По мере того, как серьезность уязвимостей в системах информационной безопасности всё более увеличивается, организации начинают понимать, что им необходимо расширять свои возможности по идентификации угроз и своевременному предотвращению потери данных и других проблем. Эти компании рассматривают различные технологии и методики для улучшения своих систем безопасности, в том числе и возможности, предлагаемые двумя быстро развивающимися направлениями ИТ — анализом больших данных и сервисами, размещаемыми в облаках.

Организации рассматривают различные технологии и методики для улучшения своих систем безопасности, в том числе возможность использования с этой целью больших данных и размещаемых в облаках сервисов безопасности.

“Информационная безопасность требует радикального переосмысления, — считает Стив Вильсон, вице-президент и старший аналитик исследовательской компании Constellation Research. — Уроки в результате утечек информации за последние годы оказались весьма суровыми. При этом некоторые компании, пострадавшие от изощренных целевых атак, в том числе с использованием аппаратных закладок, вероятно, считали, что сделали всё, чтобы было в их силах, для защиты своих данных”.

Стандартные подходы к системам информационной безопасности больше не работают, поэтому руководители, отвечающие за защиту корпоративных данных, вынуждены искать альтернативные методы. В такой ситуации многие компании могут привлечь провайдеров облачных сервисов безопасности и защиты данных, указывает Йон Олтщик, ведущий аналитик консультационной компании Enterprise Strategy Group (ESG). Другие предпочтут усиливать собственную инфраструктуру безопасности с помощью новых средств защиты, устанавливаемых на рабочих местах и на узлах сети, а также путём улучшения аналитических функций системы безопасности.

Очевидно, что большие данные — совокупность разнородных сведений из различных структурированных и неструктурированных источников — имеют огромный потенциал в качестве инструмента обеспечения информационной безопасности. И все больше компаний рассматривают подобную возможность в рамках общей стратегии по использованию больших данных.

Согласно отчету компании ESG за 2013 год 44% организаций, принявших участие в опросе, указали, что они рассматривают сбор и анализ данных систем безопасности как часть общего проекта по обработке больших данных, в то время как другие 44% отметили, что скорее всего примут такое решение в ближайшие два года.

По мнению ESG, объем данных, относящихся к информационной безопасности, постоянно растет. В начале 2000-х годов данные по безопасности собирались для анализа с устройств сетевого периметра, таких как брандмауэры и системы обнаружения и предотвращения несанкционированного доступа. С течением времени аналитики отделов безопасности расширили список категорий собираемых данных, включив туда информацию о внутренних сетевых устройствах, серверах, приложениях и базах данных, отмечают аналитики из ESG.

Более новые технологии, такие как виртуализация, мобильные и облачные вычисления, обусловили дальнейшее расширение категорий и объемов собираемой информации. В результате 86% компаний собирают сегодня намного больше информации, относящейся к защите корпоративных данных, чем два года назад, указывается в отчете ESG.

Анализ больших данных для целей безопасности

Компания Automatic Data Processing (ADP), специализирующаяся на предоставлении бизнес-сервисов обработки данных для расчета заработной платы, управления кадрами и других задач, считает, что услуги по анализу больших данных в целях безопасности имеют огромные рыночные перспективы, и, по словам Виджея Ларосы, старшего директора ADP по конвергентной архитектуре безопасности, сейчас фокусируется именно на таких услугах. К этому ее подталкивают два ключевых фактора: с одной стороны, серьезно выросли возможности злоумышленников, а с другой — резкий рост числа взаимосвязанных устройств и все более широкое распространение облачных сервисов вызвали значительное увеличение объемов данных, связанных с безопасностью.

“Информацию о событиях у нас накапливается со скоростью шесть миллиардов записей в день, заносимых в наше хранилище данных с помощью системы обработки событий, — рассказывает Лароса. — Мы активно используем эти данные в реляционном режиме в хранилище данных с параллельной обработкой, поддерживая общую природу систем мониторинга и управления угрозами”.

Данные, собираемые ADP, поступают от средств защиты информации, управления сетями и проведения бизнес-транзакций. В рамках проекта по применению больших данных в целях безопасности компания развернула Hadoop-кластер из восьмидесяти узлов для хранения неструктурированной информации, а поверх кластера установила интегрированную с Hadoop реляционную базу данных.

“Мы сейчас пытаемся создать новую аналитическую систему для обработки потоковых данных в реальном времени, поддерживающей профилирование in-memory и интегрированной с новым механизмом обработки событий Complex Event Processing Engine, — продолжает Лароса. — Кроме того, у нас продолжается работа по использованию механизмов машинного обучения, выполненных по принципам открытого кода и встроенных в эти платформы больших данных, для совершенствования собственных возможностей, а также для защиты данных и средств наших клиентов”.

В ADP не уточняют, какие специфические продукты у них используются и кто их производители, однако Лароса сообщил, что первая редакция платформы обработки и хранения событий действует в компании уже около двух лет. “Мы активно занимаемся созданием инфраструктуры следующего поколения, в которой будут реализованы более широкие возможности, — сказал он. — Эта новая инфраструктура позволит нам развивать и масштабировать бизнес с той скоростью и в тех размерах, какие нам требуются для того, чтобы соответствовать быстро развивающейся ситуации”.

