3 марта 2020 г.
На только что состоявшейся конференции RSA экспоненты приложили максимум усилий, чтобы выделиться среди более чем 600 компаний-участников, хотя порой звучали всё одни и те же звонкие слова, которыми они старались привлечь внимание заказчиков, инвесторов и других заинтересованных сторон.
Некоторые тренды, такие как искусственный интеллект и «нулевое доверие», как раз из их числа, и порой даже самые вдохновенные слова редко описывают, что же реально делает данная технология. Другие часто слышимые термины, такие как «обманные» технологии или управление уязвимостями, поднимают вопросы, насколько эффективно они справляются с проблемами информационной безопасности, столь остро стоящими сейчас перед организациями.
Особый акцент был сделан на уязвимостях «нулевого дня», чтобы убедить заказчиков отдать предпочтение внедрению высокотехнологичных решений, так как обычных мер профилактики и приоритизации сигналов системы ИБ уже явно недостаточно. При этом более серьезные сервисы управляемого обнаружения и реагирования (MDR) оказываются слишком дорогостоящими для мелких клиентов, а порой могут оставить дыры в их защите, так как включают только межсетевой экран и антивирус.
CRN/США послушал докладчиков и пообщался с некоторыми CEO, руководителями продаж и техническими специалистами компаний-участников конференции, чтобы узнать их мнение о самых громких идеях и подходах на рынке кибербезопасности.
Управляемое обнаружение и реагирование
Шумиха вокруг управляемого обнаружения и реагирования на киберугрозы (MDR) весьма преждевременна, учитывая огромные затраты, связанные с аутсорсингом каждого элемента такого подхода, говорит Майк ЛаПетерс, вице-президент по глобальным операциям с MSP и партнерству в канале компании Malwarebytes. MDR требует сейчас пятизначных сумм инвестиций ежемесячно, и большинство СМБ-клиентов просто не могут себе позволить такие траты на безопасность, сказал он.
Кроме того, многие вендоры MDR создают нереалистичные ожидания при текущем уровне своих возможностей, говорит ЛаПетерс. Так, они обещают полностью удовлетворить все потребности клиента с помощью своих управляемых услуг, тогда как на деле предоставляют лишь управление антивирусной защитой или управляемый межсетевой экран.
Заказчикам следует изучить все составляющие предлагаемой защищенной среды, прежде чем обращаться к вендору MDR, а затем убедиться, что вендор, с которым они решили иметь дело, способен внятно объяснить, как работает тот или иной компонент защиты. В частности, сказал ЛаПетерс, заказчикам нужно убедиться, что такой вендор проводит направляемый поиск угроз и обеспечивает соблюдение нормативных требований.
Принцип нулевого доверия
В теории принцип «нулевого доверия» ставит целью покончить с защитой периметра сети, так что организации смогут развертывать инфраструктуру и приложения без линий разграничения, таких как межсетевые экраны, говорит главный управляющий Gigamon Пол Хупер (Paul Hooper).
Брандмауэр являет собой противоположность стратегии защиты с нулевым доверием, поскольку изначально доверяет любому трафику внутри периметра, тогда как принцип нулевого доверия полагается только на идентификационные данные в предоставлении доступа, пояснил Хупер. Принцип нулевого доверия будет менять подход организаций к проектированию и реализации систем безопасности, ставя в центр стратегии надежные доверенные отношения, сказал он.
Отказ от межсетевого экрана приведет к сегментации и микросегментации сети, то есть к созданию доверенных групп устройств, говорит Хупер. В результате коммуникация между устройствами и управление в сети будут осуществляться на уровне сегментов, а не в масштабах общекорпоративной сети, пояснил он.
Уязвимости «нулевого дня»
Отрасль кибербезопасности имеет тенденцию исходить из худшего вместо того, чтобы готовиться к вероятному, что приводит к чрезмерному ажиотажу вокруг эксплойтов «нулевого дня» или сложно построенных атак, говорит президент RSA Рохит Гхай (Rohit Ghai). Вместо того, чтобы поддаваться хайпу вокруг всё более сложных угроз, отрасли следует уделить основное внимание своим обычным задачам управления уязвимостями и многофакторной аутентификации, говорит он.
Чрезмерный акцент на самые сложные типы атак вызвал нездоровый перекос в отрасли ИБ, ведя к стратегии внедрения множества разных средств защиты и расходованию ресурсов на передачу информации между ними, говорит Гхай. Как результат, специалисты ИБ обременены непосильной задачей анализа всей этой массы данных, что мешает им выделить главное.
