Хроники цифровой безопасности
История информационной безопасности не существует сама по себе, она неотделима от истории информационных технологий. Иногда кажется, что айтишники выдумывают все новые и новые методы сделать доступ к данным простым и быстрым, а безопасники параллельно делают все, чтобы этот доступ усложнить и замедлить. Безопасность сегодня выглядит как некий процесс, который усложняет, замедляет и удорожает все цифровые процессы. При этом безопасность становится все дороже, инвестиции в нее растут даже быстрее, чем инвестиции в информационные технологии, однако количество инцидентов меньше не становится. Наоборот, и количество инцидентов, и средний ущерб от них растет.
Для того чтобы понять, куда движется информационная безопасность, нужно посмотреть, как она взаимодействовала с ИТ на протяжении всей недолгой своей истории. Информационная безопасность – отрасль реактивная: ее подходы, методики и продукты появляются как ответ на новые угрозы. А угрозы эти возникают при реализации каких-то инноваций в области информационных технологий. За время жизни только одного поколения ИТ прошла путь от дорогой игрушки, без которой вполне можно обойтись, до ядра бизнеса, чья остановка ставит крест на самом бизнесе.
От индивидуальных компьютеров к корпоративным сетям
На заре компьютерной эры, когда компьютеры использовались для локальной автоматизации бизнес-задач, информационная безопасность защищала доступ к локальным компьютерам и информацию на них. Тогда же появились первые компьютерные вирусы, которые распространялись через дискеты. Но бизнес-процессы в компаниях были реализованы исключительно в бумаге, а ИТ существовало поверх этого бумажного бизнеса. Соответственно, риски были локальными, а в случае потери данных или доступа к компьютерам, компьютер заливался с нуля, а данные восстанавливались «из первички», то есть из бумажных документов. Мошенничество с информационными системами было невозможно, поскольку любые транзакции совершались в бумаге, с подписями и печатями.
Потом компьютеры стали объединяться в локальные сети, эффективность совместной работы в корпоративной сети выросла — стало возможным не только быстро обмениваться документами, но и совместно работать в одной и той же базе данных. Но и риск заражения одного компьютера сменился риском заражения через один компьютер всей сети. Как реакция на это появились первые корпоративные решения по информационной безопасности — антивирусы, системы резервного копирования и т. п. — с централизованным управлением. Но бизнес все еще оставался бумажным, а ИТ существовали параллельно ему.
Новый виток защиты
Необратимый прыжок индустрия сделала с появлением Интернета, позволившего создать новые процессы, невозможные в бумаге. Электронные финансовые транзакции были настолько быстрее и дешевле привычных, что вызвали настоящий бум в экономике, создали целые новые отрасли экономики, которые уже не могли существовать без информационных технологий. Но и риски возросли: возникли новые типы атак, появились первые взломщики информационных систем — хакеры, стали возможными DoS, а позднее и DDoS-атаки, начало распространяться мошенничество в информационных системах, ведь иногда уже не было бумажного подтверждения транзакций. В ответ на это сформировалась целая индустрия информационной безопасности с довольно крупными игроками и буквально выкатила обширный спектр продуктов.
По мере расширения интернет-каналов стало возможным переносить в сеть часть своей инфраструктуры, появились первые облака. Данные пользователей мигрировали в облачные сервисы, которые вообще непонятно, где физически находятся. Возникли и новые риски: теперь для доступа к данным не требовалось ломать компанию — достаточно было сломать облачное хранилище с ее данными.
Индустрия информационной безопасности ответила новыми решениями.
Анти- как барьер
Параллельно Интернет стал мобильным и постепенно попал в карман каждого взрослого человека, породив возможность работать не только из любой точки мира, но и в пути между этими точками. Повысилась эффективность работы и свобода передвижения, но увеличились и риски, начиная с кражи мобильного устройства и заканчивая манипуляциями с мобильными приложениями с помощью хакерских инструментов или социальной инженерии. Сформировалась концепция BYOD («принеси свое собственное устройство»), позволяющая сотрудникам пользоваться персональными смартфонами для решения рабочих задач. И снова появились новые продукты для контроля смартфонов, приложений и мобильных транзакций.
