29.10.07

Что важнее в ИБ - маркетинг или технологии?

В предпоследнем PCWeek/RE прочитал интересную заметку (http://www.pcweek.ru/themes/detail.php?ID=103102) про одного из основателей Acer - Стена Ши. Статья посвящена ПК, но ее положения можно спроецировать и на безопасность. Стен Ши придумал такое понятие как "Smiling Curve", которая описывает, что надо сделать, чтобы производители ПК получали больше прибылей.


Мы видим, что "тупое" производство (то же касается и сетевого оборудования) денег приносит не так уж и много. Но даже наличие НИОКРов и бренда само по себе не говорит о прибыльности бизнеса. Почти любой мало-мальски известный вендор может похвастаться и патентами, и НИОКРами, и зарегистрированными торговыми марками и т.п. Но лидерами рынка ИБ они не являются, и потребитель их не покупает... даже если технология у них действительно неплохая. Как пример приведу компанию TippingPoint. Отличная IPS. Высокие скорости работы, неплохие алгоритмы обнаружения атак и т.д. Но недавно 3Com стал распродавать акции этого своего подразделения. Могу предположить, что по причине "забывчивости" по отношению к правой части кривой, продукт и не получил широкого распространения.
Вот и получается, что на рынке ИБ (как и на любом другом рынке) важную роль играет не только наличие технологии, но и множество других параметров, на которые далеко не все обращают внимание, считая это "ненужными" вещами. В первую очередь, речь идет о маркетинге, дистрибуции и постпродажном обслуживании, что к безопасности имеет опосредованное отношение, но напрямую влияет на рост бизнеса компании.
Именно поэтому многие начинающие вендоры несмотря на отличную технологию не могут выдвинуться в лидеры. Концентрация только на технических аспектах своего продукта еще не гарантирует его успех на рынке, который играет по своим законам. И чтобы выбиться в лидеры и не зависеть от наличия лобби или действий регуляторов, надо эти рыночные законы учитывать.


Trend Micro купила компанию Provilla

Уже на раз об этом писал, поэтому буду краток - Trend Micro купила компанию Provilla. Как не сложно догадаться, Provilla активно занималась решениями в DLP-сегменте. Основанная два года назад, Provilla предлагала своим заказчикам систему контроля и предотвращения утечки информации LeakProof.

27.10.07

Безопасность в аналогиях

Для того, чтобы донести какую-нибудь сложную мысль до широкой общественности, одним из способов является использование метода аналогий. Несколько лет назад я хотел запустить специальный сайт с аналогиями, но руки так и не дошли. Но зато перо не простаивает ;-) Вчера опубликовал 5-ую статью из серии "Безопасность в аналогиях" - "Ремонт квартиры и информационная безопасность: что общего?"
http://www.securitylab.ru/opinion/306307.php.

До нее были:
- "Звериный оскал безопасности" (http://www.securitylab.ru/contest/285834.php)
- "Что обшего между защитой информации и женщиной"
(http://www.securitylab.ru/opinion/293626.php)
- "Безопасность корпоративного младенца" (http://www.medicina-online.ru/articles/40277/)
- "Играя в безопасность, или что общего между футболом и защитой информации" (http://bugtraq.ru/library/misc/football.html).

На подходе у меня обновленная версия футбольной аналогии, а за ней последует еще автомобильная тема. Дальше я пока не думал. Может и еще что родится...

