Защита конечных точек в современных условиях

Согласно данным компании Gartner, объем рынка систем защиты конечных точек (Endpoint Protection Platform, EPP) составил в 2011 г. более 3,2 млрд. долл. В нынешнем году, по прогнозам этой компании, он вырастет на 5—7%.Большая часть этого объема приходится на антивирусные продукты, которые относятся к основным средствам защиты конечных точек и в настоящее время представляют собой комплексные системы, совмещающие в себе многоуровневую защиту от вредоносных программ, защиту от спама, межсетевое экранирование, защиту от внешних вторжений.

Другим компонентом системы защиты конечных точек являются агентские решения, устанавливаемые на конечные точки и контролирующие исполнение принятых в компании политик информационной безопасности (ИБ). Среди них в самостоятельную группу выделились системы, называемые Network Access Protection (NAP) или Network Access Control (NAC).

Важным звеном в защите конечных точек стали системы управления доступом (Identity management, IDM). IDM-системы повышают защищенность конечных точек от несанкционированного использования за счет автоматизации управления доступом, реализации многофакторной аутентификации, автоматизированного управления учетными записями пользователей, а также благодаря возможности организовать правильное с позиции ИБ-политик подключение мобильных устройств к корпоративным ресурсам.

Все чаще системы защиты конечных точек стали включаться в единую систему обеспечения корпоративной ИБ, предоставляя содержащимся в ней средствам анализа и корреляции ИБ-событий информацию о состоянии конечных точек, в том числе о действиях пользователей и корреляции событий ИБ с целью выявления аномалий и комбинаций, представляющих ИБ-угрозы.

Согласно данным исследовательских компаний, в целом на обеспечение ИБ конечных точек сегодня расходуется примерно половина корпоративных ИБ-бюджетов. Объяснить такое распределение в расходах предприятий и организаций на ИБ можно тем, что в сегменте конечных точек, обеспечивающих пользовательский доступ к корпоративным ИТ-ресурсам, в настоящее время происходят существенные изменения. В настоящем обзоре мы постараемся выявить суть этих изменений и определить их влияние на состояние корпоративной ИБ.

Факторы воздействия

Изменения, происходящие в организации потребления корпоративных ИТ-ресурсов, среди которых прежде всего следует отметить консьюмеризацию корпоративных ИТ-инструментов, расширение спектра используемых в офисах устройств доступа (в том числе за счет реализации программы “принеси свое собственное устройство”, BYOD), а также выход пользователей за традиционный периметр защиты (что связано с ростом популярности работы вне офиса, мобильностью персонала и распространением публичных облачных ИТ-сервисов, предназначенных для поддержки совместной работы), обусловливают необходимость пересмотра подходов к построению защиты конечных точек, обеспечивающих доступ пользователей к корпоративным ИТ-ресурсам.

По мнению руководителя отдела специальных проектов компании "Аквариус" Сергея Лышенко, каждое подключение мобильной конечной точки к корпоративной сети должно восприниматься как подключение недоверенного ресурса. Восстановление доверенных отношений с нею сопряжено с выполнением требований, гарантирующих, как он формулирует, “стерильность” подключаемого ресурса. Это значительно усложняет процесс аутентификации, обязывает добавлять в набор средств защиты информации (СЗИ) новые агенты систем обнаружения атак, способных собирать информацию о том, что происходит с мобильным устройством доступа даже тогда, когда оно не подключено к корпоративной сети, а затем, при его возвращении в сеть, передавать информацию на сервер обработки и анализа ИБ-событий.

К актуальным факторам воздействия на подходы к построению защиты конечных точек аналитик компании "Доктор Веб" Вячеслав Медведев добавляет необходимость соблюдения требований законодательства, в частности, по защите персональных данных, сохраняющей особую актуальность из-за продолжающейся на протяжении нескольких лет чрезвычайной несогласованности действий госрегуляторов с предложениями экспертного ИБ-сообщества.

