24 мая 2017 г.
В последнее время информационная безопасность из секты посвящённых превратилась в стратегическое направление — об инцидентах информационной безопасности пишут на первых полосах, по поводу киберугроз собираются правительства и парламенты крупнейших государств. Если верить прессе, кибер-безопасность влияет на жизнь граждан, деятельность государства и бизнеса, на слуху «русские (китайские, корейские, ...) хакеры», влияющие на выборы, похищающие миллиарды долларов с банковских счетов, совершающие акты кибер-терроризма: атакующие энергетические и транспортные объекты и т.д. При этом государства сами инвестируют в кибер-разведку, причем не только военную, но и финансовую — например, разыскивают информацию о счетах граждан в зарубежных банках и офшорных зонах. Информация стала стоить денег, а значит, те, кто охотится за ней, будут вкладывать в её получение немалые средства: подкупать инсайдеров, инвестировать в развитие инструментов взлома.
Текущий мировой финансовый кризис ускорил автоматизацию бизнес-процессов и государственных услуг, мы видим это практически ежедневно: банки и телекоммуникационные компании массово закрывают оффлайновые офисы и переводят обслуживание клиентов в их личные кабинеты на информационных ресурсах. То же самое делают и государственные ведомства, оказывая всё большую часть государственных услуг гражданам не в конторах, а онлайн. Большинство закупок крупных компаний и все государственные закупки проходят онлайн. Если ещё совсем недавно веб-сайты банков, телеком-операторов и ведомств были лишь информационными витринами, то сегодня на них можно проводить финансовые транзакции, менять настройки, выбирать услуги и тарифы к ним — то есть сайты предоставляют полноценный доступ в информационную систему компании или ведомства, хотя и с ограниченными правами.
Более того — многие бизнес-процессы, сегодня существуют исключительно в информационном пространстве, не имея физических аналогов. Поэтому при потере данных их нельзя восстановить из бумажных копий, как часто бывало ещё лет десять назад. И теперь атака на информационные системы равна атаке на бизнес: без информационных систем сегодня просто невозможна обработка финансовых транзакций, оказание телекоммуникационных услуг, выработка электроэнергии. Конечно, добывать уголь ещё можно и без информационных систем, а вот транспортировать и продавать — уже нет.
Информационные системы, к тому же, не являются чем-то статичным, они постоянно изменяются по требованию постоянно меняющихся внутренних и внешних обстоятельств — запуска новых продуктов/услуг, соответствие требованиям регуляторов, оптимизации процессов и т.п. Поэтому системы защиты должны постоянно адаптироваться под изменения защищаемых объектов. Самые динамичные системы сегодня уже меняются тысячи раз в день — можете представить себе требования по скорости адаптации защиты.
Системы стали сложными и многокомпонентными, поэтому и атаки на них стали многоуровневыми —сочетающими в себе разные последовательные и параллельные этапы, включая разведку, отвлекающие атаки, прикрытие отхода и заметание следов. Кибер-атаки всё чаще используются одновременно с информационными атаками — раздуванием в соцсетях истерии, а те и другие — с инсайдерскими атаками — злоупотреблением доверенным доступом. Более того — даже старые как мир материальные хищения товара со склада сегодня требуют легализации таких действий в информационной системе, поэтому совершенно типичная для преступных группировок ситуация: один из преступников имеет вход в информационную систему — либо легальный инсайдерский, либо нелегальный внешний через «чёрный ход», закладку в программном обеспечении.
Ежегодные доходы киберпреступников исчисляются сотнями миллиардов долларов, а потери граждан, бизнеса и государств — триллионами долларов. Рынок не мог не отреагировать на такие вызовы — слишком долго мир вкладывался в информационные системы, без которых сегодня не мыслим ни бизнес, ни даже государственное управление, чтобы оставить их без защиты. Сегодня информационная безопасность — это развитый рынок со специализаций и чётким сегментированием. Рассмотрим некоторые его сегменты.
Кибергигиена
Такие системы защиты позволяют обеспечить так называемый базовый уровень защиты: защиту от известных угроз. К этой категории относятся традиционные средства защиты — антивирусы, средства шифрования, управление доступом, парольные мессенджеры, межсетевые экраны. Этот уровень позволяет защититься от ненаправленных атак — случаев, когда атакующие целятся не в конкретные системы, а ищут наиболее уязвимые. Однако от целенаправленных комплексных атак они не защищают.
