Тенденции ИБ: комплексный подход и аналитика
Под занавес уходящего 2017 года, российский офис компании Cisco традиционно собрал журналистов. Менеджеры компании рассказали о технологических тенденциях 2017 года и прогнозах на новый, 2018 год, а также о том, чего ожидать в перспективе двух-трех ближайших лет.
Алексей Лукацкий, бизнес-консультант компании Cisco по вопросам информационной безопасности считает, что большинство компаний, да и домашние пользователи вот уже лет 20 используют для защиты сетевого периметра так называемую классическую пару. Это может быть межсетевой экран, в том числе и встроенный в маршрутизатор широкополосного доступа, антивирус, установленный непосредственно на настольном ПК или ноутбуке. По статистике, среднее время необнаружения вредоносного кода в корпоративной сети составляет примерно 200 дней, то есть семь месяцев. Что же способно помочь быстрее обнаруживать вредоносный код, распространяемый злоумышленниками? И как быть с новыми видами угроз, такими как удаленное несанкционированное использование ресурсов компьютера? Для борьбы с киберугрозами необходим целый стек технологий и совершенно новые подходы к обнаружению атак и вредоносного кода.
Большинство используемых ныне технологий базируется на разработках 20–-летней давности, ориентированных на выявление известных типов угроз. Но сегодня 60–80% вредоносного кода является уникальным для каждой компании, поэтому старые подходы, по мнению Алексея Лукацкого, дают сбой. «Разработчики антивирусного ПО больше не успевают создавать сигнатуры обнаружения и нейтрализации новых образцов вредоносного кода. Проходят дни, недели, а иногда и месяцы, прежде чем производитель средств защиты узнает о том, что его заказчика взломали. Пока уникальный код не сделал свое черное дело, его никто не увидит», — говорит эксперт. Лишь после того как результаты кибератаки становятся известны, антивирусная компания получает возможность проанализировать вредоносный код и разработать соответствующие сигнатуры. Но ведь злоумышленники уже ушли далеко вперед. Они постоянно ищут новые способы и возможности для взломов и атак. «Извечная борьба «брони» и «снаряда» в области информационной безопасности дает сбой, поскольку используются устаревшие технологии обнаружения», — подчеркивает Алексей Лукацкий.
Но за минувшие 20–30 лет не изменилась и точка входа для злоумышленников в корпоративную сеть, то есть сам пользователь. Службы ИБ и производители средств защиты работают, как правило, не с людьми, а с проблемами и угрозами, а также с инфраструктурой. С людьми, по словам Алексея, работать намного сложнее. И потому многие вендоры стремятся компенсировать пресловутый человеческий фактор, внедряя те или иные технологии. Чаще всего это не приводит к серьезным успехам, поскольку человек всегда найдет способ сделать то, что не предусмотрел производитель средств защиты. По статистике Cisco, 70% всех ИБ-инцидентов начинается именно с персональных компьютеров, то есть по вине человека. Обычная флэшка, найденная на парковке возле офиса и из любопытства подключенная к рабочей станции, может стать причиной серьезного заражения целой компании, располагающей самыми современными средствами защиты сетевого периметра.
Как уберечь рабочую станцию и ноутбук от возможных угроз? Один из вариантов, по мнению Алексея Лукацкого, предотвращение интернет-соединения, поскольку вредоносному коду требуется взаимодействие с внешним миром. В качестве примера эксперт привел заражение девайсов чиновников из НАТО вредоносным кодом, работающим по принципу матрешки. Он состоял из нескольких внешне безопасных файлов, последовательно скачивающих друг друга. Три файла были безопасными, и лишь на четвертом этапе загружался вредоносный файл. Второй вариант защиты основан на индикаторах компрометации и обнаружении аномального поведения приложений. В отличие от классического сигнатурного анализа он определяет не только уже знакомые образцы вредоносного кода, но и абсолютно неизвестные. Третий вариант защиты — изоляция приложений в контейнерах («песочницах»). Как считает Алексей Лукацкий, это тупиковый путь, поскольку он вынуждает пользователя менять культуру работы с компьютером.
Технологии безопасности
Для контроля соединения с Интернетом компания Cisco предлагает своим заказчикам технологию Umbrella, в рамках которой ежедневно по всему миру осуществляется мониторинг 100 млрд DNS-запросов, что равноценно трети всего мирового Интернета. Благодаря таким технологиям можно предотвратить действия вредоносных программ как на этапе скачивания, так и после попадания на зараженный компьютер или сервер. Особенность технологии заключается в том, что пользователю не нужно устанавливать какие-либо приложения. Просто происходит замена DNS-сервера на тот, который контролируется Cisco Umbrella.
Для защиты самих оконечных устройств и мониторинга аномалий на них предназначены решения класса EDR (Endpoint Detection and Response). Они обнаруживают неизвестные угрозы благодаря анализу отклонений работы пользователей, приложений и процессов от нормального поведения. За счет технологий машинного обучения происходит анализ этих данных, после чего делается вывод о наличии нестандартного или вредоносного кода на компьютере, который не детектируется ни одним вирусом. Компания Cisco предлагает своим клиентам комплексные решения, например, Advanced Malware Protection, которые содержат как традиционный сигнатурный анализ, так и целый ряд других инструментов для обнаружения вредоносной активности («песочница», «нечеткие отпечатки», анализ сетевого трафика и другие).
