Ежегодное мероприятие RSA Conference Europe 2013 в Амстердаме прошло под девизом: «Безопасность — это знания». Источник: RSA |
Нужные знания, как стало ясно из выступлений, предприятия смогут почерпнуть из приложений Больших Данных, которые вскоре станут главным объектом для нападений злоумышленников и одновременно ключевым звеном в стратегии ИТ-безопасности предприятий.
Семилетний прогноз
Открывая пленарную часть RSA Conference Europe 2013, генеральный директор компании Арт Ковьелло назвал главные тенденции в эволюции атак на информационные ресурсы. Он отметил, что до 2007 года основная угроза безопасности исходила от червей, вирусов, простых DDoS-атак и фишинга. Но уже к 2013 году злоумышленники кардинально усовершенствовали методы нападений. Пришло время угроз категории Advanced Persistent Threat (APT), атак повышенной сложности, направленных одновременно на несколько уровней информационных систем. Приметами нынешнего времени также являются объединение хакеров в преступные конгломераты (сформировалась целая экосистема ИТ-криминала) и мощные, четко спланированные DDoS-атаки.
Арт Ковьелло прогнозирует, что к концу нынешнего десятилетия произойдет очередной скачок в эволюции методов атак. Источник: RSA |
Ковьелло прогнозирует, что к концу нынешнего десятилетия произойдет очередной скачок в эволюции методов атак. Уже совсем скоро под ударом изощренных, еще неизвестных средств взлома окажутся миллиарды мобильных устройств. К 2020 году атаки приобретут всеохватывающий и разрушительный характер. При этом трансформируется и само поле для атак.
Сейчас объектами для нападения являются многочисленные пользовательские, коммуникационные и бизнес-приложения. Через семь лет, когда эпоха повсеместной мобильности трансформируется в эру Интернета вещей, а в мире будет накоплено 40-60 зетабайт цифрового контента, извлечь необходимые знания и информацию будет невозможно без приложений для анализа Больших Данных.
Эти приложения будут охватывать буквально все аспекты экономической и общественной жизни, поэтому они станут главной мишенью для злоумышленников. Незавидная участь ожидает и социальные медиа, которые к 2020 году, во-первых, станут основным поставщиком Больших Данных, а во-вторых, могут начисто утратить приватность. И наконец, тотальная виртуализация ИТ-ресурсов приведет к полной потере контроля над физической инфраструктурой — выстраивать защищенный периметр, как это делается сегодня, станет бессмысленно.
К смене модели
Что противопоставить этим угрозам? По мнению главы RSA, уже сейчас необходимо менять модель информационной безопасности. От реактивной модели, основанной на защите периметра, статичном контроле и разрозненных средствах управления безопасностью, нужно перейти к интеллектуальной модели, главным двигателем которой станут знания. Это будут знания о том, какие риски угрожают безопасности в данным момент и какие станут угрожать в будущем. Такие знания можно получить только на основе динамического, гибкого контроля и анализа информационной среды. Именно знания дадут возможность выстроить механизмы интерактивного управления средствами безопасности, основанного на понимании контекста происходящих событий.
Ковьелло образно сравнил контекст нормального поведения пользователей и работы ИТ-систем со слоном. Слон огромен, его трудно «подделать» целиком, и любые отклонения в действиях слона становятся немедленно заметны наблюдателю. Контекст существования любого объекта в ИТ-среде тоже невозможно изменить целиком и сразу — аномалии тут же проявят себя, а выявив их, можно быстро определить наличие угрозы и подобрать нужные меры реагирования. Но, чтобы весь контекст был постоянно в поле зрения системы безопасности, в модель защиты должна быть встроена машина, в режиме онлайн просеивающая через интеллектуальный фильтр все события, генерируемые пользователем или ИТ-системой. А это, по сути, и есть главное предназначение технологий Больших Данных.
Амит Йоран, старший вице-президент RSA, заявил: «Путь к новой модели безопасности лежит через развитие методологии управления знаниями, построение средств аналитики реального времени, дающих глубокое понимание уже происходящих и только начинающихся процессов. Притом неважно, где эти процессы происходят — во всей ИТ-системе или на мобильном терминале отдельного пользователя».
