Positive Technologies объявила о подготовке к выпуску нового метапродукта MaxPatrol Carbon. Он дополнит экосистему, в составе которой уже есть метапродукт MaxPatrol O2, а в будущем появится ещё и MaxPatrol 1-2-3.
- Введение
- Модель результативной кибербезопасности
- MaxPatrol Carbon vs MaxPatrol O2
- Новый интерфейс для анализа инцидентов и рисков
- Методики разработки архитектуры безопасности для предприятий
- Выводы
Введение
В ноябре на Moscow Hacking Week (Standoff 12) компания Positive Technologies официально анонсировала свой новый метапродукт MaxPatrol Carbon. Он дополнил линейку ИБ-метапродуктов, разработкой которых занимается сейчас Positive Technologies. Вендор относит их к сегменту средств инфраструктурной безопасности, т. е. комплексных корпоративных систем верхнего уровня, которые призваны укрепить информационную защиту предприятия на разных участках её архитектуры.
Согласно объявленным планам, будущая экосистема будет состоять из трёх метапродуктов:
- MaxPatrol O2 предназначен для автоматического обнаружения действий злоумышленников в ИТ-инфраструктуре. С мая 2023 года он находится в опытной промышленной эксплуатации.
- MaxPatrol Carbon предназначен для мониторинга ИТ-инфраструктуры компании, проверки её защищенности, контроля за изменениями. Он призван обеспечить безопасные условия работы и своевременное обнаружение признаков готовящихся кибератак. Новый продукт официально анонсирован на Standoff 12 в ноябре 2023 года и находится сейчас на ранней стадии внедрения.
- MaxPatrol 1-2-3 предназначен для выстраивания корпоративной системы автоматизированного обновления инфраструктуры ИБ-средств с учётом выхода новых сервисов и обнародования информации о выявленных уязвимостях. Этот продукт находится сейчас на этапе активной разработки. Предполагаемый срок появления его альфа-версии — май 2024 года.
Рисунок 1. Экосистема метапродуктов MaxPatrol
Модель результативной кибербезопасности
Три метапродукта Positive Technologies призваны помочь компаниям перейти от концепции обороны своих ИТ-ресурсов к новой модели результативной кибербезопасности.
Главная идея этой концепции — максимальная комплексная автоматизация работы системы защиты с перераспределением функций человека. Ожидается, что это приведёт к отходу от выполнения им огромного объёма сугубо технических, рутинных операций по мониторингу и противодействию угрозам. Согласно новой концепции, специалист по ИБ будет работать как эксперт для оценки складывающейся ситуации, связанной с обеспечением безопасности предприятия. Задачами человека станут управление активностью в ответ на действия злоумышленников, выявление векторов кибератаки, оценка их критической значимости, своевременное выстраивание обороны для оказания максимального противодействия злонамеренным действиям извне.
Рисунок 2. Михаил Стюгин рассказывает о новом метапродукте MaxPatrol Carbon
Как рассказал Михаил Стюгин, руководитель направления автоматизации ИБ в компании Positive Technologies, новые метапродукты вводят в архитектуру предпринимаемых действий бизнес-цели компании. Основная цель оборонительных мероприятий теперь — снизить воздействие кибератак на бизнес, организовать защиту так, чтобы обеспечить в первую очередь недопустимость определённых событий, заранее выбранных с учётом их значимости для бизнеса.
По мнению Positive Technologies, новая концепция значительно ближе к пониманию новой реальности в отношении безопасности со стороны бизнеса. Цели хакеров и мошенников трактуются в ней не просто как попытки нарушения нормальной работы отдельных элементов ИТ-инфраструктуры компании, а прежде всего как усилия по разрушению бизнеса, целостности его связей.
В новой трактовке целью существования службы ИБ становятся задачи динамического определения векторов кибератак, намерений и возможностей киберпреступников, концентрации доступной ИБ-экспертизы на задаче остановки злоумышленников ещё до того, как они успеют нанести непоправимый ущерб.
Рисунок 3. MaxPatrol Carbon и MaxPatrol O2 взаимодействуют с другими продуктами Positive Technologies
Новая концепция безопасности не отрицает существующих на текущий момент подходов к ИБ. Но если до сих пор целью было максимально быстрое устранение причин и последствий возникающих инцидентов, то с переходом на метапродукты целью службы ИБ становится динамическое устранение в первую очередь наиболее опасных угроз.
