Минтранс РФ: ставка на решения «Лаборатории Касперского»

Сегодня информационные технологии играют критическую роль в работе любой компании и организации. От непрерывности, стабильности и производительности информационных процессов зависит эффективность функционирования предприятия в целом. Однако существует целый ряд угроз ИТ-безопасности, каждая из которых способна вывести из строя всю ИТ-инфраструктуру компании или привести к утечке конфиденциальных данных. Таким образом, предприятия просто вынуждены заботиться о собственной ИТ-безопасности, причем тем сильнее, чем более они информатизированы.

Угрозы ИТ-безопасности

 Современные угрозы ИТ-безопасности сегодня у всех на устах: атаки вредоносных кодов, спам, кража секретных данных, несанкционированный доступ и т.д. Тем не менее, чтобы обеспечить эффективную защиту от них, необходимо представлять, насколько опасна та или иная угроза. В противном случае весь бюджет проекта будет потрачен на борьбу с призраками.
Последние исследования показывают, что наиболее опасными являются атаки вредоносных кодов. Аналитики Института Компьютерной Безопасности и ФБР поставили эту угрозу на первое место. Согласно отчету CSI/FBI Computer Crime and Security Survey 2005, вирусы причиняют наибольший финансовый ущерб: суммарные потери более 600 опрошенных компаний достигли почти 43 млн долларов, а средний ежегодный ущерб каждого респондента составил около 70 тыс. долларов. В свою очередь специалисты IDG и PricewaterhouseCoopers в своем исследовании State of Information Security 2005 отметили, что 59% всех зарегистрированных за прошедший год атак были вызваны вредоносными кодами, что на 6% выше, чем в прошлом году. Таким образом, вредоносные коды являются самой опасной угрозой ИТ-безопасности: они по-прежнему причиняют организациям наибольший финансовый ущерб, к тому же число успешных вирусных атак постоянно растет.
Следующими двумя самыми опасными угрозами являются несанкционированный доступ и кража конфиденциальных данных. По результатам исследования CSI/FBI Computer Crime and Security Survey 2005, каждая из этих угроз менее опасна, чем вирусные атаки, однако наносимый ими ущерб по-прежнему ощутим: суммарные потери вследствие несанкционированного доступа или кражи конфиденциальных данных примерно равны и составляют по 31 млн долларов. Следует отметить, что значительно возросшая опасность этих угроз обусловлена изменившейся природой вирусных атак. Например, было зарегистрировано несколько инцидентов, когда кража торговых секретов осуществлялась с помощью вируса. К тому же существует целый класс вредоносных программ, созданных для кражи информации — шпионские коды. Можно резюмировать, что вирусы, несанкционированный доступ и кража конфиденциальных данных являются сегодня самыми опасными угрозами ИТ-безопасности, причем вредоносные коды играют роль локомотива, тянущего за собой сопутствующие угрозы.
Однако, даже обладая сведениями о финансовой оценке рисков, защитить любую крупную компанию от информационных угроз сегодня очень не просто. Разнообразные сценарии атаки, обилие каналов связи и потенциально уязвимых узлов ИТ-инфраструктуры — все это требует подходить к выбору и внедрению решения ИТ-безопасности взвешенно и обдуманно, но на практике заказчик всегда ограничен сжатыми временными сроками и финансовой стоимостью проекта. Чтобы сделать правильный выбор и попасть в золотую середину, необходимо обладать высоким уровнем компетентности и профессионализма, а также прислушиваться к советам экспертов. Вдобавок, можно обратиться за помощью к системному интегратору, который поможет определиться с выбором решения ИТ-безопасности и возьмет на себя работы по его внедрению.

