Обзор "Рынок корпоративного ПО 2006" подготовлен

Денис Зенкин: Нельзя однозначно сделать выбор между сигнатурным и морфологическим анализом.

На вопросы CNews ответил Денис Зенкин, директор по маркетингу компании InfoWatch.

CNews: Какие сегменты рынка ПО для защиты информации развиваются, по вашим наблюдениям, наиболее динамично?

Денис Зенкин: В ряду наиболее динамично развивающихся сегментов рынка информационной безопасности наметились серьезные изменения. Приходят новые технологии, которые закрывают очевидные бреши, до сих пор остававшиеся без внимания. Ситуация складывается таким образом, что подавляющее большинство предприятий уже защитили свои сети от таких напастей как вирусы, хакерские атаки, серьезные положительные подвижки наметились и в защите от спама. Сейчас эти сегменты растут вместе с экономикой или немного опережают темп за счет продолжающейся легализации ПО.

Пьедестал актуальности заняли другие направления, из которых одним из наиболее ярких является сегмент защиты конфиденциальной информации от внутренних угроз. Тема контроля над работой сотрудников в целях предотвращения внутренних нарушений далеко не нова,  однако еще пару лет назад компании были полностью поглощены охотой на вирусы и хакеров, оставляя без внимания собственный тыл. Как обычно бывает "подсчитали — прослезились".

В условиях полного пренебрежения вопросами внутреннего контроля и аудита ситуация вышла из-под контроля. Например, свежее исследование Deloitte Touche Tohmatsu показало, что 100% опрошенных банков зафиксировали утечки за прошедший год, причем 72% респондентов потеряли в результате инцидентов более 1 млн. долларов. Российские компании также указывают на внутренние угрозы как главную опасность ИТ-безопасности: это подтвердили 64% респондентов, участвовавших в специализированном исследовании InfoWatch. Это же исследование наглядно свидетельствует, что в будущем данное направление ждет подъем: 83% из 315 участвовавших компаний заявили, что в ближайшие 3 года намерены внедрить соответствующие системы защиты.

CNews: До сих пор российские заказчики не очень активно внедряли системы защиты от инсайдеров. В чем причина такого положения вещей?

Денис Зенкин:Действительно, наблюдается парадоксальная ситуация. С одной стороны проблема очень сильно волнует профессионалов. С другой — всего 2% российских компаний сейчас используют специализированные решения для внутреннего контроля и аудита. На решение проблемы выделяется мизерная доля общего ИТ-бюджета. Еще несколько лет назад нам приходилось прилагать огромные усилия, чтобы доказать заказчику необходимость внедрения наших решений. На мойвзгляд, тому было несколько причин.

Во-первых, "синдром первопроходца". Только наиболее профессиональные команды ИТ-специалистов могли решиться первыми взяться за такой сложный проект. Подавляющее большинство все это время присматривались и оценивали риски.

Во-вторых, новый рынок всегда отличается разнообразием подходов к решению проблемы. Это, в свою очередь, порождает нерешительность заказчика: трудно сделать выбор в пользу наилучшего варианта, в то же время еще недостаточно примеров успешных внедрений, чтобы опереться на опыт коллег по цеху.

В-третьих, особенности внутренних коммуникаций. Например, для топ-менеджента очевидна необходимость защиты, ИБ-отдел обеими руками "за", но ИТ-отдел придерживается политики "если работает — не трогай" и тормозит внедрение. Бывает и наоборот, но в любом случае приходится тратить много усилий для обоснования внедрения. Необходимость установки антивируса уже давно не вызывает сомнений – как так наша сеть не защищена от вирусов. В случае с защитой от инсайдеров этому рынку еще предстоит пройти путь от экзотики до продукта широкого потребления.

CNews: Существуют ли какие-либо положительные сдвиги в этом направлении?

Денис Зенкин: Сейчас ситуация резко поменялась, хотя все еще далека от состояния, когда начнется бурный рост рынка. Прежде всего, двигателем развития стали первые компании, которые внедрили и успешно используют системы конфиденциальной информации защиты от инсайдеров. Пример всегда увлекает за собой менее решительных, для которых принятие решения становится проще. Не могу обойти вниманием такие организации, как ВымпелКом, ГидроОГК, Внешторгбанк, ФТС, РосЕвробанк, Министерство финансов, Транснефть, Мегафон. Именно они стали первопроходцами в активной борьбе с внутренними нарушителями и продемонстрировали другим участникам рынка, что решения InfoWatch работают и работает очень эффективно, что рецепт против инсайдеров есть.

