реимущества, ограничения, особенности разработки и эксплуатации OpenSource в ИБ-продуктах

Дмитрий Хомутов, заместитель директора по развитию компании «Айдеко»

Корпоративные продукты на свободном программном обеспечении еще 20 лет назад были экзотикой − настолько сильны были предубеждения относительно надежности и качества. С годами OpenSource укрепил свои позиции на ИТ-рынке, постепенно нарастив число корпоративных пользователей и финансовые показатели сопутствующих услуг, и избавился от клейма «кривой поделки». По прогнозам IDC, к 2019 г. 70% ИТ-подразделений преобразуют свою рабочую среду, опираясь на сообщества OpenSource. Все чаще к открытому программному обеспечению обращаются даже на государственном уровне. В нашей стране с 2008 г. его в обязательном порядке устанавливают в образовательных учреждениях. Однако в области информационной безопасности проприетарное ПО все еще занимает лидирующие позиции. Какие причины действительно должны стать поводом для раздумья, а какие являются лишь предрассудками?

Особенности OpenSource

Первое и самое очевидное преимущество касается прозрачности таких решений. Открытый программный код позволяет проанализировать код на предмет закладок спецслужб. Собственные разработки иностранных компаний, к сожалению, довольно часто оказываются замешанными в скандалах с имплантатами спецслужб, оставленными для слежки за пользователями (вспомните Сноудена, обнародование эксплойтов АНБ хакерской группировкой The Shadow Brokers или публикацию материалов программы «Убежище 7» WikiLeaks). Покупка решений без исходных кодов, которые призваны защитить пользователей, оборачивается против них. OpenSource, конечно, не панацея − известно, что некоторые проекты (например, системы предотвращения вторжений Suricata или Snort) финансируются АНБ. Но открытый код позволяет хотя бы проверить приложения на наличие недекларированных возможностей.

Аудит безопасности OpenSource-проектов регулярно проводится как по заказу сообщества, так и государственными структурами. Например, созданный специально для этого проект еврокомиссии EU Free and Open Source Software Auditing’ project (EU-FOSSA) недавно провел аудит проектов Apache HTTP Server и Keepass, выбранных по результатам голосования экспертов. Найденные в ходе проверки потенциальные уязвимости были исправлены в новых релизах. Большой вклад в аудит проектов вносят и коммерческие компании, в том числе российская PVS-Studio. В ходе анализа с помощью созданного компанией автоматизированного средства проверки исходников более трех сотен проектов было найдено свыше 13 тыс. ошибок (и созданы соответствующие заявки на их исправления). Сила сообщества − в огромном количестве разработчиков в отличие от немногочисленных экспертов ФСТЭК, например, занятых проверками в ходе сертификации ПО. Кроме того, результаты аудита OpenSource-проектов находятся в открытом виде, тогда как даже методы проверок ФСТЭК/ФСБ/Министерства обороны закрыты для публичного доступа и хранятся под грифами ДСП или еще более секретными.

Еще одно приятное преимущество касается бюджета: пользоваться приложениями OpenSource можно бесплатно, хотя у этой медали две стороны. Используя открытое ПО, вы экономите на лицензировании (если речь идет о зарубежных решениях, то сумма иногда доходит до миллиона долларов). Интересен опыт Министерства внутренних дел Франции. В 2008 г. там внедрили почтовый клиент Thunderbird. По прошествии пяти лет эксплуатации анализ показал, что аналогичное проприетарное ПО обошлось бы в пять раз дороже.

Это подводит нас к разговору об оборотной стороне применения таких продуктов. Чистый OpenSource без дополнительных услуг, которые часто предлагают в том числе и разработчики, бесплатен, а стоимость установки и первоначального конфигурирования продукта стремится к нулю, чего нельзя сказать об эксплуатации. Надо понимать, что OpenSource-продукты развиваются силами сообщества − на службу поддержки, которая есть у каждого коммерческого продукта, рассчитывать не приходится. Конечно, любая компания может самостоятельно создать ее внутри организации для постоянного поддержания систем в актуальном состоянии (а для безопасности это максимально критичный момент, так как новые угрозы возникают постоянно). Это ограничивает поддержку чистого OpenSource, поскольку компетенции всегда должны сохраняться на стороне заказчика. Если в компании нет сильной ИТ-службы или хотя бы пары специалистов с высокой экспертизой в информационной безопасности, переход на чистый OpenSource может стать авантюрой с плохим концом.

Второй вариант решения проблемы сопровождения приложений OpenSource − приобретение услуг у одного из интеграторов, специализирующихся на интеграции и сопровождении подобных решений. К сожалению, многие годы крупные интеграторы были завязаны на западных корпоративных решениях − их продаже, интеграции и обслуживании. Лишь в последнее время процессы импортозамещения системного и другого ПО заставили их обратить внимание на OpenSource. Переход многих государственных организаций на Linux («Гослинукс», разработанный заказу ФССП и внедренный в ведомстве, AstraLinux − в Министерстве обороны, BaseAlt − в ряде государственных структур) заставляет интеграторов обратить внимание на это и другое СПО.