Проект Министерства Транспорта Российской Федерации

 Одной из самых информатизированных государственных структур России является Министерство Транспорта (Минтранс). В задачи этого федерального органа исполнительной власти входит государственное регулирование транспортного комплекса страны. Региональные представительства Минтранса охватывают всю территорию России, что требует использования для внутриведомственного информационного обмена сложной и высокоразвитой ИТ-инфраструктуры.
До 2004 года уже существовавшая в Минтрансе вычислительная сеть была защищена комплексным решением «Лаборатории Касперского» — Kaspersky Corporate Suite. Антивирусные модули покрывали все уязвимые узлы ИТ-инфраструктуры: рабочие станции, серверы, шлюзы. Однако без защиты оставался канал доступа к интернету, являющийся одним из опасных источников проникновения вредоносных программ в сеть организации.
Современные электронные угрозы, распространяющиеся через интернет, представляют серьезную угрозу бесперебойной работе информационной системы министерства и её пользователей. Более того, они могут привести к утечке ценной информации, что недопустимо для учреждения федерального значения. Таким образом, перед специалистами Минтранса стояла задача защиты канала доступа к интернету.
В конце 2003 года «Лаборатория Касперского» выпустила новый продукт, который позволяет проверять потоки данных, проходящие через межсетевой экран Microsoft ISA Server, на наличие вредоносных кодов. Данный модуль отлично вписался в Kaspersky Corporate Suite, комплексное решение для борьбы с вирусами. Его функциональность логично дополнила более сложный многокомпонентный продукт и позволила организовать фильтрацию HTTP и FTP-трафиков: перехват данных, выделение из общего потока объектов, подлежащих контролю, анализ на присутствие вирусов и других вредоносных программ.
Антивирус Касперского использует возможность расширения ISA-сервера и интегрируется непосредственно в систему как приложение. Это позволило разработчикам реализовать некоторые исключительные возможности, расширяющие сценарии применения продукта и повышающие его дополнительные характеристики. Так новый модуль является оптимальным для обеспечения надежной защиты ISA-серверов, работающих в режиме массива (Array Member). В этом случае программа обеспечивает централизованное управление настройками всех серверов, входящих в массив, а также централизованное обновление антивирусных баз. Вдобавок данный компонент способен осуществлять проверку больших объемов данных без снижения производительности самого ISA-сервера. Для этого предусмотрена возможность одновременной работы нескольких экземпляров антивирусного ядра. По умолчанию при старте Антивируса Касперского для MS ISA Server запускаются четыре экземпляра антивирусного ядра, которые в дальнейшем работают параллельно.
Таким образом, Антивирус Касперского для Microsoft ISA Server обладает всей необходимой функциональностью для защиты канала доступа в интернет. Между тем, именно эта задача стояла перед сотрудниками Минтранса.

Реализация проекта

Специалисты информационной службы Минтранса России инициировали внедрение Антивирус Касперского для Microsoft ISA Server во внутриведомственную сеть сначала для тестирования, а затем для возможного применения. Заказчик поставил несколько задач перед техническими экспертами «Лаборатории Касперского». Во-первых, обеспечить антивирусную защиту канала подключения локальной сети Минтранса к интернету. Для обеспечения отказоустойчивости канал включал в себя два узла Microsoft ISA Server, один из которых являлся резервным. Во-вторых, обеспечить централизованное администрирование комплекса средств антивирусной защиты. Данное требование особенно важно в связи с уже развернутой системой ИТ-безопасности организации и высокой топологической сложностью защищаемой ИТ-инфраструктуры. В-третьих, реализовать проект в максимально сжатые сроки. Это в свою очередь потребовало от экспертов поставщика очень высокого уровня профессионализма и компетентности.
Следует отметить, что проект был завершён в кратчайшие сроки, а все поставленные задачи были успешно выполнены. В ходе тестирования новый модуль подтвердил эффективность антивирусного сканирования, кроме того, архитектура программного комплекса позволяла ему легко работать на двух серверах Microsoft ISA. Специалисты Минтранса высоко оценили специализированный интерфейс управления антивирусом, который интегрируется прямо в Microsoft ISA Management Console. Работая через этот интерфейс, администратор может настраивать параметры работы антивируса, задавать политику безопасности для различных групп пользователей, получать отчетность и т. п. Для ускорения проверки на вирусы администратор может составить список так называемых доверительных серверов, вероятность обнаружения зараженных файлов на которых очень мала. Поступающие через такие сервера данные не будут подвергаться проверке. Вдобавок, для разных групп клиентов могут быть заданы различные уровни фильтрации, а во избежание задержек в передаче данных пользователям могут быть ограничены максимальное время проверки пакета данных антивирусом, максимальный интервал между пакетами и/или объем данных, накапливаемых программой для анализа. Таким образом, возможность централизованного управления комплексом ИТ-безопасности позволяет очень точно настраивать продукт, что делает антивирусную защиту максимально эффективной.
Проведённый заказчиком анализ работы Антивируса Касперского для Microsoft ISA Server показал, что решение отвечает всем поставленным требованиям Минтранса России как по уровню защиты от вредоносных программ, так и по критериям производительности и надежности. В результате была обеспечена всесторонняя безопасность ИТ-инфраструктуры Минтранса.

