Рубрикатор | ![]() |
![]() |
Статьи | ![]() |
![]() |
26 ноября 2013 |
В.Залогин: Продукты от разных производителей? Всегда риск
Минимизировать риски при внедрении решений мобильной безопасности можно путем выбора продуктов от одного вендора, в мультивендорной схеме можно положиться на профессионализм системного интегратора. Но не стоит забывать, что непробиваемой защиты не существует.
Читайте полную версию Дискуссионного клуба темы номера "ИКС" №10'2013 "Защита на мобильных рубежах".
Часть 7.
? "ИКС": На рынке существует множество продуктов и решений для инфобезопасности корпоративной мобильной среды, однако их интеграция - большая проблема. Как минимизировать риски при внедрении решений от разных разработчиков, обеспечить защиту корпоративных данных в устройствах на различных мобильных платформах?
Андрей Чечеткин, консультант по информационной безопасности, LETA: Прежде всего необходимо определиться с тем, какие мобильные устройства нужно защищать (на базе каких ОС они работают) и какие функции безопасности должны быть реализованы в устройствах. После этого осуществляется выбор подходящих под эти требования решений по защите мобильных устройств. Затем происходит пробное тестирование какого-либо продукта в ИТ-инфраструктуре компании. При этом учитывается простота внедрения, администрирования, а также отсутствие проблем при интеграции с уже внедренными в компании сервисами (почтовыми, файловыми серверами и т.п.).
Александр Храмцов, исполнительный директор ООО "Телеком-Защита": В наше время технологии информационной безопасности мобильной среды настолько быстро развиваются, что невозможно уследить за всеми новшествами на корпоративном уровне с одной стороны, и невозможно выбрать наиболее перспективное решение – с другой. В своем роде, бурное развитие средств защиты мобильных устройств в жесткой конкурентной среде скорее является тормозом в их проникновении на корпоративный рынок. Наиболее эффективным средством успешной интеграции является унификация решений и технологий на уровне корпорации, достигаемая в том числе и организационным регулированием допустимых к использованию в корпоративной среде мобильных устройств и методов их защиты. Собственная экспертиза, концентрация на выбранной технологии и четко поставленные цели – это единственный набор, минимизирующий риски внедрения и использования мобильных устройств в корпоративной среде.
Юрий Черкас, руководитель направления инфраструктурных решений ИБ Центра информационной безопасности, «Инфосистемы Джет»: Во-первых, рынок ИТ и ИБ уже в достаточной мере типизирован – существуют стандарты, форматы данных, протоколы передачи, варианты технологий, позволяющих интегрировать средства различных производителей. Да и сами средства защиты зачастую предусматривают возможность интеграции с продуктами других вендоров, и это является одним из их конкурентных преимуществ. Во-вторых, любой проект по внедрению предусматривает стадию проектирования, на которой оцениваются возможности интеграции устройств и компонентов, что дает возможность корректировать решение на этапе проектирования. Правильным будет также предвосхитить полномасштабное внедрение пилотным проектом, в рамках которого будет выбрана тестовая зона, в которой установятся планируемые к внедрению средства защиты. Это позволит оценить корректность их работы и влияние на существующую инфраструктуру организации. Таким образом, при грамотном подходе риски, связанные с проблемами интеграции, минимальны.
Владимир Залогин, директор по специальным проектам ЗАО «С-Терра СиЭсПи»: Использование продуктов различных производителей – это всегда риск, ведь разработчики редко тестируют совместную работу с другими средствами защиты. В такой ситуации демо-зоны и пилотные проекты являются обязательным этапом проектирования и внедрения системы защиты. Чем ближе условия пилотного проекта к реальным, тем легче потом внедрение. Обязательными являются полное совпадение ОС (версия, обновления) и других программных компонентов устройства.
Игорь Корчагин, специалист по ИБ компании ИВК: Для построения максимально эффективной системы защиты информации в корпоративной мобильной среде и минимизации рисков при внедрении соответствующих решений должна быть предварительно разработана политика использования мобильного рабочего места, на основе которой уже возможно определить конкретные необходимые технические решения и выбрать поставщика системы защиты. В политике должны быть отображены такие вопросы, как доступ к ресурсам из корпоративной сети и их внешних сетей; необходимые для доступа корпоративные сервисы; категории сотрудников, использующих мобильные устройства, для доступа к корпоративным ресурсам, а также гостевой доступ; категории мобильных платформ, доступ с которых будет осуществляться; правила использования ресурсов сети интернет. Наиболее безопасным подходом к построению концепции BYOD является реализация централизованного хранения и обработка корпоративной информации, к которой обеспечивается доступ.
Степан Дешёвых, старший менеджер по продуктам "Лаборатории Касперского": Здесь все просто. Чем меньше поставщиков используется, тем проще построение системы защиты и контроля за ее состоянием, и тем меньше средств нужно вкладывать в поддержку и интеграцию систем, в обучение специалистов и т.д. Нужно выбирать разработчика, который давно присутствует на рынке, является признанным экспертом и готовит интегрированные, комплексные защитные решения.
Николай Романов, технический консультант Trend Micro в России и СНГ: Не все представленные на рынке системы отвечают требованиям крупных организаций по управлению мобильными устройствами и интеграции в корпоративную ИТ-среду. Но если решение устраивает заказчика по всем другим показателям, можно поработать с вендором в индивидуальном порядке по доработке существующего решения или получить доступ к API для самостоятельного дописывания механизмов интеграции. Целесообразность такого подхода, безусловно, ограничена стоимостью конечного решения.
