В таких условиях возникает вопрос: как обеспечить простой и надежный доступ к одной части информации из внутренней сети, оставляя другую недоступной как для авторизированных пользователей, так и для хакеров.
Понятно, что данный вопрос входит в компетенцию систем безопасности. Однако перечень проблем, волнующих умы ИТ-специалистов предприятий и организаций, гораздо шире. Предотвращение несанкционированного доступа, внутренние угрозы, защита конфиденциальности, безопасность контента, постоянно ужесточающееся законодательство — эти проблемы тоже требуют решения. Если не обеспечить грамотную защиту, то возрастают риски, как юридические, так и финансовые. Поэтому неудивительно, что продажи решений безопасности продолжают расти одновременно с увеличением соответствующей части ИТ-бюджетов организаций.
Есть и проблема другого плана. По мере ужесточения требований к таким решениям необходимость прогнозировать нарушения работы сети становится все более актуальной. Так, уже недостаточно установить сетевой экран и поставить пароль доступа к операционной системе, поскольку постоянно возрастает не только вероятность несанкционированного вторжения, но и «цена вопроса» — наносимый при этом урон. Образуется замкнутый круг: чтобы быть конкурентоспособными, организациям нужно открыть доступ к части информации, но при этом они становятся уязвимыми для хакерских атак, «успешное» завершение которых снижает конкурентоспособность. Как известно, взломав сеть компании, хакеры не упускают возможности «разобраться» и с ее клиентами, поэтому в последнее время все чаще одним из условий при выборе партнера становится безопасность сети потенциального подрядчика.
Что может сделать компания, стремясь обезопасить себя и в то же время организовать надежную работу онлайн-сервисов как внутри компании, так и в работе с клиентами?
Единственно верное решение — переход от реактивной (реагирующей) модели системы безопасности к проактивной (прогнозирующей). Компании необходимо не только установить систему управления безопасностью, но и обзавестись инструментом для ее мониторинга, подобно тому, как она отслеживает свои сети, системы и приложения. По сути, компания должна управлять системой управления.
Для создания и обслуживания безопасной ИТ-среды существует множество решений. Системы защиты доступа, обнаружения несанкционированного вторжения, безопасности контента, идентификации и авторизации, шифрования представляют собой надежные продукты, которые могут решить любую поставленную задачу. Правда, этим продуктам присущ общий недостаток: каждый из них использует свои инструменты, методики сбора информации и способы реагирования на проблемные ситуации. Соответственно, огромный объем информации, который накапливается с помощью ряда таких инструментов, выстроить в полную картину происходящего да еще в режиме реального времени практически невозможно.
Справиться с названными проблемами призваны новые инструменты безопасности — системы «управления управлением» (Security Manager of Managers, SMoM). Функции подобных систем заключаются в сборе информации о безопасности, доставляемой всеми инструментами, и представлении единой картины. Системы SMoM обеспечивают доступ ко всем необходимым инструментам и сигнализируют о возможном несанкционированном вторжении еще до того, как оно начнет оказывать влияние на работу сети.
Сама идея SMoM, как и все хорошие идеи, не нова. Крупнейшие мировые телекоммуникационные компании BT, AT&T, Deutsche Telekom и другие давно работают по аналогичному принципу, привлекая внимание операторов к возможным проблемам в инфраструктуре, которые могут привести к ухудшению обслуживания. Программное обеспечение класса SMoM дает возможность телекоммуникационным компаниям инвестировать в технологии, не обучая операторов мониторингу разрозненного оборудования.
Работа системы SMoM основывается на консолидации и сопоставлении информации из разных источников. Правда, сами по себе сбор и сопоставление данных не обеспечат надежность инструментов безопасности. Помимо того, что SMoM обрабатывает большие объемы информации, доставляемые различными инструментами, она также должна сопоставлять разрозненные события (чтобы выявлять каждое отдельное нарушение), давать операторам картину происходящего в режиме реального времени, собирать и предоставлять информацию для анализа тенденций и проведения правовой экспертизы. Обо всех проблемах система SMoM обязана информировать специалистов по безопасности или запускать автоматическую систему ликвидации последствий.
Стоит отметить, что все решения безопасности имеют потенциальные недостатки, и SMoM не является исключением. Так, прерывание подачи информации вынуждает систему работать вслепую, и архитектура должна реагировать на неисправность какого-либо компонента при сохранении общей работоспособности системы, производить буферизацию данных, чтобы избежать потери данных. Еще один существенный недостаток: в настоящий момент большинство систем SMoM реализуют реактивную модель безопасности, тем не менее, в некоторых решениях уже встроены потенциально проактивные подходы, которые со временем позволят осуществлять более сложное сопоставление информации и оптимизировать обработку данных.
Питер Уайт - вице-президент бизнес-подразделения по разработке пакетных решений Micromuse