Защита путем размещения на сетевом периметре пассивных устройств безопасности, срабатывающих при выявлении угроз, долгое время считалась лучшим решением для обеспечения безопасности корпоративной инфраструктуры. Хотя эта технология не стояла на месте и продолжала совершенствоваться, основной принцип оставался прежним, и до сих пор многие компании выбирают именно такую архитектуру.
Однако специфика угроз сильно изменилась за прошедшие годы, они стали значительно изощренней. В их основе появились методы, нацеленные на уход от обнаружения. Угрозы научились скрываться за легальным ПО, маскировать свои данные под законный трафик и даже отключать сетевые средства защиты.
Сегодня чтобы предотвратить опасность, вовремя обнаружить ее и правильно отреагировать, необходимо переходить на проактивные системы защиты. Они способны распознавать признаки атаки, выявлять отклонения, возникающие в привычной работе систем, выявлять возникающие угрозы еще до того, как они успевают нанести непоправимый вред. Такую надежность и эффективность защиты можно получить сегодня только при использовании интеллектуальных методов защиты.
Качество информации о внешних угрозах зависит от качества источника
Работа практически любого применяемого сегодня устройства защиты основана на использовании дополнительных данных, получаемых извне. Это могут быть регулярные обновления кода или наборы новых сигнатур, новые алгоритмы обнаружения, дополнительные сведения о свежих угрозах. При отсутствии такого канала ценность инструмента быстро теряется благодаря активным действиям мошенников, которые совершенствуют и изменяют свою стратегию и тактику атаки. Для достижения успеха в защите от угроз сегодня недостаточно только высокого уровня проработки устройства защиты. Не менее важное значение играют экспертиза команды исследователей, поддерживающих разработку вендора, и предоставляемая ими дополнительная информация, ее полнота и точность.
Именно с этого края чаще всего приходят сегодня проблемы, которые делают работу системы безопасности неэффективной. Согласно отчету Cost of Data Breach Report за 2018 год, подготовленного институтом Ponemom, среднее время обнаружения проникновения угрозы составляет 266 дней от момента нарушения сетевого периметра, среднее время выявления подмены или кражи информации - 197 дней, средняя продолжительность устранения нарушения – еще 69 дней от момента его выявления. Задержка ответной реакции получается слишком большой, и значительная ее доля объясняется недостаточной экспертизой в отношении возникших угроз.
Ценность экспертизы зависит от разных факторов. Например, от полноты информации, собранной вендором устройства. Количество установленных датчиков, места их размещения, характер собираемой информации – все эти факторы критически важны, чтобы обеспечить качественный результат. Большое значение играет также количество исследователей, вовлеченных в анализ собранных данных или участвующих в анализе возникшей проблемы. При накоплении больших объемов информации существенную роль играет использование искусственных нейросетей, помогающих ускорить выявление угроз, которые выпали из-под внимания аналитиков, и их оценку.
В то же время дальновидные руководители понимают, что для выявления криминальной активности нельзя полагаться исключительно на данные, предоставляемые вендорами используемых систем защиты. При внутренних расследованиях они используют также информацию, полученную из других источников. Они понимают, что установленная система защиты и собранные ее производителем данные имеют одни и те же ограничения, поэтому нельзя ограничиваться только одним решением.
Это же понимают и вендоры, которые не ограничивают свою стратегию только сегодняшним днем. Это – одна из причин, зачем Fortinet вошла в число участников альянса Cyber Threat Alliance (CTA). Такой подход гарантирует ее исследователям доступ к различным источникам данных, помогает повысить точность срабатывания применяемого интеллектуального механизма выявления угроз.
Но не следует ограничивать внимание только сбором необработанных данных. Следует также обеспечить удобство предоставления данных. Идеальный вариант – когда данные можно легко интегрировать в используемые инструменты защиты. Но обычно требуется определенная предварительная обработка, прежде чем с полученными данными становится возможно работать. Поэтому необходимо заранее задуматься о подборе конвертора.
Сбор и обработка данных для накопления собственной экспертизы компаний для защиты от угроз
Компаниям не стоит ограничиваться только внешней экспертизой вендоров. Важное значение имеет собственный сбор данных об угрозах, их сопоставление и анализ. Главная трудность на этом пути для компаний заключается в том, что большинство используемых средств защиты работают изолированно. Они умеют собирать большие объемы данных в журналах, дают подробные отчеты. Однако обмен этими данными с другими инструментами защиты и сопоставление собранной информации оказывается непростым.
