Экосистема безопасности
Автор
Ольга Попова
Крокодил эффективен как охотник, у него нос решает, хватать или не хватать. Его реакция на распознанную жертву моментальна. Поэтому крокодил успешен в 99,99 случаев.
Идея создания единой среды для ИБ-продуктов давно бродит в умах вендоров. Гиганты индустрии не раз подходили к этой теме, но пока очевидных успехов не достигли. Все упирается в ограничения инфраструктуры. Компания McAfee, которая вот уже несколько лет является частью Intel Security, решила разорвать замкнутый круг. Об изменившихся за последние годы угрозах и потребности бизнеса в новом подходе к защите данных говорили этой осенью на пресс-конференции McAfee в Амстердаме.
Открыл встречу Ян ван Влит (Jan van Vliet), вице президент McAfee по развивающимся рынкам. Рассказывая о новом центре, построенном три года назад в столице Нидерландов для демонстрации европейцам последних разработок компании, он пояснил: «Мы приглашаем сюда потенциального клиента на пару дней – здесь есть презентационный зал, где можно увидеть все, что мы делаем, и получить ответы на любые вопросы. Главная наша задача – понять, что именно нужно клиенту. В рамках другой программы – “Информационной недели” – заинтересованные люди могут вживую наблюдать, как работают наши решения в полевых условиях».
В McAfee считают Восточную Европу, Россию и Африку очень перспективными рынками. «За последние пять лет мы каждый год удваивали рост нашего бизнеса в России. Мы предлагаем индивидуальные решения для бизнеса. Как костюм шьют на заказ, так и мы делаем систему защиты под конкретного заказчика», – отметил Ян ван Влит.
Между молотом и наковальней
Томас Максейнер (Thomas Maxeiner), директор и специалист по корпоративным технологиям Intel Security в регионе EMEA, рассказал журналистам о взаимосвязанной безопасности: как свести разнородные типы защиты в одно решение, то есть вывести на принципиально новый уровень защиту от угроз. Здесь и прозвучала информация, что McAfee создает собственную платформу безопасности: «У меня есть мобильный телефон, айпад, лэптоп, и я нуждаюсь в защите своих данных. И если все мои гаджеты, вне зависимости от их количества, будут защищены централизованно – это будет более надежная оборона. Сейчас мы говорим о единой системе безопасности, которая до сих пор не была никем реализована».
Системы предотвращения взлома, межсетевые экраны как комплекс решений для безопасности – части этой задачи. Среди продуктов McAfee несколько компонентов для построения такой автоматизированной системы: анализатор поведения кода в виртуальной среде (Advanced Threat Defense, ATD), система корреляции событий (Advanced Correlation Engi, ACE), репутационная база по файлам, IP- и почтовым адресам (Global Threat Intelligence, GTI) и др.
Но не всегда атаки сразу видны не только обычным пользователям, но и спецслужбам компаний. «Мы провели опрос клиентов, 80% признали, что уже подвергались атакам, а 20% даже не подозревали, что становились жертвами хакеров, настолько технически безупречно были проведены взломы. При этом на их обнаружение потребовались недели и месяцы работы», – подчеркнул Максейнер.
Говоря о методах борьбы с киберпреступностью, Томас Максейнер вспомнил сериал «C.S.I.: место преступления Майами», где полиция находит нарушителей по их ДНК, оставленным на месте событий. Так и хакер оставляет в сети своего рода ДНК, по которому его можно вычислить, и помочь в этом призваны решения McAfee. В частности, большие возможности предоставляет платформа Security Connected: благодаря системе обмена данными в режиме реального времени, механизму коллективного сбора информации об угрозах, быстродействующим средствам анализа и открытым технологиям управления безопасностью она позволяет объединить все меры по защите конечных точек, сетей и облачных служб.
Вольфганг Хастдат (Wolfgang Hustaedt), технический специалист решений ИБ для предприятий подразделения сетевой безопасности в EMEA McAfee/Intel, говорил о необходимости защиты сети. «Сегодня размер потерь компаний от целенаправленного взлома может доходить до двух миллионов долларов», – подчеркнул он.
Правило крокодила
Павел Эйгес, региональный директор McAfee по России и странам СНГ, отметил динамику роста новых угроз: «Сейчас в нашем зоопарке 300 миллионов зловредов – за последний год прибавилось 100 миллионов. Это примерно три новых семпла каждую секунду. Многие из ИБ-решений, что мы сегодня представляем рынку, не имели никакого смысла всего-навсего три года назад – скорости появления новых зловредов и сложность атак были ниже не в разы, а на порядки. Теперь же традиционные системы являют собой не защиту, а скорее некую иллюзию защиты. Поэтому мы идем дальше, создавая технологии адекватные сегодняшним и даже будущим угрозам.».
