|ГЛАВНАЯ|   |О ЖУРНАЛЕ|    |ПОДПИСКА|   |ФОРМЫ СОТРУДНИЧЕСТВА|  |КОНТАКТЫ|   |СОДЕРЖАНИЕ НОМЕРА|  |НОВОСТИ|    |ВАКАНСИИ|     |АРХИВ|  |IT-СТРАНСТВИЯ|

№ 1 (74) 2014

 

 

 
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Василий ТКАЧЕНКО

 

 

Системы унифицированного управления угрозами (UTM) и межсетевые экраны следующего поколения (NGFW) — близкородственные категории решений в сфере защиты информации. Это аппаратно- программные комплексы, объединяющие в одном устройстве разные функции защиты.

Поскольку число угроз безопасности год от года увеличивается, растет и значение средств защиты. Стараясь не отставать от злоумышленников, производители систем UTM и NGFW постоянно совершенствуют свои решения. «СиБ» опросил участников украинского рынка и разузнал, что нового появилось в 2013 году, что интересует заказчиков и как нынче выглядят взаимоотношения компаний, всю эту продукцию представляющих.


Близнецы- братья

UTM и NGFW настолько близки, что некоторые относят их к одной категории продуктов, однако между ними есть и различия.

Термин UTM используется агентством IDC для обозначения устройства, в котором реализованы несколько функций защиты: обычно — межсетевой экран, система предотвращения вторжений (IPS), антивирус, антиспам, система защиты от утечек информации (DLP), фильтрация контента и контроль за приложениями. По сути, UTM является развитием концепции межсетевого экрана. NGSW реализует те же функции, но имеет другую историю: это не просто межсетевой экран, к которому были добавлены расширенные функции защиты, а устройство, изначально позволяющее контролировать трафик на уровне приложений. Агентство Gartner, в чьем отчете от 2011 года были противопоставлены UTM и NGFW, отнесло первые к сегменту SMB, а вторые — к корпоративному.

Есть также мнение, что на самом деле разница между двумя категориями продуктов чисто маркетинговая и что в NGFW нет ничего революционного, поскольку функции проверки контента есть и в большинстве UTM. Сейчас большинство компаний (Cisco, Cyberoam, McAfee, Check Point, Fortinet, SonicWall и другие), наоборот, эти вещи разделяют и имеют в своем ассортименте как UTM для малого и среднего бизнеса, так и NGFW для корпораций, ЦОД и операторов связи. Производителей только одного класса решений практически не осталось — можно назвать разве что Palo Alto, которая позиционирует свои решения исключительно как NGFW.


Кто нас защищает

В таблице перечислены основные компании- производители систем комплексной защиты информации, чья продукция присутствует на украинском рынке, и их местные партнеры. В комментариях эти сведения не нуждаются, да и взаимоотношения между компаниями за год не сильно изменились (см. «Обзор рынка систем информационной безопасности» в статье «На страже киберпространства», «СиБ» №1, 2013 г.).

 


 

Опрос участников украинского рынка систем комплексной защиты информации показал, что наибольшую долю имеют решения Cisco, на втором месте Check Point и на третьем — McAfee. Доля этих компаний на украинском рынке UTM/ NGFW превышает в сумме 50%. Остальную часть делят между собой F5, Fortinet, HP, BlueCoat, Symantec, Websense и другие игроки. Оценка распределения долей компаний- производителей UTM и NGFW в Украине представлена на рис. 1. В то же время отметим, что согласно отчету, подготовленному аналитической компанией «Бизнес-Формат», в первом полугодии 2013 года на всем рынке систем информационной безопасности (включая IPS, межсетевые экраны и сетевые контроллеры) более 87% всех продаж в денежном исчислении пришлись на долю Cisco.

Из системных интеграторов практически все называют «БМС Консалтинг», «Инком» и Svit IT.

 

 

Среди заказчиков UTM/ NGFW (рис. 2), согласно опросу, доминируют банки и финансовые организации (на них приходится более трети всех продаж), далее — промышленные предприятия и госучреждения (на каждую сферу приходится от 5 до 40%), со значительным отрывом — торговля, энергетика, малый и средний бизнес. Общий объем украинского рынка UTM/ NGFW оценивается в $8- 15 млн.

В рамках исследования компании- инсталляторы были также опрошены относительно распределения структуры затрат на установку решения у заказчика. Мнения разделились: у половины респондентов большая часть расходов идет на аппаратную часть, у стольких же — на ПО. Услуги интеграции добавляют к стоимости проекта 10- 20%, а платное сервисное обслуживание — 5- 15%.