Стивен Триллин, технический директор компании Symantec, добавил, что переход к модели безопасности, основанной на знаниях, невозможен без взаимодействия разноцелевых систем безопасности и их интеграции между собой. А для этого нужен унифицированный подход, который охватил бы такие аспекты формирования ИТ, как мобильность, облака и Большие Данные.
Клин клином
О том, что Большие Данные, пока ассоциирующиеся с новыми угрозами для ИТ, могут, напротив, повысить уровень корпоративной безопасности, на конференции рассказал Джозеф Голдберг, евангелист в сфере безопасности компании Splunk.
Он задается вопросом: в чем основной недостаток традиционных систем управления защитой? В том, что им приходится анализировать данные лог-файлов сразу из множества разрозненных источников — систем защиты пользовательских устройств, средств аутентификации, шлюзов безопасности, систем предотвращения вторжений... На предприятии могут быть десятки таких систем. Данные от них через одну «воронку» сливаются в систему управления информацией о безопасности и событиях (Security Information and Event Management, SIEM). Возможности традиционных систем SIEM для обнаружения и расследования инцидентов, увы, невелики, поскольку для них характерны ограничения и по количеству источников данных, и по производительности, и по масштабируемости: невозможно обработать все данные из ИТ-систем в режиме реального времени. И вот тут приходят на помощь технологии Больших Данных. По словам Голдберга, их главное преимущество в том, что, в отличие от традиционных SIEM, они поддерживают распределенный поиск и работают с хранилищем данных класса NoSQL, в котором обработка данных происходит в оперативной памяти. Это позволяет, мгновенно сопоставив сведения из нескольких лог-файлов, обнаружить источник угрозы и определить ее характер.
Голдберг приводит простой пример. Система Windows Authentication вносит в лог-файл информацию об учетной записи некоего пользователя с правами администратора, а также его IP-адрес. Одновременно система защиты конечных точек, обнаружившая некий вредоносный код, записывает в своем лог-файле данные об инциденте, включая сведения об IP-адресе, с которого опасный код попал в систему. В свою очередь система обнаружения вторжений регистрирует в своем логе данные о передаче на сторону атрибутов некой банковской карты, и эти данные тоже содержат IP, с которого произошла утечка. Традиционная SIEM без поддержки технологий Больших Данных не способна оперативно выявить одинаковые данные, то есть IP-адрес в этих трех лог-файлах, и, следовательно, раскрыть виновника инцидента с похищением конфиденциальной финансовой информации. А система управления защитой, оснащенная средствами анализа Больших Данных, немедленно обнаружит корреляцию в данных и поможет взять злоумышленника с поличным.
Голдберг уверен, что применение технологий Больших Данных сулит большие перспективы в сфере информационной безопасности. Впрочем, не только для пользователей ИТ-систем, отмечалось на конференции, но еще и для Большого Брата.
На качелях с Большим Братом
Скандал с разоблачениями Эдварда Сноудена не мог быть проигнорирован устроителями конференции в Амстердаме, и одной из главных тем развернувшейся здесь дискуссии стал поиск равновесия между приватностью и корпоративной безопасностью.
Чтобы точнее обрисовать ситуацию, Ковьелло снова использовал образное сравнение, «усадив» в одни «качели» ипостась анонимности и Большого Брата. По мнению главы RSA, в отсутствие у этих качелей каких-либо противовесов анонимность оказывается тяжелее, то есть опаснее возможных злоупотреблений спецслужб. Анонимность, с одной стороны, лишает правительственные структуры некоторых возможностей шпионить за пользователями, но вместе с тем провоцирует рост киберпреступности.
Как привести систему в равновесие? «Для этого понадобятся три вещи, — говорит Ковьелло. Первая — транспарентное законодательство (вероятно тут потребуются серьезные усилия по его адаптации к реалиям цифрового мира). Вторая — соблюдение нового законодательства на практике как представителями Большого Брата, так и пользователями. И наконец, третье — инновации в технологиях, которые обеспечат принципиальный переход от действующей модели безопасности к перспективной, основанной на знаниях».
На конференции было представлено несколько новых продуктов RSA, способствующих формированию новой модели безопасности, включая решение Enhanced RSA Security Analytics, расширяющее возможности для анализа данных в SIEM, новую систему управления RSA Security Operations Management и др. Среди прочих новинок отметим решение RSA Vulnerability Risk Management (VRM), нацеленное на применение технологий Больших Данных для выявления рисков, угроз и определения приоритетных методов защиты.