Сидя за столом с двумя компьютерами, Рик Редман, сосредоточенный, долговязый молодой человек 23 лет ищет "дыры" в корпоративной сети.
"Вот оно", — говорит Редман, указывая на список IP-адресов, который появляется на экране монитора. Рик ищет сведения, которые позволили бы злоумышленнику определить тип используемой ОС, межсетевых экранов или имена пользователей. Любая информация такого рода может стать ключом к проникновению в систему. "Я думаю точно так же, как хакер", — комментирует он.
Но Редман — вовсе не злостный взломщик. Он инженер по безопасности в фирме Metases, где ему платят за то, что он изучает сети клиентов, выявляя их слабые места.
Metases — молодая фирма, одна из тех, что предлагают услуги по защите информации. Сегодня, когда о преступлениях в киберпространстве все чаще пишут на первых полосах газет, вырос спрос на такие услуги, как поиск "дыр" в защите, интеграция межсетевых экранов и других средств безопасности, а также управление безопасностью сетей.
Этот спрос порождает весьма прибыльный рынок. Согласно прогнозу исследовательской фирмы GartnerGroup, в текущем году объем мирового рынка услуг по информационной безопасности может достичь 7,5 млрд. долл. и в дальнейшем расти в среднем примерно на 40% в год.
"Рынок, несомненно, растущий как в плане спроса, так и предложения, — говорит Джон Пескейтор, аналитик GartnerGroup. — Мы наблюдаем большой спрос и громадное число новых компаний в этой области".
Metases, дочерняя компания исследовательской фирмы Meta Group, выделяется на фоне других подобных компаний, предлагая, по словам Джеффа Джонсона, ее президента и главного управляющего, полный набор услуг в сфере безопасности — от анализа сети до управляемых служб.
В числе 75 клиентов Metases — финансовые организации и розничные магазины, учреждения здравоохранения и государственные органы. Средняя сумма договора — 125 тыс. долл. Штат компании — 65 человек и продолжает расти.
Президент характеризует свою компанию как "независимую от поставщика". Он с иронией говорит о "ревизорском менталитете" фирм "большой пятерки", спешно открывших отделы безопасности, а также о "хакерском менталитете" некоторых из вновь возникших компаний.
"В большинстве этих фирм работают любители взлома, которые сменили свои черные хакерские косынки на белые респектабельные шляпы", — говорит Джонсон, имея в виду, что многие бывшие хакеры теперь стали консультантами по безопасности.
Послужной список самого Джонсона включает 7 лет службы в разведке ВМФ США, работу в компаниях Internet Security Systems и Trident Data Systems, где он трудился над программой информационной войны для ВВС США.
Фирма Metases была основана в начале 1999 г. в соответствии с бизнес-планом, который составили Джонсон и Крэйг Робинсон, исполнительный вице-президент и главный управляющий производственной деятельностью компании. Они решили упростить процесс обеспечения безопасности с помощью Интернета, документировали наилучшие стратегии защиты и опубликовали их в Web для своих клиентов. Другой важнейший аспект деятельности компании - привязка безопасности к стратегии электронной коммерции.
Сотрудники Metases не часто бывают в офисе. Они живут жизнью консультантов, проводя большую часть времени в дороге, направляясь от одного клиента к другому.
Андре Минтц, вице-президент по глобальным бизнес-стратегиям Metases, признался, что проводит в разъездах почти 70% своего времени. Он ездит по всему миру, встречаясь с руководителями компаний из списка Fortune 100 и лидерами списка Global 2000, разрабатывая для них и продавая решения по безопасности.
Несмотря на свои 35 лет, Минтц считает себя ветераном в этой области. "Большинство специалистов в нашем бизнесе, подобно Рику Редману, — недавние выпускники университетов", — заметил он.
Сам Минтц пришел в этот бизнес с весьма разносторонним опытом — был брокером на бирже и офицером в полиции. Он ушел из полиции, когда понял, что может зарабатывать больше денег в другом месте и притом без риска быть подстреленным. Прежде чем прийти в Metases, Минтц работал в компании Digex, предоставляющей услуги хостинга, где, по его словам, стал одним из пионеров внедрения управляемой безопасности.
"Встречи с будущими клиентами начинаются с того, что можно было бы назвать тестированием ваших знаний", — говорит Минтц. После того как установлено определенное взаимопонимание, клиент задает технические вопросы, касающиеся самых разных областей: баз данных, платформы UNIX или Novell.
"Особенность, отличающая специалиста по безопасности от других профессионалов в области ИТ, состоит в том, что он должен знать понемногу обо всем", — подчеркнул он.
Некоторые клиенты — под влиянием публикаций в прессе о компьютерной преступности или под давлением высшего руководства, внедряющего план обеспечения безопасности, — готовы пуститься "с места в карьер". У других же уровень цен вызывает что-то вроде шока.
"Они не понимают, сколько стоит безопасность. Мне приходится готовить подробный отчет о том, какова будет прибыль на инвестированный капитал. Это та же проблема, что и у страхового агента. Я должен оценить вероятность того, что что-то может случиться, и дальнейшие последствия этого", — пояснил Минтц.
Чтобы составить план обеспечения безопасности для своего клиента, Минтц берет результаты анализа сети этого клиента, полученные Редманом, и дополняет их собственными наблюдениями и результатами расспросов.
Он оценивает "болевой порог" данной компании, иначе говоря, какого уровня угрозу безопасности она может вынести, прежде чем ее деятельность станет невозможной. В законченном виде план мер по безопасности может насчитывать до 500 страниц. После этого фирма Metases либо внедряет этот план, либо рекомендует клиенту, как осуществить его собственными силами.
Версия для печати (без изображений)