Основные игроки

Для Cisco событием прошлого года стала покупка за $2,8 млрд. SourceFire — американского производителя IPS следующего поколения (NGIPS), которые эта компания и придумала. Цель таких систем — не просто детектирование атак на серверы, но и постоянное отслеживание состояния сети, изменений в ее конфигурации, идентификация опасных приложений и контекста атаки, а также исследование зашифрованного трафика. Среди важных черт системы — автоматизация настройки и интеллектуальная корреляция обработки событий. Gartner считает, что в сегменте высокопроизводительных систем защиты информации в ближайшие годы будут использоваться раздельные IPS и межсетевые экраны, однако при покупке дополнительных лицензий в NGIPC SourceFire активируются такие функции, как контроль приложений, проверка пакетов с сопровождением состояния (SPI), веб- фильтр и т.д., что превращает устройство в полноценный NGFW.

Еще одно приобретение Cisco — чешская компания Cognitive Security, которая разрабатывала технологии использования искусственного интеллекта для анализа аномальной сетевой активности и выявления сложных кибер­угроз. Сделка состоялась в начале 2013 года. Из этой же категории продуктов в прошлом году ассортимент Cisco пополнился системой анализа сетевого поведения Cyber Threat Defence, которая распознает кибератаки и оперативно доносит информацию о них администратору.

 

 

Что касается собственно межсетевых экранов, то в прошлом году продолжали развиваться решения Cisco ASA NGFW: увеличивалась их производительность и расширялась функциональность. В Cicso отмечают особенности системы, актуальные для украинских пользователей: модуль фильтрации веб- трафика, перенесенный из выделенного решения Cisco Web Security Appliance, и возможность расширения уже установленных у заказчиков классических межсетевых экранов Cisco ASA 5585- X и ASA 5500- X до ASA NGFW. В 2013 году функциональность защиты следующего поколения стала поддерживаться на старших устройствах серии ASA 5585- X.

В 2014 году компания планирует добавить функции защиты SourceFire NGIPS на платформу Cisco ASA NGFW. Кроме того, ASA станет поддерживать технологию программно управляемых сетей (SDN).

 

 

В арсенале Check Point в 2013 году появились высокопроизводительные модели шлюзов безопасности для ЦОД — 21700 и 13500, которые позволяют организовать защиту на высоких скоростях обмена данными (соответственно до 110 и 23,6 Гбит/ с в режиме межсетевого экрана). Устройства построены на основе архитектуры «программных лезвий» и, помимо собственно экрана, доступны в четырех конфигурациях: веб- шлюз (SWG), система защиты данных следующего поколения (NGDP) и система предотвращения угроз следующего поколения (NGTP) — последняя комплектация является наиболее полной и включает в себя все функции защиты, кроме DLP.

Для сегмента малого и среднего бизнеса Check Point вывела на рынок новые серии 600 и 1100 с 10 портами GE, опциональным ADSL- модемом и интерфейсом для модема 3G; максимальная пропускная способность в режиме шлюза — 1,5 Гбит/ с.

Новые функции появились и в существующих решениях. Во- первых, это Threat Cloud — интеллектуальный сервис обновления баз данных об уязвимостях: шлюзы безопасности Check Point получают данные практически в режиме реального времени. Благодаря средству борьбы с угрозами «нулевого дня» Threat Emulation Blade шлюзы могут блокировать еще не известных «зловредов» (новые или модифицированные виды «троянов», ботов, червей, для которых еще не существуют сигнатуры антивирусного ПО). Наконец, появился Compliance Blade — элемент системы управления сетевой безопасностью, позволяющий определить степень соответствия настроек и политик шлюзов требованиям отраслевых стандартов, таких как PCI DSS и ISO 27001/ 02.

Для McAfee главным событием 2013 года стало приобретение за $389 млн. финской компании Stonesoft, благодаря чему в ее портфеле появились межсетевые экраны следующего поколения, предназначенные для предприятий с большим количеством удаленных офисов. Изю­минкой Stonesoft являются ноу- хау в сфере борьбы с динамическими техниками обхода (AET — Advanced Evasion Techniques) — этот термин она и ввела еще в 2010 году. NGFW McAfee содержит модуль контроля за приложениями, IPS и средства предотвращения попыток обхода защиты. Встроенные функции распределения нагрузки трафика и кластеризации позволяют объединять до 16 разнородных узлов, работающих с суммарной скоростью до 120 Гбит/ с. Согласно февральскому пресс- релизу McAfee, NGFW способны обнаруживать 800 млн. разновидностей целенаправленных устойчивых угроз.