Новая «сортировка» позволяет оптимизировать организацию защитных мероприятий службы ИБ. Теперь рутинные операции должны перекладываться на средства автоматизации. Пока Positive Technologies не упоминает о том, что такой переход потребует переоценить значимость применения искусственного интеллекта в ИБ, но, по всей видимости, это повлечёт за собой серьёзный пересмотр приоритетов и перекладку части (или вообще всех) выполняемых операций на ИИ. В то же время главным в работе системы, по новой концепции, остаётся человек — эксперт по ИБ.
MaxPatrol Carbon vs MaxPatrol O2
Появление новой экосистемы метапродуктов Positive Technologies способно породить вопрос: зачем вендор делает три разных продукта, если речь идёт о единой системе безопасности предприятия? Ведь очевидно, что она будет выстраиваться на родственных корневых механизмах, общих принципах, общей информационной базе экспертных данных. Может быть, речь идёт просто о маркетинге?
Рисунок 4. MaxPatrol Carbon использует те же сенсоры, что и MaxPatrol O2
Михаил Стюгин отметил, что заказчики смогут полностью окупить свои затраты на приобретение MaxPatrol Carbon за три года — то есть финансовая составляющая не является главным приоритетом при разработке новой экосистемы. Однако сформулированного выше вопроса это не снимает.
Во-первых, компания может стать объектом кибератак нескольких разных групп хакеров. Одни уже перейдут в атаку, тогда как другие будут ещё заняты размещением своих инструментов в инфраструктуре жертвы. Разве можно разделять их угрозы, обрабатывая разными продуктами?
Кроме того, если компания уже внедрила у себя MaxPatrol O2, то существует ли реальная потребность в MaxPatrol Carbon? Ведь очевидно, что оба метапродукта будут реагировать на присутствие хакеров вне зависимости от того, на какой стадии атаки те находятся.
Рисунок 5. Бизнес-цели внедрения MaxPatrol Carbon
По всей видимости, Positive Technologies руководствовалась не только желанием выделить «естественно существующие участки ИБ». Здесь просматривается другой, новый подход: дать заказчику возможность постепенного перехода к новой концепции безопасности.
Похоже, Positive Technologies стремится предложить рынку не замену существующих ИБ-инструментов, а надстройку в виде экосистемы управляющих продуктов верхнего уровня. Поэтому сохраняется деление по отдельным направлениям ИБ.
Такой подход позволит постепенно закрывать наиболее проблемные участки обороны, принимая во внимание аппаратные и людские ресурсы, которыми располагает организация. Цель — постепенный переход на комплексную ИБ-защиту с обширным использованием средств автоматизации.
Новый интерфейс для анализа инцидентов и рисков
Очевидно, что предложенная концепция результативной кибербезопасности потребует пересмотреть то, как визуализируется аналитика по текущему состоянию киберугроз. Собственно, это уже и произошло. Сначала в MaxPatrol O2, а теперь и в MaxPatrol Carbon появился интерфейс представления данных в виде многоуровневого графа.
Рисунок 6. Новый интерфейс для задач анализа инцидентов
В новом интерфейсе собирается вся информация об инцидентах в пределах контролируемой инфраструктуры, выводятся данные об известных тактиках хакерских атак и особенностях их реализации для конкретных группировок. Проблема неизбежного нагромождения и усложнения элементов интерфейса в случае столкновения с многомерной целевой кибератакой решается с применением средств ИИ. Система автоматически объединяет события об инцидентах, характерные для действий той или иной формы атаки или группировки, позволяя специалистам по ИБ оценивать ситуацию в полном объёме и не утрачивать контроля.
Насколько хорошо реализован этот механизм агрегации инцидентов, пока трудно сказать. Очевидно, однако, что это — одна из главных особенностей, по которым пользователи будут судить об эффективности работы новой экосистемы.
Рисунок 7. Примеры схем моделирования угроз в MaxPatrol Carbon
По мнению Positive Technologies, службы ИБ получат возможность эффективно отслеживать картину развития хакерских атак на инфраструктуру предприятия. Одновременно они смогут учитывать степень критической значимости угроз для ключевых бизнес-приоритетов. По замыслу вендора, это поможет эффективно выстраивать противодействие со стороны ИБ, контролировать складывающуюся ситуацию в целом, эффективно нейтрализовывать атаки.
По данным пентестов, проведённых Positive Technologies в 2021–2022 гг., 68 % кибератак требовали от хакеров преодоления не более чем шести преград на пути к цели. Сложившаяся ситуация явно указывает на то, что компаниям необходимо срочно пересматривать стратегию обороны. Приход автоматизированных хакерских средств может привести к очень болезненным результатам, если оставаться на прежних позициях в организации безопасности.
Рисунок 8. Статистика реализации недопустимых событий в компаниях за 2022 г.
