Интервью с Мунаваром Хоссейном, Cisco

Мунавар Хоссейн: Панацеи нет, поэтому Cisco продвигает архитектурный подход

Мунавар Хоссейн: Панацеи нет, поэтому Cisco продвигает архитектурный подход

Мунавар Хоссейн

Директор по развитию продуктов бизнес-подразделения Cisco по информационной безопасности. Он начал работать в компании в 2000 году.

За время своей деятельности в команде Security Мунавар руководил развитием продуктовых линеек по ряду ключевых ИБ-направлений, включая IPS, VPN, email/веб-безопасность, решения для ЦОД и операторов связи, SDN, безопасность облака и DDoS.

Ему принадлежат 3 патента в области информационной безопасности.

...

Директор департамента Cisco по продвижению решений информационной безопасности Мунавар Хоссейн рассказал читателям Anti-Malware.ru о ландшафте угроз, системном подходе к безопасности и перспективах машинного обучения.

Начнем с ландшафта угроз. Какие тенденции, на ваш взгляд, на нем наблюдаются? На что стоит обратить особое внимание?

М. Х.: Можно выделить несколько новых типов угроз. Одна из них состоит в том, что возникает много устройств, которые подключаются друг к другу и к сети, — то, что мы называем интернетом вещей (прим. ред. — IoT). Количество таких устройств растет быстрыми темпами, и это влечет проблемы. Бизнес говорит ИТ, что надо подключать новые устройства — и их становится все больше. Если в случае ИТ все работает нормально, то в случае с ОТ (прим. ред. — операционные технологии) проблемы возникают там, где мы имеем большое количество устаревшего оборудования. Возьмем, например, датчики в нефтегазовой отрасли — каждый из них сложно защитить по отдельности. Кроме того, очень много старого программного обеспечения, устаревших операционных систем. Именно там прежде всего возникают окна уязвимостей.

Развиваются вирусы-вымогатели (прим. ред. — ransomware), которые нарушают нормальную работу сети. Хакер использует уязвимость, взламывает систему безопасности, нарушает работу сети, а потом говорит: «Вы хотите, чтобы все работало нормально? Заплатите мне в биткойнах, и я все сделаю». То есть сначала идет атака, потом устанавливается контроль над системой, затем шифрование данных жертвы, и потом требуется выкуп.

Все чаще затрагиваются интересы государственных служб. Недавно подобной атаке подверглись информационные системы города Атланта. В частности, полиция потеряла доступ к записям в базах данных и получила сообщение: «Платите, иначе мы сотрем все данные». И полиции пришлось вернуться к практике 1970-1980-х годов, поднимать бумажные архивы и какое-то время работать вручную.

Третий тип атак связан с облачными технологиями, с SaaS. Мы становимся все более и более зависимы от инфраструктуры SaaS и пользуемся Google, Facebook, Dropbox и другими сервисами. В итоге мы видим все больше атак на SaaS, в том числе через несанкционированную активность — например, доступ к запрещенным корпоративной политикой SaaS-сервисам. Также угрозы связаны с публичной IaaS-инфраструктурой. Когда у вас есть частный ЦОД и вы передаете облачные нагрузки, к примеру, в Amazon Web Services, то они должны быть должным образом защищены, иначе произойдет заражение. И это происходит довольно часто, потому что о безопасности здесь заботятся недостаточно. 

Можно ли в ближайшее время ожидать объединения одного или нескольких векторов в новые направления — например, программы-вымогатели и интернет вещей?

М. Х.: Это уже происходит. Был случай, когда хакеры взломали инфраструктуру умного здания и повысили температуру в этом здании. После этого они послали сообщение: «Если вы не заплатите, мы будем поднимать температуру еще выше».

Если говорить об атаках, связанных с государством, насколько в ближайшее время возможно усиление такого рода атак на производственные предприятия?

М. Х.: Когда я говорил о государстве применительно к хакерским атакам, я имел в виду, что хакеры раньше атаковали просто физическое или юридическую лицо, а сейчас мы видим попытки атак на государственные организации. Что же касается атак одного государства на другое, то сложно прокомментировать реальную принадлежность таких инцидентов. Но здесь есть одна особенность: как правило, государственные хакерские разработки связаны не с деньгами, а с кражей информации. Когда хакер что-то шифрует, то ему нужны деньги, а государству деньги не нужны, ему нужна информация, учетные записи, проникновение в инфраструктуру. Поэтому я не думаю, что программы-вымогатели в OT будут использоваться на межгосударственном уровне, там будут другие механизмы.

