Кто правит балом: лидеры рынка сетевой безопасности

Источник: itspecial

Прежде чем мы перейдем к "рейтингу лучших", необходимо сделать два отступления. Во-первых, этот рейтинг в первую очередь Западный. В России таких исследований не проводилось, и зарубежные лидеры не всегда имеют такие же позиции в нашем отечестве. В качестве примера можно привести сегменты антивирусов и средств защиты от спама. В России имена лидеров совершенно иные - Лаборатория Касперского и Infowatch, которые на Западе мало кому известны. Во-вторых, в маркетинге есть принцип - не можешь выиграть у лидера, создай свою нишу и будь лидером в ней (даже если ты там единственный). Поэтому, выбирая лучшее, надо внимательно смотреть не только на позиции рейтинга, но и на сам продукт, его функционал и соответствие вашим требованиям. И, разумеется, на самого вендора.

Межсетевые экраны и VPN

Самое распространенное средство защиты - межсетевой экран (он же firewall, он же брандмауэр, он же файрвол). Учитывая современную тенденцию использовать в сетевой безопасности аппаратные решения, начнем с сегмента программно-аппаратных межсетевых экранов (firewall appliance). Здесь, по данным IDC, с существенным отрывом лидирует компания Cisco (доля рынка - 41,7%). Далеко позади Juniper (18,1%) и Nokia (13,5%). Доли рынка остальных компаний не превышают 2,5%. Однако если посмотреть на долю рынка, определяемую исходя из объемов продаж (с точки зрения количества инсталляций, что лучше показывает интерес со стороны потребителя), то разрыв между Cisco и Juniper будет не двукратным, а восьмикратным.
Компания Check Point доминирует на рынке программных межсетевых экранов с долей в 57,1%. С большим отрывом за ней следует Microsoft (14,2%) и Symantec (5,5%).

Системы предотвращения атак

За межсетевыми экранами идут системы обнаружения и предотвращения атак. Здесь лидер тот же - Cisco. А дальше уже совсем другие игроки. И отрыв от лидера не такой значительный как на рынке межсетевых экранов.

Управление патчами

Не только "периметровой" защитой жива корпоративная сеть. Одна из важнейших задач, правильная реализация которой позволила бы практически исключить необходимость использования антивирусов и IPS, - управление патчами, которые затыкают дыры в операционных системах, приложениях и сетевых сервисах. Явного лидера на этом новом сегменте рынка пока нет - три первых компании (PatchLink, Shavlik и Microsoft) вместе "держат" только треть всех продаж, а остальное распределено среди более мелких компаний.

Расследование инцидентов

Патч установить не успели, атака прошла успешно... Что делать? Необходимо расследовать инцидент. Вручную занимать этим - занятие неблагодарное. Поэтому на рынке достаточно давно появились системы автоматизации рутинных действий по анализу файлов и диска, журналов регистрации и т.п. Признанным лидером в этой области является компания Guidance, захватившая треть сегмента рынка. За ней "пристроилась" NIKSUN с 21,4%. Оставшиеся 45% делятся между другими игроками.

Управление соответствием политике и нормативным требованиям

Очень важно иметь политику безопасности, которая бы содержала ответы на вопросы "Кто?", "Что?", "Где?", "Когда?", "Как?". В крупной сети средств защиты может быть очень много, и контроль соответствия всех узлов разработанной политике - непростая задача. Любое упущение станет слабым звеном, через которое и проникнет злоумышленник. Поэтому на Западе достаточно активно развивается рынок так называемых compliance-решений. Вторая задача, которая решается этими системами - проверка соответствия требованиям различных законодательных актов (SOX, FISMA, CoBIT, ISO 27011 и т.д.). Это актуально и в России, где различных законов, постановлений и других регламентирующих документов разработано несколько десятков. В отличие от многих других сегментов в этой области присутствуют и российские разработчики.

Управление событиями безопасности

Обилие средств защиты не только повышает уровень защищенности оператора связи, но и увеличивает нагрузку на администраторов безопасности, которым приходится оперировать поистине огромными объемами данных, сигнализирующих о несанкционированной активности. В таблице представлен средний объем данных, с которым приходится сталкиваться оператору средств защиты.

Анализ сигналов тревоги осложняется тем, что среди них не все события представляют реальную опасность для инфраструктуры, а часть сигналов являются следствием ложного срабатывания системы защиты. Поэтому одна из первых задач администратора безопасности - "отделить зерна от плевел" и определить, какие атаки требуют немедленной реакции, какие подождут своего часа, а какие можно спокойно проигнорировать. И эта задача не была бы столь сложна, если бы все сообщения, сгенерированные средствами защиты, соответствовали реальным атакам. Однако действительность такова, что атак, которые и впрямь могут нанести ущерб ресурсам сети, несоизмеримо меньше, чем событий, фиксируемых защитными механизмами.