Охрана на аутсорсинге и умные сети
Заказчик не всегда имеет возможность самостоятельно управлять средствами информационной безопасности. Зачастую причиной тому служит элементарная нехватка квалифицированного персонала. Уже сегодня, по данным Роструда, в России требуется свыше 50 тысяч ИБ-специалистов. При этом угроз меньше не становится. Решением задачи, по словам Алексея Лукацкого, может стать более широкое использование технологий автоматизации, оркестрации и машинного обучения, а также аутсорсинг. На ИБ-рынке активно развиваются услуги MDR (Manage Detection and Response), когда внешний провайдер управляет средствами защиты, установленными на оконечных устройствах заказчика. Сегодня все больше компаний обращается к аутсорсерам, предлагающим подобного рода услуги, хотя в России эта тенденция пока не столь заметна, как на Западе, где культура общения со внешними поставщиками выработана десятилетиями.
После эпидемии шифровальщика WannaCry возник особый интерес к так называемым интеллектуальным, или интуитивным, сетям, действующим по технологии NTA (Network Traffic Analysis). Такие сети самостоятельно анализируют проходящий через них трафик, обнаруживают различные аномальные активности, а затем локализуют проблему, не давая ей распространиться. Cisco предлагает решение StealthWatch, которое интегрируется со всеми сетевыми технологиями компании, умеет мониторить сетевую активность в облаках и анализировать зашифрованный трафик без необходимости его расшифровки.
Индустрия программно определяемых сетей (SDN) обогатилась функциями безопасности, а именно технологией динамической сегментации или, как ее называют аналитики Gartner, программно-определяемой микросегментацией. Мы живем в динамичном и постоянно меняющемся мире. Пользователи подключаются к корпоративной сети с разных устройств, из разных локаций и даже из разных стран. Такая сеть самостоятельно определяет условия подсоединения и настраивает политики входа в каждом конкретном случае. В портфолио компании Cisco за решение этой задачи отвечает продукт Identity Services Engine.
Дальнейшим этапом развития технологии программно определяемой сегментации является технология программно-определяемого периметра (SDP), которая приходит на смену NG Firewall. SDP анализирует все параметры подключения пользователя, в том числе тип устройства, время подключения и т. д., и уже на основании этого анализа принимает решение о допуске или недопуске в сеть. Фактически речь идет о динамически определяемом сетевом периметре, который, как считает Алексей Лукацкий, поможет решить проблемы с сетевой безопасностью на годы вперед. Сегодня эта концепция уже реализована в решении Cisco Firepower.
Надзор за пользователями
Технология поведенческой аналитики (User and Entity Behavior Analytics, UEBA) позволяет контролировать поведение пользователей, а также процессов и приложений, связанных с ними. Она появилась только потому, что существующие прежде технологии и решения просто не могли эффективно контролировать работу пользователя. По мнению Алексея Лукацкого, UEBA в ближайшие годы может исчезнуть, а механизмы подобного контроля будут включены в другие системы и решения.
При переходе заказчиков на мультиоблачную модель применения ИТ-инфраструктуры, особенно если речь идет о SaaS, также возникает ряд вопросов, связанных с безопасностью. Здесь на помощь приходят решения класса Cloud Access Security Broker (CASB), которые включают все известные технологические наработки (DLP, файервол, контроль пользователей и т. д.), реализованные для облачной среды. Компания Cisco одной из первых представила на рынке собственное CASB-решение Cloudlock. Как считает Алексей Лукацкий, в новом году интерес российских пользователей к CASB заметно вырастет.
Аналитика — будущее информационной безопасности
Наконец, одним из ключевых трендов кибербезопасности Алексей Лукацкий считает переход на аналитические технологии, позволяющие системам защиты самостоятельно принимать решения. «Наши сети всегда умели перераспределять трафик наиболее оптимальным образом. То же самое сегодня происходит в области информационной безопасности. Технологии машинного обучения, искусственного интеллекта, ретроспективного анализа, обнаружения аномалий позволяют снизить зависимость от человеческого фактора, переложив целый пласт задач на программы и на роботов», — поясняет эксперт.
Сегодня в области информационной безопасности наблюдается изменение стратегических приоритетов. На смену пассивной обороне, приходит активная. «Просто установить оборудование или ПО уже недостаточно, сами по себе они не справится с растущим потоком и сложностью киберугроз. Необходим интеллект, ведь и по ту сторону баррикад злоумышленники также используют технологии машинного обучения, бБольших данных и т. д. Противостоять им с помощью устаревших инструментов уже невозможно», -— говорит Алексей Лукацкий. Кроме того, для борьбы с современными угрозами необходима аналитика и мощные математические модели, а также люди, способные с этими инструментами работать.
«Серебряной пули в ИБ нет и не будет несмотря на то, что многие вендоры предлагают все в «одной коробке». Возможно, эта «коробка» будет работать в офисе из 10 компьютеров, но, когда речь идет о современной ИТ-инфраструктуре, никакая «коробка» уже не спасет. Нужна конвергенция различных технологий, которые необходимо грамотно интегрировать», — заключает эксперт.
Опубликовано 23.01.2018