Конвергенция и интеграция — вместо слишком тяжелой «брони»

В августе этого года одна из крупнейших компаний нефтегазовой отрасли Ближнего Востока объявила о беспрецедентном по своим масштабам повреждении своей корпоративной инфраструктуры — несколько десятков тысяч рабочих станций были полностью выведены из строя в результате кибератаки неизвестного происхождения. К счастью, если так можно сказать, пораженные рабочие станции не были задействованы в основных бизнес-процессах компании и ущерб, сам по себе просто огромный, был, тем не менее, значительно меньше того, захвати этот инцидент системы критической инфраструктуры.

Данное событие не получило столь широкой известности, как раскрытие информации о Stuxnet и Operation Aurora в 2010 году или публикации о Flame в начале 2012. Хотя, совершенно очевидно, стоит с ними не просто в одном ряду, но скорее должно занять особое место в списке событий, которые приведут в итоге к полному изменению нашего понимания самой сути противостояния киберугрозам. И это событие должно поставить точку в очередной главе книги о всемирной истории систем информационной безопасности, которая писалась в рамках парадигмы наращивания защиты инфраструктуры на каждом из уровней, в каждом из критических узлов.

Именно в рамках этой парадигмы была, скорее всего, построена система упомянутой выше компании. Именно по этим принципам построены системы защиты большинства компаний в настоящее время. И эта защита в современном мире не позволяет говорить о защищенности! Равно как защита хорошо экипированного средневекового рыцаря никоим образом не позволяла ему чувствовать себя защищенным в противостоянии с большим количеством плохо экипированных соперников — непробиваемая, но слишком тяжелая броня, слишком ограниченный обзор, слишком много усилий тратится на защиту даже от очень слабого и неопасного удара. Точно также сейчас себя чувствуют большинство офицеров безопасности, отвечающих за защиту крупных корпоративных сетей и информационных ресурсов, но давайте разберемся в этой аналогии более подробно.

Итак, современная система информационной безопасности строится из функциональных элементов, призванных защитить тот или иной уровень или узел корпоративной инфраструктуры от тех угроз, которые составляют суть модели угроз для данного объекта. Все на первый взгляд выглядит хорошо. Вы берете тот или иной элемент инфраструктуры и защищаете его соответствующим программно-аппаратным решением, дополняя, как водится, это решение организационными мероприятиями. Каждое из этих решений, как правило, управляется через некую консоль, а может быть несколько консолей. Сколько решений, столько и консолей. Столько и людей, которые обслуживают все эти решения и управляют ими через все эти консоли. Любое действие, которое нужно произвести в системе, построенной из таких блоков, требует огромных усилий по синхронизации данных, процессов и людей.

Грубо говоря, время реакции этой системы возрастает с ростом сложности системы. А рост сложности обусловлен ростом сложности угроз, а то, что этот рост есть, сомневаться не приходится и десятки тысяч мониторов, синхронно показавших «синий экран смерти», очень яркое тому подтверждение. Итак, мы видим, что наращивая защиту, нашу «броню», наши «доспехи», мы в какой-то момент приходим к ситуации, когда система нашей защиты, наша неспособность реагировать на инциденты, и есть самая большая уязвимость, самая большая угроза нашей корпоративной инфраструктуре, нашей безопасности.

Но не только время реакции, но понимание ситуации играют ключевую роль, когда мы говорим о способности защищаться, противостоять сложным, растянутым во времени и пространстве угрозам. И тут система безопасности, созданная из разрозненных, можно сказать изолированных, элементов опять превращается из защиты в уязвимость. Ведь, зачастую компании, подвергшиеся сложному, медленному «взлому» извне или изнутри, просто ничего не знают ни о факте вторжения, ни о его последствиях. И этому есть простое объяснение: сопоставлять происходящее, вычленять взаимосвязанные события, делать все то, что позволяет нам не просто узнать о факте вторжения, но и предотвратить, остановить только начавшуюся атаку класса APT (Advanced Persistent Threat), все это в современных системах защиты делать очень сложно. А если мы подключаем сюда и ретроспективу на масштабах даже нескольких месяцев, то становится зачастую просто невозможно.

Последним, но далеко не наименее значимым аргументом в пользу, как минимум, пересмотра существующего подхода к построению систем защиты, является, как это ни банально прозвучит, глобализация. Глобализация подразумевает не только масштаб современных киберугроз, а и более важный аспект — глобализацию контекста угроз. Так, например, если мы ранее занимались фильтрацией спама как почтового мусора, то потом эта задача трансформировалась в более сложную — спам в большей степени стал носителем не надоедливой рекламы, а вредоносов, ссылок на фишинговые сайты и т.п. Таким образом, сейчас каждый спам-инцидент можно и нужно рассматривать в глобальном контексте: вредоносный код, идущий вложением, замечен в сетевой активности определенного рода, связанной с IP-адресом в сети или доменом, с которого идут другие спам-рассылки или управляется ботнет. Если предположить, что элементы безопасности вашей инфраструктуры способны «знать» этот глобальный контекст, то ваша способность противодействовать кибератакам повышается и очень значительно — «увидев» инцидент на «радаре» своей системы, вы противодействуете не этому, скорее всего лишь видимому куску АРТ-атаки, а всему связанному с ним контексту. Этого лишены системы, построенные из изолированных, как локально, в рамках корпоративной системы безопасности, так и глобально, то есть не имеющих доступ к глобальному контексту коррелированных инцидентов, программно-аппаратных элементов и подсистем защиты.

Что же мы имеем на сегодняшний день? С одной стороны: рост АРТ с очевидной тенденцией к усложнению и выходу на «массовый рынок» и пример, с которого мы начали — ярчайшая тому иллюстрация. Что же будет предложено с другой стороны? Очевидно, что это должна быть не просто коррекция текущей парадигмы, это должна быть новая парадигма безопасности. Учитывающая и аспект «информация», и аспект «время», и аспект «контекст». Такой парадигмой, возможно, станет концепция, продвигаемая на рынок компанией McAfee в партнерстве с более чем 150 членами Security Innovation Alliance (SIA) — производителями решений в области безопасности, концепция построения систем защиты по принципу высоко интегрированных, конвергентных, платформенных решений, дополняемых глобальным контекстом обо всех инцидентах всех типов из глобального облака McAfee GTI. Этот подход, как показывает наш многолетний опыт лидера рынка информационной безопасности, сможет продолжить наращивать сопротивляемость корпоративной инфраструктуры, ее, если угодно, «иммунитет» к уже существующим и только появляющимся киберугрозам самой высокой сложности.

Как строятся такие решения без разрушения существующих систем? Какие функциональные элементы и в каких комбинациях позволяют при минимальных изменениях сразу перейти на другой уровень готовности вашей корпоративной «иммунной системы» к реагированию на атаки как извне, так изнутри? Как при этом не выйти за существующие бюджеты и возможно даже снизить расходы? Об этом и очень многом другом будет рассказано в следующих публикациях.