Сеть и Безопасность: Открытый источник опасности?

Однако силы open source редко когда могут быть задействованы, если речь идет о выпуске специализированных продуктов: между тем, спецификация рынка углубляется, а рынку и его отдельным сегментам предсказывают весомый рост. На прошедшей неделе представители исследовательской компании Dataquest, подразделения Gartner, заявили, что они ожидают, что рынок управляемых средств безопасности (managed security services) уже к концу этого года достигнет объема в $4,3 миллиарда долларов, в то время как другая, не менее известная, исследовательская фирма IDC установила предел роста в $2,2 миллиарда долларов к 2005 году. Представители Gartner указывают на то, что спрос на межсетевые экраны, антивирусы, системы обнаружения вторжения весьма высок. Спрос на иные продукты, такие, как, например, системыбиометрического мониторинга, будет усиливаться через некоторое время, так как рынок должен адаптировать продукты такого рода. Также было сказано, что рост спроса на управляемые средства безопасности в ближайшем будущем будет иметь место, так как правительственные сети, финансовый и образовательный сектор до сих пор фактически незащищены.

IDC уточняет: по ее данным, если в 2000 году рынок был оценен на $750 миллионов долларов, то можно ожидать последовательного роста со средневзвешенным коэффициентом в 25,4%, что приведет к достижению $2,2 миллиардов долларов к 2005 году. При этом IDC утверждает, что в настоящее время даже небольшие фирмы серьезно задумываются над безопасностью своей сетевой инфраструктуры. Многие организации также идут на аутсорсинг большинства процессов в силу чрезмерно возросшей специализации сервисов, равно как и разнообразия угроз. В целом исследователи говорят о том, что фирмам, производящим (или оказывающим) услуги, управляемые средства безопасности, так называемые MSSPs, следует максимально концентрироваться на средних и малых предприятиях. Скептическую планку роста рынка в IDC обуславливают тем, что установка и управление средствами защиты является зачастую весьма трудным для большинства средних и мелких фирм.

Другое исследование показало, что количество "удаленных и мобилизированных" пользователей Сети в США достигло 78 миллионов, при этом до 70% из них проверяют корпоративную почту вне офиса. Желания корпораций и их работников распространяются весьма далеко: это касается как возможностей мобильных телефонов, так и кардинально новых карманных компьютеров. Но большинство пользователей сильно сдерживает обеспокоенность проблемами безопасности такого удаленного доступа. Пока рынок не отвечает полностью запросам потребителей, хотя некоторые резкие сдвиги наблюдаются уже сейчас. Создатели Palm, например, на этой неделе анонсировали выпуск OS5, новой операционной системы, которая будет лучше и безопаснее. Palm с этой операционной системой имеет возможность работать безопасно с VPN, а также с беспроводными сетями.

Вопрос безопасности остается ключевым как для создателей программного обеспечения, так и для пользователей. В последнее время все чаще звучат призывы признавать ответственность софтверных компаний за какой-либо сбой или инцидент. Такова, например, позиция академии наук США. Однако меры легального характера не могут окончательно сделать ПО безопасным: скорее наоборот, - только рынок, свободный выбор потребителя может подвести "баланс" в отношениях между создателями программного обеспечения и его пользователями. Не менее важным вопросом остается, в какой степени на рынке ПО практикуются рыночные отношения.

Тем временем рынок информационной безопасности растет и будет расти: опросы среди топ-менеджмента западных компаний показывают, что 47% компаний будут выделять средства на безопасность в том же объеме, а 29% увеличат соответствующие бюджеты. Конечно, "шумиха" вокруг безопасности будет раздражать многих, но без нее нельзя, если аудитория низко вовлечена. Другое дело, что опасности и угрозы действительно объективно присутствуют, а высокое вовлечение аудитории должно повлечь изменения рекламных и маркетинговых методик (от акций до типов обращения). Тем более, компаниям, выпускающим продукты (услуги) по безопасности, нужно очень аккуратно работать с аудиториями, ведь они наживаются на проблеме. Но несмотря на рост и его прогнозируемое продолжение, не все компании процветают: на этой неделе компания Computer Associates отказалась от выпуска займа долговых обязательств под угрозой понижения своего кредитного рейтинга, о чем предупредила корпорация Moody's, которая его ведет.