Сопровождение

Комплексное решение ИТ-безопасности включает в себя не только программные модули, но и целый спектр сопроводительных услуг. При выборе решения необходимо обращать внимание на качество и объем этих услуг, так как от них зачастую зависит эффективность работы внедряемых компонентов.
Например, при внедрении Антивируса Касперского для Microsoft ISA Server существенную роль сыграла частота обновления антивирусных баз. Не секрет, что именно на этом параметре лежит львиная доля ответственности за то, насколько эффективно продукт способен выявлять вредоносные коды. Сегодня «Лаборатория Касперского» обновляет свои антивирусные базы ежечасно. Причем это не просто формальная декларация: регулярные исследования ученых Мельбурнского университета подтвердили, что по скорости реагирования на появление новых вредоносных кодов российский антивирусный разработчик опережает всех своих западных конкурентов. Во время эпидемии время реакции «Лаборатории Касперского» составляет 10–20 минут, соперники успевают же только через 1–3 часа.
Важную роль играют консалтинговые услуги, оказываемые разработчиком решения. Например, на начальном этапе просто необходимо провести обследование сети и выбрать оптимальную схему защиты. Это связано с тем, что конфигурации корпоративных сетей, как правило, достаточно сложны, особенно если они включают узлы, работающие на разных платформах (Windows, Unix/Linux, Novell и др.). Важно выбрать схему защиты, оптимальную как с точки зрения эффективности, так и с точки зрения возможностей внедрения, управляемости, масштабируемости и, что немаловажно, — цены. В этом случае комплексный анализ сети, политик безопасности, используемого аппаратного и программного обеспечения позволит выявить наиболее уязвимые места и спроектировать комплексную систему безопасности, оптимальную именно для данной конкретной организации.
После того, как необходимые средства защиты выбраны, необходимо быстро внедрить антивирусный комплекс (или более широкий комплекс, обеспечивающий защиту от спама, хакерских атак, внутренних угроз и т. п.) и обеспечить его корректную эксплуатацию. Следовательно, поставщик должен обладать необходимыми знаниями и опытом, которые позволят в кратчайшие сроки добиться максимальной эффективности работы системы и ее отказоустойчивости.
Эффективной моделью для некоторых организаций может явиться аутсорсинг. Например, часть работ по регулярному обслуживанию и сопровождению системы защиты могут взять на себя сотрудники поставщика. Это дешевле и безопаснее, чем держать выделенного специалиста по информационной безопасности.
Для поддержания системы безопасности в актуальном состоянии может пригодиться такая услуга, как кураторство. В рамках данного сервиса, поставщик предоставляет компании своего специалиста, который проводит регулярные проверки функционирования установленной системы защиты, дает рекомендации по обновлению версий программного обеспечения, проводит ряд работ по настройке, управлению и т. д.
Особенно актуальными консалтинговые услуги становятся в случае, если заказчик зарегистрирует инцидент ИТ-безопасности. По данным, полученным Computer Economics, вследствие вирусной атаки заказчику чаще всего нужны программные продукты и консультации со стороны поставщика.

