Цифры говорят
Отчет Cisco об информационной безопасности, ч.2: Что делать
15.09.2015 |
Вторая часть обзора пресс-брифинга, на котором компания Cisco представила свой традиционный полугодовой отчет по информационной безопасности. Вслед за перечислением основных угроз, с которыми ежедневно сталкиваются компании во всем мире, бизнес-консультант Cisco по информационной безопасности (ИБ) Алексей Лукацкий рассказал, какие меры помогут эффективно бороться с ними.
Первую часть материала, посвященного отчету Cisco, см. здесь.
Старыми методами — утверждает Cisco - эффективно бороться с киберпреступностью невозможно. Если раньше каждая компания могла в одиночку справляться с одиночными хакерами или группировками, то сегодня ей приходится иметь дело с целой индустрией, которая обменивается информацией, продает ее, предоставляет партнерские программы, создает специальные системы поддержки для купленного вредоносного кода. К сожалению, не все компании в области ИБ осознают, что надо обмениваться информацией между собой, причем информацией реальной, а не сфальсифицированной.
По словам Алексея Лукацкого, компаниям в первую очередь надо научиться писать единые стандарты, по которым их продукты будут взаимодействовать между собой, — то, к чему давно пришли на традиционном рынке ПО. «В 90-х годах мы разработали специальный протокол, который был предназначен для обмена информацией об атаках, и внедрили его в нашу систему предотвращения вторжений, предложив всем желающим сделать то же самое. К сожалению, за исключением двух компаний, никто этого не сделал. Сейчас ситуация аналогичная. Многие думают, что если они начнут отдавать информацию другим игрокам рынка, это ослабит их рыночные позиции, а если они смогут открыть какие-то интерфейсы к своим решениям, то другие их продукты не будут покупать. Типичный взгляд любого бизнесмена, который прежде всего думает о личной выгоде и только потом о какой-то социальной ответственности – до определенного момента. Сейчас этот момент настает: в одиночку справляться невозможно», - заявил спикер.
Главным призывом Cisco можно считать создание решения из компонентов,
связанных между собой и с внешней средой едиными стандартами
Сегодня активно развивается рост сегмента Threat Intelligence – обмена информацией об угрозах. С этим связана покупка Cisco компании Threat Grid, которая занимается аналитикой в области угроз и отдает эту информацию многим другим игрокам рынка, которые пользуются ее данными для анализа вредоносного кода.
Однако усилия компаний в области ИБ могут быть тщетными, если не получат поддержку государства. С точки зрения регулирования вопросов ИБ, регуляторы в разных странах могут практиковать три способа законодательных активностей: ужесточение контроля, разделяемый доступ (например, Евросоюз, который в рамках всех своих государств использует единый подход), установка лишь общих «правил игры». К сожалению, на уровне глобальных соглашений пока ничего конкретного не было создано. Нет даже общепринятых определений кибертерроризма, киберпреступности, кибервойны и т. д.
Более того, политики могут принимать решения, которые мешают деятельности компаний, занимающихся ИБ. Так, Вассенаарские соглашения, принятые в 1996 году для контроля экспорта технологий двойного назначения в военной сфере, в 2013 году пополнились пунктом о контроле технологий, используемых для обхода средств защиты. Под этим в том числе стали понимать и информационные ресурсы – например, данные об уязвимостях и методах злоумышленников. Сейчас в США идет активная дискуссия на эту тему: если будет принята последняя версия Вассенаарских соглашений, американским компаниям будет запрещено без специального разрешения (экспортной лицензии) распространять за пределы страны информацию о методах злоумышленников. Разумеется, злоумышленники при этом по-прежнему будут использовать анонимные сети, а вот компании, которые занимаются исследованиями в области ИБ, не смогут без разрешения, например, приехать на европейскую конференцию или даже разместить данные на своем сайте. Аналогичные правила уже были приняты в Евросоюзе (правда, ограничения коснулись только продуктов) и в России.
