Чтобы успевать за динамично развивающимся миром киберугроз, компании должны принципиально изменить подход к обеспечению безопасности. Именно таков лейтмотив практически всех выступлений на состоявшейся в Амстердаме европейской конференции RSA по безопасности.
Ключевые угрозы для бизнеса – это целевые атаки, включающие в себя как глубокое проникновение в компьютерную сеть, так и социальную инженерию, утечки данных, обусловленные географической рассредоточенностью и мобильностью рабочих мест, и конечно применение сотрудниками собственных устройств для работы (BYOD). «Периметра» больше нет, – соглашаются эксперты, поэтому защита, основанная на недопущении злоумышленника в сеть, больше не работает. Все хуже справляется и защита, основанная на сканировании в поисках ранее известных угроз – каждый день появляются тысячи новых. На смену старой должна прийти целостная модель безопасности, основанная на анализе текущих событий и динамичной реакции на них. Организаторы конференции, компания RSA, предлагают для этого подход, основанный на анализе Больших Данных. Предполагается, что система безопасности протоколирует все события в сети и на всех подключенных устройствах, вплоть до мельчайших, вплоть до единичного пакета, после чего средства аналитики обнаруживают в этом потоке аномалии и принимают решение о том, что данные действия нужно заблокировать, либо привлечь людей для более глубокого разбирательства. О том, какие препятствия придется преодолеть для внедрения этой новой концепции безопасности, когда и где она появится, корреспондент Техноблога Ъ смог побеседовать с исполнительным директором RSA, Артом Ковиелло.
— Предложенная RSA модель безопасности основана на анализе всего объема событий и сетевого трафика в компаниях на базе Больших Данных. Для воплощения такого решения потребуются профессионалы, сочетающие две специализации – исследователь данных и эксперт по безопасности. Учитывая, что обе весьма редки и им нигде не учат, как планируется решить проблему кадрового голода?
— Постепенно нам потребуется выращивать таланты в области исследования данных. В ближайшей перспективе – мы знаем достаточно, у нас накоплены статистические данные о «плохих» IP, объемах трафика, поведении исполнимых файлов – имеются нужные знания чтобы искать корреляции и проводить анализ, выделяя ключевые признаки вторжения и обнаруживая атаку. Мы уже делаем это, нельзя сказать, что нам нужно начинать исследования с нуля. Мы занимаемся информационной безопасностью много лет, и все это время мы развивали аналитику и корреляционный анализ файлов с протоколами работы. В 2011 году мы приобрели компанию NetWitness, которая проводила такие же исследования в области анализа пакетов. Теперь мы объединяем эти две аналитические платформы и у нас есть ингредиенты приложения для безопасности на основе Больших Данных, RSA Security Analytics. У нас есть специалисты по Большим Данным в том, что касается пакетов и логов (протоколов работы). По мере того, как будем внедрять в анализ более изощренную информацию о контексте, в котором происходит то или иное действие, нам потребуется нанять больше математиков и подружить их с экспертами по безопасности, чтобы обогатить наши приложения для аналитики безопасности.
— Большие Данные предполагают сбор исключительно подробной информации о том, что происходит в сети и на компьютерах. На определенном этапе, если происходит что-то необычное, ее могут проверять не только автоматические системы, но и живые люди. Эта возможность открывает определенный простор для злоупотреблений, как мы видели в недавнем скандале с АНБ – есть данные, что некоторые аналитики АНБ использовали технические возможности агентства в личных целях. Что вы предлагаете для систематического решения этой проблемы?
— Абсолютной гарантии, что никогда не случится ошибки в применении подобных технологий, я конечно дать не могу. Как нельзя и гарантировать, что система безопасности предотвратит или остановит абсолютно все атаки. Но у нас есть RSA Archer – платформа GRC (Governance, Risk and Compliance – стратегическое управление, управление рисками, соответствие требованиям регуляторов). Мы используем Archer как хранилище наших политик по снижению рисков и обеспечению соответствия регуляторным нормам. Обычно он помогает с оценкой, какая информация наиболее важна, какие физические активы являются ключевыми, что важней всего защищать, какие есть уязвимости, кто и как может их атаковать. И какие есть политики для снижения риска и защиты этих активов. И каким нормам мы обязаны соответствовать. Почему бы не добавить в эту конструкцию еще и нашу собственную политику по защите частной жизни сотрудников? Вот что Archer по сути делает – он накладывает существующие требования на имеющуюся инфраструктуру и проверяет использование инфраструктуры, чтобы строить отчеты и доказывать, что все нормы соблюдаются. Почему бы не добавить к системе аналитики еще и Archer, чтобы постоянно быть уверенными, что при анализе безопасности строго соблюдается принятая политика защиты конфиденциальности.
