За последние пару десятилетий изменения в характере угроз трансформировали наш подход к проектированию архитектуры безопасности, внедрению новых решений и управлению ими. За последние два десятилетия организации обновили свою инфраструктуру безопасности с тем, чтобы защитить себя от новейших угроз и векторов атак. Появление в конце 1990-х многочисленных вирусов и червей привело к развитию антивирусных и IDS-решений. Увеличение спама и количества фишинговых атак стало катализатором для создания современных почтовых шлюзов. Этот список можно продолжать долго, при этом организации почти каждый год добавляют новые функции в свою инфраструктуру безопасности, например, решения для защиты от DDoS-атак, защищенные веб-шлюзы, репутационные фильтры и т. д.

Общим для этих инструментов безопасности является то, что все они используют анализ сигнатур. И поскольку киберпреступники, как правило, инвестируют в ROI и TCO столько же, сколько и их жертвы, они уже давно поняли, что атаки, сигнатуры которых известны, являются менее прибыльными.

Поэтому злоумышленники сменили свою тактику.

В частности, в новых угрозах и программах-вымогателях стали использоваться новые виды стратегий — такие как полиморфизм, многоступенчатые атаки, бесфайловые вирусы и обфускация, что позволило хакерам обнаруживать и обходить решения на основе сигнатур. Сложившееся игровое поле оказалось удобным для киберзлоумышленников, поэтому разработчикам безопасности пришлось изобретать поведенческую аналитику и решения ATP для обнаружения атак нулевого дня и выявления аномалий и злонамеренных действий.

Всё это происходило до цифровой трансформации, в условиях которой своевременное обеспечение надлежащего уровня безопасности становится все более трудным для осуществления. Эти сложности обусловлены необходимостью обеспечивать возможность межсетевого взаимодействия и высокую производительность инфраструктуры — это два ключевых элемента цифровой трансформации, которые и меняют то, как мы создаем и взаимодействуем с новыми цифровыми средами.

Оба этих фактора также в значительной степени влияют на нашу способность обнаруживать и реагировать на новые виды угроз, а это означает, что нам предстоит внести радикальные изменения в то, как мы проектируем и используем решения безопасности.

Межсетевое взаимодействие. Сети, устройства и приложения теперь должны с легкостью перемещаться между различными платформами и окружениями. К сожалению, большинство решений безопасности не обладает такими возможностями, что создает пробелы как с точки зрения прозрачности, так и с точки зрения управления. Сегодняшние сложности, связанные с обеспечением безопасности трафика от мультиоблачных сред к периферии, — лишь верхушка айсберга. Системы с высокой степенью взаимосвязанности, такие как интеллектуальные автомобили, интеллектуальные города и периферийные сети, потребуют того, чтобы безопасность одновременно обеспечивалась для десятков, сотен или даже тысяч систем.

Производительность. Новые иммерсивные и интерактивные приложения и сервисы требуют огромных вычислительных ресурсов. А поскольку наращивание вычислительной мощности всегда следует за увеличением объёмов данных, конечные точки и IoT-устройства также становятся все быстрее и производительнее. Это означает, что инфраструктура безопасности должна не только поддерживать и обеспечивать более высокую пропускную способность, но также должна позволять принимать решения как можно ближе к реальному времени.

Для удовлетворения требований к межсетевому взаимодействию и производительности емкость и функциональность сети должны были расти в геометрической прогрессии. Темпы роста сетей опережали развитие традиционной модели безопасности, которая заключалась в размещении устройств безопасности в определенных точках для мониторинга некоего контролируемого набора данных, при этом устройства безопасности были изолированы от других решений, что, откровенно говоря, оказалось не самой хорошей идеей.

Чтобы обеспечить потребности нашего нового цифрового мира нам придется изменить наш подход к развертыванию инфраструктуры безопасности и несколько сместить акценты. Для этого потребуются четыре вещи:

  1. необходима конвергенция сетевых функций и функций безопасности. Вы не можете гарантировать безопасность всей своей сетевой инфраструктуры, если вам приходится настраивать защиту для каждого нового цифрового окружения в ручном режиме. С появлением в сети многочисленных новых устройств, приложений и рабочих процессов периферия разрастается с невероятной скоростью, меняя традиционные представления о периметре сети и создавая буквально миллиарды новых потенциальных векторов для атак. В то же время, продолжают меняться и уже известные окружения, такие как облако, что затрудняет для служб безопасности развертывание традиционных устройств безопасности в этих окружениях. Обеспечить должный уровень безопасности в масштабах всей сети можно лишь в том случае, если «вплести» ее глубоко в инфраструктуру, предусмотрев возможность автоматической адаптации функций безопасности по мере развития сети. Чтобы реализовать все это, необходимо тесное взаимодействие между разработчиками сетевого оборудования и решений безопасности, чего на сегодняшний день крайне не хватает;
  2. инфраструктура безопасности должна будет работать намного быстрее. Вряд ли пользователи будут готовы мириться с замедлением производительности, например, при погружении в виртуальную реальность, из-за того, что компоненты безопасности не будут успевать за обработкой потокового контента в реальном времени. Чтобы справиться с этим, придется использовать физические и виртуальные процессоры, которые смогут защищать и обрабатывать на высокой скорости;
  3. инфраструктура безопасности должна быть взаимосвязанной. Поскольку данные и рабочие процессы передаются между различными устройствами, сетями и целыми экосистемами, необходимо предусмотреть совместимость политик безопасности, тегов и протоколов в самых различных сетевых окружениях, в том числе чтобы они могли на нативном уровне работать на всех основных облачных платформах и обеспечивали полноценную поддержку новых типов периферии в филиалах и в сетях 5G;
  4. наконец, решения безопасности должны быть более «умными». Поскольку новые приложения и службы становятся все более взаимосвязанными (например, «умные» автомобили и «умные» города), а приложения — все более требовательными к сетевым задержкам (например, технологии виртуальной и дополненной реальности или интерактивные решения с эффектом погружения), вы не можете допустить, чтобы процесс принятия решений по тому или иному событию приостанавливался на то время, пока пакет с данными проделает путь от датчика до сервера безопасности в облаке. Ведь, например, когда ваш автомобиль на высокой скорости входит в поворот на заснеженной дороге, вы хотите, чтобы система стабилизации курсовой устойчивости реагировала мгновенно, без каких-либо задержек. Для этого необходимы локальные системы, способные автономно принимать решения в режиме реального времени.

Современные решения безопасности

Чтобы инфраструктура безопасности не только была эффективной, но и работала на опережение в условиях динамично меняющегося ландшафта угроз, следует разрабатывать и повсеместно использовать в стратегиях безопасности инструменты нового поколения, в том числе средства расширенного поведенческого анализа, методы сегментирования на основе намерений (intent-based segmentation), средства автоматизации, технологии машинного обучения и искусственного интеллекта. Начать можно не только с автоматизации средств обнаружения и защиты, но и с автоматизации систем прогнозирования, используемых для профилактики и предотвращения угроз.

Кроме того, нам необходимо научить машины выявлять угрозы и должным образом реагировать на них. Для этого следует разработать предопределенный набор протоколов и создать запрограммированное дерево решений — именно это имеют в виду большинство вендоров, когда заявляют о том, что встроили технологии искусственного интеллекта в свои системы. Но что нам действительно нужно, так это способность сопоставлять информацию об угрозах с помощью различных инструментов, таких как аналитика, для распознавания сложных сценариев атак, особенно тех, которые состоят из более мелких событий атаки. Это также потребует применения решений на базе искусственного интеллекта для ускорения процесса обнаружения событий и реагирования на них, особенно тех, которые никогда раньше еще не встречались.

Для обеспечения безопасности современных сетей требуется автоматизировать выявление, обнаружение и обезвреживание вредоносных тактик, особенно тех, при создании которых злоумышленники специально старались предотвратить обнаружение. Но еще более сложной задачей является создание новых методов поиска, помимо выявления характерных паттернов в коде или в поведении вредоносных программ.

Для этого опять же используются технологии искусственного интеллекта, которые позволяют значительно расширить возможности и с невероятной точностью выявлять и устранять глобальные угрозы, тогда как ранее для подобных задач требовался целый штат высококвалифицированных специалистов. Сегодня эти расширенные интеллектуальные возможности интегрируются во всё новые устройства безопасности, наряду с другими аналитическими решениями и системами безопасности на основе намерений, при этом с поддержкой как физического, так и облачного развертывания. Это позволяет организациям перераспределять ценные человеческие ресурсы для других задач более высокого порядка, в то время как автономные инструменты смогут обнаруживать, предотвращать и даже прогнозировать угрозы, срывая атаки прежде, чем они смогут нанести ущерб.

Перехитрить противника

Злоумышленники будут по-прежнему придумывать новые виды атак, успешно используя расширяющуюся поверхность атаки. Вы не можете просто играть с противником в «догонялки», если хотите одержать верх в этом противостоянии. Здесь важно создавать комплексные, мощные и автоматизированные решения на базе тесно интегрированных инструментов безопасности, которые призваны не только защитить современные, все более сложные и распределенные сети и сетевую периферию, но также помочь в решении новых типов задач, связанных с управлением сетевой инфраструктурой. Для этого необходима грамотная стратегия и большой опыт изучения, анализа и реагирования на меняющиеся тенденции и новые виды угроз.

В этом процессе чрезвычайно полезным подспорьем станут искусственный интеллект и машинное обучение, особенно в сочетании с другими передовыми решениями безопасности. Но чтобы создаваемые решения в поддержку реализуемых стратегий были по-настоящему эффективными, они должны работать везде, где возникают угрозы, адаптироваться вместе с изменением сетей, которые они защищают, взаимодействовать с устройствами и сетями и работать на высоких скоростях, которые необходимы для сетей нового поколения.

Для этого требуется определенная приверженность развитию инноваций, которую сегодня демонстрируют лишь немногие из вендоров. Но если мы действительно хотим защитить развивающуюся цифровую экономику от организованных хакерских сообществ, то подобная философия должна быть принята в масштабах всей отрасли.

Алексей Андрияшин, технический директор Fortinet в России

Версия для печати (без изображений)