«Специалистов по информационной безопасности можно сравнить с исследователями, которые уже достигли самой дальней точки известного мира», – подчеркнул во время своего выступления президент RSA Security Амит Йоран.
«Мы дошли до конца карты, друзья, – отметил Йоран. – Сидеть дальше на месте и ждать инструкций? Это не вариант. Не годится и то, что мы делаем сейчас – продолжаем плыть по существующим картам, в то время как мир уже изменился. Чтобы начать решать проблемы, предлагаю реализовать план из пяти пунктов».
Во-первых, следует признать, что систем, обеспечивающих безопасность на 100%, не существует. Даже самая современная защита не застрахована от провалов. Эти средства действительно работают, но иногда и они не справляются со стоящими перед ними задачами.
Во-вторых, в архитектурах информационной безопасности должен быть предусмотрен тотальный контроль за состоянием оконечных узлов, сети и облаков. Сегодня просто невозможно обеспечить безопасность без полномасштабной проверки сетевых пакетов и анализа оконечных узлов на наличие взлома. И это не просто благие пожелания, а фундаментальные требования к любой современной программе безопасности.
Нынешние системы информационной безопасности способны при обнаружении вторжения максимально оперативно реагировать на изменение ситуации, но при этом они не в состоянии определить, является ли это вторжение частью схемы более серьезной и масштабной атаки. Без полного понимания природы атаки вы не только не сможете вытеснить противника из своей сети, но и подскажете, каких действий ему следует избегать, поскольку они находятся под контролем вашей системы.
В-третьих, необходимо уделять больше внимания аутентификации и проверке идентичности, потому что соответствующие элементы присутствуют во многих атаках, помогая злоумышленникам подобраться к более ценным активам. Создание учетных записей машины или системного администратора, неиспользуемых аккаунтов и аккаунтов, наделенных чрезмерными привилегиями, упрощает атакующим дальнейшее продвижение и доступ к целевым системам и информации.
В-четвертых, для распознавания угроз следует внедрить в повседневную практику использование соответствующих средств, предлагаемых коммерческими поставщиками и центрами анализа и совместного использования информации ИТ-систем. Все потоки должны контролировать машины, автоматически реагирующие на обнаружение угроз, поскольку это повышает скорость реакции. В то же время предприятиям рекомендуется не обсуждать по электронной почте планы противодействия атакам и пути реализации этих планов. Зачастую злоумышленники специально взламывают почтовые серверы, чтобы следить за перепиской системных администраторов и специалистов по сетевой безопасности.
В-пятых, необходимо проводить инвентаризацию активов организации, выстраивая их в порядке убывания приоритетов. Таким образом проще будет понять, куда следует вкладывать средства, выделяемые на повышение безопасности. Основное внимание нужно уделять самым важным учетным записям, ролям, данным, системам, приложениям и устройствам, защищая наиболее ценные ресурсы всеми имеющимися у предприятия средствами.
Очевидно, не случайно RSA анонсировала на конференции средства аутентификации, управления идентичностью, а также управления доступом, функционирующие в рамках единой платформы RSA Via. Платформа эта обеспечивает централизованную идентификацию и получение информации об используемой среде, благодаря чему нет необходимости выстраивать средства защиты на основе заранее определенных, статичных правил. Первым представителем семейства RSA Via является Via Access, программное обеспечение, предлагаемое в качестве сервиса SaaS и позволяющее использовать множество методов аутентификации, которые уже поддерживаются мобильными устройствами компании.
Среди новых возможностей следует отметить функции RSA Security Analytics, определяющие контекст вредоносной активности путем анализа состояния оконечных узлов, сети и облачных ресурсов. Они помогают получить представление об атаках, направленных на мобильные устройства и клиентские веб-приложения.