 Со своей стороны, генеральный директор компании "Аванпост" Андрей Конусов добавляет к движителям развития рынка защиты конечных точек развивающуюся в российской корпоративной среде практику юридического противодействия компьютерным преступлениям. Это направление, относящееся прежде всего к организационным способам обеспечения ИБ, предполагает взаимодействие компаний с правоохранительными органами как напрямую, так и через посредников — провайдеров услуг по расследованию преступлений в компьютерной среде.

Тенденции 

Г-н Лышенко считает, что популярность движения BYOD стимулировала появление на рынке интересных решений в области защиты информации, в числе которых он называет экосистемы СЗИ (т. е. СЗИ одного семейства, работающие на различных платформах и в гетерогенных сетях); межсетевые экраны нового поколения (предоставляющие возможности глубокого контроля сетевого трафика на уровне приложений и объединяющие с функциями сетевого экранирования функции систем обнаружения вторжений и DLP-систем); системы обнаружения вторжений, способные проводить отложенный анализ действий, осуществляемых с мобильными устройствами; встраиваемые в SIM-карты смартфонов средства криптозащиты.

Защита мобильных устройств, по мнению г-на Короха, останется доминирующим направлением в области обеспечения ИБ конечных точек, предназначенных для доступа к корпоративным ресурсам наряду с интеграцией мобильных устройств с инфраструктурой Virtual Desktop Infrastructure и решениями типа XenClient в целях распространения виртуализации на конечные устройства (что особенно актуально при использовании ноутбуков по программе BYOD). По оценкам г-на Конусова, в 2013—2014 гг. это направление перейдет из фазы первичного ознакомления и анализа возможных вариантов в фазу массовых промышленных внедрений.

Актуальной задачей для обеспечения безопасности конечных точек доступа, полагает г-н Конусов, является контроль и фильтрация исходящего из корпоративной сети голосового трафика. Он отмечает, что на рынке уже появляются первые технологические предложения для этого, и уверен, что в ближайшие годы популярность таких систем и спрос на них будут возрастать.

Как отметил г-н Сафрошкин, разработчики пока не предлагают единого решения, позволяющего одновременно обеспечивать безопасность и централизованно управлять всеми типами точек доступа в компании (т. е. как мобильными устройствами, так и традиционными точками доступа — настольными рабочими станциями и ноутбуками). Однако, по его наблюдениям, работы в этом направлении идут полным ходом, а значит, подобные продукты появятся на рынке в ближайшем будущем.

К важным тенденциям в области защиты конечных точек Джабраил Матиев относит стремление ИБ-вендоров консолидировать ИБ-функционал по возможности в одном решении (например, реализовать в одном программном агенте, устанавливаемом на конечную точку, сразу несколько функций защиты). Кроме того, он также обращает внимание на то, что современные ИБ-решения учитывают рост популярности систем виртуализации и технологий виртуальных рабочих столов (например, их разрабатывают с таким расчетом, чтобы они функционировали на уровне гипервизора, а не на уровне рабочих станций).

В консолидации средств защиты конечных точек и централизации управления ими г-н Конусов усматривает противоречие между целями, которые преследуют с одной стороны вендоры, а с другой — заказчики. Если первые стремятся к реализации у заказчика модели “все из рук одного поставщика”, то в среде заказчиков, по его наблюдениям, мало кто готов и хочет перевести свою инфраструктуру защиты конечных точек на моновендорную платформу. В связи с этим, считает он, вполне вероятно появление в ближайшие годы универсальных консолей управления, позволяющих организовать контроль продуктов защиты конечных точек, предлагаемых разными разработчиками.

Среди нерешенных на сегодняшний день проблем в области защиты конечных точек доступа г-н Лышенко выделяет проблемы сертификации. “Раньше средства защиты создавались с расчетом их эксплуатации на протяжении несколько лет, и никого особенно не волновала длительность процесса их сертификации. Сегодня же за время, пока новый ИБ-продукт проходит сертификацию, платформа, для которой он предназначался, успевает морально устареть. Это неизбежно стимулирует ускорение процессов сертификации, что является, с одной стороны, позитивной тенденцией. С другой стороны, это ускорение может отрицательно повлиять на качество сертифицируемых решений”, — отмечает он.

Валерий Васильев

PCWeek