Решения типа Sandbox («песочница») становятся всё популярнее. Они позволяют выявлять сложные и индивидуализированные вредоносные программы в почтовом и веб-трафике. Компания может интегрировать песочницу в свою сеть самостоятельно, а может обратиться к сервис-провайдеру. Второй вариант более экономичен и менее трудозатратен для заказчика. За счёт чего формируется эта экономия?
- Введение
- Как работает песочница
- Варианты реализации песочницы
- Песочница для защиты почтового трафика
- 4.1. Традиционная модель
- 4.2. Сервисная модель
- Песочница для защиты веб-трафика
- 5.1. Традиционная модель
- 5.2. Сервисная модель
- Выводы
Введение
Сегодня базовых средств ИБ, таких как антивирусы, прокси-серверы, системы обнаружения вторжений, антиспам-решения, межсетевые экраны и другие, уже недостаточно для обеспечения реальной кибербезопасности организации. С февраля количество кибератак на российские компании впечатляюще растёт. И если в I квартале это в основном были массовые атаки на каналы связи (DDoS) и веб-сайты, то сейчас увеличилось число точечных ударов по конкретным отраслям и организациям. Профессиональные злоумышленники используют самостоятельно разработанные инструменты и уязвимости «нулевого дня», которые не распознаются классическими сигнатурными и репутационными решениями. Для защиты от ранее неизвестных угроз, сложных вредоносных программ и целевого фишинга разработан класс решений под названием Sandbox («песочница»).
Как работает песочница
Песочница — это изолированная виртуальная среда для безопасного открытия файлов и запуска программ. Она имитирует функциональную операционную систему, благодаря чему вредоносная программа «решает», что попала на настоящий компьютер, и начинает выполнять нежелательные действия. Песочница анализирует активность файла и либо блокирует его, либо пропускает дальше.
Обычно песочница интегрируется в сеть организации для дополнительной проверки файлов в почтовом и веб-трафике. При этом решение крайне редко устанавливают как единственный инструмент защиты. Чтобы не «засорять» виртуальную среду большим количеством файлов и не замедлять её работу, трафик сначала фильтруют первичными базовыми средствами: антиспам-фильтрами, межсетевыми экранами, прокси-серверами, потоковыми антивирусами. В песочницу же попадают замаскированные файлы, обнаружить которые обычный антивирус не может.
Важно интегрировать песочницу в инфраструктуру так, чтобы она именно блокировала угрозы. Обычного обнаружения (когда в систему отправляются копии файлов) недостаточно: угроза достигнет цели. Поэтому для почтового и веб-трафика песочницу требуется устанавливать «в разрыв». При этом веб-трафик необходимо проверять весь, включая SSL.
Варианты реализации песочницы
У организации есть два варианта установки песочницы. Первый — самостоятельная закупка, инсталляция и обслуживание оборудования, то есть традиционная модель. Второй вариант — это облачная услуга, которую предоставляет сервис-провайдер. Это сервисная модель, при которой инфраструктура песочницы разворачивается в дата-центре провайдера, а его специалисты выполняют полную настройку и поддержку решения.
Сравним эти два варианта с точки зрения стоимости, сложности установки и эксплуатации. Для сравнения возьмём два сценария: защиту веб-трафика и защиту почтового трафика. Расчёт сделан для компаний, у которых уже установлены определённые средства защиты.
Песочница для защиты почтового трафика
В качестве примера возьмём компанию из 500 сотрудников, каждый из которых пользуется корпоративной почтой. Мы исходим из того, что почтовый канал не защищён антиспам-решением, поэтому сравниваем традиционную модель (закупка антиспама с песочницей) и сервисный подход (защита электронной почты (SEG) + Sandbox).
Традиционная модель
При традиционном подходе основные затраты возникают на старте проекта. Они складываются из закупки аппаратного решения и лицензий, которые обеспечивают доступ к службам безопасности вендора. Также в начальную стоимость обычно включена подписка на обновления в течение первого года. Примерно через шесть лет потребуется замена оборудования. Особо отметим, что серверного оборудования сейчас мало и время ожидания поставки увеличено.
Помимо капитальных затрат есть ещё и операционные, которые начинаются со второго года эксплуатации. Они включают в себя стоимость подписок на доступ к актуальным вендорским базам угроз, а также цену обновления решения. Обычно ежегодная поддержка составляет не менее 20 % от первоначальных затрат.
В то же время на плечи штатных сотрудников ложатся сопровождение и обслуживание песочницы, поэтому в затратах надо учесть фонд оплаты труда (ФОТ) для инженеров и аналитиков. При расчётах этого показателя мы учитываем, что обслуживание песочницы — не единственная задача работника, он совмещает её с другими обязанностями. Поэтому мы рассчитали, сколько айти-специалист тратит на работу с песочницей и какую долю его ежемесячных задач составляет эта работа.
