1. Григорій Рудницький
2. Ольга Попова

IT Manager Безпека управління ІБ Григорій Рудницький

, Ольга Попова | 23.01.2018

Під завісу 2017 року, російський офіс компанії Cisco традиційно зібрав журналістів. Менеджери компанії розповіли про технологічні тенденції 2017 року і прогнозах на новий, 2018 рік, а також про те, чого очікувати в перспективі двох-трьох найближчих років.

Олексій Лукацький, бізнес-консультант компанії Cisco з питань інформаційної безпеки вважає, що більшість компаній, та й домашні користувачі ось уже років 20 використовують для захисту мережевого периметра так звану класичну пару. Це може бути міжмережевий екран, в тому числі і вбудований в маршрутизатор широкосмугового доступу, антивірус, встановлений безпосередньо на настільному ПК або ноутбуці. За статистикою, середній час невиявлення шкідливого коду в корпоративній мережі становить приблизно 200 днів, тобто сім місяців. Що ж здатне допомогти швидше виявляти шкідливий код, що розповсюджується зловмисниками? І як бути з новими видами загроз, такими як віддалене несанкціоноване використання ресурсів комп'ютера? Для боротьби з кіберзагрозами необхідний цілий стек технологій і абсолютно нові підходи до виявлення атак і шкідливого коду.

Більшість використовуваних нині технологій базується на розробках 20 - річної давності, орієнтованих на виявлення відомих типів загроз. Але сьогодні 60-80% шкідливого коду є унікальним для кожної компанії, тому старі підходи, на думку Олексія Лукацького, дають збій. «Розробники антивірусного ПО більше не встигають створювати сигнатури виявлення і нейтралізації нових зразків шкідливого коду. Минають дні, тижні, а то й місяці, перш ніж виробник засобів захисту дізнається про те, що його замовника зламали. Поки унікальний код не зробив свою чорну справу, його ніхто не побачить », - говорить експерт. Лише після того як результати кібератаки стають відомі, антивірусна компанія отримує можливість проаналізувати шкідливий код і розробити відповідні сигнатури. Але ж зловмисники вже пішли далеко вперед. Вони постійно шукають нові способи і можливості для зломів і атак. «Одвічна боротьба« броні »і« снаряда »в області інформаційної безпеки дає збій, оскільки використовуються застарілі технології виявлення», - підкреслює Олексій Лукацький.

Але за минулі 20-30 років не змінилася і точка входу для зловмисників в корпоративну мережу, тобто сам користувач. Служби ІБ і виробники засобів захисту працюють, як правило, не з людьми, а з проблемами і загрозами, а також з інфраструктурою. З людьми, за словами Олексія, працювати набагато складніше. І тому багато вендори прагнуть компенсувати горезвісний людський фактор, впроваджуючи ті чи інші технології. Найчастіше це не призводить до серйозних успіхів, оскільки людина завжди знайде спосіб зробити те, що не передбачив виробник засобів захисту. За статистикою Cisco, 70% всіх ІБ-інцидентів починається саме з персональних комп'ютерів, тобто з вини людини. Звичайна флешка, знайдена на парковці біля офісу і з цікавості підключена до робочої станції, може стати причиною серйозного зараження цілої компанії, котра володіє найсучаснішими засобами захисту мережевого периметра.

Як уберегти робочу станцію і ноутбук від можливих загроз? Один з варіантів, на думку Олексія Лукацького, запобігання інтернет-з'єднання, оскільки від шкідливого коду потрібна взаємодія з зовнішнім світом. Як приклад експерт навів зараження девайсів чиновників з НАТО шкідливим кодом, що працює за принципом матрьошки. Він складався з кількох зовні безпечних файлів, послідовно викачують один одного. Три файлу були безпечними, і лише на четвертому етапі завантажувався шкідливий файл. Другий варіант захисту заснований на індикаторах компрометації і виявленні аномального поведінки додатків. На відміну від класичного сигнатурного аналізу він визначає не тільки вже знайомі зразки шкідливого коду, але і абсолютно невідомі. Третій варіант захисту - ізоляція додатків в контейнерах ( «пісочницях»). Як вважає Олексій Лукацький, це тупиковий шлях, оскільки він змушує користувача змінювати культуру роботи з комп'ютером.