Мнение о том, что ложное сообщение лучше, чем его отсутствие, далеко не всегда оправдано. Как тут не вспомнить сказку о пастушке, который так часто кричал "волки, волки", что все перестали обращать на него внимание.

Найти реальную атаку в сотнях мегабайт фиксируемых событий - все равно что искать иголку в стоге сена. Но даже если вы совершили невозможное и обнаружили угрозу вашей сети, то необходимо оповестить об этом и других заинтересованных лиц - владельцев атакуемой системы или ее администратора, группу реагирования на инциденты и т.п.

Решить все эти проблемы одиночными средствами защиты невозможно. У одной системы не хватает механизма сопоставления разнородных событий безопасности, у другой отсутствует эффективный механизм хранения гигабайт собранных данных, третья не обладает системой генерации высокоуровневых отчетов, понятных руководству... Чтобы избежать описанных неприятностей, необходима эффективная система управления информационной безопасности, которая позволяет связать все используемые в сети защитные средства в единый управляемый комплекс. Такие системы известны под общим названием Security Information Management Systems (SIMS).

Управление конфигурацией и системами защиты

Кроме патчей на рабочих станциях и серверах, существует еще и сетевое оборудование и средства защиты, от эффективной конфигурации которых зависит не только безопасность сети, но и функционирование самих сервисов и приложений, ради которых сеть и создается. И управлять сетевым оборудованием с точки зрения безопасности нам помогают решения уже известных сетевых производителей - Cisco, HP, Enterasys.

Поиск сетевых уязвимостей

Как узнать про уязвимости, которые затем будут устраняться патчами? Эту задачу решают сканеры безопасности, которые дистанционно сканируют сотни и тысячи узлов в поисках различных уязвимостей, потенциально доступных злоумышленникам. Российский рынок мало что знает об этом сегменте, кроме одного имени - компании ISS, которая была куплена IBM. Зато мы хорошо знаем X-Spider - российскую разработку, которая пока не попала в международные "чарты".

Поиск уязвимостей на уровне узла

Новости можно обнаружить не только на сетевом уровне. Очень часто различные системы защиты (межсетевые экраны, маршрутизаторы, системы предотвращения атак) блокируют попытки сканеров выяснить всю подноготную сканируемых узлов. В этом случае нужны системы анализа защищенности, устанавливаемые на самих проверяемых узлах (обычно это серверы). Лидер тут один - Symantec, который купил компанию Bindview. И теперь у Symantec"а свыше 42% всего рынка.

Антивирусы

Антивирусы были одними из первых средств защиты, появившихся на рынке. С тех пор этот сегмент рынка активно развивался - старые игроки исчезали, проиграв бой более удачливым и прогрессивным коллегам. Сейчас тройка лидеров выглядит следующим образом: Symantec, Trend Micro и McAfee. При этом доля Symantec превосходит доли остальных двух игроков вместе взятых. Однако в скором будущем ситуация может измениться - на антивирусный рынок вышел Microsoft, и можно предположить, что на новом для себя рынке они также займут не последнее место. И, конечно же, нельзя забывать про специфику российского рынка - у нас известны антивирус Касперского и Dr.Web.

Хостовые IPS

В отдельную категорию средств защиты входят решения для отражения широкого спектра угроз на персональные компьютеры и лэптопы. Если раньше большой популярностью пользовались персональные межсетевые экраны, то сейчас этот интерес спадает. Это связано с тем, что очень сложно бывает заранее описать, с какими IP-адресами можно общаться, а с какими нет. Системы предотвращения атак (особенно те, которые используют поведенческий, а не сигнатурный контроль) позволяют уйти от этой проблемы и сконцентрироваться на задаче отражения широкого спектра угроз, включая утечку информации через USB и другие носители, контроль загрузки с посторонних носителей и т.д.

Мы рассмотрели далеко не все сегменты рынка информационной безопасности, но уже можно делать определенные выводы. Рынок постепенно консолидируется, все чаще в разных сегментах повторяются одни и те же имена. Небольшие компании-стартапы выводят на рынок новые технологии, "выстреливают", а затем поглощаются "акулами бизнеса". И, возможно, со временем на это рынке останется всего несколько крупных игроков, как это происходит на рынке браузеров, СУБД или ERP-систем.

Ссылки по теме