По мере того, как в компьютерной отрасли появляются все новые и новые средства защиты систем и сетей, пользователи начинают проявлять все больший интерес к свободно распространяемому программному обеспечению, стремясь понять, превосходят ли его потенциальные преимущества возможные недостатки.
Хотя свободно распространяемые системы защиты существуют уже давно, они никогда не использовались столь широко, как операционная система Linux и Web-сервер Apache. Джон Пескаторе, директор компании Gartner по исследованиям, связанным с безопасностью в Internet, отметил, что среди применяемых систем защиты на долю свободно распространяемых средств сейчас приходится 3-5%, но к 2007 году этот показатель может возрасти до 10-15%.
Основной причиной такого потенциала является качество многочисленных свободно распространяемых пакетов защиты. «Поддержка некоторых общеупотребительных средств защиты осуществляется на достаточно высоком уровне, и многие разработчики предлагают для них новый инструментарий и шаблоны. В определенном смысле такие решения конкурируют с коммерческим инструментарием», — заметил Юджин Спаффорд, директор Центра обучения и исследований в области информационной безопасности университета Пурди.
К свободно распространяемым программным продуктам относятся бесплатные инструментальные средства, которые можно загрузить из Internet, пакеты, для которых производители предлагают коммерческие услуги поддержки, а также дополнительный инструментарий, поставляемый вместе с коммерческими продуктами.
К наиболее популярным инструментам относятся Netfilter и iptables; системы обнаружения вторжений, например, Snort, Snare и Tripwire; сканеры уязвимых мест в системах защиты, такие как Kerberos; межсетевые экраны, в частности, T.Rex.
Некоторые предприятия даже начали использовать свободно распространяемые системы защиты для обеспечения безопасности своей критически важной инфраструктуры.
Растущий интерес
ИТ-специалисты в той или иной степени используют свободно распространяемые средства защиты уже около 15 лет. Сейчас все больший интерес к таким инструментам проявляют крупные компании, консультанты по вопросам защиты и поставщики услуг, которые могут адаптировать подобное программное обеспечение к нуждам конкретных пользователей. Например, EDS начала использовать свободно распространяемый инструментарий защиты компании Astaro для обеспечения безопасности компонента переднего плана Web-сайтов нескольких кредитных союзов, предлагающих возможности обработки транзакций.
Интеграторы систем информационной безопасности признают, что пользователей привлекает невысокая цена свободно распространяемых средств. Например, Ричард Майр, управляющий директор R2R Informations und Kommunikations, отметил, что его компания уже долгие годы предлагает свой коммерческий межсетевой экран. Однако собранные данные показывают, что 75% клиентов компании отдают предпочтение свободно распространяемым аналогам. Компания Guardent предлагает подписку на услуги Internet-защиты стоимостью 1,5 тыс. долл. в месяц, основу которой составляет ее Security Defense Appliance. Это решение объединяет в себе коммерческие компоненты, такие как межсетевой экран PIX компании Cisco Systems, и свободно распространяемые компоненты, в том числе iptables, Nessus и Snort. Аналогичная услуга, опирающаяся исключительно на коммерческие продукты, может стоить около 10 тыс. долл.
В то же время, компания C2Net Software, которую недавно приобрела Red Hat, разработала свой коммерческий сервер Stronghold Secure Web Server на базе Apache и OpenSSL — свободно распространяемого инструментария, реализующего протоколы защиты на уровне сокетов и на транспортном уровне, а также содержащего криптографическую библиотеку общего назначения.
По словам консультанта по вопросам защиты Пола Робичаукса из компании Robichaux & Associates, организации, которые предъявляют особые требования к защите, определяемые законодательством, например, работающие в области здравоохранения и финансов, вряд ли станут использовать свободно распространяемый инструментарий. Вместо этого, они, скорее всего, будут по-прежнему зависеть от производителей, на которых они могут возложить ответственность за нарушение защиты. Робичаукс считает, что свободно распространяемые системы защиты чаще будут использоваться консалтинговыми и сервисными фирмами, которые уже знают эти инструментальные средства и доверяют им, а также компаниями, чьи отделы ИТ уже опробовали такие решения.
Марк Кокс, директор по разработке группы OpenSSL компании Red Hat добавил: «Организации, работающие на Unix-платформах, таких как Linux и Solaris, скорее всего, будут выбирать инструменты типа Nessus, Snare и Snort, поскольку их история разработки и использования аналогична Unix».
Свободно распространяемые средства защиты: за и против
Сравним свободно распространяемые и коммерческие инструментальные средства по затратам, качеству и технической поддержке.
Затраты. Одно из основных преимуществ свободно распространяемых инструментальных средств — их меньшая по сравнению с коммерческими продуктами стоимость. Такие системы распространяются бесплатно или по очень низким ценам, а, кроме того, они либо вообще не предусматривают лицензионных выплат, либо выплаты эти значительно меньше, чем для коммерческих продуктов. Однако некоторые пользователи на собственном опыте убедились, что утверждение «вы получаете то, за что заплатили» в полной мере применимо к свободно распространяемому инструментарию.
