Интервью с Кевином Флинном, директором по продуктовому маркетингу Blue Coat Systems, и Алексеем Весельским, консультантом по безопасности компании headtechnology

Интервью с Кевином Флинном, директором по продуктовому маркетингу Blue Coat Systems, и Алексеем Весельским, консультантом по безопасности компании headtechnology
Кевин Флинн 

Директор по продуктовому маркетингу Blue Coat Systems
Получил степень Бакалавра наук в Университете Род-Айленда, США (University of Rhode Island, USA).

Кевин работает в индустрии высоких технологий более 25 лет, 15 из которых – в сфере информационной безопасности. Он начал свою карьеру в компании Apple, где был менеджером по продукту в группе Apple Advanced Technology.

Затем более десяти лет Кевин был менеджером по продуктам и менеджером по маркетингу копмании Cisco, где отвечал за развитие топовых решений в области маршрутизации и сетевой безопасности.

После ухода из Cisco Кевин перешел к компанию Fortinet, где проработал 3 года. В прошлом году он присоединился к команде Blue Coat.

Кевин часто публикуется в корпоративном блоге Blue Coat, выступает в качестве эксперта в коммуникациях с прессой и аналитиками рынка информационной безопасности, а также он часто участвует с докладами и выступлениями по теме кибербезопасности на крупных отраслевых мероприятиях по всему миру.

...

Интервью с Кевином Флинн (Kevin Flynn), директором по продуктовому маркетингу Blue Coat Systems, и Алексеем Весельским, консультантом по безопасности компании headtechnology, официального дистрибьютора решений Blue Coat в России и Белоруссии.

Мы уже не раз писали о новом, прорывном решении, выпущенном в этом году компанией Blue Coat Systems. Это Content Analysis System (CAS, Система анализа контента), новейший защищенный веб-шлюз (Secure Web Gateway, SWG), предназначенный для защиты корпоративных сетей от самых современных угроз и обладающий рядом возможностей, ранее не встречавшихся в аналогичных решениях. Сегодня мы обратились за комментариями непосредственно к производителю решения, а также к его дистрибьютору на отечественном рынке.

Каким организациям может быть интересен переход на CAS? Компании какого типа или размера наиболее выиграют от интеграции такого решения?

Кевин Флинн: Решение Content Analysis System как таковое должно быть интересно практически любым крупным компаниям (со штатом от 5000 сотрудников и выше) с развитой технологической инфраструктурой. Однако наибольшую ценность CAS будет представлять для организаций, ставящих во главу угла безопасность данных, таких как банки и органы государственной власти. К тому же, нашими заказчиками становятся часто предприятия и сервис-провайдеры, которых привлекает высокая вычислительная мощность Content Analysis System. Это устройство призвано стать ключевым компонентом любого решения по защите от сложных, комплексных угроз и целевых атак.

Алексей Весельский: Любой организации, перед которой стоит вопрос обеспечения максимальной защиты от вредоносных объектов в среде растущего количества пользовательских запросов, и при этом сохранения максимума свободных ресурсов на рабочих станций. Подобный вопрос стоит перед ИТ-отделом и департаментом безопасности в любой организации с активными интернет-пользователями. То есть, на сегодняшний день – практически в каждой компании.

Всем известно, что одна голова хорошо, а две – лучше. А как насчет трех? Content Analysis System и является своего рода «змеем Горынычем», который стоит на страже внутренней сети. Дело в том, что CAS – это система анализа контента, которая использует 2 антивирусных движка и базы сигнатур различных производителей, что позволяет свести к минимуму количество пропущенных вредоносных объектов, а заодно – практически оставить без работы антивирус на компьютер. Ну а главная голова – это «белый список» от компании «Лаборатория Касперского», который заботится о производительности уже самого устройства и хранит в себе более миллиарда сигнатур «чистых» объектов.

