Информационная безопасность 2015
Автор
Алексей Лукацкий
Сегодня, в канун 2014-го, мне хотелось бы заглянуть чуть дальше — на год-другой вперед и посмотреть, с какими задачами придется столкнуться специалистам по информационной безопасности в 2015-м
В прошлом году я сделал несколько прогнозов на 2013-й, которые касались преимущественно нормотворчества, оказывающего немалое влияние на рынок информационной безопасности России. Процентов на 80 мои прогнозы сбылись, а остальное переносится на год грядущий. Более того, с точки зрения нормативной базы, в 2014-м будут продолжены действия, связанные с реализацией требований по защите персональных данных, государственных и муниципальных информационных систем, банковской тайны и платежных систем. Сегодня, в канун 2014-го, мне хотелось бы заглянуть чуть дальше — на год-другой вперед и посмотреть, с какими задачами придется столкнуться специалистам по информационной безопасности в 2015-м.
Социальные сети
Всемирная сеть объединяет людей и дает им возможность общаться. Одним из популярных сегодня, а возможно, и в будущем каналов общения является социальная сеть во всех ее проявлениях — Facebook, Twitter, Instagram, YouTube, Blogspot, а также их клоны и аналоги. Все эти «аккумуляторы общения» позволяют компании или организации не только доносить до широких кругов потенциальных клиентов информацию о своих продуктах и услугах, но и получать обратную связь как напрямую, так и путем мониторинга мнений. Но это все «светлая» сторона; на «темной» нас ждет бестолковая трата рабочего времени и раскрытие секретов компании посторонним, с чем придется бороться все активнее. И если с контролем доступа к социальным сетям (вплоть до отдельных страниц и веб-приложений) сегодня вполне успешно справляются межсетевые экраны следующего поколения (Next Generation Firewall, NGFW), то с мониторингом дело обстоит не так просто — рынок подобных решений только формируется и пока обеспечивает решение лишь одной задачи — мониторинг отношения PR-фона.
Интернет-вещей
Интернет в том виде, как мы его знаем, представляет собой Сеть людей, обменивающихся информацией — сообщениями, файлами, картинками и т. п. Но грядет совершенно новая Сеть — Интернет вещей, когда между собой будут взаимодействовать не люди, а машины (датчики, сенсоры, встроенные в различные приборы — светофоры, автомобили, часы, принтеры, видеокамеры, банкоматы, рентгеновские установки, сантехнику и бытовые приборы, АСУ ТП и т. п.). И как защищать Интернет вещей сегодня, мало кто понимает. Слишком миниатюрные, мобильные, нечеловеческие, требовательные к автономности и агрессивной среде приборы обмениваются между собой защищаемой информацией. Можно ли на них поставить антивирус? Нет! А взгромоздить российскую криптографию? Тоже нет. А межсетевым экраном защитить? Опять нет! Нужны иные подходы, как сама по себе сеть становится сенсором системы защиты, не только передавая информацию для принятия решения в области ИБ, но и реагируя на получаемые от командного центра управляющие сигналы. Сегодня немало рабочих групп по стандартизации заняты тем, что вырабатывают общие правила игры в этом новом мире — пишут новые спецификации, стандарты, требования по защите, которые должны встраиваться в каждый элемент Интернета вещей.
Облака
В какой-то момент маркетинговые разговоры о пользе облаков должны вылиться в реальные массовые, а не эпизодические проекты. И тогда вопрос о безопасности встанет в полный рост. Причем и безопасности данных, передаваемых в облака, и безопасности приложений, там находящихся, и безопасности инфраструктуры. Это непростая задача, как бы ее ни преподносили поставщики облачных услуг и продуктов. Но есть и позитивный момент — виртуализация сетевых сервисов, о которых не только говорят, но и уже предлагают работающие технологии и продукты Cisco, VMware и другие, позволяют обеспечивать прозрачный переход (в том числе и временный — в пик продаж, в высокие сезоны, в период запуска новых продуктов и услуг) от корпоративной среды к облачной и обратно, не теряя при этом уже имеющейся IP-адресации, пользователей и их групп, разбиения на подсети и сегменты. Та же виртуализация сервисов позволяет реализовать на чужой инфраструктуре защитные механизмы, аналогичные тем, что существуют и в собственной корпоративной или ведомственной среде, — межсетевые экраны, системы предотвращения вторжений, системы контентной фильтрации, системы контроля доступа и т. п.