технології безпеки

Для контролю з'єднання з Інтернетом компанія Cisco пропонує своїм замовникам технологію Umbrella, в рамках якої щодня по всьому світу здійснюється моніторинг 100 млрд DNS-запитів, що рівноцінно третини всього світового Інтернету. Завдяки таким технологіям можна запобігти дії шкідливих програм як на етапі скачування, так і після потрапляння на заражений комп'ютер або сервер. Особливість технології полягає в тому, що користувачеві не потрібно встановлювати будь-які додатки. Просто відбувається заміна DNS-сервера на той, який контролюється Cisco Umbrella.

Для захисту самих кінцевих пристроїв і моніторингу аномалій на них призначені рішення класу EDR (Endpoint Detection and Response). Вони виявляють невідомі загрози завдяки аналізу відхилень роботи користувачів, додатків і процесів від нормальної поведінки. За рахунок технологій машинного навчання відбувається аналіз цих даних, після чого робиться висновок про наявність нестандартного або шкідливого коду на комп'ютері, яка не детектується жодним вірусом. Компанія Cisco пропонує своїм клієнтам комплексні рішення, наприклад, Advanced Malware Protection, які містять як традиційний сигнатурний аналіз, так і цілий ряд інших інструментів для виявлення шкідливої ​​активності ( «пісочниця», «нечіткі відбитки», аналіз мережевого трафіку та інші).

Охорона на аутсорсингу і розумні мережі

Замовник не завжди має можливість самостійно управляти коштами інформаційної безпеки. Найчастіше причиною тому служить елементарний брак кваліфікованого персоналу. Вже сьогодні, за даними Роструда, в Росії потрібно понад 50 тисяч ІБ-фахівців. При цьому загроз менше не стає. Рішенням завдання, за словами Олексія Лукацького, може стати більш широке використання технологій автоматизації, оркестрації і машинного навчання, а також аутсорсинг. На ІБ-ринку активно розвиваються послуги MDR (Manage Detection and Response), коли зовнішній провайдер управляє засобами захисту, встановленими на кінцевих пристроях замовника. Сьогодні все більше компаній звертається до аутсорсерам, що пропонують подібні послуги, хоча в Росії ця тенденція поки не настільки помітна, як на Заході, де культура спілкування зі зовнішніми постачальниками вироблена десятиліттями.

Після епідемії шифрувальника WannaCry виник особливий інтерес до так званих інтелектуальних, або інтуїтивним, мереж, що діють за технологією NTA (Network Traffic Analysis). Такі мережі самостійно аналізують проходить через них трафік, виявляють різні аномальні активності, а потім локалізують проблему, не даючи їй поширитися. Cisco пропонує рішення StealthWatch, яке інтегрується з усіма мережевими технологіями компанії, вміє моніторити мережеву активність в хмарах і аналізувати зашифрований трафік без необхідності його розшифровки.

Індустрія програмно визначаються мереж (SDN) збагатилася функціями безпеки, а саме технологією динамічної сегментації або, як її називають аналітики Gartner, програмно-яка визначається мікросегментації. Ми живемо в динамічному і постійно мінливому світі. Користувачі підключаються до корпоративної мережі з різних пристроїв, з різних локацій і навіть з різних країн. Така мережа самостійно визначає умови приєднання та налаштовує політики входу в кожному конкретному випадку. У портфоліо компанії Cisco за рішення цього завдання відповідає продукт Identity Services Engine.