McAfee уделяет много внимания взаимодействию различных систем защиты, для чего продвигает концепцию Security Connected, разработанную совместно с Intel. Она предназначена для оптимизации операций по обеспечению безопасности, для чего используется информация об угрозах, которая собирается в реальном времени с помощью технологии Global Threat Intelligence (GTI). Например, IPS, обнаружив попытку атаки, передает информацию средству управления уязвимостями и определяет IP- адрес, на который направлена атака. А управление всеми средствами безопасности осуществляется с платформы ePolicy Orchestrator.

Fortinet в январе прошлого года вывела на рынок серию продуктов под общим названием ConnectedUTM, предназначенную для розничной торговли, филиалов и предприятий с территориально- распределенной структурой. Кроме собственно шлюзов безопасности FortiGate/ FortiWiFi, в серию входят беспроводные точки доступа с поддержкой IEEE 802.11ac, расширитель WAN и коммутаторы Ethernet.

В октябре компания запустила компактный межсетевой экран для ЦОД, поставщиков облачных услуг и операторов связи — FortiGate 3700D. Устройство имеет четыре порта 40GE и 28 интерфейсов 10GE, общая пропускная способность составляет 100 Гбит/ с.

В 2013 году Fortinet продолжила обновление своей операционной системы FortiOS, под управлением которой работают все шлюзы безопасности FortiGate: в частности, были добавлены функции защиты от целенаправленных устойчивых угроз (Advanced Persistent Threats — APT), обеспечения безопасности при внедрении BYOD и видимости контекста (анализ работы сети в реальном времени и ретро­спективно, с учетом приложений, пользователей и устройств). Кроме того, заказчики получили возможность самостоятельно выбирать нужные им опции защиты, такие как высокоскоростной межсетевой экран, NGFW, защита от APT, веб- фильтр и т.д. Пока готовилась эта статья, Fortinet представила очередные обновления для FortiOS 5, которые обеспечивают более быстрый анализ протоколов SSL (по прогнозам Gartner, к 2017 году зашифрованный трафик будет использоваться в более чем половине всех атак).

В мае прошлого года компания обновила серию устройств защиты веб- приложений FortiWeb, выпустив три модели для крупных предприятий, ЦОД и операторов, а также представила новую операционную систему для этого класса решений. В контексте данной статьи интересно то, что ОС FortiWeb 5 позволяет, среди прочего, определять источники трафика на уровне приложений.

Наконец, в декабре 2013 года Fortinet анонсировала решение FortiSandbox- 3000 D — двухуровневую «песочницу» (систему для исполнения программ неизвестного происхождения с целью защиты от вредоносного кода). Решение с функциями активной предварительной фильтрации, динамического анализа угроз и подробной отчетности предназначено для обнаружения целенаправленных атак. Устройство работает совместно с Fortinet FortiGate и шлюзами защиты электронной почты FortiMail, его выход запланирован на второй квартал.


Второй эшелон

Так получилось, что некоторые из производителей, которые являются законодателями мод на мировом рынке, в Украине пока не играют заметной роли. К таковым, например, можно отнести SonicWall, приобретенную Dell в 2012 году; Gartner в своем «магическом квадранте» производителей UTM поместил компанию на второе место после Fortinet. В мае прошлого года решения SonicWall были официально представлены в Киеве уже как часть продуктового портфеля Dell. К ним относятся межсетевые экраны TZ (для сегмента SMB), NSA (средний и крупный бизнес) и SuperMassive (большие предприятия и ЦОД). Устройства работают под управлением потоковой ОС с поддержкой многоядерной архитектуры — SonicOS: трафик не буферизируется, а обрабатывается в режиме реального времени.

Партнеры Dell в Украине представлены в таблице. Дистрибьютором SonicWall формально остается SecNet, однако эта компания переключилась на другого производителя — Cyberoam. Последняя выпускает устройства классов UTM для SOHO и SMB (с универсальными интерфейсами FleXi Ports и гнездом для беспроводного модема, среди функций — защита среды Wi- Fi) и NGFW (с управлением QoS и фильтром веб- приложений). Все они работают под управлением фирменной операционной системы CyberoamOS.