Благодаря усилиям, предпринятым в области аналитики больших данных, ADP теперь в состоянии чрезвычайно быстро собирать “сырые” (необработанные) записи, анализировать их и выполнять в них поиск со скоростью, необходимой для проведения критически важных расследований, а также вставлять результаты бизнес-анализа в хранимые записи для определения подозрительных шаблонов поведения или аномальной активности”.

Мониторинг угроз в области информационной безопасности

Страховая компания Health Care Service Corp. (HCSC), управляющая работой отделений Blue Cross и Blue Shield в нескольких американских штатах, также заинтересована в обеспечении информационной безопасности с помощью больших данных. Сейчас здесь выполняется исследовательский проект, цель которого — оценить возможность применения больших данных и передовых технологий виртуализации для обнаружения и отражения киберугроз.

“Наша команда провела значительный объем исследований в этой области за последние четыре года”, — говорит Том Балтикс, исполнительный директор по ИТ, безопасности и управлению рисками HCSC. В течение ближайших двух месяцев компания планирует запустить пилотный проект в области безопасности, объединяющий обработку и визуализацию больших данных, а к концу этого года надеется перейти к использованию созданного на основе “пилота” полнофункционального решения в масштабах предприятия.

“У нас уже есть очень мощный инструментарий анализа событий безопасности и мониторинга инцидентов в области защиты информации, однако мы стремимся расширить свои возможности в этом направлении, применив технологию обработки больших данных”, — отмечает Балтикс.

Используя инструменты бизнес-аналитики и визуализации для обработки различных типов данных, собираемых компанией, HCSC надеется, что сможет обнаруживать такие типы инцидентов, которые традиционные системы информационной безопасности не обнаруживают, и даже те, о которых эти системы еще не знают. Приоритетом компании является расширение возможностей систем обнаружения до стандартов реального времени (или хотя бы близких к ним).

А с помощью специальных аналитических инструментов компания хочет обнаруживать инциденты в области безопасности на основе обработки данных, накопленных в предшествующие недели и месяцы. Анализируя эти данные и преобразуя результаты анализа в автоматизированные правила, можно будет, по её расчётам, быстрее определять подобные уже отмечавшимся инциденты в момент их возникновения и даже предсказывать потенциальные угрозы в области информационной безопасности и предотвращать саму возможность нанесения ущерба в результате реализации таких угроз.

“Мы постоянно ищем более эффективные способы обнаружения инцидентов в сфере безопасности, пытаясь лучше делать свою работу и фиксировать нарушения, которые не могли видеть с помощью традиционных средств”, — поясняет Балтикс.

Что же касается продуктов и технологий, которые HCSC планирует использовать для своих проектов в области больших данных и визуализации, то компания “забрасывает большой невод”, продолжает Балтикс, изучая широкий спектр коммерческих и open-source-продуктов и сервисов для выполнения задач бизнес-анализа и построения отчетов.

“В итоге наше решение, по всей видимости, будет объединять некоторое количество инструментов, и в их число, может быть, даже войдёт несколько средств собственной разработки”, — подчеркивает Балтикс. По его словам, компания продолжает накапливать огромные объемы данных, которые постоянно будут просматриваться и анализироваться в поисках симптомов и образцов, свидетельствующих о существовании проблем с информационной безопасностью.

Поворот к облачным системам безопасности

Для предотвращения атак многие компании начинают вкладывать средства в размещаемые в облаке сервисы безопасности.

Так, в январе 2014 г. фирма Northrop Grumman, глобальный производитель аэрокосмической и оборонной продукции, объявила о том, что начала использовать облачный SaaS-сервис CA CloudMinder, предлагаемый компанией CA Technologies для предоставления и подтверждения прав пользователей, управления доступом и самостоятельного пользовательского управления своими паролями; для аутентификации на основе рисков и обеспечения федеративной единой точки входа как для облачных, так и для локально расположенных приложений.

“С помощью технологий, предполагающих использование единого цифрового удостоверения и единой точки входа, пользователи могут применять единый пароль для доступа к любым приложениям: расположенным в государственном облаке, в частном облаке заказчика, в облачной инфраструктуре Northrop Grumman”, — указывает Заки Салех, директор по развитию бизнеса Northrop Grumman.

“Заказчики компании, использующие услуги штатов и федерального правительства по управлению кадрами и здравоохранением, сталкиваются с растущим спросом со стороны своих подразделений на организацию доступа к таким сервисам в режиме онлайн, — поясняет Салех. — По мере роста числа таких запросов наши заказчики ищут решения по идентификации и управлению доступом для обеспечения доступности таких услуг с использованием многофакторной аутентификации”.

По завершении проверки подлинности остаются и другие задачи, касающиеся управления доступом и авторизации подключения к специфическим сервисам и приложениям, добавил Салех. Решение CA CloudMinder, которое может быть развернуто либо локально, либо в частном или публичном облаке, разработано специально для решения таких задач, говорит он.

Эти и другие технологии призваны помочь компаниям по всему миру справиться с растущими и все более опасными угрозами для безопасности данных

Версия для печати