Разогрев рынка вызвал резкое увеличение внимания со стороны системных интеграторов. Именно у них в руках находится ключ к крупным корпоративным проектам: налаженные связи, необходимый опыт и ресурсы. А анти-инсайдерские системы — это огромный потенциал для развития и диверсификации бизнеса. Каждый такой проект сопровождается внушительным объемом консалтинговых услуг (до 50% от общей стоимости), так что здесь можно сделать большие деньги, не ограничиваясь партнерской маржой на лицензии.

Партнеров также привлекает рост InfoWatch: каждый год мы удваиваем объем продаж. А это лучшее доказательство, что рынок есть, он далек от насыщения и наполнен заказчиками, которые ждут быть обслуженными. Сейчас мы работаем практически со всеми ведущими системными интеграторами: «Крок», «Энвижн», «Ай-Теко», «Ланит», Computel, VerySell, «Инфосистемы Джет», LETA IT-company и очень довольны достигнутыми результатами.

CNews: Какие платформы вы выбираете для проектов: программные или аппаратные?

Денис Зенкин: Универсального рецепта для реализации анти-инсайдерских проектов не существует. Но из нашего опыта следует, что чаще всего выбор оказывается за их комбинацией. Решение InfoWatch пронизывает всю корпоративную информационную систему и позволяет контролировать все каналы передачи, места обработки и хранения

CNews: Для контроля над информацией часто используется контентная фильтрация, основанная на морфологическом или сигнатурном анализе. Как влияет разница в технологиях на эффективность защиты?

Денис Зенкин: Вопрос о выборе метода контентной фильтрации сродни выбору автомобиля.

Морфологический метод сложнее во внедрении, ресурсоемок, но прекрасно справляется со сложными задачами глубокого анализа текста. Мы выбрали второй именно из-за этого: в процессе защиты конфиденциальной информации движок должен как можно точнее  понимать смысл писем, держать низкий уровень ложных срабатываний, учитывать особенности русского языка и уметь бороться с элементами стеганографии. В этом разрезе у морфологического анализа есть ряд ключевых преимуществ.

Работа с сигнатурами подразумевает необходимость хранить все синтаксические формы слова (падежи, роды, спряжения, числа и их сочетания) во всех русских кодировках. При увеличении базы фильтрации, требования к ресурсам растут квадратично, т.к. с математической точки зрения сравнение двух баз данных — это перемножение матриц.  Это решение может хорошо продаваться в англоязычных странах, т.к. английские слова меняют форму с помощью предлогов, множественное число образуется присоединением «s» и т.д. С языками с более сложной семантикой придется хранить в качестве базы фильтрации все возможные формы слов, а в славянских языках — еще и разные кодировки. Для сравнения — в русском языке около миллиона словоформ и всего 10 тысяч корневых морфем. Соответственно, для достижения действительно высокой точности идентификации конфиденциальной информации сигнатурному движку требуется очень мощное оборудование. В случае с технологией Morph-o-Logic, реализованной в InfoWatch, мы обходимся HP Proliant DL380 для защиты пула из 1000 почтовых ящиков.

CNews: Сколько времени занимает процесс внедрения решения в крупной компании? В какой части работа приходится на создание морфологических и сигнатурных баз, непосредственно на внедрение решения, тестирование?

Денис Зенкин:В среднем внедрение InfoWatch вместе со всеми сопутствующими услугами занимает около 3 месяцев. Бывают случаи, когда процесс затягивается и на полгода – в особенности, когда речь идет о крупных организациях с развитой филиальной сетью и сложной системой управления. Наоборот, внедрение одного из продуктов, например, InfoWatch Mail Monitor может занять всего месяц и даже меньше.

В методологии внедрения InfoWatch можно выделить 5 основных шагов. Прежде всего, определение "точки старта" (начального состояния информационной системы и того, как решается вопрос обеспечения ИБ в данный момент) и "точки финиша" (целей, которых мы хотим достичь в обеспечении ИБ). Результатом этого этапа является создание или доработка Положения о конфиденциальности, являющегося частью Политики ИБ организации. Далее необходимо определить сроки и объемы технических, человеческих и финансовых ресурсов, необходимых для достижения целей. Результатом является разработка технического задания и календарный план проекта внедрения. Наконец, четвертый этап – реализация проекта. Собственно внедрение запланированных организационно-технических мер, которые обычно включают в себя подстройку организационной структуры, инсталляцию ПО и его интеграцию. И в заключении — эксплуатация системы, поддержание ее в рабочем состоянии с учетом выпуска и установки новых версий продукта, подстройки системы под изменяющиеся условия, а также техническая поддержка.

CNews: Спасибо.