Результаты исследования Computer Economics

Следовательно, участие поставщика в жизни заказчика вовсе не заканчивается после внедрения решения и сдачи проекта в эксплуатацию. На нем лежит ответственность за обновление программного обеспечения, консалтинговые услуги, а порой и образовательные услуги. Действительно, в некоторых случаях заказчику требуется обучить своих собственных специалистов, способных эксплуатировать внедренный продукт, и повысить квалификацию сотрудников информационной службы или службы ИТ-безопасности. «Лаборатория Касперского», как поставщик комплексного решения, позволяет проводить подобные тренинги, как регулярные, так и сессионные, на своей собственной образовательной и технической базе. По окончании таких курсов проводится сертификация. В свою очередь поставщик гарантирует, что сертифицированные специалисты располагают полным набором знаний, необходимых для эффективной и комфортной работы при обслуживании корпоративных сетей.
Не на последнем месте находится и техническая поддержка. Для эффективного функционирования системы ИТ-безопасности крупной организации она играет порой критическую роль. Во время эпидемии вредоносных кодов, изменения топологии ИТ-инфраструктуры или при регистрации инцидента помощь поставщика является просто неоценимой. Например, во время реализации проекта по защите канала доступа к интернету в Министерстве Транспорта России помимо основных требований к внедряемому продукту были выдвинуты требования и к технической поддержке поставщика. Специалисты Минтранса высоко оценили многоуровневую систему технической помощи, которая обеспечивается центральной службой поддержки и авторизованными партнерами «Лаборатории Касперского». Каждому клиенту компании доступна не только подробная информация о продуктах, но ответы компетентных специалистов на вопросы о вредоносных программах: о принципах их действия, методах лечения и способах предотвращения вирусных атак. Консультацию можно получить круглосуточно как по телефону, так и по электронной почте. Отдельного упоминания заслуживает база знаний, обобщая опыт других заказчиков и рекомендации антивирусных экспертов. В рамках данного сервиса, размещенного на веб-сайте разработчика, можно быстро найти информацию по установке, настройке и функционированию решения, а также по удалению наиболее распространенных вирусов и лечению зараженных файлов. Наконец, существуют специальные технические форумы, на которых можно пообщаться с высококомпетентными техническими специалистами и почерпнуть необходимую информацию.
Помимо стандартной круглосуточной технической поддержки, «Лаборатория Касперского» предлагает корпоративным клиентам дополнительные виды сервиса. Среди них предоставление выделенных телефонных линий и адресов электронной почты для разных групп продуктов, моментальная реакция на возникшую проблему, выезд специалиста на объект заказчика, разработка специализированного лечащего модуля и антивирусных баз, консультации и т. п. Все это доступно в рамках программы «VIP — техническая поддержка».

Выбор поставщика

Таким образом, при выборе поставщика отбор происходит по нескольких критериям, среди которых требования:

  • к техническим параметрам;
  • к спектру сопроводительных услуг;
  • к репутации поставщика;
  • к стоимости решения.

Проект Минтранса в этом смысле является показательным: эффективная антивирусная защита каналов связи является сегодня основной задачей для каждой крупной организации, при выборе поставщика заказчик руководствовался не только техническими возможностями предлагаемого решения, но и наличием широкого спектра сопроводительных услуг. Вдобавок сам разработчик еще раз подтвердил свою репутацию и не обманул ожидания клиента, успешно реализовав проект в максимально сжатые сроки.
Делая ставку на проверенного поставщика комплексных решений, организация гарантирует себе высокий уровень обслуживания на протяжении всего цикла эксплуатации продукта. Расширенные возможности консалтинга, обучения и технической поддержки позволяют удовлетворить самым жестким требованиям, которые только может предъявить клиент. В свою очередь эффективность работы внедряемых продуктов часто заранее подтверждена необходимыми сертификатами, независимыми тестами и испытаниями.