Зачастую атаки запускаются хакерами-дилетантами с использованием готовых чужих сценариев, поэтому глупо тратить время армии специалистов на простой просев всего моря сигналов безопасности, говорит Гхай. Вместо этого организациям следует взять прицел на корреляцию и приоритизацию сигналов ИБ, чтобы использовать свои ресурсы с максимальной эффективностью, сказал он.
Встраивание безопасности в другие технологии
Широкопрофильные вендоры любят говорить, что безопасность «изначально встроена» в их операционную систему или гипервизор, но тем самым лишь затушевывают большую проблему, о которой свидетельствуют всё новые уязвимости и эксплойты в их ОС и виртуализированных инфраструктурах, говорит Мэттью Полли (Matthew Polly), вице-президент по глобальному развитию бизнеса, альянсам и каналам компании CrowdStrike.
Безопасность не может быть чем-то «прикрученным» к ОС, бизнес-приложению или гипервизору, кто бы ни был их разработчиком, говорит Полли. Противодействие атакам — это постоянная гонка вооружений, и вендор, чья главная миссия — разработка ОС или виртуализации, вряд ли сделает необходимые инвестиции в обеспечение подлинной безопасности, сказал он.
Также, такой вендор не имеет средств защиты, обнаружения и реагирования на тот случай, если злоумышленник всё же сумел проникнуть в сеть, говорит Полли. Вендоры общедоступного облака поступили бы правильнее, вступив в партнерство с разработчиками безопасности, чтобы те надежно защитили их инфраструктуру, вместо того, чтобы заявлять, что они всё предусмотрели сами.
Искусственный интеллект
Искусственный интеллект и машинное обучение способны творить чудеса, но организации редко могут так задействовать эту технологию, чтобы достичь реального снижения риска, повысить автоматизацию или усовершенствовать систему ИБ, говорит Ричард Бёрд (Richard Bird), директор по информационной безопасности клиентов компании Ping Identity. Из-за хайпа вокруг ИИ многие начинают думать, что искусственный интеллект уже сейчас может дать результаты, которых придется ждать еще несколько лет, говорит он.
Чтобы оптимизировать возможности ИИ, потребуются большие изменения в структуре организаций и всех их процессах, говорит Бёрд. По сути, организациям нужно будет разобрать на составные части свои бизнес-процессы, посмотреть, куда может вписаться технология ИИ, и затем перестроить процессы с учетом этого.
В конечном счете, ИИ станет тем трамплином, который даст старт следующей волне инноваций в ИТ, будь то квантовые вычисления, бессерверные технологии или что-то еще, говорит Бёрд. ИИ послужит также «строительным блоком» для управления идентификацией и доступом, когда организации начнут строить приложения и выводить их в общедоступный интернет, а не использовать провайдера облака, сказал он.
«Нулевое доверие»
Принцип «нулевого доверия» подвергся большому искажению вендорами, которые лепят этот ярлык на вещи, не имеющие ничего общего с сутью концепции — отказом от защиты периметра сети, говорит Райан Калембер (Ryan Kalember), исполнительный вице-президент по стратегии кибербезопасности компании Proofpoint. Как бы то ни было, идея стоит того, чтобы стараться выстроить подлинную архитектуру нулевого доверия, сказал он.
Принцип нулевого доверия по определению не совместим с концепцией периметра сети или виртуальной границы, которая играет роль такого периметра, — и напротив, его духу отвечает идея средств управления, основанных на идентификации устройств и пользователей, образующих новый «периметр», говорит Калембер.
Нулевое доверие имеет тот смысл, что никому в сети изначально нельзя доверять, и пользователи имеют доступ только к тем вещам, которые нужны им для выполнения их работы, и ни к чему другому, пояснил Калембер. Строгая реализация принципов нулевого доверия делает невозможной технику бокового смещения, столь любимую хакерами, то есть злоумышленник не сможет получить доступ ко всей внутренней сети организации, даже если сумеет осуществить точечный взлом.
Обманные технологии
Трудно определить грань между обманной технологией — так называемой «приманкой» для хакеров — и созданием реальной защиты для организации, поскольку само по себе выявление источника угрозы еще не делает организацию защищенной, говорит Уэнди Томас (Wendy Thomas), директор по разработке продуктов компании Secureworks.
К примеру, такая ловушка может подтолкнуть хакера сделать что-то, что не является фатальной угрозой в масштабах всей организации, то есть отдача от такой приманки будет невелика. И напротив, организация выиграет гораздо больше от отслеживания наиболее распространенных сценариев, которое ведется группой реагирования на инциденты ИБ на местах, действующей с учетом конкретных обстоятельств, говорит Томас.
Базовые правила цифровой гигиены, такие как регулярная установка патчей и правильное конфигурирование инстансов в облаке, — вот то самое важное, о чем не должны забывать организации, добавил он.