22.10.07

Мисс Безопасность 2007 - конкурс продолжается

Я уже писал (http://lukatsky.blogspot.com/2007/09/2007.html) про конкурс "Мисс Безопасность 2007", который организован на сайте http://miss.securityday.ru/. Он скоро подходит к концу и уже сейчас можно сделать несколько интересных выводов:

1. Из области ИБ в этом конкурсе не участвует практически никто ;-( Исключение составляют компании Microsoft, Доктор Веб, Информзащита, Ниеншанц-Защита и АИС. И это грустно ;-(
2. Очень интересно посмотреть на описание достоинств участниц конкурса. Кто-то, как в предыдущем посте, ставит себе в заслугу организацию ужина на вершине небоскреба. Но есть и просто потрясающие описания. Например, http://miss.securityday.ru/index.cfm?show=2275: OS: Windows NT/2000/2003, Unix FreeBSD, Linux RedHat, Unix SunOS, Linux RAQ 4/5. Code: ASM, C/C++, Pascal, Java, Perl. BorlandC++, Delphi, MSVC, lcc, cc/gcc. API: Windows kernel/network/graphic API, Unix system/network API. Web code: CGI, PHP, HTML, XML, JSP. DataBase: MSSQL, MySQL, InterBase, PostgreSQL, Oracle. Protocols: x.25, TCP/IP, TCP, UDP, ICMP, IGMP, VPN, NAT. Debug/Revers: Soft-Ice, Ida Pro, hiew, qview, OllyDbg, WinDBG. Я не знаю, как с точки зрения безопасности, но такой послужной список внушает уважение.
3. Все по разнмоу подходят к выбору фотографий. Кто-то, видимо узнав про конкурс, фотографируется в офисе "как есть" (например, http://miss.securityday.ru/index.cfm?show=2253). А кто-то выкладывает целые проффесионально сделанные портфолио. Например, по этому пути пошел Microsoft, представив на конкурс своего руководителя инициативы корпоративной безопасности (http://miss.securityday.ru/index.cfm?show=2315). Последняя кандидатура имеет все шансы на победу ;-)

Учитывая вышесказанное, можно предложить идею проведения аналогичного конкурса, но в области ИБ. Назвать такой конкурс можно по-разному - "Мисс Защита Информации", "Мисс СКЗИ", "Мисс антивирус" ;-)

18.10.07

О цивилизованном способе борьбы в тендерах

Ну вот и до рынка ИБ добралась цивилизация. Проигрыши в тендерах теперь начинают оспариваться в суде. Итак, первый случай. Лаборатория Касперского была придворным антивирусным поставщиком ФНС. Логично было предположить, что в недавно объявленном очередном тендере на оснащение 120000 (сто двадцать тысяч!) компьютеров антивирусом выиграет тоже ЛК. Но не тут-то было. Тендер выигрывает компания Лета с антивирусом ESET NOD32. По публичной информации выигрыш произошел за счет более низкой цены (46 млн.рублей против 56 млн. от ЛК). Для госструктур это неудивительно. Приходилось видеть тендера, в которых вес такого показателя, как "цена" достигал 95%, а вес такого показателя, как "соответствие требованиям ТЗ" не превышал всего 5%. Но вернемся к ЛК и Лете.

Через какое-то время ФНС отстраняет Лету от конкурса, ссылаясь на то, что NOD32 не работает в Lotus'е. Лета обращается в ФАС, которая закономерно принуждает ФНС вернуть ESET в тендер, т.к. изначально требования работать с Lotus'ом в ТЗ не было. В итоге Лета выигрывает (все-таки 10 миллионов разницы - это не фунт изюма). ЛК подает в арбитражный суд, требуя отменить результаты конкурса (что логично, учитывая сумму контракта в 2 с лишним миллиона долларов). А пока иск рассматривается в суде, ФНС успевает заключить договор на поставку с Летой. Через какое-то время суд принимает решение не в пользу ЛК.

К слову сказать, после этого события ЛК заявила, что использование NOD32 противоречит доктрине информационной безопасности России, утвержденной президентом, потому что продукция ESET не сертифицирована во ФСТЭК. Тут ЛК сильно лукавит, т.к. у NOD32 есть сертификат ФСТЭК. Правда на 300, а не 120000 экземпляров, но это уже дело десятое.

