Спроси о том, что будет завтра
По традиции в середине декабря компания Cisco собрала российских журналистов в одном из московских ресторанов, чтобы рассказать об основных тенденциях в сфере ИТ и ИБ. Перед представителями профильных СМИ выступили специалисты из российского офиса известного мирового ИБ-вендора.
Презентация бизнес-консультанта компании Алексея Лукацкого была посвящена трендам мира информационной безопасности в краткосрочной и среднесрочной перспективах. «На состояние ИБ влияет множество факторов. Это и законодательство, и сами угрозы, которые постоянно эволюционируют, это и технологии, появляющиеся в той или иной отрасли, а также инструменты борьбы с угрозами», — отметил Алексей Лукацкий. В своем выступлении он сделал акцент на последние три составляющие.
IoT, DNS и призраки прошлого
К первому блоку угроз относится «Интернет вещей», который, помимо позитивного вклада в развитие общества, стал в последнее время активно использоваться в качестве площадки для реализации распределенных атак из-за уязвимости устройств и нежелания вендоров заниматься средствами защиты. «Бороться с этим сложно. Программы-вымогатели, шифровальщики, криптолокеры набирают популярность, поскольку злоумышленники почувствовали, что с их помощью можно получать огромные деньги», — предупреждает Алексей. По оценке Cisco, ежегодный доход от атак составляет около $1 млрд.
Еще одна технологическая проблема этого же блока — применение протокола DNS для скрытия активности вредоносных программ. «Без DNS Интернет не может работать, а мы не можем запоминать IP-адреса наших любимых сайтов и используем имена. Трансляцией IP в имя и наоборот занимается DNS, а он всегда открыт на периметре многих корпоративных и ведомственных средств защиты. Злоумышленники скрывают внутри DNS скачивания вредоносных программ и осуществляют утечку информации, потому что его никто не контролирует», — комментирует известный практик ИБ-отрасли. Согласно официальной статистике Cisco, свыше 90% вредоносных программ используют этот протокол.
Также Алексей Лукацкий советует обратить внимание на «призраки прошлого» — оборудование, которое функционирует давно и «слишком надежно». Возможно, это хорошо для ИТ, но весьма рискованно для безопасности, ведь классический принцип «работает — не трогай» приводит к тому, что ИТ-департамент не меняет оборудование и не подпускает к нему безопасников. Среднее время жизни в сети «железа», которое никто не патчит и не обновляет, обычно составляет 5–5,5 лет. «Это отличное окно возможностей для злоумышленников. с помощью уязвимостей получающих беспрепятственный доступ к внутренней инфраструктуре. Даже появляющиеся обновления айтишники не устанавливают на свои средства защиты, так как боятся, что они либо выйдут из строя, либо потеряют сертификат регулятора», — подчеркивает Алексей.
Облака и Big Data
Второй набор тенденций касается блока информационных технологий. Алексей Лукацкий советует обратить внимание на облака. Сейчас, когда все больше российских компаний переходит в облачные среды, перед информационной безопасностью встает сложная задача — как обеспечить защиту приложений и данных пользователей, которые не находятся под контролем служб ИБ. «Мы отдаем это на откуп третьим фирмам, а те могут находиться и за пределами России. Какие данные заливают в облака? Какие данные оттуда уходят? Если для платформ или инфраструктур, предоставляемых по модели PaaS/IaaS это можно реализовать с помощью технологий виртуализации, то для моделей SaaS задача становится весьма непростой», — считает консультант по безопасности. Одним из инструментов решения данной проблемы стала покупка Cisco компании CloudLock в 2016 году.
К блоку технологий относятся столь популярные сегодня большие данные. Зачастую именно анализ неструктурированной информации из разных источников помогает в принятии управленческих решений. Но широкие возможности несут в себе и большие риски. И во многих странах мира уже задумались о том, как регулировать поток больших данных с точки зрения их защиты. Скорее всего, в будущем нас ждет много решений по контролю и защите Big Data.
Еще один тренд, связанный с большими данными, — машинное обучение. Нейросети, нечеткая логика — все то, что относится к зонтичному бренду под названием «Искусственный интеллект». Пока еще компьютер не научился без участия человека принимать далеко идущие решения, но все к этому идет. Неудивительно, что в компании Cisco серьезно отнеслись к такой теме и сформировали крупное подразделение для работы с Big Data. «Мы научились анализировать большие объемы данных, получаемых из разных источников — веб, сетевой трафик и другое, чтобы искать в них следы аномалий и несанкционированного доступа, то есть того, что не удается увидеть отдельным средствам обеспечения ИБ, — говорит Алексей Лукацкий. — Межсетевой экран, антивирус, система обнаружения вторжений по отдельности могут пропускать, а технологии именно машинного обучения на больших объемах данных помогают обнаруживать скрытые взаимозависимости, скрытые целевые атаки, подготовленные для конкретной организации». По мнению аналитиков Cisco, в 2017году машинное обучение станет мейнстримом.