Что до размера компаний – мы ориентируемся в первую очередь на большие и средние организации с количеством пользователей от 500. Но решение будет полезно и для небольших организаций, чья сфера деятельности может подвергаться направленным атакам, или в которых требуется периодическое отключение антивируса на компьютер.

Существуют ли какие-то специфические проблемы, для решения которых CAS подойдет наилучшим образом?

АВ: В первую очередь, CAS решает проблему экономии ресурсов конечных узлов сети, за счет разгрузки антивирусов для ПК и серверов.

Заодно обеспечивается дополнительная защита высококритичных групп пользователей, которые имеют доступ во внутреннюю сеть, но по тем или иным причинам не скреплены стандартными пользовательскими ограничениями. Например, это могут быть руководители высшего звена или владельцы компаний, которые используют рабочие станции с правами администратора.

Еще можно вспомнить о защите пользователей, у которых периодически отключается или вовсе отсутствует антивирус на рабочих местах, например, о разработчиках программного обеспечения.

Расскажите об основных отличиях CAS от ProxyAV и от аналогичных решений других вендоров.

КФ: Content Analysis System позволяет пользователям сканировать трафик двумя антивирусными движками, а также проверять его по «белому списку». В результате заведомо «чистые» файлы быстро попадут к пользователю, а «плохие» будут обнаружены и удалены антивирусами. К тому же, CAS повышает эффективность и быстродействие устройств-анализаторов вредоносного ПО благодаря поддержке «виртуальных песочниц». Чем меньше файлов будет отправлено в «песочницу» (Blue Coat Malware Analysis Appliance или FireEye) благодаря антивирусам и белому списку, тем меньше она будет загружена, и тем выше будет общее быстродействие системы защиты.

АВ: Сравнивать Content Analysis System можно только с другими антивирусами со схожей архитектурой – имеется в виду отдельно стоящее устройство. В отличие от них, например, Next-Gen файерволы и UTM демонстрируют колоссальную потерю производительности при включении модулей антивирусной защиты.

CAS отличается от ProxyAV, да и любого другого антивируса на шлюзе, прежде всего, наличием «белого списка объектов». Так, это уникальное для рынка решение позволяет с помощью политики запрета по умолчанию (Default Deny) уже на этапе попадания в сеть отсеять все файлы, которые не являются на 100% безопасными.

К тому же, сканирование двумя базами сигнатур позволяет исключить тот небольшой процент пропущенных вредоносных объектов, который присутствует у любого производителя антивирусов.

Алексей Весельский

Security Consultant в headtechnology
Закончил Киевский Национальный Политехнический Институт.

В headtechnology Алексей работает 2 года, где руководит продажами в ряде регионов и участвует в развитии новых продуктов и направлений информационной безопасности.

Имеет ряд сертификатов по продуктам и решениям. В сфере IT-безопасности Алексей работает 7 лет.

Насколько легко масштабируется инфраструктура безопасности на основе CAS?

КФ: В настоящий момент пропускная способность Content Analysis System составляет 500 Мбит/c для модели S400 и 1 Гбит/с для S500.

АВ: Поскольку лицензирование продукта происходит по пользователям, основной проблемой может стать только производительность «железа». Специалисты компании headtechnology помогут правильно подобрать оборудование с учетом возможного роста количества пользователей.

Если в сети заказчика уже успешно работают устройства ProxyAV, стоит ли их заменять на CAS? Если да, то в чем будет выигрыш и как скоро?

КФ: Хотя модули ProxyAV, безусловно, могут использоваться в той же сети, что и Content Analysis System, мы, как правило, рекомендуем заказчикам отказываться от парка ProxyAV и полностью переводить организацию на CAS. Основные причины этого уже перечислялись – это возможности дополнительной защиты, проверка двумя антивирусами и т.д.