Евгений Акимов, директор по развитию бизнеса Центра информационной безопасности компании «Инфосистемы Джет»:
Комментируя отчет Cisco, особенно хочется подчеркнуть тот факт, что в нем подчеркивается важность требований к разработчику обеспечить безопасность на всех стадиях разработки продукта (как правило, программного). Речь идет и о программном коде, и о людях, которые привлекаются к проектированию архитектуры внедрения. В большинстве случаев при создании каких-либо бизнес-систем (CRM, интернет-сайты и т. д.) основной упор продолжает делаться на обеспечение основного бизнес-функционала с ориентацией на удобство пользователя, максимально полную реализацию бизнес-процесса. Тема безопасности в этом процессе присутствует фрагментарно. Cisco говорит о том, что ситуация меняется: компания, которая заказывает что-то (будь то приложение, разрабатываемое с нуля, или интеграционный проект), сразу должна пристальное внимание уделять безопасности на всех стадиях: написания кода, интеграции, администрирования, последующей технической поддержки и т.д. Комплексность такого подхода понятна и прозрачна, но на практике до сих пор мало кто так делает.
Комментируя отчет Cisco, особенно хочется подчеркнуть тот факт, что в нем подчеркивается важность требований к разработчику обеспечить безопасность на всех стадиях разработки продукта (как правило, программного). Речь идет и о программном коде, и о людях, которые привлекаются к проектированию архитектуры внедрения. В большинстве случаев при создании каких-либо бизнес-систем (CRM, интернет-сайты и т. д.) основной упор продолжает делаться на обеспечение основного бизнес-функционала с ориентацией на удобство пользователя, максимально полную реализацию бизнес-процесса. Тема безопасности в этом процессе присутствует фрагментарно. Cisco говорит о том, что ситуация меняется: компания, которая заказывает что-то (будь то приложение, разрабатываемое с нуля, или интеграционный проект), сразу должна пристальное внимание уделять безопасности на всех стадиях: написания кода, интеграции, администрирования, последующей технической поддержки и т.д. Комплексность такого подхода понятна и прозрачна, но на практике до сих пор мало кто так делает.
Потребителям ИТ-решений по ИБ приходится делать выбор: полностью полагаться на вендорские решения или строить собственные, при этом все время отслеживая тенденции рынка. Та же проблема коснулась и самих разработчиков средств защиты, а именно нишевых игроков, которые выпускают только несколько продуктов для конкретных потребностей, но не видят картину в целом. Крупные игроки, в свою очередь, могут предлагать широкое портфолио по ИБ, но далеко не всегда их решения интегрируются между собой. Это происходит, когда вендор приобретает компании с набором разрозненных продуктов и просто объединяет их под общей торговой маркой. В итоге потребитель вынужден работать с «зоопарком» средств защиты. По статистике Cisco, у среднего корпоративного заказчика может быть около 50 средств защиты от различных производителей: антивирусы, системы предотвращения вторжения, межсетевые экраны, средства защиты мобильных устройств и т. д.
Требования от производителя высокого качества продукта на всех стадиях — необходимое условие безопасности
К тому же, по словам представителя Cisco, даже лучшие продукты на рынке зачастую решают лишь свою узкую задачу - например, широко разрекламированная технология Next Generation Firewall - только одно из звеньев в общей системе защиты. Компаниям необходимо уметь интегрировать различные продукты между собой. В Cisco этому уделяется много внимания: здесь уже давно разрабатываются специальные средства для обмена данными как с внешними решениями, так и внутри одной системы, есть специальная инфраструктура. Средства защиты обмениваются данными самостоятельно, без участия человека. Разумеется, при этом продукты разных производителей должны поддерживать единые стандарты, что происходит далеко не всегда.
Алексей Лукацкий отметил также, что сегодня существенно возросли требования к гарантиям производителя средств защиты. Заказчикам необходимо проявлять большую осмотрительность при выборе партнеров, а те должны гарантировать работоспособность, поддержку и обновления программно-аппаратного комплекса. Для этого идет освоение определенной схемы взаимоотношений с производителями, основанной на долгосрочном сотрудничестве: Vendor relationship management (VRM).
Евгений Дружинин, ведущий эксперт направления информационной безопасности компании КРОК:
Действительно, организация комплексной безопасности, покрывающей все возможные точки контроля и блокирования угроз, очень важна. Речь идет о том, что должны быть средства защиты, анализа, мониторинга и пр., и все это должно быть управляемо. В общем случае и на базе одного вендора это не реализуемо. Интеграторы, и КРОК тут не исключение, как раз стремятся строить комплексные решения, учитывая всю совокупность разнородных угроз, интегрируя решения различных производителей в нечто связное.