Интересен тот факт, что это один из первых публичных случаев, когда результаты тендера на поставку средств защиты были оспорены в суде. Рейдерские разборки, захваты чужой собственности, размывание акций, выживание директоров со своих позиций... Все это казалось невозможным на рынке ИБ. Но вот ситуация изменилась. И это не последний пример.

Недавно одна региональная компания объявила тендер на поставку маршрутизаторов с функциями поддержки VoIP и безопасности. В тендере схлестнулись 2 партнера одного именитого вендора и предложили 2 спецификации. Одна включала маршрутизатор в рамках специального security+voice bundle; другая описывала обычный маршрутизатор, с минимальной функциональностью по безопасности и обработке голоса. Вторая спецификация проиграла, т.к. не соответствовала требованиям ТЗ. Но несмотря на это, предложивший ее интегратор подал в арбитраж дабы признать результаты конкурса недействительными.

Все это достаточно печально, т.к. рынок ИБ превращается действительно в рынок (базар) с руганью, подставами, разборками и другими нелицеприятными инцидентами.

ЗЫ. И хотя с точки зрения законодательства, выигрыш NOD32 является закономерным, с точки зрения здравого смысла все не так очевидно. Если антивирус Касперского уже стоит на 120000 компьютеров, то менять их на 120000 антивирусов NOD32 - задача более чем нетривиальная. И если ФНС выиграл 10 млн.рублей на стоимости лицензий, то во сколько им обойдется внедрение 120 тысяч копий антивируса можно себе только представить. А ведь надо еще учитывать снос "старого" антивируса, переобучение специалистов и многие другие вопросы, входящие в TCO...

13.10.07

О безопасности... авиационной

Вспомнил случай, который вчера произошел со мной в самолете. Захожу, сожусь... у окна, рядом аварийный выход. Не раз доводилось сидеть рядом с аварийным люком, но тут стюардесса первый раз в моей практике акцентировала мое внимание на этом факте и попросила лишний раз изучить инструкцию по действию в экстренной ситуации. Стал изучать. Все как обычно, ничего нового. Решил попробовать на практике ;-)

Одним из требований было надавливание на ручку внизу люка и выдавливание его наружу. Бац. Ручки нет. Я говорю стюардессе: "Девушка, а миссия-то невыполнима - ручки нет". Она, улыбаясь: "Шутите?" Я ей: "Ни в коем разе". Она: "Откиньте ручку кресла и посмотрите под ней". Ну я попробовал. Ни фига. Более того... Ручка кресла прикручена болтами к аварийному люку (само кресло прикручено, конечно, к полу). Я в сторону стюардессы: "Люк прикручен к креслу!" Она: "Не может быть!" Причем взгляд у нее был красноречивее слов - она была действительно уверена, что следуя инструкции в данном конкретном самолете можно будет выйти через аварийный выход.

Какие выводы можно сделать в данной ситуации:
1. Приятно, что стюардесса обратила мое внимание на специфичные вопросы безопасности и не ограничилась стандартной демонстрацией надевания кислородной маски на лицо.
2. Приятно, что она была уверена, что инструкция выполнима. И, скорее всего, она это проверяла на практике.
3. Неприятно, что инструкция оказалась невыполнима в данном конкретном случае.
4. Неприятно, что security awareness не было подкреплено технически.

Все эти рассуждения можно применить и к информационной безопасности.

ЗЫ. А выводы?.. А их собственно и не будет. Хорошо, что я благополучно приземлился, хоть и с часовым опозданием ;-)

Symantec покупает Vontu

Symantec, один из лидеров рынка информационной безопасности, на ближайшей неделе должен объявить о покупке лидера сегмента средств предотвращения утечек информации (Data Leakage Prevention или Data Loss Prevention, DLP) - компании Vontu. По оценкам экспертов цена сделки может составить около 300-350 миллионов долларов (при ежегодном обороте Vontu в 30 миллионов).

DLP-решения (иногда их еще называют ILP) сегодня на подъеме - они востребованы потребителями и рынком, они требуются по многим стандартам и руководящим документам. Поэтому действия Symantec достаточно очевидны. Совсем недавно WebSense купила PortAuthority, а EMC купила Tablus. Эксперты считают, что действия Symantec были спровоцированы McAfee, которая на днях она купила SafeBoot (http://lukatsky.blogspot.com/2007/10/mcafee-safeboot.html). Это ее не первая сделка в сегменте DLP. Годом ранее, в прошлом октябре, McAfee купила компанию Onigma.

Как говорят специалисты, Symantec не планировала покупать Vontu, обратив свой взор на Tablus. Однако ее опередила EMC и Symantec'у ничего не оставалось делать как купить Vontu; причем по немаленькой цене (десятикратное превышение годового оборота компании).

12.10.07

McAfee покупает SafeBoot

350 миллионов долларов кэшем и компания SafeBoot, занимающаяся разработкой средств персонального шифрования, стала частью McAfee (http://www.mcafee.com/us/about/press/corporate/2007/20071008_133000_u.html).

Можно заметить интересную тенденцию на рынке информационной безопасности, причем не только в мире, но и в России. Сначала Check Point купила Pointsec, которая предлагала аналогичные решения по шифрованию файлов на персональном компьютере. Теперь вот McAfee приобрел SafeBoot. Учитывая тенденцию по части регулярных утечек данных, такой интерес к системам персонального шифрования вполне закономерен.

У нас тоже компании, которые занимаются утечками, обращают внимание на .эту технологии. Например, Infowatch, в состав которого вошли разработчики и технологии компании ЛАН Крипто после ее разделения.

Однако, как обычно, с криптографией возникают вопросы. А точнее с легитимностью ее использования. Но это тема для отдельного обсуждения.

И вновь об издательстве "Бином"

В сентябре я уже писал (http://lukatsky.blogspot.com/2007/09/blog-post_6101.html) про троянца на сайте издательства "Бином" и вот оно снова появилось на горизонте. Теперь в новом качестве. Лаборатория Касперского объявила о сотрудничестве с этим издательством в части совместной разработки реализации совместных федеральных, региональных и муниципальных образовательных программ в сфере информационной безопасности.

Возникает вопрос, что было первично - начало сотрудничества или троян. Если первое, то это грустно. Не очень известная, а значит особо непривлекающая к себе внимания компания, не способная защитить себя, учит других как защищаться ;-( Если второе, то можно только порадоваться за Лабораторию Касперского, которая существующий инцидент обратила в интересную для себя бизнес-возможность лишний раз заявить о себе.

1.10.07

Западный или российский производитель ИБ: кого выбрать?

В марте я написал статью "Западный или российский производитель ИБ: кого выбрать?" (http://www.securitylab.ru/opinion/293249.php). Как обычно статья вызвала острую дискуссию, которая началась еще тогда, когда я прочитал одноименную презентацию на семинарах ИТАР-ТАСС и Cnews. Меня обвиняли, что я "лью воду на цискину мельницу" и лишний раз пропагандирую в пользу решений Cisco. В обсуждении статьи на секлабе (http://www.securitylab.ru/forum/index.php?PAGE_NAME=read&FID=22&TID=41052) я написал буквально следующее: "Было бы идеально, если бы на секлабе появилась статья, отстаивающая противоположную точку зрения. Тогда были бы доводы двух сторон". И вот момент настал. Владимир Гайкович, гендиректор "Информзащиты", где я проработал 8 лет, ответил своим взглядом на мою статью (http://www.securitylab.ru/opinion/303860.php).

ЗЫ. Так часто получается, что многие мои критические статьи поспринимаются отдельными личностями на свой счет. Хочу сказать, что я пишу о рынке в целом. Если кто-то воспринимает это в свой адрес, то видимо, написанное в статьях, достигает своей цели.