Таблица 1. Стоимость традиционной модели песочницы для защиты почтового трафика
Капитальные затраты |
Стоимость |
Закупка аппаратных решений и подписка на доступ к сервисам |
7 005 484 ₽ |
Операционные затраты |
Стоимость |
Ежегодная подписка |
2 016 713 ₽ |
Сопровождение и обслуживание песочницы (в год) |
91 636 ₽ |
Чтобы не потратить эти немалые средства впустую, надо также учесть технические аспекты интеграции песочницы. Важно корректно настроить правила работы, по которым песочница будет определять вредоносный файл. Эти правила также надо регулярно обновлять и корректировать. Если у штатных сотрудников недостаточно навыков в ИБ, эффективность решения будет весьма низкой. Следовательно, может потребоваться обучение сотрудников, а это — дополнительные траты.
Сервисная модель
В сервисной модели такого понятия, как капитальные затраты, не существует. Они заменяются операционными: цена оборудования и всех необходимых лицензий уже включена в ежегодную подписку на сервис. Также подписка учитывает стоимость интеграции решения, настройки и технической поддержки со стороны экспертов провайдера. За счёт этого организация экономит на ФОТ инженеров, их обучении и командировочных. Экономия на персонале особенно актуальна для компаний с распределённой инфраструктурой и множеством филиалов в разных регионах.
Таблица 2. Стоимость сервисной модели песочницы для защиты почтового трафика
Затраты |
Стоимость |
Ежегодная подписка на сервис |
2 936 813 ₽ |
Таким образом, сервис позволяет компании сэкономить более 60 % в первый год эксплуатации. Экономия в перспективе семи лет с учётом замены оборудования выглядит так, как показано на рисунке 1.
Рисунок 1. Экономия в перспективе семи лет с учётом замены оборудования
Песочница для защиты веб-трафика
Здесь в качестве примера возьмём компанию со следующими характеристиками: около 900 сотрудников, основной канал связи имеет пропускную способность 100 Мбит/с, а резервный — 20 Мбит/с. Компания заинтересована в защите всего веб-трафика. В рассматриваемом сценарии она закупает межсетевой экран нового поколения (Next Generation Firewall, NGFW) сразу с аппаратной песочницей.
Ниже мы сравним сценарий закупки и поддержки аппаратного решения NGFW + Sandbox с сервисом Sandbox + UTM (интеграция с сервисом защиты от сетевых угроз).
Традиционная модель
Как и в варианте с защитой почты, основные затраты — это закупка оборудования. Она включает в себя стоимость аппаратных решений (межсетевой экран и песочница) и лицензии. Операционные затраты те же: доступ к обновлениям и актуальным базам от вендора межсетевого экрана и песочницы, а также обслуживание и поддержка.
Таблица 3. Стоимость традиционной модели песочницы для защиты веб-трафика
Капитальные затраты |
Стоимость |
Закупка аппаратных решений и подписка на доступ к сервисам |
13 284 521 ₽ |
Операционные затраты |
Стоимость |
Ежегодная подписка для доступа и обслуживание в год |
2 588 801 ₽ |
Сервисная модель
Стоимость сервиса зависит от количества уникальных файлов, направляемых в компанию, но заказчики редко могут точно назвать эту цифру, поэтому мы обычно исходим из типовых значений.
Таблица 4. Стоимость сервисной модели песочницы для защиты веб-трафика
Затраты |
Стоимость |
Ежегодная подписка на сервис |
4 753 929 ₽ |
Таким образом, сервис позволяет компании сэкономить тоже почти 60 % в первый год эксплуатации. Экономия в перспективе семи лет с учётом замены оборудования выглядит так, как показано на рисунке 2.
Рисунок 2. Экономия в перспективе семи лет с учётом замены оборудования
Выводы
Песочница — это эффективный способ защиты веб-трафика и почты от передовых угроз и массовых атак.
При покупке песочницы важно оценить, как она будет встроена в инфраструктуру вашей организации. Стоит обратить внимание на режим работы в инфраструктуре: песочница должна блокировать атаки, а не стоять в режиме мониторинга. Также для полноценной защиты необходимо проверять весь трафик, включая SSL, что привносит дополнительные сложности в интеграцию решения.
Помимо этого необходимо учесть, что время поставки оборудования сильно увеличено и подключиться оперативно при традиционном подходе уже невозможно. У сервиса таких проблем нет.
Самостоятельная закупка и установка аппаратного решения может привлекать тем, что трафик не выходит за пределы организации, а «железо» всегда находится под контролем штатных безопасников. Но в то же время сервисная модель от надёжного провайдера — это более простой, быстрый, экономичный и эффективный способ обеспечения информационной безопасности. Главное, что экспертиза подрядчика гарантирует точную и корректную настройку песочницы с учётом всех актуальных киберугроз.