Я упомянул случай с атакой на городские системы Атланты. Когда люди обсуждали атаку, они шутили, что полиция потеряла доступ к штрафам за парковку. Но что если бы это была атака на ядерный реактор? Значит, в принципе атака на государственную инфраструктуру возможна. И если бы это произошло, это могло бы привести к очень печальным последствиям.

Если следить за аналитикой уязвимостей, которая публикуется на специализированных сайтах, становится очевидно, что уязвимости находятся везде и мы живем в мире тотальной уязвимости. Какой стратегии в этих условиях должны придерживаться предприятия?

М. Х.: Есть один удивительный факт: если мы посмотрим на количество уязвимостей, мы увидим, что критических уязвимостей — небольшая горстка, а вот атак становится все больше и больше. Все дело в том, что есть уязвимости, а есть инструменты их эксплуатации, и на одну уязвимость приходятся десятки таких инструментов. Что делать в этих условиях? Мы можем предоставить разные решения в области безопасности: сетевой экран, антивирус, веб-политики, сигнатуры атак, но важно, чтобы эти решения не были заточены под хакерские инструменты.

Возьмем такую уязвимость как переполнение буфера. Один инструмент говорит — переполнить буфер на 50 байт, второй — на 100 байт, третий — на 150, все это закроешь — получишь переполнение на 151. Но если инструмент будет бороться против переполнения буфера как такового, тогда мы сможем защититься. В общем, стратегия должна быть такая: все средства защиты должны быть заточены на саму уязвимость.

Если взять WannaCry, существует несколько сотен его модификаций. При этом мы использовали только одну сигнатуру в IPS, которая успешно боролась с уязвимостью Eternal Blue. Подход заключается в том, что сигнатура борется с причиной WannaСry, а не с самим вирусом.

Вы спрашивали, могут ли угрозы сочетаться, — конечно, могут, — но точно так же могут сочетаться и подходы к защите, поэтому Cisco говорит об архитектурном подходе к безопасности. То же ransomware часто внедряет вредоносный код в систему через e-mail. Если система защиты электронной почты не смогла обнаружить эту угрозу, мы можем проанализировать адрес URL, оценить репутацию этого адреса системой Talos, то есть необходим системный, смешанный, архитектурный подход. Нет такого продукта, который смог бы вас полностью защитить, панацеи нет, поэтому необходимо использовать все средства, которые бы работали как единое целое.

О таком комплексном подходе говорят многие вендоры. Хочется понять: все изменения в ландшафте угроз, о которых мы говорили, — как они должны повлиять на стратегию предприятия в области ИБ, какие реальные шаги должны быть и что предлагает здесь Cisco?

М. Х.: Прежде всего необходимо повышать прозрачность. Нельзя предотвратить то, чего мы не видим. Как повысить прозрачность? Необходим глобальный взгляд на угрозы, я противопоставляю глобальный взгляд локальному. Если ваш межсетевой экран что-то увидел и вы рассматриваете этот факт отдельно, подход будет близоруким. Гораздо лучше, если вы посмотрите на ситуацию в широком контексте. Это возможно, если вы используете облачную технологию, которая «видит весь интернет».

В России не очень-то любят облака, особенно зарубежные. Возможно ли обойтись без них?

М. Х.: Здесь имеются в виду не столько облака, сколько глобальный анализ угроз, который показывает, что происходит во всем мире, а не только в локальной точке. Этот глобальный анализ доставляется на предприятие с помощью инструментов Threat Intelligenсe, тем самым предприятие ориентируется не только на то, что происходит у него, а на то, что видит весь мир. Так организация получает глобальное видение угроз, с которыми она еще не столкнулась, но может столкнуться в будущем.

В данном случае я привел лишь один пример, а есть еще как минимум пять подходов. Второй подход — сегментировать сеть разными способами: использовать виртуальные сети, коммутируемые сети и так далее, сервисы идентификации, которые позволят увидеть, что за человек пытается получить доступ, что у него за устройство, что это за тип сотрудника — постоянный или временный, находится он в помещении компании или вне офиса, получает он доступ по проводным каналам или по беспроводным. В результате организация разрабатывает соответствующие политики безопасности — например, если сотрудник временный, то он не имеет доступа к записям отдела кадров, если ноутбук не является зарегистрированным, то он не может получить доступ к корпоративным базам данных, если есть попытка входа в сеть с неизвестного устройства, человек получает доступ только к части данных, а не ко всему объему.

Вы говорили о микросегментировании, идентификации устройств и определении для них политик. Возможна ли на данный момент автоматизация этого процесса на лету с минимальным участием администраторов?

