Коллектив Авторов - Цифровой журнал «Компьютерра» № 188

Пока ещё тревожным моментом остаётся защита данных и контроль экспортных ограничений. Например, американские предприятия, работающие на международном уровне, несут ответственность за утечку данных. Они должны следить за тем, чтобы принадлежащие им и попадающие под экспортные ограничения сведения оставались на американских серверах. Однако это решаемый вопрос, не снижающий в целом популярности подхода. К примеру, облачным веб-сервисом Amazon Elastic Compute Cloud сегодня пользуются тысячи компаний самого разного уровня.

При правильном применении виртуализации у предприятия повышается рентабельность инвестиций в вычислительные активы. Сама по себе технология исключительно дружественна к компании-заказчику, чего не скажешь о компании-исполнителе. Ведь теперь это её проблема — балансировать нагрузку.

Поскольку приложения более не привязаны к конкретному серверу с лимитированной производительностью, фирмы могут арендовать любое необходимое количество ресурсов у провайдера облачного сервиса и поделить их между своими задачами так, как сочтут нужным на данный момент.

Следующий шаг — унификация сетевых интерфейсов. Fibre Channel Over Ethernet значительно упрощает топологию центра обработки данных. Наличие 10 Гбит Ethernet-канала означает, что заказчики могут легко получить достаточную пропускную способность и без необходимых ранее специфических компонентов. Такие компании, как Cisco, создают единое сетевое пространство, объединяющее всё в одной унифицированной среде администратора с единым набором инструментов. Теперь фирмам даже не нужен отдельный ЦОД, чтобы иметь быстрый доступ к своим данным.

Какими бы сильными ни были изменения в ИТ-инфраструктуре предприятия, они зачастую остаются незаметными для рядовых сотрудников. Пожалуй, единственное, на что они бурно отреагируют, — это появление удалённых рабочих мест и концепция BYOD, допускающая использование личных устройств на работе. Кратко идею BYOD в ролике ниже демонстрирует компания AVG.

http://www.youtube.com/watch?v=w-u1hoBQJ-4

Если преимущества и недостатки первого подхода очевидны, то возможность для сотрудника подключить к корпоративной сети собственный девайс совсем недавно воспринималось администраторами как блажь и прямая угроза безопасности. Однако альтернатива в виде подбора корпоративных мобильных устройств или даже разработка специализированных ещё хуже.

Опыт зарубежных компаний показывает, что риски здесь относятся к категории управляемых, а на любимом персональном устройстве контролируемый сотрудник работает гораздо эффективнее, чем за непривычным куцым терминалом с минимальным набором прав.

Чтобы отбить желание заниматься посторонними делами и предотвратить кражу данных, достаточно обеспечить возможность контроля – например, установить на смартфоны приложение с поддержкой выполнения удалённых команд.

Сейчас бессмысленно придерживаться старых ориентиров. Сфера информационных технологий уже изменилась до неузнаваемости. Amazon была компанией, продающей книги в интернете, а единственный продукт VMware предназначался для десктопов и позволял запускать одну версию Windows из-под другой.

Если раньше образ инсайдера с крестовой отвёрткой и загрузочной флешкой преследовал админов ночами, то теперь он воспринимается комично. Практически всё находится «в облаке» и физически недоступно атакующей стороне.

К оглавлению

Пентагон как инкубатор стартапов для информационной безопасности

Андрей Васильков

Опубликовано 26 августа 2013

Ряд известных сегодня компаний, занимающихся вопросами информационной безопасности, был создан ИТ-специалистами, работавшими на Пентагон и АНБ. Получив передовые знания и бесценный практический опыт, они стали обладать серьёзными конкурентными преимуществами и адаптировали весьма специфические приёмы для гражданского сектора.

Многогранный Пентагон (фото: dvice.com).

Редкий день обходится без сообщений об очередной атаке на известные сетевые ресурсы, взломах сайтов и краже данных. С каждым годом число сетевых атак и мошеннических схем всё возрастает, что влечёт за собой увеличение спроса на соответствующие меры защиты.

Согласно данным Национальной ассоциации венчурного капитала, в прошлом году объём финансирования стартапов, создаваемых для развития рынка услуг в сфере информационной безопасности, увеличился вдвое и достиг отметки в миллиард долларов.

Среди множества недавно созданных фирм особый интерес представляют те, которые основали бывшие сотрудники военных ведомств и спецслужб США.

