Дарвинизм в IT-безопасности и Светлое будущее сегодня.

Previous Entry Поделиться Next Entry
23 мая, 2016
e_kaspersky
"Выживает не самый сильный, а самый восприимчивый к переменам".
Ч. Дарвин

Что-то давно мы не беседовали о будущем IT-безопасности (голосом Н.Н.Дроздова, ведущего программы "В мире животных" :) Поэтому приготовьтесь к "много букв" о технологиях, бизнесе и тенденциях под гарниром из фактов и размышлений. Запаситесь вниманием и попкорном.

Речь пойдёт об идеальной IT-безопасности, каким путём секюрити-индустрия эволюционирует в этом направлении, что происходит по дороге и как это можно объяснить согласно теории эволюции. Где и как происходит естественный отбор, какие виды становятся доминирующими, а какие материалом для палеонтологов, что такое симбиоз и паразиты?

ai_oil_1

Начну с определения.

Идеальное в несовершенном мире.

Строго говоря, "идеальной" IT-безопасности не бывает. Можно к ней бесконечно стремиться, создавая максимально защищённую систему, но каждое приближение к 100% будет стоить всё больших и больших, экспоненциально растущих расходов, которые рано или поздно превысят стоимость потенциального ущерба от самого жёсткого сценария успешной атаки. Не говоря уже о том, что 100% защитой обладает только сферический конь в вакууме, полностью оторванный от реалий практического использования.

Посему логично дать следующее определение "идеальной безопасности": взлом системы должен стоить дороже потенциального ущерба (плюс, естественно, стоимость самой защиты). Или, если посмотреть с другой стороны баррикады, стоимость атаки должна быть выше получаемой выгоды.

Разумеется, будут случаи, когда атакующий пойдёт на любые расходы для достижения результата (например, кибер-военщина), но это не причина накрыться простынёй и ползти на кладбище.

А как именно строить максимально защищённую систему безопасности?

Начало координат.

Один из ключевых принципов дарвинизма – изменчивость. Из-за рекомбинации генов, мутаций и других неведомых причин живые организмы приобретают новые признаки. А дальше – кому с признаками повезло, те заполняют среду обитания и вытесняют других, менее везучих особей. Потому-то мишки в Арктике белые, а на Камчатке бурые.

Похожее происходит в IT-безопасности: кибер-негодяи постоянно находят новые уязвимости в системах, изобретают новые методы атак и совершенствуют "четыреста сравнительно честных способов отъёма денег у населения" ©. Кто преуспел – тот подминает под себя андеграунд и захватывает денежные потоки. Только в отличие от биологической эволюции скорость изменений здесь зашкаливает: за год может смениться несколько поколений угроз.

Создание успешной секюрити-системы требует ориентации на самый адский из самых адских сценариев. Вероятность его реализации мала, но построение защиты на таком допущении позволяет избавиться от опасного оптимизма, розовых очков и "авосей". Размышления из этой отправной точки помогают не просто признать проблему, но понять её масштаб и разработать оптимальную стратегию решения. Вы знаете свою уязвимость, вы больше не жертва, вы – охотник.

Но что конкретно делать дальше? Как быть на шаг впереди этих упырей, предугадывать их следующий шаг?

Адаптируйся или умри.

Разумный выход в условиях высокой энтропии – адаптивная модель поведения. Мы начинаем действовать, исходя из анализа ситуации на основе ограниченного объёма подтверждённых данных (часто в отсутствии оных) и большого числа гипотез. Каждая итерация цикла "анализ – действие – результат" снижает неопределённость, повышает рациональность поведения, производительность и другие значимые для бизнеса параметры.

В 2013г. мы начали реализовывать такую адаптивную модель в области IT-секюрити, а в 2014г. Gartner опубликовал своё видение. Адаптация системы безопасности основана на цикличном применении инструментов из четырёх основных доменов: предотвращение атаки, обнаружение атаки, реакция на атаку, прогнозирование атаки. Внедрение такой модели позволяет создать оптимальную защиту, соответствующую жизненному циклу кибер-атаки и способную быстро подстраиваться под изменяющиеся внутренние и внешние условия.