Мобильность
Тенденция по имени «мобильность», наверное, самая простая и понятная из всех. Она началась года два назад и будет только нарастать. Но здесь необходимо сделать несколько замечаний. Во-первых, предсказанный азиатским офисом IDC отказ от BYOD в пользу CYOD (Choice Your Own Device). На мой взгляд, такая постановка вопроса в принципе некорректна, поскольку CYOD — это подмножество BYOD, предполагающее, что вы можете приносить свои устройства, но не любые, а из списка разрешенных. Вообще, мне иногда кажется, что многие (включая и аналитиков) не совсем правильно трактуют термин BYOD. Он не означает вседозволенности в части использования чего угодно и как угодно. Для того чтобы получить выгоды от BYOD, необходимо четко прописать правила игры, и ограничение платформ (CYOD) может быть одним из них. К таким правилам относится и безопасность мобильной платформы. И вот тут мы приходим к новой тенденции, которая только набирает популярность, — EMM (Enterprise Mobility Management).
Защитить и контролировать само мобильное устройство можно с помощью MDM-решений (Mobile Device Management). Этот сегмент рынка сейчас на подъеме, и на нем происходят постоянные поглощения и слияния. Но при внедрении MDM-решении в корпоративной среде мы сталкиваемся с рядом вопросов. Хорошо, мы защитили само устройство, а как контролировать доступ мобильного устройства к внутренним ресурсам? Как организовать доступ мобильного устройства к виртуальным машинам в ЦОДе? Как «поднять терминалку» на мобильном устройстве и обеспечить ее защищенный доступ к запрошенным ресурсам и данным? Как контролировать и защитить доступ с личного устройства в публичное облако, в котором компания хранит свои конфиденциальные данные? MDM не может ответить на этот вопрос. А вот EMM может! Концепция Enterprise Mobility Management является развитием MDM и позволяет реализовать полный жизненный цикл защищенного доступа мобильного устройства к внутренним ИТ-активам.
Большие данные
Big Data... Что это? Спор идет до сих пор, а число стартапов по этой теме в одной только Америке растет как на дрожжах. Какое отношение к безопасности имеют «большие данные»? Самое непосредственное. Во-первых, эти данные тоже требуют защиты. Но как защищать неструктурированные данные колоссального объема, обрабатываемые в реальном времени? Ответ на поставленный вопрос еще предстоит дать. Вторая тема, связывающая ИБ и «большие данные», — построение платформ безопасности, соединяющих разрозненные сигналы тревоги и сырые данные от разных средств защиты (систем предотвращения вторжения, антивирусов, логов, межсетевых экранов, сканеров безопасности, VPN, систем контроля доступа и т. п.) в единую картину. Все эти сведения неструктурированные, их много, и обрабатываться они должны в реальном времени. Что это как не Big Data?
Мультимедиа/Видео
По данным многих исследований, сейчас наблюдается взрывной рост мультимедиа и особенно видеотрафика в Интернет. Внутренние сети не являются исключением. В качестве примера сошлюсь на информацию ИТ-службы Cisco. Число пользовательских видеоустройств (камеры, видеотелефоны, персональные Telepresence-приставки) с 2006 по 2011 год выросло на 1300% — с 500 до 7000. Пропускная способность внутренней сети Cisco увеличилась на 420% — с 11 Гбит/сек в 2006-м до 58 Гбит/сек в 2011-м. А ведь персональные устройства — это еще не все. Переговорные комнаты, системы видеонаблюдения, интегрированные в IP-сеть, Smart TV, установленные в комнатах руководства и в местах отдыха, цифровые плазмы для отображения корпоративных новостей... Все они показывают, что картина трафика меняется.
Как это скажется на технологиях информационной безопасности? Самым прямым образом. От средств защиты теперь все чаще требуется работать не с дискретными, а с потоковыми данными. Средства защиты должны поддерживать динамическое изменение потоков трафика (не секрет, что IP-телефония и иные аналогичные технологии используют динамически порты), а также работать на бóльших скоростях, чем сейчас. И это только один срез изменений, касающийся тенденций сетевой безопасности. Но изменение приоритетов в картине протоколов говорит нам о том, что и конфиденциальная информация, ранее циркулировавшая в почте и в веб-трафике, постепенно смещается в сторону видео- и голосового потока. В таком случае распознавать факты утечек данных становится гораздо сложнее — ведь подобные решения сегодня только-только стали появляться.