Подальшим етапом розвитку технології програмно визначається сегментації є технологія програмно-обумовленого периметра (SDP), яка приходить на зміну NG Firewall. SDP аналізує всі параметри підключення користувача, в тому числі тип пристрою, час підключення і т. Д., І вже на підставі цього аналізу приймає рішення про допуск або недопуск в мережу. Фактично мова йде про динамічно визначається мережевому периметрі, який, як вважає Олексій Лукацький, допоможе вирішити проблеми з мережевою безпекою на роки вперед. Сьогодні ця концепція вже реалізована в рішенні Cisco Firepower.

Нагляд за користувачами

Технологія поведінкової аналітики (User and Entity Behavior Analytics, UEBA) дозволяє контролювати поведінку користувачів, а також процесів та програм, пов'язаних з ними. Вона з'явилася тільки тому, що існуючі перш технології і рішення просто не могли ефективно контролювати роботу користувача. На думку Олексія Лукацького, UEBA в найближчі роки може зникнути, а механізми такого контролю будуть включені в інші системи і рішення.

При переході замовників на мультіоблачную модель застосування ІТ-інфраструктури, особливо якщо мова йде про SaaS, також виникає ряд питань, пов'язаних з безпекою. Тут на допомогу приходять рішення класу Cloud Access Security Broker (CASB), які включають всі відомі технологічні напрацювання (DLP, фаєрвол, контроль користувачів і т. Д.), Реалізовані для хмарної середовища. Компанія Cisco однією з перших представила на ринку власне CASB-рішення Cloudlock. Як вважає Олексій Лукацький, в новому році інтерес російських користувачів до CASB помітно зросте.

Аналітика - майбутнє інформаційної безпеки

Нарешті, одним з ключових трендів кібербезпеки Олексій Лукацький вважає перехід на аналітичні технології, що дозволяють системам захисту самостійно приймати рішення. «Наші мережі завжди вміли перерозподіляти трафік найбільш оптимальним чином. Те ж саме сьогодні відбувається в області інформаційної безпеки. Технології машинного навчання, штучного інтелекту, ретроспективного аналізу, виявлення аномалій дозволяють знизити залежність від людського чинника, переклавши цілий пласт завдань на програми і на роботів », - пояснює експерт.

Сьогодні в області інформаційної безпеки спостерігається зміна стратегічних пріоритетів. На зміну пасивної оборони, приходить активна. «Просто встановити обладнання або ПЗ вже недостатньо, самі по собі вони не впорається зі зростаючою потоком і складністю кіберзагроз. Необхідний інтелект, адже і по той бік барикад зловмисники також використовують технології машинного навчання, бБольшіх даних і т. Д. Протистояти їм за допомогою застарілих інструментів вже неможливо », - говорить Олексій Лукацький. Крім того, для боротьби з сучасними загрозами необхідна аналітика і потужні математичні моделі, а також люди, які здатні з цими інструментами працювати.

«Срібної кулі в ІБ немає і не буде незважаючи на те, що багато вендори пропонують все в« одній коробці ». Можливо, ця «коробка» буде працювати в офісі з 10 комп'ютерів, але, коли мова йде про сучасну ІТ-інфраструктурі, ніяка «коробка» вже не врятує. Потрібна конвергенція різних технологій, які необхідно грамотно інтегрувати », - підсумовує експерт.

Ключові слова: безпеку , аутсорсинг

Гарячі теми: Загрози і ризики ІБ

компанія: Cisco

про авторів

Григорій Рудницький

Історик за освітою. В ІТ-пресі - паперової та онлайнової - з 2002 року: публікується у виданнях, орієнтованих як на домашніх, так і на корпоративних користувачів. Улюблені теми: гаджети, мобільність, хмарні сервіси, вільне програмне забезпечення.

Ольга Попова

З 2008р. головний редактор IT Manager. У журналістиці з 1986 року, щоправда, з перервою на "лихі 90-е". До інформаційних технологій організувала кілька успішних бізнес-проектів в "Діловому Петербурзі". Переконана, що грамотний менеджер може працювати в будь-якій сфері, незалежно від спеціальності, так як ІТ-управлінець мало чим відрізняється від управлеца-логіста. Але вважаю, що саме в ІТ зараз відбувається все найцікавіше.