М. Х.: Да, это можно автоматизировать, но когда мы спрашиваем заказчиков, нравится ли им автоматизация и хотели бы они ее использовать, они обычно отвечают, что хотели бы доверять, но проверять (то есть чтобы все равно был сотрудник, отвечающий за эти процессы). Допустим, система рекомендует, что предпринять, а сотрудник решает и делает. Или не делает. Полной автоматизации люди пока боятся из-за ложных срабатываний: произойти может что-то неопасное, но ответная реакция нарушит работу сети, и этого им хотелось бы избежать.

Какова роль искусственного интеллекта и технологий машинного обучения в новой концепции безопасности Сisco?

М. Х.: Искусственный интеллект и машинное обучение — это способы автоматизации, которые помогают видеть отклонения от нормального поведения и прогнозировать результаты этого отклонения. Мы знаем, что если мы видим А, видим B, видим С — значит, произойдет D.

Во многих наших решениях помимо стандартных сигнатурных подходов используется машинное обучение — например, в таких решениях как StealthWatch, Umbrella, Cognitive Threat Analytics и во множестве других.

Уточним: с вашей точки зрения, машинное обучение и искусственный интеллект являются не прорывной технологией, а еще одним элементом в обеспечении безопасности?

М. Х.: Нет, я как раз считаю, что это прорывная технология, просто она сейчас находится в младенческом состоянии, ее лучшие годы впереди. Тогда она реально начнет оказывать большое влияние на нас. Но, как я уже сказал, нет какого-то одного инструмента или какой-то одной технологии, которая дала бы вам стопроцентную защиту, необходим системный подход, глобальный взгляд, сегментация, шифрование, анализ аномального поведения, все нужно делать в комплексе.

За последние несколько лет мы видели, что Cisco поглотила целый ряд компаний. В чем состоит конечная цель этих поглощений?

М. Х.: Мы хотим иметь самое полное в отрасли портфолио решений, чтобы обеспечить целостный подход к защите. Для этого мы либо сами разрабатываем собственные продукты, либо приобретаем готовые решения, либо вступаем в технологические партнерства с другими разработчиками. Стратегия Cisco заключается в том, что мы не приобретаем компании в тех областях, которые стагнируют, развиваются медленно или имеют небольшой рыночный потенциал. Мы стремимся приобретать компании на рынках, которые демонстрируют динамичный рост.

Взять рынок DLP, объем рынка — 600 млн долларов, рост небольшой, многие вендоры уходят. Он важен, но мы решили сами не заниматься разработкой, а заключить партнерское соглашение с одной из ведущих компаний в этой области — Digital Guardian — и встроили их решение в системы электронной почты. Если взять NGFW, мы разрабатываем его сами. А, скажем, рыночный сегмент Cloud Access Security Broker (CASB) растет двузначными цифрами, поэтому мы приобрели компанию Сloudlock.

В вашей презентации прозвучала одна интересная цифра из отчета Cisco, что в среднем в крупной компании используется около 50 защитных решений от различных вендоров. Как повысить управляемость этим зоопарком продуктов и какова здесь правильная стратегия?

М. Х.: Для начала необходим эгоистичный подход — приобретайте продукты вендоров, у которых есть полный портфель решений, как у Cisco. Также нужна открытая архитектура, потому что вся сложность управлениям этим зоопарком возникает от того, что все решения должны коммуницировать друг с другом, должны обмениваться информацией, коррелировать свою деятельность.

На этапе конфигурации новое решение может повлиять на решения других вендоров. Допустим, сетевой экран от вендора X и система предотвращения вторжений от вендора X — все хорошо, они работают, а вот если вы хотите поставить систему предотвращения вторжений от вендора Y, они могут между собой быть несовместимы. Поэтому вендоры также должны исповедовать открытый подход, чтобы иметь возможность управлять системами третьих сторон.

Не готово ли Cisco создать экосистему или альянс, чтобы исправить индустриальные проблемы и научить 1500 продуктов, представленных на рынке ИБ, общаться между собой?

М. Х.: Мы действуем в трех направлениях. Во-первых, Cisco само открывает интерфейсы прикладного программирования API, с тем чтобы решения Cisco могли управляться продуктами других компаний.

Во-вторых, здесь нужна разработка новых стандартов для обмена информацией о событиях между устройствами, таких как pxGrid.

И, в-третьих, надо следовать промышленным стандартам и использовать те стандарты, которые уже имеются для совместимости и взаимодействия.

Благодарим за интервью и желаем успехов!