Массовый переход на удаленную работу из-за пандемии ковида ускорил многие ИТ-процессы и опять создал новые риски и новые же продукты для их уменьшения. Сегодня ассортимент продуктов для борьбы с рисками информационной безопасности огромен: только типов продуктов около ста, а уж с учетом различных ниш, сегментов и специализаций их тысячи, а продуктов — десятки, если не сотни тысяч, выбор просто огромен. Казалось бы, только плати, выбирай и будешь защищен. Но так не получается.
Большинство продуктов предназначено для уменьшения какой-то конкретной угрозы. У них даже название идет от названия угрозы, только с приставкой анти-: антиспам, антивирус, анти-ДДоС, антифрод или, как вариант, с названием угрозы и со словом protection или prevention: IDP, DLP и т. п. Узкая специализация во время создания и развития продуктов привела к тому, что в арсенале сегодняшних защитников десятки несвязанных между собой подсистем, выполненных на основе разных продуктов. Конечно, производители средств защиты стремятся расширять свой продуктовый портфель и поставляют целые «экосистемы» с единым центром управления и отчетности, но суть остается прежней.
Адаптивная безопасность
Объект защиты тоже все время меняется. Меняются приложения, добавляя новые и новые функции, меняются учетные записи пользователей и администраторов, меняются данные, постоянно обновляется инфраструктура. Сегодня большинство атак комплексные, использующие сразу несколько векторов нападения, и новые — поскольку признаки старых атак уже зашиты в правилах отражения и легко блокируются. Поэтому основные методы детектирования и отражения атак теперь базируются на анализе аномалий в информационной системе — при таком подходе становится важным отличать опасные аномалии, которые могут быть признаком атаки, от аномалий, порожденных изменениями в информационной системе.
Скорость изменения цифровых систем сегодня такова, что многие привычные меры оценки защищенности и самой защиты становятся неэффективными. Например, пока вы печатаете на принтере результаты многомесячного пентеста, объект тестирования на проникновение уже изменился: в нем, вероятно, уже закрыта возможность проводить найденные вами атаки, зато появились новые. Пока вы исследуете исходный код написанной вашими разработчиками программы, они уже закончили новый спринт и выкатили новые функции. Пока ваша система защиты обучается на трафике к веб-приложению, в него добавляются новые поля и функции. Наложенная безопасность просто не справляется со скоростью изменений.
Безопасность с первого дня: новый этап интеграции
Ответом на неумение отличать аномалии, спровоцированные атакой от аномалий, вызванных легальными изменениями цифровой среды, стало преобладание мониторинговых решений — системы защиты подают сигнал об обнаружении какого-либо отклонения аномалии, но не блокируют его, предоставляя сделать это оператору системы управления информационной безопасностью. Так человек стал узким горлышком в реагировании на инциденты. Конечно, ему помогают соответствующие системы поддержки, в том числе на базе искусственного интеллекта, но собственно решение зачастую принимает сам оператор. Поэтому системы мониторинга событий информационной безопасности разрастаются и начинают практически дублировать чисто ИТ-функцию мониторинга цифровой инфраструктуры и приложений.
Довольно долго информационные технологии развивались сами по себе, а вслед за ними бежала информационная безопасность, реагируя на новые угрозы, да и то только после их практической реализации. Нынешняя сложность цифровых систем и быстрые изменения, присущие им, требуют другого подхода. Все чаще говорят о встроенной безопасности, security-by-design, что делает информационную безопасность просто функцией, цифровой системой, такой же, как как масштабируемость, управляемость или совместимость. Вновь реализуемые цифровые системы уже используют элементы подобного проектирования.
***
Уверен, что это не последний этап в развитии информационных технологий и связанной с ними информационной безопасности. Мир уже вкусил запретного плода цифровизации и отказываться от него не собирается. Для бизнеса и государства — это сверхдешевые транзакции, точнейший таргетинг и сокращение расходов на офисы, склады и сотрудников, работающих с клиентами. Для пользователей — это удобные сервисы, возможность работать из любого места, ускорение и удешевление государственных услуг.
Блокчейн, искусственный интеллект, роботизация, квантовые компьютеры, виртуальная и дополненная реальность, использование биометрии, человеко-компьютерные интерфейсы — пока непонятно, как они изменят цифровой мир в ближайшем будущем.
И какие новые риски реализуются в этом мире. И какие новые встроенные и наложенные решения понадобятся для снижения этих рисков.
Будет интересно. И с голоду не умрем.
Опубликовано 02.10.2023