Однако Бадди Бакстер, технический менеджер EDS по инфраструктурным решениям для кредитных союзов, полагает, что если продукт стоит дороже, это вовсе не означает, что он будет в большей степени защищен. По его словам, EDS может установить систему защиты на основе программного инструментария Astaro, которая будет стоить вчетверо дешевле коммерческого продукта компании Check Point Software Technologies.
Качество. Директор по технологиям компании Guardent Джерри Бреди подтвердил, что некоторые свободно распространяемые инструментальные средства защиты не хуже (а то и лучше) их коммерческих аналогов. Например, по его словам, сканер уязвимых мест защиты Nessus обеспечивает лучшие возможности распределенной обработки, удаленного запуска и планирования, чем многие коммерческие продукты. «Благодаря использованию свободно распространяемой методологии вы можете в большей степени сосредотачиваться на тех вещах, которые действительно важны. Для Nessus вопросы распространения намного менее приоритетны, чем вопросы качества кода», — подчеркнул он.
Однако ему возражает Маркус Ранум, эксперт по вопросам защиты и глава компании NFR Security: «Не думаю, что программы имеют высокое качество уже потому, что распространяются свободно. На самом деле, качественным продукт делает именно его целенаправленная разработка. А открытость этого никак не гарантирует».
С ним согласен и Спаффорд: «Надежность продукта определяется в первую очередь его качеством и поддержкой. Был ли он хорошо спроектирован? Придерживались ли его разработчики четкой дисциплины и не добавили ли к нему чересчур много функций? Многое свободно распространяемое программное обеспечение создается людьми, не имеющими надлежащего опыта, инструментальных средств, времени или ресурсов для того, чтобы сделать это настолько тщательно, как того требует действительно высоко надежная среда».
Сторонники свободно распространяемых решений утверждают, что открытый код изучает очень много специалистов, поэтому они способны обнаружить проблемы намного быстрее, чем ограниченный круг разработчиков, создающих коммерческий продукт той или иной компании. «Поисками и исправлением ошибок в общедоступном программном обеспечении могут заниматься намного больше людей», — сказал Майк Куртис, директор по исследованиям компании Redsiren Technologies, предоставляющей услуги обеспечения информационной безопасности.
Кроме того, как заметил Куртис, разработчики свободно распространяемых программ могут быстрее реагировать на обнаруженные изъяны в защите, чем коммерческие компании просто в силу меньшей загруженности и отсутствия бюрократических препон. «Разработчики свободно распространяемых решений в большей степени заинтересованы в том, чтобы исправить обнаруженные ошибки, чем добавить новые возможности для следующей версии», — считает он.
Однако с ним не согласен Ранум: «Исходя из собственного опыта, могу подтвердить, что очень немногие специалисты действительно тщательно изучают код. Они, как правило, просто просматривают файлы с описанием. Созданный мною первый открытый пакет инструментальных средств для межсетевого экрана в той или иной степени использовали около 2 тыс. сайтов, но лишь десять человек сообщили о нем свое мнение или прислали заплаты, исправляющие ошибки. Так что я бы не стал уповать на открытость программного обеспечения», — сказал он.
Многие сторонники закрытых исходных текстов считают, что для поиска ошибок в программе важнее качество, а не число изучающих ее людей. Они утверждают, что эксперты по программному обеспечению компании-производителя, работающие над своими продуктами, выполняют работу более качественно, чем те, кто изучает свободно распространяемые пакеты.
К его мнению присоединяется и Спаффорд. «Во многих компонентах свободно распространяемого программного обеспечения были найдены ошибки после того, как их долгие годы использовали и изучали сотни тысяч раз. Ошибки не были обнаружены просто потому, что те, кто просматривал этот код, не имели необходимых навыков, позволяющих это сделать. Во многих случаях пользователи изучают код, чтобы адаптировать его к своим нуждам, а не для того, чтобы детально его проанализировать», — заметил он.
Поддержка. Сторонники коммерческого программного обеспечения утверждают, что их производители, в отличие от организаций, занимающихся свободно распространяемыми решениями, предлагают клиентам услуги поддержки и другие ресурсы, которыми можно воспользоваться в случае каких-либо проблем. Однако такой подход позволяет усилить позиции и тем, кто предлагает услуги поддержки пользователям свободно распространяемого программного обеспечения защиты.
«Служба поддержки дает более надежные гарантии клиенту и позволяет оказать ему помощь. Вы можете определить соглашение об уровне обслуживания и предоставить производителю возможность самому выбирать нужный инструментарий и помогать клиентам адаптироваться к изменениям в технологии», — заметил Бреди.
Другие вопросы. Некоторые сторонники закрытых исходных текстов считают, что из-за доступности свободно распространяемого кода хакерам намного проще разобраться, каким образом можно преодолеть такую защиту. Однако апологеты свободно распространяемых решений утверждают, что это не так, поскольку хакерам по силам взломать защиту, организованную с помощью коммерческих продуктов. В то же время, они отмечают, что свободно распространяемые инструментальные средства защиты проще настроить, поскольку имеются их исходные тексты.