Если межсетевой экран нового поколения (Next-Generation Firewall, NGFW) не умеет «общаться» с брандмауэром для интернет‑приложений (Web Application Firewall, WAF) или шлюзом безопасности электронной почты (Secure Email Gateway), то из поля внимания исследователей может выпасть важная часть информации, относящаяся к работе этих инструментов. Поэтому очень часто приходится работать вручную, сверяя файлы журналов и отчеты, предоставленные различными инструментами. В такой ситуации легко не заметить важные детали, которые способны выявить возникающий риск или нарушение.
Как минимум, необходимо добиваться того, чтобы используемые инструменты защиты могли собирать, обмениваться между собой и сопоставлять данные об угрозах. Тогда становится возможным быстро выявлять возникающие проблемы и с помощью тех же инструментов координировано реагировать на инциденты. Должна существовать также возможность обмена собранной аналитикой и исходными данными, чтобы иметь возможность сопоставлять ее с информацией, полученной от других сегментов распределенной сети, включая подключения программно-определяемых магистральных сетей SD-WAN, периферийных сетей на распределенных предприятиях SD-Branch, мобильных пользователей и IoT-устройств, а также сегментов мультиоблачной среды.
SIEM-инструменты могут также играть важную роль для сбора и сопоставления информации об угрозах, получаемой из самых разнообразных источников. Они могут также координировать действия для создания эффективного противодействия. В конечном счете, из всех этих элементов может быть выстроена эффективная среда NOC/SOC, которая позволит детально сопоставлять и анализировать сетевую активность для выявления в ней опасных признаков.
Машинное обучение и ИИ – основы систем интеллектуальной защиты
Пока это только начало. В системах защиты следующего поколения практически каждый элемент должен обладать определенной экспертизой защиты, уметь подробно анализировать и сопоставлять информацию об угрозах, полученных из других источников. Возможности современных систем все еще довольно ограничены. На их место придут системы машинного обучения, которые получая необходимые исходные данные и проводя по ним обучение, смогут выявлять признаки угроз и предоставлять инструкции для противодействия и защиты. Работая вместе с ИИ, такие системы смогут предугадывать дальнейшие действия злоумышленников и заранее автоматически лишать его возможности действовать. Кроме этого, они смогут предсказывать возможные угрозы и указывать место, откуда может начаться атака, позволяя еще до ее запуска оказать противодействие.
Для появления таких систем необходимо выполнение двух условий. Во-первых, на уровне самих устройств защиты должен не только осуществляться сбор и анализ данных, а также существовать автономным механизм для принятие необходимых действий. Это позволит своевременно реагировать на возникающие атаки. Во-вторых, собранная информация должна быть доступна для центральной системы. Там будет осуществляться дополнительный анализ данных для уточнения предпринимаемых действий и их усиления. Это также позволит эффективно координировать поступающие предупреждения об угрозах и предпринимать ответные действия в масштабах всей сети.
Обмен данными крайне важен
Наконец, мы дошли до самого важного элемента создаваемой системы защиты, значение которого трудно переоценить. Если мы действительно хотим идти на шаг впереди киберпреступников, нацеленных на разрушение легитимных бизнес-систем, то потребуется организовать обмен информацией, который будет распространяться на все существующие уровни - от отдельных предприятий до многовендорных альянсов, таких как Cyber Threat Alliance. Развивая собственную экспертизу внутри компаний, ее можно применять не только для защиты корпоративной сети, но также для обеспечения безопасности других сетей, а также для развития экспертизы ИИ и других механизмов. Поэтому, как минимум, компаниям следует рассмотреть для себя необходимость присоединения, например, к одному из отраслевых или региональных объединений ISAC для обмена данными, а также в установке обратной связи с вендорами используемых систем защиты, помогая им совершенствовать свои технологии.
На пути к построению сетей с проактивной защитой
По мере нарастания цифровой трансформации будет меняться и бизнес, и сети. Потребуется создание надежной проактивной системы интеллектуальной защиты от угроз. Она будет формироваться из разнообразных элементов и будет встроена в архитектуру самой сети. Благодаря такому подходу, элементы сетевой безопасности будут автоматически реконфигурироваться и динамически реагировать на сиюминутные изменения даже в самых сложных, распределенных сетевых конфигурациях.
Подготовка к переходу на новое третье поколение систем сетевой защиты уже началась. Сегодня она связана со строительством глубоко эшелонированной платформы безопасности и интеграцией ее элементов. Она будет работать как единый, бесшовный механизм и придет на смену системы защиты прежнего поколения, выстроенной на базе отдельных физических и виртуальных устройств.