Летом 2013 года многие госорганы США столкнулись с телефонным DDoSом — телефонные линии были перегружены бесполезными звонками, мешавшими гражданам дозваниваться до различных ведомств. В конце осени такие случаи, но уже применительно к частным лицам (и их мобильным телефонам) были зафиксированы и в России. А значит, перед специалистами ИБ встают новые вызовы и новые задачи.
SDN
Программируемые сети (software-defined network) — очередная «фишка», преподносимая как серебряная пуля современных сетевых технологий, которая поможет не только операторам связи, но и тем, кто строит распределенные корпоративные сети, большие ЦОДы и т. п. Если современные сети создаются по принципу «каждое сетевое устройство обладает интеллектом», то концепция SDN подразумевает переход от управления сетью на базе отдельного устройства к централизованному управлению. По мнению апологетов SDN, она располагает следующими ключевыми возможностями:
• Рост сетевой функциональности
• Адаптация к динамически изменяющимся потребностям
• Возможность изменений в реальном времени
• Дешевизна и простота управления по сравнению с современными сетями.
Я не могу сказать, что SDN — это панацея; у нее есть свои недостатки и слабые места. Но, конечно, имеются и положительные стороны, способные мотивировать конечных пользователей обратиться к построению сети на базе централизованного коммутатора. Причем в контексте безопасности SDN обладает неоспоримыми преимуществами, к которым относятся:
Возможность проанализировать всю сеть путем зеркалирования трафика в «центры мониторинга» и попытаться установить отдельные анализаторы в ключевых точках инфраструктуры.
Независимое от физической топологии статическое или динамическое создание бизнес-правил по маршрутизации трафика. К критериям выбора собственного маршрута могут относиться кратчайший путь, самый дешевый путь, полоса пропускания, время задержки, утилизация сети или пользовательские критерии. Например, с помощью SDN возможно обойти средства защиты для доверенных приложений или пользователей, снижая нагрузку на средства защиты, или, наоборот, осуществлять выборочное шифрование трафика.
Сегментация (нарезка) сети по любым критериям, среди которых могут использоваться физические устройства, физические и логические интерфейсы, VLAN, порты, протоколы, адреса источника и назначения и т. п.
Размытие периметра
Если продолжить тему мобильности и облачных вычислений, мы придем к тенденции размытия периметра, который уже нельзя защитить, просто поставив межсетевой экран и направив через него все потоки информации. Мобильные устройства находятся не под его защитой. Данные в облаке тоже. А еще мы стали чаще пускать клиентов и партнеров в наши сети, предлагать посетителям гостевой доступ...
Это заставляет нас менять парадигму обеспечения безопасности и отказываться от концепции контролируемой зоны с четко очерченной границей. А значит, и средства защиты должны учитывать новый взгляд на сеть. Иными словами, вся сеть (от мобильных устройств до облачной инфраструктуры) должна стать сенсором, который отдает данные для анализа и принятия решения в области ИБ, а потом принимает от системы управления команду по нейтрализации обнаруженных угроз. Такие технологии уже появляются, но до их активного использования еще далеко — уж очень привыкли мы полагаться на точечные средства защиты.
Доступ посторонних (клиентов, партнеров, контрагентов, аудиторов, гостей) в нашу сеть приводит к насущной необходимости применения средств контроля сетевого доступа, которые должны распознавать разные категории пользователей (и устройств) и применять к ним разные политики, базируясь на множестве различных критериев — кто просит доступа, откуда, куда, в какое время, с какого устройства, с помощью какого приложения и т. п. Такие системы контроля сетевого доступа стали появляться и на российском рынке.
В качестве резюме
Вот и подошел к концу краткий экскурс в то, что нас ждет в ближайшие несколько лет. Я не успел рассказать об изменении самих технологий защиты, например об активном использовании облачной аналитики ИБ (а это подразумевает наличие хороших каналов связи). Да и о будущих угрозах тоже можно было бы много чего сказать. Но пусть это станет темой новых статей. В настоящем же материале я постарался показать, что те новые информационные технологии, которые мы внедряем, кардинально меняют и защитные технологии. И к этому надо быть готовым...
Опубликовано 20.12.2013