Одна из проблем российского рынка, по мнению Павла, связана с подходом к защите, которую он иллюстрирует на примере с классическим антивирусом. «У нас есть большое количество вендоров, предлагающих технологию антивирусной защиты, – рассказал он. – Антивирус очень похож на крокодила. Крокодил эффективен как охотник, у него нос решает, хватать или не хватать. Его реакция на распознанную жертву моментальна. Поэтому крокодил успешен в 99,99 случаев. То есть он очень хорош в охоте на понятную ему добычу. Так и антивирус: хорош в ловле того, что он знает. Но крокодила можно обмануть: если его добыча пахнет не так, как он ожидает на основании своего опыта, он ее пропускает. И антивирус в определенных случаях тоже будет промахиваться. Очень редко! Но если мы умножим вероятность промаха на число новых вирусов, которые появляются скажем за один день, то очевидный расчет покажет – угроза более чем реальна. Самые известные из таких промашек – таргетированные атаки, или атаки нулевого дня. Это то, чего нет ни в каких базах, потому что эти атаки написаны специально под конкретного клиента. Соответственно, ваш крокодил это пропустит. Причем это касается не только антивирусов, но и файерволов, почтовых шлюзов и т. д. Еще три года назад не только скорость появления зловредов была ниже, но и уникальные среди них были очень редки».
По мнению Павла Эйгеса, речь не идет о системы защиты, которая убережет от пробоя. Это невозможно. Но она может понизить его последствия: «Если мы не можем до конца защититься, то должны знать хотя бы, чтопроникло за защиту периметра». В последние годы в отрасти ИБ идут проекты по SIM как инфраструктурным решениям. Если три года назад можно было персонально обработать каждый инцидент, то сейчас нет возможности даже их увидеть. Поэтому McAfee производит SIEM, который, в отличие от аналогов, позволяет строить actions, то есть командный центр. Он автоматически обрабатывает инцидент, а в особо тяжелых случаях отрезает пользователя от внешнего мира до устранения проблемы. «У меня на телефоне стоит McAfee ЕММ, его можно заблокировать извне согласно политикам безопасности компании. Смысл в том, что ЕММ органично встроен в экосистему McAfee. Мы продвигаем его на рынке безопасности как элемент процесса взаимодействия систем. Вручную невозможно противостоять атакующей стороне, поскольку и она действует не вручную», – поясняет Павел.
Автоматизированные зловреды способны нанести гигантский урон, и обнаружить их трудно. Это подтверждают данные исследования, проведенного Vanson Bourne по заказу McAfee. Так, в США около 60% ИT-руководителей крупных компаний (более 3 тыс. сотрудников) считают, что угрозы зачастую остаются незамеченными из-за того, что разрозненные решения защиты данных не распределяют между собой полученную информацию. При этом более 65% заявили, что отдельные решения для защиты данных требуют больше времени на обнаружение и устранение угроз вручную».
* * *
После выступлений экспертов журналистам показали War Room — комнату для инсталляций. Здесь отрабатывают реальные сценарии инцидентов, проверяют новые продукты на атаках нулевого дня, проводят нагрузочные тестирования. А еще нам продемонстрировали модель атаки условного хакера, который пытается взломать ИБ-систему предприятия, и как на это реагируют различные ИБ-продукты.
Все мероприятие было построено на знакомстве с Data Exchange Layer (DXL) – это технология обмена сообщениями между разными средствами защиты, установленными в корпоративной сети. Как уже говорилось, основная идея – в построении единой платформы для разных ИБ-сервисов. Собственно, McAfee уже предлагает некоторые компоненты для построения такой платформы: например, анализатор поведения кода в виртуальной среде (Advanced Threat Defense, ATD), систему корреляции событий (Advanced Correlation Engine, ACE), репутационную базу по файлам, IP- и почтовым адресам (Global Threat Intelligence, GTI), новую версию межсетевого экрана следующего поколения (McAfee Next Generation Firewall, NGFW) и др. Получится ли у вендора реализовать все задуманное – покажет время. Как говорится, дорогу осилит идущий.
Опубликовано 24.11.2014
Похожие статьи