Защита от киберугроз
Целенаправленные угрозы — то есть спланированные под атаку на конкретную информационную систему, требуют принципиально другого подхода к защите. Хакеры используют специфические особенности атакуемой системы, в том числе и на уровне бизнес-процессов, находят её программные уязвимости, разрабатывают специальные вирусы, незаметные системам базовой защиты. Поэтому системы защиты от направленных (иногда их называют таргетированными) атак работают на принципиально другом уровне — они отслеживают аномалии в поведении информационных систем, выделяют из них опасные и блокируют их. В отличие от продуктов кибергигены, такие системы для обнаружения атак используют не преднастроенные правила (паттерны, сигнатуры) уже известных атак, а сложные алгоритмы, анализирующие и прогнозирующие поведение пользователей, процессов и программ. Такие системы защиты позволяют бороться и с неизвестными угрозами, сигнатуры которых ещё не поступили в системы кибергигиены.
Защита от инсайдерских угроз
Предоставляя сотрудникам доступ, необходимо контролировать, как сотрудники его используют — они могут этим доступом злоупотребить — похитить, уничтожить или изменить информацию, провести мошенническую транзакцию, изменить какой-то процесс. Особое внимание следует уделять привилегированным пользователям — системным администраторам, сотрудникам служб информационных технологий и служб информационной безопасности, а также программистам — ущерб, который они могут случайно или намеренно нанести, может быть гораздо больше, чем ущерб от рядовых сотрудников. Поэтому решения по фильтрации исходящего трафика по всевозможным каналам, контролю действий сотрудников на рабочих местах, в том числе и мобильных, а также внутри приложений сейчас развиваются очень интенсивно. На подходе — решения с использованием технологий анализа больших данных, собирающие и анализирующие информацию о действиях сотрудника во всех системах, включая носимые гаджеты, системы контроля доступа в помещения, мобильные устройства, рабочие места, камеры видеонаблюдения, камеры в ноутбуках и смартфонах, различные датчики «интернета вещей» и так далее. Такой анализ позволяет выделять аномальное поведение сотрудников в информационной системе и ключевых приложениях, предсказывать их опасное поведение и принимать решения по блокированию определённых операций.
Инструменты защиты приложений
Поскольку для многих компаний все бизнес-процессы реализованы в бизнес-приложениях, плохо реализованное или уязвимое приложение может оказать негативное влияние на бизнес или даже помочь внешним или внутренним атакующим реализовать весь спектр угроз — похищать данные, нарушать работоспособность приложения, а значит и бизнеса, проводить мошеннические транзакции. При быстрой разработке и постоянных ежедневных изменениях практически нет времени тестировать новые функции на безопасность, поэтому в последнее время наблюдается рост атак на прикладном уровне: внешние системы защиты не знают, как программист хотел реализовать конкретную функцию — то есть является ли обнаруженная аномалия запланированной или нет. Поэтому системы контроля безопасной разработки, системы тестирования программного обеспечения сегодня всё больше интегрируются с системами кибербезопасности.
Защита от информационных атак
В последнее время инструменты манипуляции массами через соцсети стали реальной угрозой бизнесу и государству. Мы уже наблюдаем, как через публикацию и быстрое распространение ложных новостей можно вызвать массовые беспорядки или панику у вкладчиков банка, повлиять на выбор избирателей или измазать грязью публичное лицо. Такие атаки можно отразить лишь в первые часы после начала — затем атака набирает такую силу, что любое противодействие выглядит как оправдание, что только усиливает её. Своевременное обнаружение информационных атак и активное противодействие им в соцсетях — быстро набирающий скорость тренд на стыке PR и информационной безопасности.
Новые технологии
В заключение хотелось бы отметить два современных тренда в информационной безопасности.
Первый — всё большее использование систем на базе искусственного интеллекта, часто — полностью автономных и не требующих вмешательства человека. Изначально системы искусственного интеллекта давали недопустимое в безопасности количество ложных срабатываний, поэтому рассматривались как дорогая и ненужная игрушка — разработчики предпочитали использовать более точные алгоритмы с обратной связью. Однако со временем алгоритмы машинного обучения стали более точными и при этом специалисты по безопасности накопили достаточно данных для обучения таких систем, и точность и полнота таких алгоритмов стали приемлемыми. Многие разработчики сейчас включают системы на базе искусственного интеллекта в свои решения, пока в качестве вспомогательных, но недалёк тот день, когда мы увидим полноценных «роботов-защитников».
Второй — переход от наследия прошлого века: «навесных» систем защиты, работающих в парадигме «сначала создаётся объект — потом его защита» к «встроенной безопасности», то есть все информационные бизнес-системы создаются по принципам защищённого бизнес-процесса. В транзакционные системы изначально встраиваются антимошеннические алгоритмы, в сайты — системы защиты как на уровне трафика, так и на уровне процессов, в системы документооборота и групповой работы — защита от хищения информации и т.д. Это особо востребовано в быстроменяющихся системах — когда «навесные» системы не успевают адаптироваться под быстрые изменения.
Источник: Рустэм Хайретдинов, генеральный директор компании «Атак Киллер»