме. Для одних это настройки средств защиты, для других — правила использования, для третьих — цели организации при использовании той или иной системы. Пришли к тому, что есть security policy, security framework & security guideline. Но за неимением достаточного времени разница между ними осталась до конца не выясненной.
Специально посетил разбор кейса по внедрению и защите мобильных устройств в здравоохранении. На пилотное внедрение — полтора квартала, еще полтора квартала — на обоснование финансирования. На реализацию проекта объемом в 13 тыс. устройств они отвели себе три года. Проект кроме мобильных устройств предполагает внедрение универсальных коммуникаций.
В качестве преимуществ были названы гибкость и удобство, снижение стоимости владения, мобильность, поддержка BYOD, переход к самообслуживанию, увеличение безопасности за счет терминального доступа.
Для защиты мобильных устройств предлагается следующее:
- Запрещается сохранять документы на мобильном устройстве. То есть мобильное устройство используется только как средство просмотра online. Также запрещены локальные е-мейл-архивы в виртуальной среде.
- На самих устройствах при помощи политик устанавливаются удаленное затирание данных, шифрование данных на устройстве, скринсейвер, защита от перебора пароля с затиранием данных, мониторинг состояния и местонахождения пользователя.
О стратегии защиты мобильных устройств в NSA рассказала Director of Information Assurance NSA. Речь шла об архитектуре системы защиты устройств, о двойном шифровании передаваемых данных на различных алгоритмах, об одновременной защите голоса и данных (телефоны и планшеты). В рассматриваемой архитектуре предполагается, что сеть оператора является неконтролируемой зоной. Было особо отмечено, что защита инфраструктуры базируется на коммерческих стандартах и платформах. То есть сами ничего не выдумывают, а используют готовое и комбинируют из него.
Прорывов в технологиях я не заметил. Производители предлагают все «быстрее, лучше, надежнее, компактнее». Но никто — иначе. То есть идет соревнование по массо-габаритным характеристикам. Часть предлагала продукты, часть — сервисы, часть — обучение, часть — компоненты для устройств и производственные мощности.
Тренды рынка вполне прогнозируемы: мобилизация (управление устройствами, защита мобильных устройств, включая переносимые хранилища информации); уход в облака (аутентификация в облаках, защита облаков).
Из специальных мероприятий можно отметить презентацию Cisco нескольких новых устройств по ИБ, показ SonicWall самого мощного устройства в своей линейке, демонстрация MS Windows 8. На выставке развернули свои стенды MS, EMC/RSA, CP, McAfee, Intel, Kaspersky, Sophos, Qualys, Akamai, Juniper, Cisco, Arbor, Symantec и локальные компании из Израиля, Китая, Германии.
В целом конференция RSA Security предназначена для практикующих профессионалов и вендоров. Первые стремились себя показать и других посмотреть, вторые — продемонстрировать новинки.
Автор — председатель правления компании «Андэк».