АВ: Более технологичное решение всегда предпочтительнее для организаций, стремящихся к повышению уровня безопасности пользователей. Что же касается выигрыша… Наши тесты показали, что добавление второй базы сигнатур на 12% улучшают показатели обнаружения угроз. При наличии антивируса от третьего разработчика (на рабочих станциях) достигается лучшее на данный момент покрытие возможных угроз.

Технология «белого списка объектов» позволяет пропускать без обработки 29% файлов – именно такое количество 100% безопасных объектов показали наши лабораторные тесты среди их общего числа. А ведь это существенная разгрузка сети!

Для обладателей решений продвинутой защиты с так называемой «песочницей» (Bluecoat Malware Analysis Appliance, FireEye) CAS тоже будет незаменим, т.к. позволит снизить загрузку «песочницы» на 37%.

Впрочем, и для ProxyAV всегда найдется достойное применение. Например:

  1. Объединить эти устройства в кластер и обеспечить отказоустойчивость.
  2. Разделить группы пользователей и их запросы на критичные/некритичные, тем самым сэкономив на приобретении менее мощного устройства CAS.
  3. Использовать ProxyAV для предоставления безопасного гостевого доступа в Интернет.

Есть ли отличие в цене между CAS и ProxyAV, и каково оно?

КФ: Да, цены на эти два решения отличаются. У нас предусмотрена программа миграции для текущих пользователей ProxyAV. За подробностями обращайтесь к представителям и дистрибьюторам Blue Coat.

АВ: CAS стоит на 25-30% дороже, но, учитывая, что производительность серверов почти в 5 раз превышает производительность ProxyAV, это объяснимо. Кроме того, пользователь, желающий использовать 2 базы сигнатур, теперь заплатит и за вторую. Цены же на лицензии практически не изменились.

Нужно ли дополнительно обучать или переучивать заново специалистов при переходе с Proxy AV на CAS?

АВ: Нет. Интерфейсы практически идентичны.

КФ: При этом, компания Blue Coat готова предоставить любые необходимые материалы по обучению пользователей Content Analysis System.

Есть ли какие-то дополнительные и/или уникальные сервисы, которые выгодно отличают Blue Coat от других вендоров? Что еще может сыграть на руку в тендерах?

АВ: До конца года Blue Coat и Headtechnology дарят каждому владельцу ProxyAV, купившему CAS S400, устройство Blue Coat Malware Analysis Appliance – «виртуальную песочницу», которая создает виртуальные машины и запускает на них вызывающие особое подозрения объекты.

У вендора – Blue Coat – нет офиса в России. Как быть с поддержкой его решений?

АВ: Мы в headtechnology всегда готовы оказать любую посильную помощь владельцам решений Blue Coat. Не думаю, что кто-то заметит отсутствие офиса.

Какие еще преимущества Blue Coat как производителя для заказчика или партнера?

КФ: Blue Coat уже много лет защищает своих клиентов, их сотрудников и информацию. Заказчиками Blue Coat уже стали 15 000 компаний и организаций по всему миру, включая 78% корпораций из списка FORTUNE Global 500. Наше портфолио интеллектуальной собственности состоит из более чем 200 патентов, и мы не перестаем создавать инновации. Content Analysis System – это ключевой компонент решения по защите от APT, обеспечивающего блокирование известных угроз, проактивное обнаружение неизвестных вредоносных программ и активного заражения, а также автоматическую минимизацию ущерба в случае успешного вторжения.

АВ: Blue Coat –производитель, который, прежде всего, защищает партнера и заказчика  непосредственно в процессе продаж. Кроме того, это, безусловно, технологический лидер, который постоянно развивается и сам формирует тенденции рынка.

Как ваши клиенты реагируют на предложение Blue Coat CAS?

АВ: CAS – это новинка, которая вызывает высокий интерес и имеет положительные отзывы у заказчиков. В основном заказчики – и их, к счастью, большинство – видят необходимость в постоянном совершенствовании инфраструктуры и использовании максимального потенциала данного решения.

Спасибо за интервью и успехов в бизнесе!