Среди других интересных новостей прошедшей недели следует отметить также то, что была старая, но, тем не менее, весьма опасная дыра в ASP.NET, связанная с cross-site scripting (CSS). Была найдена дыра или, возможно, feature в MSN/Windows, которая без ведома пользователей при работе приложения IE давала возможность собирать персональную информацию о пользователях, что грубо нарушало их privacy. Хуже того, - в собираемую информацию попадали адрес электронной почты и контакты лиц, с которыми переписывается пользователь. Также Microsoft на этой неделе выпустил патч для Office v. X for Mac OS X.

Фарид Нигматуллин, «ВидеоМатрикс»: У видеоаналитики в промышленности большие возможности

Цифровизация

На прошедшей неделе были найдены уязвимости в популярных межсетевых экранах BlackIce и программном обеспечении Cisco - Cisco SN 5420 Storage Router. На прошлой неделе были закрыты дыры на новостных сайтах MSNBC.com, NYTimes.com и WashingtonPost.com, которые позволяли несанкционированно генерировать новости на этих веб-сайтах. Сама по себе ситуация, когда новостной контент мог быть изменен, а сайт распространял бы фальшивую информацию, кажется весьма серьезной. Что было бы, если в новостях появилась бы фальшивая информация финансового характера, просто неизвестно, но такого рода манипуляции представляют гигантскую опасность.

Также достаточно громко на этой неделе звучала тема хакеров: сначала активно обсуждалось закрытие одного из британских ISP - CloudNine Communications. И пусть этот провайдер не был крупным игроком, одна удачная DDoS-атака, и он закрылся бы, вынужденный продать компанию и свою клиентскую базу ближайшему конкуренту. Многих такая ситуация повергла в шок: безопасность и выживание фирмы оказались как никогда близки, о чем до этого просто говорили - стало реальностью. Также был выведен из строя веб-сайт Всемирного экономического форума - при помощи DDoS-атаки, инициированной несколькими десятками тысяч пользователей, которые скачали и установили специальные программы. Что можно сказать по этому поводу?! Общественность лучше не раздражать, особенно если она радикально настроена.

На этой неделе был осужден на почти 4 года хакер, который взломал сеть одной из лабораторий NASA. Но все-таки Джейсон Дикман может вздохнуть свободно: первоначально ему грозило до 16 лет тюремного заключения. Несмотря на то, что все чаще и чаще практикуются более суровые наказания хакеров, что должно, по мнению властей, снизить количество атак, многие из исследователей, изучающие мотивацию хакеров, указывают на то, что для них это, по большому счету, игра, последствия которой они не до конца осознают, при этом пресса часто популяризирует их образ, что совершенно неправильно. Другое исследование, вызванное сомнением по поводу масштаба активности хакеров, говорит о том, что внутренние атаки не менее серьезны, а чаще всего, намного опаснее, тем более, что корпорации скрывают информацию об инцидентах такого рода, а такие несанкционированные действия трудно засечь. Количество же внешних атак растет в связи с "бесконечным" увеличением угроз, которые сплошь и рядом в сетевой деятельности фирм.

Также следует отметить, что на этой неделе активизировались действия Министерства юстиции США в направлении расследования и предупреждения киберпреступлений: во-первых, это коснулось персонала, во-вторых, их работы (мониторинг инцидентов, предупреждения и т. д.), в-третьих, слежения. И органам есть над чем поработать: например, недавно безопасность сетей Казначейства была признана неудовлетворительной. На этой неделе появилась информация о том, что администрация США предложила увеличить расходы на информационную безопасность и довести их до $722 млн., превратив их в пакет связанных инициатив. Это касается не только правительственных сетей, но и безопасности в целом: например, уже сейчас работают проекты при опосредованном финансировании Министерства обороны США по экспертизе кода программ, сайтов, вирусов. Исследователи самого широкого профиля получают за аналитические данные определенное вознаграждение. Что касается частных инициатив, то на этой неделе на конференции Forrester обсуждались в качестве основных проблем тяжесть транзакций при работе с защищенным каналом или PKI, privacy пользователей в срезе аутентификации, стандарты. Именно в этом направлении будут работать компании, чтобы предоставить пользователям безопасные и удобные продукты.

Поделиться

Подписаться на новости Короткая ссылка