Юрий Акаткин, директор ФГУП «КБ полупроводникового машиностроения» ГК «Ростехнологии»: При интеграции имеющихся продуктов и решений необходимый эффект, как правило, не достигается – образуется система, напоминающая «лоскутное одеяло». Надо использовать комплексный подход: создание доверенной вычислительной среды с использованием резидентных компонентов безопасности и принятия соответствующих организационных мер.
Олег Губка, директор департамента по работе с клиентами, «Аванпост»: От таких рисков лучше уходить, а именно использовать решения по мобильной безопасности от одного вендора, который поддерживает кроссплатформенность.
Дмитрий Слободенюк, коммерческий директор ARinteg: Для построения корпоративной системы защиты мобильных устройств лучше обратиться к специалистам, у которых есть опыт и экспертные знания в данном вопросе. Это самый верный способ минимизировать все возможные риски.
Алексей Сабанов, заместитель генерального директора Аладдин Р.Д.: Это – хлеб интеграторов и возможность проявить квалификацию при решении таких технически сложных задач.
Сергей Ларин, специалист по инфраструктурным решениям Microsoft в России: Минимизация рисков возможна только при совместной разработке этих программных продуктов. Наши технологии разрабатываются единым пакетом, совместимы друг с другом и дополняют функциональные возможности друг друга.
Михаил Башлыков, руководитель направления информационной безопасности, КРОК: Прежде всего, все действия, направленные на обеспечение корпоративной информационной безопасности необходимо рассматривать как целостную и комплексную задачу, состоящую из взаимосвязанных компонентов. Важно, чтобы в компании был «куратор», отслеживающий старт всех активностей и сводящий их в единое целое. Выбор же тех или иных механизмов защиты следует осуществлять, исходя из существующих стратегических задач и реализованной инфраструктуры корпоративной мобильной среды. В противном случае, общая программа информационной безопасности будет похожа на лоскутное одеяло.
Сергей Халяпин, руководитель системных инженеров, Citrix Systems: Интеграция любых решений является сложной задачей. Поэтому рекомендацией здесь может быть – выбирайте решение, которое закрывает максимальное количество областей в корпоративной мобильности, таких, например, как управление мобильными устройствами (MDM), мобильными приложениями (MAM), данными, возможность интеграции с SaaS приложениями, Web-приложениями и т.д. В этом случае будут минимизированы риски, связанные с проблемами на границах этих областей. Также необходимо проверить, какой функционал доступен для различных платформ, и выбирать нужно то решение, которое закроет по функциональности используемые в компании мобильные платформы.
Виктория Носова, консультант по безопасности, Check Point: Перед тем, как точечно внедрять предлагаемые вам решения, проделайте нижеследующие действия. Во-первых, подойдите комплексно к задаче. Не стоит рассуждать следующим образом: сначала мы выберем решения только для подключения смартфонов, все внедрим и настроим, а потом уже будем решать, как защищать удаленный доступ. Будет неудивительно, если в итоге получится зоопарк из продуктов, которые кое-как работают друг с другом. Во-вторых, проанализируйте все актуальные решения. Вполне возможно, вы найдете вместо пяти разных продуктов от разных вендоров два-три решения, покрывающие ваши задачи (а может быть, вам повезет, и он будет один). В-третьих, изучите все актуальные на данный момент технологии, взвесьте все за и против. Возможно, вам и не нужно все из того, что есть. В-четвертых, определитесь с поддерживаемыми операционными системами мобильных устройств. Допустим, у вас 64% смартфонов с операционной системой A, и 32% с операционной системой В, и всего 4% с операционной системой С (дабы не обидеть вендоров, назовем их так). И если вы можете выбрать одно решение, покрывающее задачи подключения и защиты доступа к корпоративным ресурсам с мобильных устройств, имеющих операционные системы А и В, то, может быть, следует просто отказаться от поддержки смартфонов с операционными системами С. Сложно найти решение, которое удобно и полноценно управляло бы абсолютно любым мобильным устройством. В-пятых, проведите пилотный проект. Создайте тестовую зону максимально приближенную к "боевой", и протестируйте выбранные решения вместе. Проверяйте работу тестируемых решений с уже имеющимися у вас системами – например, с ActiveDirectory, веб-порталами, серверами электронной почты и т.п. Привлекайте к пилотным проектам специалистов вендора или компаний-интеграторов с уже имеющимся опытом внедрения выбранных продуктов. В любом случае разумный и взвешенный подход поможет вам создать интегрированную систему защиты мобильной среды с централизованным управлением и привлечением небольшого числа ресурсов для работы с построенной системой.
Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб": Читать стандарты. Смешно, но все эти проблемы описаны буквально до нас. Описать риски, выбрать средства защиты… И понять, для чего каждое средство нужно – его слабые и сильные стороны. Скажем, большинство решений обеспечивает защиту всех используемых в компании платформ. Казалось бы, осталось выбрать решение, поддающееся интеграции с корпоративной системой управления – и цель достигнута. Вот только все совсем не так просто. Одна из целей злоумышленников – получить контроль над системой. Системе нужно, в частности, защититься от антивируса. Для этого все до одного компонента антивируса – включая систему управления – должны быть под контролем самозащиты. А вот корпоративные системы защиты такой подсистемой не обладают и, подсоединив антивирусную защиту к серверу управления компании, мы даем шанс злоумышленнику обойти самозащиту антивируса, отдав команду с сервера. Поэтому нельзя забывать главное – все системы имеют ограничения, нет непробиваемой защиты, информация об ограничениях, как правило, общеизвестна, и забывать о них – недопустимо.
Подготовила Лилия Павлова