Высшие учебные заведения только недавно стали учитывать при составлении учебных программ открытое ПО. Поэтому готовых специалистов по нему на рынке труда недостаточно. Но положительные тенденции есть: в рамках программы «Цифровая экономика», а также инициатив Фонда развития Интернета вводятся новые программы обучения, приоритетными для которых являются OpenSource-продукты и российское ПО, созданное на их основе.

Минимизировать риски можно за счет выбора продукта, за которым стоят одно из широко признанных сообществ типа Apache Foundation, Linux Foundation или сообщества, которые поддерживают ИБ-гиганты. Например, Open Information Security Foundation поддерживается FireEye, Proofpoint, Positive Technologies и др. Разработка одиночки с GitHub может быть сколь угодно прогрессивной, но для использования в коммерческой системе ее необходимо интегрировать с другими корпоративными приложениями, что требует расходов как на первоначальную установку и настройку, так и на дальнейшее сопровождение.

OpenSource в безопасности

Справедливости ради надо заметить, что в чистом виде открытое ПО в корпоративной среде встречается крайне редко, в основном в сегменте малого бизнеса, который почти не задумывается о безопасности своих данных. А вот коммерческие решения для информационной безопасности на базе открытого ПО (например, UTM-решения) − явление довольно распространенное, особенно среди российских разработок («Рубикон», Usergate UTM, Ideco ICS). Это то, что можно назвать «железным» OpenSource, − продается устройство с адаптированными для него OpenSource-приложениями.

Такой метод разработки новых решений распространен не только в России, но и в мире. Основой большинства UTM/NGFW-решений (включая лидеров − Fortinet, Checkpoint, Palo Alto Networks) является сильно модифицированное ядро Linux или FreeBSD. В качестве системы предотвращения вторжений применяется Snort/Suricata, для каждого другого компонента подбирается набор существующих открытых технологий. Новые возможности и исправления ошибок в этих компонентах компании, как правило, отдают в OpenSource-сообщество, что выгодно и им тоже. Однако ключевые модули компании разрабатывают самостоятельно.

Недостатком некоторых российских решений являются именно немногочисленные примеры собственного вклада. В частности, недавно вышедшее UTM-решение Traffic Inspector Next Generation − практически полная копия OPNsense (альтернативный вариант PFsense, решение на базе FreeBSD) и, следовательно, не может считаться самостоятельной разработкой. Реализация подобных решений в целях импортозамещения − тупиковый путь. Использование зарубежного чистого OpenSource без получения и наращивания собственных компетенций в области сетевых технологий и безопасности не является шагом вперед на пути к информационной независимости. Другая крайность − сертифицированные решения, когда основное конкурентное преимущество ИБ-продукта и компетенции вендора − наличие пачки сертификатов. Как правило, собственный вклад в разработку ПО здесь тоже минимален, а большая часть работы производителя заключается в прохождении процесса сертификации.

Сам по себе чистый OpenSource зачастую плохо масштабируется. Если, к примеру, в организации много серверов и филиалов, то для каждого объекта приходится выполнять индивидуальную настройку, что приводит к проблемам с администрированием. У коммерческого программного обеспечения в ИБ есть центральная консоль управления, посредством которой все настраивается единообразно. В то же время продукты для безопасности на чистом OpenSource могут быть менее надежны. Индустрия безопасности переживает сейчас бурный рост − совершенствуются методы защиты, но и угрозы становятся все изощреннее. Свободным разработчикам сложнее угнаться за актуальностью политик и правил защиты. Коммерческим решениям в этой сфере проще − в их распоряжении десятки экспертов.

Заключение

В целом применение OpenSource в любой области разработок (не только безопасности) − прогрессивное и перспективное решение, особенно сейчас, когда технологии влияют на бизнес, курс валют и даже политическую ситуацию. И думаю, что прогноз IDC, упоминавшийся в начале, в точности и сбудется. Но, на мой взгляд, эра чистого OpenSource подходит к концу, по крайней мере среди бизнес-пользователей. Разнообразие коммерческих решений на базе OpenSource сформировало тенденцию отказа от применения отдельных открытых продуктов в пользу коммерческих интегрированных решений. Прежде всего это связано с нюансами в эксплуатации и ростом бюджетов на ИТ, в том числе на безопасность. Согласно свежему исследованию компании «Код безопасности», в России на ИБ в среднем выделяют до 17% ИТ-бюджета. Заказчики готовы вкладываться в безопасность, и рынку есть что им предложить.

Дешевле и эффективнее отдать безопасность на аутсорсинг, выбрав коммерческий или «железный» OpenSource, чем устраивать «танцы с огнем», − зачастую именно на это похожи попытки сохранить компетенции по использованию отдельных открытых продуктов внутри компании.

 

 

 

 

 

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку