информационни ресурси за бизнеса
новини |  анализи |  позиция |  интервю |  полезно
Infoweek
интервю
До 92% от всички пробиви са в софтуерните приложения
От: Виктория Лазова
10:42 18-03-2013
Борис Накев и Димитър Цветков
Г-н Цветков и г-н Накев, HP България стартира поредица от семинари, посветени на софтуерните решения за сигурност на компанията. Какво ви провокира да започнете тази инициатива?

Димитър Цветков: Да, преди около месец проведохме семинар с Международния институт за бизнес анализ, днес организираме събитие, свързано със сигурността. Планираме още събития, посветени на процеса на създаване на сигурни, производителни и качествени приложения. Целим да популяризираме добри практики в тази област. 

В момента разбирането на сигурността е основно от гледна точка на инфраструктурата – VPN, защитни стени. В същото време анализите показват, че огромната част от пробивите стават след атаки срещу приложенията, а компаниите не са готови още за такъв тип атаки. Ако пък погледнем индустрията на хакерите, ще видим, че докато преди 15 години представата ни за хакер се заключаваше до човек, който атакува мрежи само за слава, то днес имаме много по-организирани групи, които целят кражба на информация с цел печалба. Днес типичният хакер е високоплатен специалист, с бяла якичка. 

Борис Накев: Днес при хакерите говорим за сериозни екипи, които правят координирани атаки. Това не са мигновени атаки, те се подготвят с време, залагат се капани, атакува се през всички системи и с течение на времето се дърпа информация. Говорим за индустриален шпионаж, за финансови облаги, дори на държавно ниво. В момента има много случаи, в които правителства по политически или финансови причини разполагат с такива звена и атакуват своите конкуренти. 

Трябва да се обърне внимание и на факта, че когато се говори за сигурност, проблемът не е само финансов. Тук става въпрос за репутация. Когато една компания загуби репутацията си на пазара, тя губи и своите клиенти и загива. Затова днес има и много нерегистрирани кражби – има компании, които предпочитат да не обявяват, че имат атаки и кражби, за да не развалят репутацията си пред клиентите. А днес повече от 90% от бизнеса е изнесен в интернет. Така че темата за решенията Fortify на HP е много наболяла. Затова бихме искали да накараме бизнеса в България да осъзнае тази нужда. 

Приоритет на бизнеса ли е сигурността на информационните системи днес?

Д.Ц.: Сигурността винаги е била приоритет и вероятно винаги ще бъде. Много от компаниите и в момента инвестират сериозни средства в тази област и почти всяка компания има мениджър по ИТ сигурността. Проблемът обаче е, че днес има много различни видове сигурност. Фирмите са фокусирани основно върху защитния периметър, т.е. върху мрежовите технологии за сигурност, а не чак толкова върху защитата на приложенията, които създават и използват. Именно тук е нашата роля - да отправим едно предупреждение към пазара, че над 75 процента от пробивите стават през приложенията и това е също много важна част от сигурността на корпоративните данни. Това, че фирмите имат VPN и защитни стени, както и различни други технологии за предотвратяване и отчитане на външна намеса в системите им (intrusion detection и Intrusion prevention – IDS/IPS) , не винаги е достатъчна гаранция, при условие, че фирмените приложения са несигурни. 

Б.Н.: За момента мениджърите по ИТ сигурността се фокусират върху няколко аспекта на физическата сигурност, ИТ сигурността по отношение на инфраструктурата и системите за защита от външна намеса (ISP) . Но това, което наблюдаваме напоследък, е, че всички наши клиенти все повече изнасят бизнеса си в интернет, т.е. ползват уеб базирани приложения. Тези приложения дават достъп на клиенти на компаниите до техните системи, в т.ч. и на не толкова добронамерени хора, които могат да се маскират като клиент, да влязат и да получат достъп до тези системи. Затова достъпът до тези системи през приложение трябва да се издигне на по-високо ниво. Приложенията се оказват едно звено, за което компаниите разбират, че е под заплаха, но все още не са толкова съсредоточени върху него. Ситуацията е подобна на екологията – всеки знае, че не е добре да се замърсява, но са малко хората, които предприемат конкретни мерки. 

Какво включват предложенията на HP относно сигурността на приложенията?

Д.Ц.: Чрез фамилията софтуери HP Fortify ние предлагаме цялостни решения, започващи от софтуер за автоматизация на процеса на тестване сигурността на приложенията, през услуги, доставяни директно от нас или от наши партньори, и обучения, свързани със създаване на сигурни приложения. Всяка една компания, която има нужда да подобри своя процес и своя начин да пише сигурен код, може да се обади на локалното представителство на HP и ние съответно ще й предложим или цялостно решение, или тази част от решението, която й липсва към момента. Нашите решения са модулни, което означава, че потребителите могат да започнат с нещо малко, да видят бизнес ползите и постепенно да надграждат. 

Според анализите на компании като Gartner и IDC, HP е разпозната като водещ производител на софтуери в тази област чрез фамилията Fortify. 

Какви са най-често срещаните атаки към приложенията?

Д.Ц.: Има много видове технологични атаки, свързани с атака на уебсайтове и приложения. Техники като крос-сайт скриптинг (XSS), като SQL инжектиране(SQLi) са много популярни и са известни на пазара повече от 10 години, но все още огромна част от сайтовете не са добре защитени дори срещу тези елементарни и добре познати техники. И именно тук е ролята на компании като HP, които да покажат на пазара, че има начин това да се промени. 

Как облакът променя изискванията към ИТ сигурността?

Д.Ц.: Облакът носи както много ползи, така и е свързан с големи предизвикателства. Според проучвания една от основните причини, поради които клиентите се колебаят да използват облачни услуги, е сигурността. Сигурността на приложенията в облака трябва да бъде многократно по-висока. Ако си представим сигурността като една стая, където започваме да заключваме всички врати, дори един-единствен прозорец да оставим отворен, това е достатъчно на крадеца да ни обере. Така че относно сигурността не е достатъчно да сме 90 или 99% защитени. Трябва да сме защитени 100% както на ниво достъп до мрежите, така и на ниво приложения, които ползваме. 

Може ли да се каже кои са най-често атакуваните софтуерни системи?

Д.Ц.: Като цяло много често се атакуват системи от банковия сектор или системи, свързани с онлайн търговията, с цел извличане на масиви от данни – кредитни карти и др. Проблемът с този тип атаки е, че не е голям процентът на фирмите, които разбират, че са били компрометирани, а от тези, които разбират, много малка част оповестяват тези пробиви. В тази връзка Европейската комисия стартира инициатива да насърчи компаниите да оповестяват за подобни пробиви с цел да се търсят по-ефективни защити. 

Склонен ли е бизнесът в България да предприема проактивно мерки за гарантиране на сигурността на приложенията и как се ситуира страната ни в това отношение спрямо останалите страни от Югоизточна Европа?

Б.Н.: България винаги е била една от добре развитите държави по отношение на ИТ в региона. За съжаление, както и Димитър каза, все още се гледа повече на парче. В момента в нашия регион все още фокусът е върху инфраструктурата. С навлизането на облака този фокус започва да се измества към приложенията. Но фокусът върху приложенията все още не е чак толкова сериозен. 

Важно е да се осъзнае, че по време на самата разработка на бизнес приложението, то трябва да се тества за сигурност, да се видят кои са най-добрите практики, дори да се извърши проверка на ниво ред от програмния код, като се открие възможност за атака, и да се дадат препоръки как може да се напише по-добре, така че приложението да е защитено.Също така, HP предлагаме  решение което тества самото бизнес приложение с повече от 3000 познати атаки, за да видим как то ще издържи. На практика сигурността на приложението трябва да е налице преди пускането на това приложение на пазара. То трябва предварително да е защитено. 

Искам да отбележа, че тук основните проблеми са свързани с неразбирателството между ИТ и бизнес. ИТ хората имат задачата да извършат нещо и разполагат с определен период, в който това трябва да се случи – независимо дали този период е достатъчен или не. А в крайна сметка бизнесът решава дали да пусне тази услуга на пазара или не, независимо доколко е защитена тя. Те взимат бизнес решения, базирани на пазара. Така много често едно приложение се пуска на пазара, без то да е достатъчно защитено от страна на ИТ, с цел фирмата да бъде първа и да изпревари конкуренцията. Така се омаловажава факторът сигурност, което после коства сериозни проблеми, свързани с репутацията на компанията, не само с кражби. Затова е важно бизнесът да осъзнае важността на сигурността и по-добре да забави пускането на приложението, за да бъде то защитено от всички гледни точки.

Що се отнася до региона, ние отговаряме за около 15 държави в Югоизточна Европа. Имаме държави от различен калибър, стартирайки от Албания, Косово, Македония – държави, които все още изграждат инфраструктура. Те още не са съсредоточени на ниво услуги и защита. Но имаме и държави като Румъния, България, които са по-напреднали, по-изградени и сега е точният момент те да се фокусират върху сигурността на информацията, и на своята репутация. 

Защита на работещи вече, готови приложения предлагате ли?

Д.Ц.: Да, имаме както софтуери и цялостни решения за защита, прилагани в процеса на изграждане на приложение, така и решения, приложими когато приложението вече работи в реални условия. През TippingPoint фамилията, която предлагаме, може да се спират такива атаки. Но това са два допълващи се подхода. 

След като веднъж едно приложение е било компрометирано, трябва максимално бързо то да бъде поправено. Всеизвестен е фактът, че ако подобни проблеми със сигурността бъдат хванати в процеса на разработка на приложението, разрешаването на проблема струва от 10 до 100 пъти по-малко, отколкото ако пробивът се открие  в производствена среда .

Б.Н.: Относно сигурността като цяло, предлагаме също и IPS (технология за предотвратяване на външна намеса) системи, които защитават трафика на входа на мрежата. Имаме системи, които правят log мениджмънт, бизнес анализ върху този мениджмън, връзват логика между различни събития, правят анализи и по този начин защитават системата. 

Бихте ли посочили добри или лоши практики от региона или от България?

Д.Ц.: Има няколко големи международни компании с центрове за разработка в България, които ползват наши решения – например SAP Labs който има много добра практика по изграждане на сигурни приложения. Подходът им е свързан както с използване на софтуер на HP за анализ на кода, така и с обхващане на целия процес на изграждане на сигурно приложение - от фазата на първоначален дизайна до фазата на внедряване. От компаниите у нас обаче, които познавам, много малка част са на това ниво. За съжаление повечето са лоши практики от типа: „Ние няма от какво да се притесняваме. Имаме защитна стена.”

Към какви бизнеси е насочено решението Fortify?

Д.Ц.: Адресираме всички сегменти на бизнеса, които имат нужда от сигурни приложения. Това включва както телекоми и банки, така и повечето предприятия, съхраняващи критични данни.

Друга интересна статистика е, че над 50% от атаките са свързани с вътрешни хора-  бивши или настоящи – служители. По тази причина не е достатъчно да се защитят само външните приложения, които са основно уеб базирани, но е хубаво да се обърне внимание на вътрешните приложения. Така че ние адресираме както външни услуги, които се виждат публично, така и вътрешни услуги, като данни за човешките ресурси, клиентски бази данни и др. 

Бихте ли споделили какви са ползите за бизнеса от решението Fortify?

Д.Ц.: Решенията Fortify представляват един вид застраховка за бизнеса. Ползите за клиентите са основно в това, че те могат да правят сигурен бизнес, без да се притесняват, че техните данни ще бъдат компрометирани. 

Б.Н.: Относно решението Fortify ние имаме партньори, които са отговорни към своите клиенти. Това са SAP, VMware, други големи компании. Всички те предлагат на пазара софтуерни приложения, които са защитени. Проблемът обаче е, че тези приложения имат функционалности, които са „готови за използване” (out of the box) и не покриват изцяло изискванията на клиента. Така че всички по-големи клиенти имат малки групи разработчици, които доразвиват този софтуер, донаписват приложения, които отговарят на техните изисквания. Или пък поръчват на външна компания, която да разработи функионалности, представляващи допълнение към „готовия за ползване” софтуер. И именно тук идва проблемът със сигурността, тъй като тези по-малки разработчици вече нямат необходимите инструменти за гарантиране на  необходимото ниво на сигурност и рискът е голям. 

Затова Fortify освен за компании с големи отдели за разработка, е приложим и за всички компании, които нямат звено за разработки. Тези компании може дори да нямат ИТ. За целта HP предлага Fortify като услуга и всеки клиент може да си поръча тази услуга. HP ще тества приложението с всички познати до момента атаки, ще изследва кода и ще върне на клиента информация доколко това приложение е защитено и къде може да се очаква пробив. На практика не е необходимо клиентът да купува за себе си софтуера, да го инсталира, да има подготвен екип, които да работи с този софтуер. 

По този начин покриваме всички компании. Услугата не е скъпа и дори малки компании, които искат да се убедят, че приложението, което са поръчали на външна компания разработчик, е сигурно и защитено, могат да го тестват в нашата облачна инфраструктура. 

Как се развива софтуерният бизнес на HP в региона?

Б.Н.: По време на кризата имаше значителен спад. През последните 3 години хората не отделяха толкова голямо значение върху мениджмънта, мониторинга, системите за сигурност, имплементацията на различни процеси, тъй като всеки се бореше да оцелее на пазара. Всеки инвестираше в намаляването на разходите с цел генериране на някакъв маржин. На практика всички инвестиции в този период бяха насочени към оперативните дейности с цел намаляване на разходите.

Но през последните 4-5 месеца се усеща раздвижване на пазара. Компаниите се опитват не само да оцелеят на пазара, но и да станат по-конкурентоспособни, да имат по-голяма видимост върху бизнеса, който развиват. Така че вече се наблюдават много позитивни нотки в пазара на тези 15 държави, за които отговарям, и бизнесът започва да се развива все по-добре и да бележи значителен ръст. 
Присъедини се и сподели: Facebook Twitter RSS Изпрати
Визитки
Най-нови от интервю
Очаквайте нови устройства с Bay Trail през Q4 на 2013 г.
10:15 14-10-2013
Богдан Джорджеску от Intel пред InfoWeek
Интернет на нещата е голяма възможност за България
11:28 15-04-2013
Бернд Хайнрихс пред InfoWeek
До 92% от всички пробиви са в софтуерните приложения
10:42 18-03-2013
Димитър Цветков и Борис Накев пред InfoWeek
  Най-четено от интервю
10:42 18-03-2013 До 92% от всички пробиви са в софтуерните приложения
11:28 15-04-2013 Интернет на нещата е голяма възможност за България
11:49 26-04-2010 Желаем да бъдем доверен съветник на българския бизнес
11:10 29-10-2012 Широколентовият достъп e основен инструмент за развитие
10:15 14-10-2013 Очаквайте нови устройства с Bay Trail през Q4 на 2013 г.