1
Источник: Designing an Adaptive Security Architecture for Protection From Advanced Attacks, Gartner (February 2014)

Уже несколько лет адаптивная модель безопасности является основой нашей сервисно-продуктовой стратегии развития. Несмотря на то, что в начале у нас было много белых пятен на схеме модели, мы поняли - это правильный подход для защиты корпоративных сетей, это то, к чему нужно стремиться, чтобы решить актуальные проблемы заказчиков. Прошло полтора года, немного воды утекло, зато мы сильно продвинулись в реализации планов.

Хьюстон, у нас проблема.

Как же сейчас обстоят дела с реализацией адаптивной модели безопасности?

Пока, мягко говоря, фигово. Образно говоря, "верхи не могут, низы не хотят".

С одной стороны, очень мало вендоров, способных предоставить все инструменты для создания непрерывного цикла адаптивной безопасности. Отдельные куски пазла не сильно совместимы между собой и их тем более сложно объединить в единой системе управления.

С другой стороны, заказчики сконцентрированы на отдельных доменах цикла (в основном в области предотвращения атаки), недооценивая важность остальных и всего комплекса в целом. Увы, такое пагубное увлечение усугубляет и поведение некоторых вендоров, заявляющих о создании волшебной панацеи против всех кибер-бед.

В итоге, ага - иллюзия безопасности, недоумение после очередного инцидента, порочный круг экстренного пожаротушения и постоянная угроза бизнесу, которая вызывает рост расходов (без повышения эффективности защиты) и девальвирует ценность защитных IT-систем.

В дарвинизме изменение - одна из движущих сил биологического развития. В IT-безопасности на эволюции висит груз интеллекта и поэтому пинок к изменениям даёт признание проблемы, оно же - первый шаг к её решению. И я вижу, что и секюрити-индустрия и заказчики находятся на правильном пути.

Тачка на прокачку.

Прежде всего, мы запустили широкий спектр сервисов для усиления позиций во всех доменах модели. Сейчас в нашем портфолио тренинги для персонала любого уровня, "сводки с полей" о кибер-атаках, тестирование на проникновение, аудит корпоративных приложений, анализ инцидентов, рекомендации по устранению их последствий и много других полезных вещей для реализации полного цикла "предотвращение, обнаружение, реакция, прогнозирование".

C продуктовой точки зрения, мы дополнили нашу традиционно сильную позицию в домене "Предотвращение" решением в домене "Обнаружение" для защиты от целевых атак (Kaspersky Anti Targeted Attack Platform) и его интеграцией в SIEM-системы. В ближайших планах – выпуск полнофункционального EDR (Endpoint Detection and Response) решения, которое позволит связать в единую картину разные события на всех машинах сети.

2

Так что уже в краткосрочной перспективе мы будем поставлять полный спектр продуктов и услуг для создания и поддержки адаптивной модели безопасности. Её главная "фишка" - "суперчувствительные" системы в области анализа угроз: с помощью сенсоров по всей сети и на всех узлах мы предоставляем заказчику кратно больше информации для принятия осведомлённого решения. Скрестив эту информацию с нашей человеческой и машинной экспертизой эффективность борьбы со сложными целевыми атаками будет на порядок выше.

Важно: внедрение такой стратегии не потребует революционных крайностей в духе "весь мир … мы разрушим до основанья, а затем…" с выносом тел и бубнами. Внедрение может идти этапами, эволюционно, в соответствии с теорией Дарвина особенностями бизнеса, IT-инфраструктуры и другими специфическими деталями. Опыт показывает, что заказчики предпочитают начинать с сервисов (тренинги и "сводки с полей"), постепенно устанавливая новые части большого адаптивного секюрити-пазла.

Продолжение следует.

Не скрою – мы не единственные, кто системно разрабатывает новое поколение адаптивной IT-безопасности. Однако, очень приятно, что мы в авангарде и, без ложной скромности, в лидерах. А это, надо сказать, здорово мотивирует.

Заказчику все равно, как называется продукт, как красиво он смотрится на YouTube или в маркетинговых материалах - "вам шашечки или ехать?". Важно, чтобы при прочих равных у организации был максимальный шанс избежать инцидента и сопутствующих потерь. А значит, мы и дальше будем расшибаться в лепёшку, чтобы дать рынку даже больше, чем он ожидает.

