В среду Microsoft выступила с важной инициативой, призванной развеять опасения заказчиков по поводу слабой защиты ее ПО от вирусных атак
© Джо Уилкокс (Joe Wilcox) Софтверный гигант пытается унять беспокойство, вызванное обнаружением все новых уязвимых мест в его программах и недавними атаками вирусов Nimda и Code Red, что дало повод экспертам заговорить о недостаточной защищенности веб-сервера Microsoft Internet Information Server (IIS). Во вторник Microsoft обратилась примерно к тысяче своих крупнейших клиентов, предложив им программу Strategic Technology Protection Program (STPP), в рамках которой корпорации должны получить средства краткосрочной и долгосрочной защиты от существующих и новых вирусов.
Аналитики предупреждают, что подорванное доверие к некоторым продуктам Microsoft будет трудно преодолеть, что может помешать планируемому наступлению компании на рынок веб-сервисов с инициативами .Net и .Net My Services. «Осваивая рынок веб-сервисов, Microsoft может столкнуться с проблемой доверия. Стараясь продавать свое ПО как услуги, компания добавляет все новые механизмы защиты, — говорит аналитик Gartner Джон Пескатор (John Pescatore). — Кто же станет подписываться на веб-сервисы, автоматически обновляющие десктоп, если в серверном ПО Microsoft то и дело обнаруживаются баги?»
Процедура защиты упрощается
Первая часть STPP, называемая Get Secure, предусматривает предоставление заказчикам Microsoft комплекта инструментов защиты, который собирает в одном месте все патчи, «хот-фиксы» и апдейты (patches, “hot-fixes” and updates). Кроме того, Microsoft предложит бесплатную техническую поддержку по вопросам защиты и будет работать с заказчиками через региональные представительства, гарантируя безопасность их сетей.
Однако многие из этих мер уже принимаются. Тем или иным способом Microsoft собирает поправки и апдейты к продуктам в единый простой для загрузки пакет. Если бы все пользователи установили у себя существующие заплатки, последние атаки на IIS были бы невозможны. В прошлом Microsoft возлагала обязанности по установке поправок на самих пользователей, но теперь признает этот подход неэффективным. По оценкам Microsoft, IIS приходится латать каждый месяц; аналитики же считают, что проблемы возникают гораздо чаще. «Эти патчи выходят так часто, что Microsoft не хватает ресурсов на их своевременный выпуск и распространение; здесь уж не до улучшения качества продукта», — говорит Пескатор.
Microsoft планирует примерно раз в месяц выпускать новый security-kit CD, одновременно предлагая более действенные процедуры обновления через веб. «Сейчас нет эффективной системы оповещения о пробелах в защите, на которую каждый мог бы легко подписаться, — как, впрочем, и простого способа доставки поправок», — признался старший вице-президент отделения Microsoft Windows Брайан Валентайн (Brian Valentine). Новые онлайновые инструменты позволят быстрее оповещать заказчиков Microsoft о проблемах безопасности и обеспечат возможность быстро загружать патчи.
С Windows ХР, в которой используется более активный метод доставки апдейтов, такие проблемы возникать не должны. Если пользователь этой ОС разрешает функцию автоматического обновления, то Microsoft может доставлять ему любые поправки сразу же, как только они выходят.
Компания надеется также развеять опасения заказчиков по поводу вирусов, предложив поддержку по бесплатному телефону каждому, у кого возникают вопросы в связи с вирусами, будь то индивидуальный пользователь или крупная корпорация. «Это вселит в людей чувство уверенности: им всегда будет к кому обратиться за помощью», — говорит Валентайн.
Заточено под предприятия
В рамках долгосрочной программы под названием Stay Secure Microsoft планирует автоматизировать обновление Windows и ввести дополнительные средства защиты в будущий набор поправок Windows 2000 Service Pack 3, а также выпустить версию IIS 6 с более высоким уровнем защиты при установке значения параметров настройки по умолчанию. «Microsoft стала софтверным гигантом потому, что передала управление в руки пользователей. Подход был такой: „Пусть сами отключают все лишнее”, — говорит Пескатор. — Но проблема в том, что слишком многие предприятия, купив продукт, ничего не меняют в настройках».
«На нашем сайте всегда есть перечни компонентов с предупреждением „Если вам не нужны те или иные компоненты, запретите их” и пояснением, как это сделать, — говорит руководитель информационного центра Microsoft по вопросам защиты Стив Липнер (Steve Lipner). — Но заказчики не всегда обращают на них внимание и не делают этого».
Пескатор поясняет подход Microsoft на примере аттракциона — прыжков на эластичном тросе. «Резинку нужно сделать покороче, — говорит он. — В прошлом Microsoft обычно давала вам длинный трос и говорила: „Упс, что-то шлепнулось. Смотрите, как нужно укорачивать резиновый канат”». Но Валентайн переводит стрелку на отношение самих компаний к вопросам безопасности. По его версии, «не то, чтобы они не желали быть неуязвимыми — они просто не знают правил».
По словам Пескатора, в случае IIS у компаний есть выбор из трех вариантов: смириться с судьбой и «постоянно чиститься после этих атак», улучшить защиту, в том числе при помощи регулярной установки патчей для IIS, или перейти на какую-нибудь другую платформу. Security Toolkit помогает идти по второму пути, но Microsoft, говорит он, «следовало бы предложить четвертый: выпустить продукт, который требовал бы меньше поправок».
Тортон Берфайн (Thorton Burfine), главный технолог компании KelbySoft, сравнивает две части программы STPP с наживкой и крючком. «Меня беспокоит то, что STPP позволит Microsoft диктовать мне модель защиты NT/2000, а также то, как она будет относиться к нашим системам, — говорит он. — Когда потребность в безопасности и защите возросла, Microsoft предложила нам инструмент, который защищает наши сети как ей кажется нужным, и собирается обновлять наши системы, желаем мы того или нет».
Для повышения надежности IIS в будущем Microsoft намерена использовать инструменты своего исследовательского подразделения для выявления уязвимых мест в коде ПО. «Мы усовершенствовали процесс проектирования, так что он стал еще строже, чем при создании Windows 2000», — говорит Валентайн. По его словам, в инструменты разработки, которые использовались в процессе создания Windows ХР и Windows .Net Server, куда входит II 6, Microsoft вложила около 50 млн $.
«.Net станет очень наглядным показателем зрелости Windows и серверов Microsoft, — говорит аналитик Patricia Seybold Group Питер О'Келли (Peter O'Kelly). — Если выявятся новые существенные проколы, доверие к компании и ее бизнесу будут подорваны».
Однако Валентайн отводит эти опасения. «По-моему, это вопрос общего доверия к индустрии, — говорит он. — Всех беспокоит безопасность интернета в целом. Не думаю, что это проблема исключительно Microsoft».