O sytuacji na rynku bezpieczeństwa sieciowego z Tomaszem Rysiem, dyrektorem generalnym Clico rozmawiają Anna Machol i Józef Muszyński.

Czas pomiędzy wykryciem luki w oprogramowaniu a pojawieniem się programów wykorzystujących tę lukę skraca się coraz bardziej. Jak można w praktyce walczyć z atakami "dnia zerowe" i czy jest to możliwe?

Wielu producentów mówi o proaktywnej ochronie, której celem jest wykrywanie jeszcze nieznanych zagrożeń. Stosuje się różne podejścia i algorytmy, ale nikt nie jest w stanie zagwarantować całkowitego bezpieczeństwa. Skuteczność tego typu mechanizmów ocenia się na 30-70%. Brak 100-proc. pewności dotyczy nie tylko zagrożeń typu robak czy wirus, ale generalnie systemów bezpieczeństwa w całości. Tylko przecięty kabel sieciowy gwarantuje absolutne bezpieczeństwo przed zagrożeniami. Wiele także zależy od sposobu wdrożenia np. systemu antywirusowego. W przypadku automatycznej aktualizacji szczepionek w krótkich odstępach czasowych mamy spore szanse na wczesne ăuświadomienieÓ naszych zabezpieczeń o nowych zagrożeniach. W przypadku wirusów nie jest tak źle, bowiem producenci opracowują szczepionkę nawet w ciągu kilku godzin od pierwszego pojawienia się zagrożenia. Prawdziwa zmora to luki bezpieczeństwa w systemach operacyjnych Windows i aplikacjach Microsoftu - najczęściej używanych i atakowanych.

Wielu analityków podważa przydatność systemów wykrywania włamań (IDS). Dlaczego coraz większą wagę przywiązuje się do rozwiązań IPS (Intrusion Prevention System)?

System IDS działa jak kamera monitorująca jakiś obszar - ma martwe pola, zmienia kąt widzenia i czasami pomija pewne szczegóły. W momencie, kiedy włamanie zostanie odkryte, możemy skorzystać z zapisu obrazu i może nam się uda rozpoznać włamywacza. Ale co z tego, skoro mógł on już przekazać skradzione dane w niepowołane ręce.

Dla systemów IPS dużo ważniejsze jest zapobieganie włamaniu niż stwierdzenie, że włamanie miało miejsce. System IPS działa bardzo podobnie do systemu zaporowego - w momencie rozpoznania włamania blokuje transmisję. To bardziej skuteczna metoda niż na ogół mocno spóźnione reakcje systemów IDS (komunikacja z firewallem, wysyłanie negujących pakietów TCP itp.) Do niedawna przeciwnicy IPS twierdzili, że systemy te są za mało wydajne, aby je stosować w szybkich sieciach. Jednak obecnie IPS-y o gigabitowej wydajności oferuje wielu producentów.

Coraz wyraźniejsza jest tendencja do umieszczania funkcji ochronnych w urządzeniach. Czy na rynku polskim takie urządzenia są kupowane chętnie i przez kogo?

Pomysł budowy specjalizowanych urządzeń obronnych (appliance) nie jest nowy. Dedykowane rozwiązania sprzętowe są oferowane praktycznie przez wszystkich producentów. Można zaobserwować różne podejścia. Jedno z nich to budowa wydajnych urządzeń jednofunkcyjnych (zapora ogniowa, system antywirusowy, system IPS, VPN SSL itp.). Tego typu rozwiązania są przeznaczone dla większych firm, korporacji, dostawców usług telekomunikacyjnych. Inne podejście to budowa "kombajnów", czyli skrzynek, które zawierają wszystko: firewall, VPN, IPS, antywirusy, analizę kontekstu, inspekcję HTTP. Trudno jednak o zaufanie do takich rozwiązań, bowiem skupienie dużej liczby funkcji bezpieczeństwa w jednym systemie jest samo w sobie niebezpieczne - przełamanie jednego serwisu może doprowadzić do przejęcia władzy nad całym urządzeniem i wszystkimi jego usługami.

Ciekawym podejściem jest także oferta tzw. wirtualnych appliance. Jest to oprogramowanie oferowane na CD, które może w kilka minut przekształcić komputer PC w dedykowane urządzenie.

Polski rynek nie odbiega od tendencji ogólnoświatowych, co skutkuje dużym zainteresowaniem

dedykowanymi urządzeniami bezpieczeństwa. Kupują je zarówno korporacje, operatorzy telekomunikacyjni, jak i małe firmy. Te ostatnie szczególnie interesują się tanimi urządzeniami oferującymi funkcje systemu zaporowego, koncentratora VPN i platformy antywirusowej. je zarówno korporacje, operatorzy telekomunikacyjni, jak i małe firmy. Te ostatnie szczególnie interesują się tanimi urządzeniami oferującymi funkcje systemu zaporowego, koncentratora VPN i platformy antywirusowej.

Czy zainteresowanie filtrami antyspamowymi w Polsce jest adekwatne do skali tego zjawiska?

Czas i energia tracone na wyczyszczenie skrzynki ze spamu są bardzo frustrujące i wyraźnie obniżają efektywność pracy. Prawdziwy jednak problem to tożsamość, którą tracimy ze względu na spam. Podszywanie się pod innych to najprostsza aktualnie technika przepuszczania spamu przez proste systemy antyspamowe. Właśnie utrata tożsamości wyraźnie obniża zaufanie do internetowej komunikacji. Biorąc pod uwagę skalę zjawiska, wydaje się, że zainteresowanie produktami antyspamowymi nie jest takie, jak powinno być. Obecnie można zauważyć, że to producenci rozwiązań antywirusowych przejęli na siebie odpowiedzialność za walkę ze spamem, oferując dodatkowe moduły do swoich produktów. Mimo że stosowane są wyrafinowane techniki niszczenia spamu łącznie z rozpoznawaniem obrazów i grafik, spam możemy zlikwidować dopiero w naszej sieci czy na serwerze, a czasem dopiero w programie pocztowym. Nie jesteśmy zatem w stanie zmniejszyć ilości transmitowanych danych do naszej sieci - możemy jedynie zniszczyć treść, która do nas dotrze. Ideałem byłaby walka ze spamem u jego źródła, ale na razie nie widać możliwości opracowania skutecznego tego typu rozwiązania.