Время нашей передачи подошло к концу (опять голосом Н.Н.Дроздова). В следующей части мы поговорим про издержки мутации, естественный отбор и борьбу за существование.



Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «humachine»

  • Рекламная энтомология.

    Само собой разумеется, что мой e-mail весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на…

  • Одержимость фигурами.

    Дамы и господа, Без лишних предисловий сим спешу сообщить, что мы являемся официальным спонсором талантливого шахматиста Сергея Карякина. По этому…

  • Миллиард в облаке.

    Не так давно хорошие наблюдательные пользователи засекли "миллиард" в нашей базе и поздравили меня с этим событием. Спасибо! Но надо объясниться -…


Мой друг работает в, скажем так, военном НИИ. У него компьютер, за которым он работает, физически не подсоединён к глобальной сети. В смысле, нет шнура который бы соединял его компьютер с другим компьютером, расположенным за пределами здания. Во всём здании компьютеров с выходом в Интернет десяток, все они стоят в одной комнате, доступ к которой охраняется караульным, вооружённым автоматом. Чтобы войти в комнату надо иметь пропуск, подписанный непосредственным руководителем, также караульный записывает имя входящего в журнал посещений.
Это не единственные меры безопасности, но суть вы уловили, я думаю.

(Удалённый комментарий)
>>Телефоны сдают на входе?
Да.
>>Экранирование у здания есть?
Не знаю, врать не буду. Здание на территории комплекса находится, к нему с улицы не подойдёшь.
>>Как переносится информация между компьютерами, не подсоединенными к интернету, и подсоединенными?
Тоже врать не буду, не знаю. По-моему, рабочие компы соединены в какую-то сеть, но не уверен. И любые носители информации они на входе оставляют.

Главная изюминка у них - система разделения информации. Грубо говоря, один сотрудник, даже достаточно высокопоставленный, не знает всего и не имеет всего доступа. Этим убивают двух зайцев: во-первых, потенциальный ущерб от крота минимален, во-вторых при обнаружении утечки легко найти её источник.

Edited at 2016-05-23 14:33 (UTC)

(Удалённый комментарий)
Т.е. компетенции в задаче нет ни у кого?

Что же вы там "на выходе" имеете? (8-0)

Это - идеальный случай. Всё отключено, USB/CD/прочее залито эпоксидкой, радио-сети глушатся. Для полного идеала надо еще выключить электричество и ликвидировать персонал.. шутка.

Но! Вот так сейчас уже практически никто не работает. За исключением "идеальных случаев". В описанном "военном НИИ", если я всё правильно понял, информацию передают только в бумажном виде - поскольку все остальные носители запрещены. Т.е. послать документ-чертёж можно только из принтера. А получатель типа его должен отсканить... Всё правильно?

Но! Еще в бытность моей службы в 1984 у нас в части происходили испытания новых аппаратных, ну так скажем компьютерных. Так уже тогда считывали информацию по электромагнитному полю. По крайней мере были ребятки с чемоданчиком, возле машин гуляли-проверяли.

А все равно можно секретные цифирки с экрана срисовать неустановленным карандашом ) Надо бы и монитор черной нитрокраской залить )

(Удалённый комментарий)
А там в конце рассуждений будет вывод, что безопасность мешает работе? :)

Наоборот! Всё наоборот. Это работа мешает безопасности!

Ну, это взаимно и издревле :) Была даже такая переводная книжка "Современные методы защиты информации" издательства "Радио и связь", наверное, 1980 года издания или 1979, где было правильно сказано, что наиболее защищённая информация должна храниться в сейфе, забетонированном в глубоком забытом подземелье. Правда, полезность её стремится к нулю :)

Edited at 2016-05-24 19:10 (UTC)

отлично, успехов в этом нелегком деле
кстати, раз уже пошли биологические аналогии
вы в курсе как работает иммунитет? по сути система свой-чужой
еще один, более мощный, уровень защиты - развертывание системы с нуля (из одной клетки)
обеспечивает девственную чистоту

?

Log in

No account? Create an account