— Следующий спорный момент – деньги. Учитывая, что аналитика Больших Данных сама по себе требует солидного инфраструктурного обеспечения, а к ней нужны еще люди и система контролирующая корректность их работы, получается, что этот подход к безопасности весьма дорог. Бизнес какого масштаба и в каких индустриях оправдывает столь высокую «наценку на безопасность»?
— Большие поклонники новых технологий по понятным причинам работают в финансовом секторе. Могу назвать также большие фармацевтические компании, технологические компании, производители из «оборонки». Вынуждены будут прибегать к таким мерам компании из секторов здравоохранения и розничной торговли, поскольку они обязаны защищать персональные данные. Но со временем подобные возможности по «аналитической безопасности» станут доступны и бизнесу меньшего масштаба. Они будут предоставляться сервис-провайдерами из «облака». Заодно снизится острота дефицита кадров.
— Как много времени это займет?
— Мы только выводим RSA Security Analytics на рынок, поэтому начало будет положено за полтора-два года, а широкомасштабное появление технологии может занять до пяти лет.
— К сожалению, даже простые и широко известные меры, такие как замена уязвимых приложений новыми, исправленными версиями, не принимаются многими компаниями долгие годы. Что уж говорить о принципиальной смене подхода к безопасности! Какие стимулы нужны им, чтобы совершить переход?
— Я не уверен. Меня очень впечатляет, сколь широко и разнообразно распространение вредоносного софта. Например, я знаю владельца маленького ресторана в Нью-Гэмпшире, его в автоматическом режиме заразил троянец, ворующий номера кредитных карт клиентов. Я уверен, что в Сочи, где скоро будет Олимпиада, есть много мелких ресторанов и других бизнесов, и наверняка кто-то попытается заразить их, чтобы собрать кредитки со всего мира. То есть никто не в безопасности. С другой стороны – компаний много, очень много, и они имеют некоторый уровень защиты за счет незаметности. Рестораны в Сочи и в Нью-Гэмпшире могут пострадать, но тысячи других может и не будут поражены. Поэтому угроза как таковая, ее существование не является гарантией того, что люди начнут действовать. Их хорошо заставляют имеющиеся регуляторные нормы. Успешные атаки на них самих заставляют действовать. Повышение экономической эффективности заставляет действовать. Новые возможности в онлайне, которые недоступны без дополнительной защиты, заставляют действовать. Должно быть предложение с конкретной и внятной ценностью.
Тут ведь вот что важно – всегда надо различать знание о проблеме и понимание проблемы. Пару лет назад министр обороны США Леон Панетта сказал, что нам угрожает «Кибер Пёрл Харбор». Что сделали простые американцы на следующий день?
— Ничего.
— Да, ничего! Человек знает о проблеме, но у него нет никакой возможности понять, что это означает лично для него. Вот если ему объяснить, что в будущем техника на электростанциях будет подключена к Интернету, и будет у хакера возможность заставить что-то перегреться, загореться, и не будет электричества в целом городе – вот это он понимает.
Вот если ему сказать, что без регулярного создания резервных копий или хранения сложных и разных паролей к разным онлайн-сервисам в специальной программе, хранящей пароли, он подвергается такому-то и такому-то риску, вот это он может понять. Нам надо идти от знания к пониманию, если мы сможем объяснить бизнесмену или просто пользователю, что значит та или иная проблема кибербезопасности в его персональном случае, он с гораздо большей вероятностью начнет действовать. Это одна из причин, по которой мы проводим конференции RSA и почему я даю вам интервью, нужно помогать переходу от знания к пониманию.