Многие годы правительство искало кандидатов для работы на Министерство обороны и федеральные агентства среди талантливых выпускников и лучших программистов Кремниевой долины. Сейчас стала очевидна обратная сторона этого процесса: завершив государственную службу или не получив от неё должной отдачи, эти специалисты ушли в частный сектор, унеся с собой полученные знания.

«У них есть уникальный опыт, потому что они всегда были на передовой ИТ-фронта. Я сам вложил деньги в несколько таких фирм», — говорит Мэтью Говард (Matthew Howard), бывший аналитик разведки ВМФ США.

Одним из наиболее динамично развивающихся стартапов следует признать Synack. Эта фирма предлагает услуги по выявлению и устранению уязвимостей в сетях государственных учреждений и частных компаний.

Её соучредители Джей Каплан (Jay Kaplan) и Марк Кюр (Mark Kuhr) встретились во время работы по антитеррористической программе в Форт-Миде — тренировочном лагере АНБ в штате Мэриленд. Фотография этого монументального комплекса часто использовалась как иллюстрация для статей об Эдварде Сноудене и скандалах, связанных с деятельностью Агентства национальной безопасности.

Спустя четыре года Джей и Марк уходят из АНБ и возвращаются в Кремниевую долину. Буквально за две–три недели им удаётся привлечь серьёзные инвестиции и получить стартовый капитал в размере полутора миллионов долларов.

Джей Каплан и Марк Кюр (фото: nytimes.com).

«Когда годами работаешь с документами под грифом «Секретно», то у тебя буквально открываются глаза, — делится впечатлениями Джей Каплан. — Правительство делает очень много интересных вещей, которых не раскрывает. Теперь у нас есть понимание того, что в действительности может сделать атакующая сторона. Это осознание состояния компьютерной безопасности совсем на другом уровне».

Идея основать свою фирму посетила их во время очередного совместного поиска уязвимостей. Бизнес-план рождался по ночам и в выходные. Марку тогда было двадцать девять лет, а Джею — двадцать семь.

Корни других подобных компаний тоже легко проследить. Парадоксально известная из-за своей секретности Morta Security была основана Раджем Шахом (Raj Shah) — советником АНБ и лётчиком ВВС США.

Такое сочетание профессий просто не могло пройти бесследно. Когда Радж создал частную компанию вместе с двумя бывшими коллегами, то покрыл её невероятным и обычно вредным для стартапа ореолом тайны. Всё, что говорится о целях фирмы, это разработка некой «уникальной парадигмы для скрытой борьбы с киберугрозами».

Радж весьма негативно отзывается о традиционных методах защиты, работающих по известным атакующей стороне алгоритмам. Он считает, что в сети давно ведётся настоящая война, и впору действовать по законам военного времени: «Есть множество нетривиальных способов кражи данных у корпораций и правительств. Мои ребята просто осведомлены о них лучше, чем кто-либо».

Как бы сомнительно ни звучали подобные заявления, Раджу удалось заинтересовать многих инвесторов. Среди них a16z seed, Greylock Partners, Norwest Venture Partners и частные лица.

«У бывших сотрудников спецслужб и Министерства обороны есть опыт аналитической обработки больших объёмов данных, полученный в Вашингтоне, — комментирует ситуацию Марк Ротенберг (Marc Rotenberg), исполнительный директор Информационного центра электронной конфиденциальности в Вашингтоне. — Они используют его для развития своего бизнеса, и это тревожно для многих». Помимо АНБ, на таком уровне раньше могли работать только крупнейшие корпорации, такие как Google и Facebook. Сейчас всё меняется.

«Работая на Агентство национальной безопасности, приходится всё время поддерживать свой уровень; требуется не просто быть на переднем крае, но и формировать его», – пишет Орен Фалковиц (Oren Falkowitz), создавший компанию Sqrrl — разработчика современных технологий управления большими массивами данных.

Sqrll — для больших и крепких орешков (изображение: sqrrl.com).

Ему удалось решить известную проблему, связанную с риском нарушения целого ряда законодательных актов при сборе и анализе информации. В частности, врачебная тайна в США с 1996 года защищается законом «О мобильности медицинского страхования и отслеживаемости данных» (HIPPA), а в 2002-го был подписан закон Сарбейнза — Оксли, ужесточивший требования к финансовой отчётности.