Расстановки поля сил
Третий набор тенденций имеет отношение к самим технологиям ИБ. Например, технология, связанная с анализом зашифрованного трафика, которой давно занимается Cisco. В январе компания анонсировала ежегодный отчет по информационной безопасности, согласно которому мир сегодня перешел некий Рубикон и в 2015 году зашифрованный интернет-трафик превысил 50% всего объема мирового трафика. С одной стороны, это хорошо с точки зрения обеспечения защиты данных, с другой — представляет собой угрозу как для национальной, так и для корпоративной безопасности, поскольку специалисты подразделений ИБ не в состоянии анализировать поток вредоносных программ и выявлять нарушителей. Но разработки в ИБ тоже не стоят на месте, и сегодняшние технологии позволяют инспектировать даже зашифрованный трафик и определять, что происходит внутри, даже не имея ключей для расшифровки. Можно идентифицировать вредоносную активность с высокой степенью вероятности.
Изменения коснулись и мониторинга внутренней инфраструктуры. «Мы привыкли, что у нас защищен периметр, что существуют надежные средства безопасности. Но в компании есть мобильные устройства и облака, есть внутренняя сеть, в которую может попасть злоумышленник через незащищенный вай-фай, через смартфон или флешки, — говорит Алексей Лукацкий. — Так что службе корпоративной ИБ необходимо строить защиту внутренней сети и использовать сетевую инфраструктуру в качестве распределенного датчика обнаружения атак внешних злоумышленников и несанкционированных действий от инсайдеров в компании».
Сегодня в крупных и средних компаниях 80% бюджетов на ИБ тратится на защиту периметра, 15% — на технологии предотвращения и обнаружения вторжений, 5% — на реагирование на инциденты. Тем не менее атаки пробиваются даже через эшелонированную оборону. «Несмотря на все предпринимаемые нами меры, взломать могут любую организацию. Поэтому треть усилий нужно направить на предотвращение, треть — на обнаружение, треть — на реагирование. Это называется EDR, где ключевым являются последние две буквы аббревиатуры, означающие Detection and Response», — подчеркивает консультант по ИБ.
К тому же блоку ИБ, по мнению Алексея, относятся технологии идентификации и аутентификации. Речь идет о динамической контекстной аутентификации, пришедшей на смену статическим правилам, и о динамическом контроле доступа. Необходимо получать информацию о том, что, кем и как подключается, откуда, в какое время и с помощью какого устройства. «Здесь имеет значение всё. Только собранные воедино факторы могут служить основой для принятия решения — пускать или нет», — говорит г-н Лукацкий. По его словам, сейчас в сфере ИБ набирает популярность инструмент поведенческого анализа — User behavior analytics (UBA). Это комбинация разных традиционных технологий, объединенных в рамках одного решения, когда по совокупности полученных данных идентифицируется пользователь и его поведение.
Есть несколько трендов в этом блоке и в использовании облаков. Например, заметен активный переход компаний на технологию CASB (Cloud Access Security Broker). По мнению Gartner, технология станет одной из горячих тем на ближайшие годы. CASB — посредник между компанией и облаками, обеспечивающий ИБ. «Когда мы не можем установить на площадке провайдера свои средства защиты, то CASB подключается к облаку и проверяет все данные. И в случае нарушений либо блокирует, либо сигнализирует корпоративным службам ИБ», — объясняет технологию Алексей.
И еще одна тенденция — переход от MSSP (Managed Security Service Provider) к концепции MDR (Managed Detection and Response). Если компании по аутсорсингу ИБ, предлагающие технологии MSSP, рассматривают только мониторинг сетевой инфраструктуры, то предлагающие MDR берут на себя все задачи по обнаружению и расследованию инцидентов. Добавим, что компания Cisco включена в реестр вендоров MDR и активно продвигает эти услуги.
Несмотря на низкую популярность аутсорсинга ИБ в РФ, ситуация будет меняться. По оценкам Cisco, ежегодно в мире не хватает около миллиона специалистов по ИБ, в России эта цифра составляет 55–60 тыс. человек. Но если у компании нет возможности создавать свои службы информационной безопасности, их функции должен выполнять кто-то другой. И у аутсорсинга здесь открываются большие перспективы.
Среди других трендов, по словам докладчика, исследования в области угроз Threat Intelligence, свидетельствующие о том, что информация об угрозах обновляется ежесекундно, а также средства визуализации и аналитики. «При появлении новых технологий, то, что существовало раньше, получает новый толчок. Данные, которые поступают в службы ИБ из средств защиты, нужно аккумулировать и анализировать, искать скрытые взаимозависимости и оперативно реагировать на угрозы. Сейчас начинают активно развиваться средства визуализации и аналитики, способные представить информацию понятным образом», — комментирует Алексей.
***
Информационная безопасность — динамичная сфера, которая постоянно меняется, она заставляет специалистов, ответственных за ИБ, все время быть начеку — следить за тем, что творится по ту сторону баррикад, разбираться в современных ИТ, понимать потребности бизнеса и быть немного юристом, чтобы оценивать постоянно изменяющуюся законодательную среду. И новый, 2017 год не станет исключением — по прогнозам Cisco, нас ждет немало новых событий, которые при отсутствии должного внимания могут отрицательно сказаться на бизнесе компаний и оказании госуслуг.
Опубликовано 22.12.2016