Palo Alto — один из законодателей мод в сегменте NGFW — среди прочего производит несколько серий межсетевых экранов с разной производительностью — от PA- 200 (пропускная способность 300 Мбит/ с) до PA- 5000 (20 Гбит/ с). В 2013 году компания запустила новую серию PA- 3000 (4 Гбит/ с) для предприятий среднего размера и виртуализированные межсетевые экраны — VM, которые работают в «облачных» средах на платформах VMware ESXi 4.1, 5.0 и 5.5, а также Citrix NetScaler SDX 11500 и 17550. Дистрибьюторы Palo Alto в Украине — «Нетвелл» и «Бакотек», внедрениями занимается ITBiz. Последняя в начале этого года также стала партнером американской компании FireEye, производящей оборудование для защиты в режиме реального времени от угроз информационной безопасности нового поколения. Согласно пресс- релизу, одно из них — FireEye NX — позволяет останавливать веб- атаки, с которыми не справляются межсетевые экраны, NGFW, IPS, антивирусы и веб- шлюзы.

Калифорнийская компания Blue Coat среди прочего известна своими веб- шлюзами Secure Web Gateways (SWG). В 2013 году она приобрела трех производителей: Crossbeam (масштабируемая платформа, обеспечивающая взаимодействие решений разных производителей), Solera (защита «больших данных» и аналитика для расширенной защиты от угроз — Advanced Threat Protection) и Norman Shark (анализ вредоносного ПО). У Netronome была куплена технология анализа SSL- трафика. В Украине дистрибьютор Blue Coat — «Хедтекнолоджи Ю. Эй», компания работает с системными интеграторами — «Инлайн Груп Запад», «Инфосистемы Джет».

WatchGuard (США) производит несколько серий шлюзов безопасности XTM для предприятий разного класса — от SMB до крупных предприятий, ЦОД и операторов связи, максимальная пропускная способность составляет 35 Гбит/ с, возможна и кластеризация. Дистрибьютор в Украине — «Бакотек».

Стоит также упомянуть шлюзы безопасности ZyXEL — ZyWALL USG 1000 и ZyWALL USG 2000, обе модели появились в 2012 году, но стали популярны именно в прошлом. Шлюзы обеспечивают безопасную работу в сети компании для сотрудников с помощью SSL VPN- туннелей (которых может быть установлено соответственно до 250 и до 750). У D- Link в программном обеспечении ПО для UTM появилась функция контроля за приложениями (ранее эту задачу выполняла специальная группа сигнатур системы IPS, выделение ее в отдельную функцию призвано обеспечить более гибкую и точную настройку политик для пользователей и приложений).


Пир во время кризиса

Говоря об угрозах информационной безопасности для предприятий, которые будут актуальны в ближайшее время, опрошенные эксперты называют целенаправленные атаки (в том числе с использованием социальной инженерии), атаки «нулевого дня» и опасности, связанные с BYOD (использованием личных мобильных устройств в рабочих целях). Большой проблемой остаются и DDoS- атаки, которые особенно усилились в конце прошлого года. Соответственно заказчики интересуются решениями по защите мобильных устройств, анализу защищенности приложений, DLP, защите от DDoS- атак и обеспечению безопасности виртуальных инфраструктур и беспроводной среды.

Несмотря на продолжающийся в украинской экономике кризис, для компаний, работающих в сфере информационной безопасности, год выдался в целом удачным. Конечно, последний квартал был трудным в связи c известными событиями, но почти все говорят о росте продаж, связывая это с наличием неудовлетворенного спроса. Некоторые компании говорят о 30% роста, другие более скромны в оценках (13- 20%).

Что касается украинского рынка в целом, то тут мнения разделились: большинство говорит о росте в размере до 10- 20%, другие считают, что объем остался без изменений или даже упал (до 10%). В любом случае все согласны с тем, что наибольшее влияние на рынок окажет общая экономическая ситуация в стране: все отмечают падение деловой активности в четвертом квартале прошлого и первом квартале нынешнего года, причем ответы были получены нами еще до обвала гривны. Это, в свою очередь, приводит к сокращению бюджетов на безопасность, закрытию проектов и все большему накоплению отложенного спроса. Однако заметных перестановок на рынке никто не ждет.
 

 


 

 

 

 

Василий ТКАЧЕНКО,

СиБ 

№ 1 (март) 2014