Новые тенденции в ИТ-безопасности. Мнение эксперта

13 марта 2014 г.

Всплеск внимания к защищенности коммуникаций, связанный с методами работы Агентства национальной безопасности США, отодвинул на второй план целый ряд тенденций, оказывающих влияние на рынок защиты сетей.

Появились новые вендоры, предлагающие средства анализа угроз, которые помогают повысить эффективность обнаружения. Анализ поведения файлов также встраивается в различные системы, включая новое поколение устройств обнаружения вторжений, помогающих повысить эффективность защиты.

Джон Пирк, директор по технологии исследовательской фирмы NSS Labs, принимавший участие в конференции RSA 2014, рассказал о положении дел  на рынке безопасности сетей.

Ограниченная масштабируемость новых межсетевых экранов

Межсетевые экраны нового поколения включают контроль приложений, глубокий анализ пакетов и проверку сеансов с SSL-шифрованием, помогая организациям надежнее контролировать сетевой трафик. В последние годы вендоры расширили функциональность, добавив новые точечные технологии - анализ файлов и обновление базы данных облачных угроз, - стремясь повысить эффективность обнаружения. Но вместо этого обилие проверок порой блокирует работу недостаточно мощных устройств, сказал Пирк.

SSL снижает производительность

Включение SSL-контроля часто значительно снижает производительность некоторых межсетевых экранов нового поколения. Контроль приложений не может осуществляться, когда Facebook, Twitter и Webmail заставляют использовать SSL, и некоторым организациям приходится включать анализ трафика. Количество вредоносного ПО, использующего SSL для взаимодействия с удаленными серверами, значительно возросло, требуя лучшей защиты, говорит Пирк.

FireEye: IPS следующего поколения

Компания FireEye представила на конференции новую, революционную систему предотвращения вторжений MVX-IPS. Наличие сигнатур, а также способность обнаруживать то, что пока еще не имеет названия, - вещи, необходимые для IPS. Традиционно IPS-системы строились на основе сигнатур и репутации сайтов, и некоторые включали также эвристический анализ, но многие зачастую не справлялись с вредоносным ПО.

Новые вендоры

Fidelis, Ahnlab, Damballa - вот новые вендоры, имеющие продукты, способные преобразить рынок безопасности сетей. FireEye также принадлежит к этой группе. Технологии вендоров второго эшелона пока не прописаны в бюджетах организаций, поскольку являются наиновейшими, но их имеет смысл рассмотреть. Сегодняшние средства безопасности в целом справляются с массовыми веб-угрозами, но вредоносное ПО, еще не имеющее названия, - вот настоящий риск, говорит Пирк.

«Ждущее» вредоносное ПО

Специальное ПО будет «прощупывать» системы, чтобы узнать, был ли помещен на них вредоносный код во время предыдущей атаки. Оно будет искать признаки того, что запущена виртуальная машина, и проверять наличие программ-отладчиков и других инструментов, которые могут сигнализировать, что система является приманкой, предназначенной для отлова угроз. Вредоносное ПО может скрытно присутствовать на системах многие месяцы, прежде чем попытается связаться с удаленным командным сервером. Группы реагирования должны выявить инфицированные системы и удалить вредоносное ПО, даже если оно еще не было приведено в действие, сказал Пирк.

Неэффективность «перекрывающейся» защиты

Некоторые крупные организации внедряют сразу несколько технологий одной и той же категории в надежде, что следующий механизм обнаружения выловит то, что пропустил первый. Одновременное использование родственных продуктов, как правило, не повышает эффективность обнаружения, говорит Пирк. Это подтверждают реальные тесты NSS Labs. Организациям следует внедрять многоуровневую защиту с использованием разных технологий, тогда это действительно даст желаемый результат.

Новые средства анализа угроз

Norse, Lookingglass Cyber Solutions, ThreatMetrix и ThreatStream - вот лишь некоторые новые вендоры-разработчики средств анализа угроз, которые также пытаются позиционировать себя на этом всё более конкурентном рынке, говорит Пирк. Все говорят о том, чтобы начать борьбу в стане врага и разрушить их цепочку взаимодействия, но многое из этого - всего лишь риторика и гипербола, и большинство организаций не смогут делать это эффективно. Анализ угроз может быть действенным только тогда, когда принимает во внимание конкретную отраслевую вертикаль, географию и профиль атаки, сказал Пирк.

Технология SIEM

Что касается вендоров систем управления информацией о безопасности и событиями безопасности (SIEM), то их предложения следует признать лучшими методами защиты, говорит Пирк. Несколько лет назад казалось, что SIEM будет центром всего, говорит он, но ИТ-подразделения быстро поняли, что эти средства хороши ровно настолько, насколько актуальна вводимая в них информация. Вендоры SIEM стремятся предоставить более ценные сведения и могут ввести уровень анализа угроз, дополняющий данные анализа журналов и другие источники, которые они сопоставляют.

Устройства защиты от DDoS

Компания Arbor Networks продолжает выстраивать линейку устройств защиты от DDoS-атак и твердо нацелена на сегмент операторов связи, говорит Пирк. Fortinet недавно выпустила четыре новых устройства, выходят на этот рынок и другие компании - например, Defense.Net с ее облачными сервисами Anti-DDoS. Вендоры IPS также заявляют о защите от DDoS, но чаще всего она носит ограниченный характер, сказал Пирк. Главным отраслевым вертикалям следует инвестировать в устройства, тогда как другие могут решить проблему, поднимаясь выше к собственной ISP.

© 2014. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.

Источник: Роберт Уэстервельт, CRN/США