Постоянно растущая ценность корпоративной информации делает ее объектом все более сложных атак со стороны конкурентов, преступников и других заинтересованных лиц: по данным RSA, 60% компаний из списка Fortune 500 получали по e-mail письма с вредоносным кодом, а 88% компаний фиксировали активность ботнетов в корпоративной сети. Традиционные средства защиты теряют эффективность: на смену им приходит комплексная защита, основанная на аналитике Больших Данных.
Промышленный шпионаж и экономические преступления, совершаемые при помощи хакеров, стали распространенным явлением в последние годы. Поскольку кража корпоративных данных является относительно безопасным и крайне прибыльным бизнесом, этим видом теневой деятельности занимаются большие преступные группировки, вкладывающие в организацию атак значительные средства. В результате атаки становятся изощренными, точечными и малозаметными. Использование вирусов, специально написанных для конкретной жертвы, значительно снижает эффективность классических антивирусов и распространенных систем анализа угроз (SIEM). Поэтому для обнаружения подобных атак защитные инструменты должны анализировать буквально каждый байт, проходящий в компьютерной сети. Такой уровень детальности достижим в специальных решениях, один из примеров — RSA Security Analytics, которое использует инструментарий для работы с Большими Данными для выявления угроз.
Основным способом выявления атак, проводимых внутри корпоративной сети, является анализ сетевого трафика и событий, возможно связанных с угрозами безопасности. С помощью специализированных приложений специалисты отдела информационной безопасности ищут подозрительные события и проявления аномальной активности в инфраструктуре компании. К сожалению, злоумышленники прекрасно осведомлены о защитных методиках, специально тестируют зловредные приложения на «обнаруживаемость» антивирусами и другими защитными средствами, а также борются за незаметность своих действий. Современные зловреды усиленно маскируют свою активность под обычные действия пользователя, например, используют социальные сети для пересылки украденной информации. В результате многие атаки остаются незамеченными в течение недель и даже месяцев – за это время из корпоративной сети можно украсть большой объем критически важной для компании информации. Подобные скрытные атаки крайне трудно обнаружить, но сличая незначительные аномалии на разных компьютерах, вредоносную деятельность все же можно заметить. В систему хранения RSA Security Analytics складируется копия всего трафика в сети и сопутствующая служебная информация, а аналитическая платформа позволяет находить скрытые взаимосвязи в происходящих событиях, восстанавливать их хронологию, а главное – делать это очень быстро, спустя часы, а не недели после проникновения. Подобный анализ возможен потому, что у системы нет «белых пятен», в ней доступны абсолютно все данные, когда-либо проходившие по сети и хранившиеся на компьютерах компании. При этом в RSA Security Analytics «зашит» широкий набор алгоритмов и методик, которые отсеивают подозрительные события и выводят на рассмотрение оператору относительно короткий список инцидентов и явлений, требующих детального расследования и принятия мер.
Разработка RSA является одной из первых в индустрии безопасности, в которых аналитика Больших Данных является серийным продуктом, а не индивидуальной системой, созданной на заказ. Но их будет становиться больше. По прогнозу консалтинговой компании Booz Allen Hamilton, в течение ближайших двух лет Большие данные трансформируют все ключевые технологии обеспечения информационной безопасности. А инструменты анализа информации обзаведутся функциями прогнозирования угроз и автоматического контроля безопасности в реальном времени.