Управление уязвимостями
Учитывая наличный объем цифровых активов и ПО, список из сотен тысяч проблем не сильно поможет директору по ИБ в организации, говорит Вишал Гупта (Vishal Gupta), директор по технологии компании Unisys. Непрерывно сообщать клиентам, что у них не так, — это всего лишь выявление рисков, но никак не стратегия их снижения и не помогает решению проблемы, сказал Гупта.
Слишком часто то, что считается снижением риска, в контексте управления уязвимостями, есть лишь создание заявки на ServiceNow и передача проблемы кому-то еще. В крупных организациях, говорит Гупта, директор по информационной безопасности может иметь список из ста с лишним тысяч уязвимостей в каждый данный момент, и проводить собрания, где будет решаться, кто займется устранением каких из них.
Более практичным подходом к снижению риска по сравнению с привычным управлением уязвимостями был бы упор на автоматизацию и реагирование, а также внедрение биометрии и микросегментации вместо бесконечных списков с флажками, сказал Гупта.
Сервисы SASE
Пограничный сервис безопасного доступа (Secure Access Service Edge, SASE) является сегодняшним эквивалентом VPN, соединяя устройства границы сети с интернетом в условиях, когда сеть как таковая исчезает и ее роль берет на себя интернет, говорит Филипп Курто (Philippe Courtot), председатель правления и главный управляющий компании Qualys. Потребность в SASE не продлится долго, так как организации переносят рабочие нагрузки в облако, и среда корпоративной сети сокращается, добавил он.
Поскольку клиенты переносят всё больше своих корпоративных приложений в облако, корпоративная сеть станет лишь множеством беспроводных устройств, подключенных к интернету, говорит Курто, и компаниям нужно идти путем цифровой трансформации, иначе они просто не останутся в бизнесе.
Много лет назад сопротивление отрасли ИБ переходу в облако было феноменальным, но сегодня люди понимают, что облако никуда не денется, добавил Курто.
Средства EDR
Многие организации рассматривают средства обнаружения и нейтрализации угроз на клиентских устройствах (EDR) как достаточные для защиты их сети и считают, что им уже не нужно антивирусное ПО, говорит Джейсон Эберхардт (Jason Eberhardt), вице-президент компании Bitdefender по глобальному партнерству с провайдерами облака и MSP. Но EDR — это прежде всего инструмент для изучения того, что происходит на клиентском устройстве, а не средство, чтобы блокировать инфицирование, сказал он.
В результате широкого принятия EDR слишком многие организации начали свыкаться с мыслью, что злоумышленник, проникший в сеть, не страшен, пока есть возможность удерживать его от каких-то фатальных действий, говорит Эберхардт. Однако даже простое его присутствие в сети создает угрозу, и организациям следует внедрять технологии, которые пресекают саму попытку взлома, сказал Эберхардт.
Поставщики решений должны донести до своих клиентов необходимость полного комплекса защиты клиентских устройств, который в первую очередь блокирует само проникновение, подчеркнул Эберхардт.
Безопасность в облаке
Все говорят о безопасности в облаке, но при этом имеют в виду разные вещи, и в отрасли всё еще нет четкого определения этого понятия, говорит Крис Картер (Chris Carter), вице-президент FireEye по каналам двух Америк. Некоторые предложения, которые преподносятся как защита облака, на деле решают лишь малую часть этой проблемы, говорит он.
Безопасность облака должна быть нацелена на защиту рабочих нагрузок в облаке, считает Картер, поскольку именно здесь находится главное сокровище организаций — их данные и интеллектуальная собственность. Заказчики должны быть уверены в защищенности своих данных и интеллектуальной собственности, отправляя их в облако Amazon Web Services, Microsoft Azure или Google Cloud, говорит Картер, поэтому им нужны инструменты, которые защитят их рабочие нагрузки.
Мониторинг
Идея свести воедино огромный объем информации в масштабах всей организации существовала всегда, только в 2000 году, когда была основана ArcSight, она носила название корреляции, говорит Эмили Моссбург (Emily Mossburg), руководитель глобальной практики кибербезопасности в Deloitte.
За прошедшие два десятилетия корреляция стала называться слиянием, а слияние — мониторингом, но по сути это всё та же технология и тот же подход, говорит Моссбург. Компании, работающие в этой области, сумели углубить возможности своих технологий, и, стремясь привлечь интерес к своим новым достижениям, давали им новые названия, сказала Моссбург.
Мониторинг в разных своих формах существует столько, сколько сама ИТ-отрасль, и, несмотря на весь достигнутый прогресс и развитие, концепции, лежащие в его основе, весьма сходны, учитывая циклический характер этих идей, говорит Моссбург.
© 2020. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США