Методики разработки архитектуры безопасности для предприятий
Предложенный Positive Technologies новый подход тесно связан с вопросом о том, как внутри компаний следует выстраивать систему ИБ. До сих пор методология выстраивания архитектуры безопасности на предприятии часто представляет собой очень запутанный процесс.
Традиционно бизнес нацелен на организацию защиты инфраструктуры и приложений. Архитектура системы возникает «естественным путём» из определённого набора инструментов для реализации задач по профилактике уязвимостей и их устранению, обнаружению атакующих действий хакеров, коррекции действий защитников, которые ставят препятствия и предотвращают развитие атак.
Считается, что наилучшим методом является выстраивание системы директивного контроля на базе политик безопасности и подготовленных процедур для нейтрализации определённых вредоносных воздействий. Однако до сих пор бизнес продолжает рассматривать ИБ как побочную деятельность «в угоду регулятору». В то же время уже на протяжении более чем 10 лет ведётся разработка новых методик, способных увязать бизнес-цели с рисками для ИБ. Наиболее значимыми называют следующие методики: SABSA, COBIT и TOGAF.
SABSA
SABSA (Sherwood Applied Business Security Architecture) — это бизнес-методология выстраивания ИБ для предприятий. Она основана на учёте рисков и касается выбора средств противодействия. SABSA не называет конкретных практик контроля, но позволяет достичь согласованности между безопасностью и целями бизнеса.
Рисунок 9. Уровни структуры SABSA (SABSA White Paper, 2009)
Методология SABSA имеет шесть уровней, пять из которых равноправны. Шестой (вертикальный) уровень «пронизывает» остальные.
Контекстуальный уровень (верхний) включает в себя бизнес-требования и цели. Концептуальный уровень создаёт представление о требуемой архитектуре средств ИБ. Логический уровень описывает взаимосвязи между элементами ИБ. На физическом уровне даётся описание того, как следует реально применять средства ИБ. На компонентном уровне задаётся структура элементов ИБ. «Сквозной» уровень определяет архитектуру средств управления, которые в той или иной мере присутствуют на пяти «основных» уровнях.
COBIT
Разработкой методологии COBIT (Control Objectives for Information and Related Technologies) занимаются с 1992 года. Её ведут ассоциация ISACA (Information Systems Audit and Control Association) и институт ITGI (IT Governance Institute).
Методология COBIT связывает бизнес-процессы и соответствующие наборы инструментов, помогая объединить технические задачи, бизнес-риски и технические требования к процессам. Фактически семейство продуктов COBIT представляет собой набор методологических практик по тому или иному направлению.
Рисунок 10. Структура практических руководств системы COBIT
Концепция COBIT строится на соблюдении следующих принципов:
- Согласование с целями владельцев бизнеса (государство, акционеры).
- Отслеживание задач на всех участках предприятия.
- Применение единой методологии для всех структур компании.
- Целостный подход к реализации задач.
- Разделение задач стратегического планирования и текущего управления.
Методологии SABSA и COBIT могут дополнять друг друга. Рассуль Газнави-Заде (R. Ghaznavi-Zadeh), ИБ-эксперт и ментор из ISACA, предложил объединённую методику для построения архитектуры безопасности на предприятиях. Её формула отражена на следующем рисунке.
Рисунок 11. Объединённая методика SABSA и COBIT (R. Ghaznavi-Zadeh)
TOGAF
Методология TOGAF (The Open Group Architecture Framework) строится на рассмотрении бизнеса в различных плоскостях и формулировании требований по каждому направлению. Это — цикличный процесс, который наилучшим образом подходит для тех предприятий, которые только начинают выстраивать свою архитектуру безопасности.
Рисунок 12. Цикл разработки системы защиты предприятия в рамках концепции TOGAF
Выводы
Positive Technologies ведёт разработку новой экосистемы метапродуктов ИБ, которая позволит выстроить безопасность для предприятий по-новому. В ноябре в её составе появился новый элемент — MaxPatrol Carbon. Сейчас этот продукт выпущен в ранней версии. В январе 2024 года должны стартовать первые «пилоты» у привилегированных заказчиков. На май 2024 года (PHDays 2024) намечен старт основных продаж MaxPatrol Carbon.
Полная экосистема, состоящая из метапродуктов MaxPatrol О2, Carbon и 1-2-3, позволит компаниям выстраивать комплексную автоматизированную защиту на основе продуктов Positive Technologies. Это позволит объединить контроль над защищённостью ИТ-инфраструктуры и бизнес-процессы.
Главной целью применения метапродуктов Positive Technologies названа невозможность реализации киберрисков, которые могут нанести непоправимый ущерб.