Действительно, организация комплексной безопасности, покрывающей все возможные точки контроля и блокирования угроз, очень важна. Речь идет о том, что должны быть средства защиты, анализа, мониторинга и пр., и все это должно быть управляемо. В общем случае и на базе одного вендора это не реализуемо. Интеграторы, и КРОК тут не исключение, как раз стремятся строить комплексные решения, учитывая всю совокупность разнородных угроз, интегрируя решения различных производителей в нечто связное.
Поскольку ИТ-специалистов на рынке не хватает, активно развивается рынок аутсорсинга ИБ. По оценке Cisco, к 2020 в мире нехватка ИТ-специалистов по ИБ достигнет 1 млн, в России - около 55-60 тыс. Такой дефицит обусловлен развитием Интернета вещей и, соответственно, увеличением числа устройств, которые должны иметь некие механизмы защиты.
Наряду с другими функциями в ИТ, информационная безопасность тоже может быть отдана на аутсорсинг
Евгений Акимов, директор по развитию бизнеса Центра информационной безопасности компании «Инфосистемы Джет»:
Сегодня исключительно малое число решений по безопасности можно внедрять «не глядя по сторонам». Для гарантированной эффективности систем безопасности, адекватных объему возможных противоправных действий, между ними необходим полноценный информационный обмен. Поэтому сама по себе идея интегрированных друг с другом решений далеко не беспочвенна. Вопрос в том, что понимать под интегрированными решениями. Можно использовать прединтегрированные решения от одного производителя, но не обязательно. Интегрированные решения от разных производителей – тоже реализация данной концепции.
Сегодня исключительно малое число решений по безопасности можно внедрять «не глядя по сторонам». Для гарантированной эффективности систем безопасности, адекватных объему возможных противоправных действий, между ними необходим полноценный информационный обмен. Поэтому сама по себе идея интегрированных друг с другом решений далеко не беспочвенна. Вопрос в том, что понимать под интегрированными решениями. Можно использовать прединтегрированные решения от одного производителя, но не обязательно. Интегрированные решения от разных производителей – тоже реализация данной концепции.
«Бороться с киберпреступностью при помощи одиночных решений невозможно: злоумышленники найдут способы обхода каждого из них по отдельности. «Лоскутное одеяло» из продуктов не добавляет защищенности заказчику. Необходимо, чтобы все средства защиты интегрировались между собой, обменивались информацией и получали данные извне. В этом случае мы сможем сократить время обнаружения вредоносной активности от средних по рынку 200 дней до нескольких дней или даже часов. Пора думать о смене стратегии, попытаться поставить себя на место злоумышленника и предугадать, что он может сделать. А внедренный продукт должен бороться с угрозами до их появления на периметре защищаемого объекта, во время реализации угрозы и после заражения узла или сети», - подвел итог Алексей Лукацкий.
Cisco практически каждый квартал анонсирует разработки в области ИБ. Так, на последнем мероприятии Cisco Live в США компания предложила целый ряд новых технологий и продуктов: индустриальные системы защиты для защиты АСУТП, расширение функциональности по защите на своем сетевом оборудовании (маршрутизаторах), новое устройство Firepower 9300 — мультитерабитную систему защиты для операторов связи, новый облачный сервис для идентификации и аутентификации пользователей, развитие системы защиты филиалов. В октябре 2015 года Cisco планирует рассказать об очередных новинках в области ИБ.
Интересные ссылки
- СберТех существенно расширил возможности СУБД Platform V Pangolin: миграция с зарубежных решений стала еще быстрее, а производительность выше
- Подведены итоги конкурса «Импортонезависимость в телекоммуникациях»
- Treolan — официальный дистрибьютор Postgres Pro
- ГК Softline добавила ESM-систему Altevics от вендоров Cleverics и GreenData в продуктовый портфель
- Колибри-АРМ презентует партнерскую программу
СПЕЦПРОЕКТ
ECM.ICT-ONLINE Автоматизация процессов документооборота и делопроизводства
Конечно, сейчас важнейшим фактором успеха в отражении кибератак является согласованность работы всех систем защиты и аналитики. На практике это означает, что в компании должна быть интегрированная система ИБ. Об этом говорится довольно давно, но, к сожалению, это остается недостижимым идеалом для многих организаций. Куда проще поставить отдельные продукты и просто мониторить их работу.