Защита периметра корпоративной сети является одним из наиболее распространенных способов защиты данных организации. Его используют для безопасного подключения корпоративной сети к Интернету и для обеспечения доступа к ней удаленных пользователей. Однако сегодня уровень значимости периметра безопасности снижается. Отчасти это происходит благодаря распространению мобильных и облачных технологий, позволяющих сотрудникам работать за пределами корпоративной сети. Вместе с удобством появляется и необходимость дополнительно следить за потенциальными угрозами незащищенных подключений. Это подталкивает организации либо к адаптации защиты периметра к этим изменениям, либо использованию принципиально новых решений.
Большинство компаний пока придерживаются модернизации периметра, но расширение способов доступа и постоянно растущие объемы данных делают данный способ менее эффективным. Мобильные устройства выходят в Интернет, минуя его, а использование сторонних приложений увеличивает шанс утечки данных. Все сводиться к тому, что на периферии слишком много пробелов, чтобы этот подход был жизнеспособным. Современные механизмы обеспечения безопасности следует переместить максимально близко к данным, чтобы даже в случае проникновения внутрь периметра атакующие не могли ими воспользоваться.
Несмотря на это, согласно результатам недавнего опроса Gemalto, 86% организаций увеличили свои инвестиции в обеспечение периметра и более двух третей (68%) планируют повысить их в ближайшие двенадцать месяцев. При этом 69% из них не уверены, что их данные останутся в безопасности в случае нарушения его защиты, а более половины считают, что неавторизованные пользователи могут иметь доступ к их сети. И с каждым годом эта неуверенность возрастает, так в 2014 г. число таких респондентов составляло 59%, а в
Помимо неуверенности растет и число утечек данных — с 2013 г. было похищено целых 4,7 млрд. учетных записей. Однако большинство ИТ-организаций продолжают использовать все те же стратегии предотвращения киберпреступлений. Компании уделяют столь малое внимание новым способам защиты, что создается впечатление, что они находятся под действием поля искажения реальности.
Выражение «поле искажения реальности» обозначает явление, когда стремление носителя этого поля добиться чего-либо — порой почти невозможного — может привести к исполнению желаемого. Впервые оно появилось в двухсерийном эпизоде Star Trek, который вышел в эфир в 1966 г., и было использовано для описания обитателей планеты Talos, которые могли создавать новые миры и формировать мысли в умах других людей. В дальнейшем, согласно легенде, Бад Триббл (Bud Tribble) — разработчик программного обеспечения первых компьютеров Macintosh — использовал его для описания Стива Джобса. Одно лишь присутствие Стива мотивировало людей работать не покладая рук, в связи с этим Бад отметил: «В его [Стива] присутствии реальность ставится какой-то вязкой. Он может убедить кого угодно в чем угодно. Когда его нет рядом, то приходишь в себя, хотя сроки от этого разумнее не становятся.»
Возможно, именно благодаря этому полю Джобс смог внести огромный вклад в развитие технологий. Специалисты же по безопасности данных, напротив буквально игнорируют прогресс, и ИТ-бюджеты хорошо это отражают. Большую часть расходов на безопасность забирает периметр, хотя логичнее всего было бы строить всю систему на том предположении, что у злоумышленников уже есть доступ внутрь сети. Это предположение нашло отражение в модели нулевого доверия (zero-trust model). Она предполагает максимальную ориентированность на защиту приложений и тех данных, с которыми они работают, и некоторые компании уже используют её.
Если же задаться вопросом, какая компания внедряет наиболее современные технологии безопасности, то, разумеется, это будет Google. В настоящее время здесь проводится бета-тестирование прикладного интерфейса Trust API, благодаря которому пользователям будет доступна контекстуальная аутентификация, при которой облако постепенно заменит пароли на «баллы доверия» (trust scores). При подсчёте баллов во внимание будет приниматься сразу ряд факторов, в том числе и местонахождение устройства. В результате обработки полученной информации технология сможет определить, является ли пользователь действительно тем, за кого он себя выдаёт.
Инновационные методы аутентификации коснулись и непосредственно сотрудников Google. Этой весной компания объявила о своей новой инициативе BeyondCore, в рамках которой значительная часть корпоративной инфраструктуры переместится из частной сети в Интернет. Этот шаг фактически означает, что компания не видит смысла в попытках защитить корпоративный периметр, и в отличии от большинства других организаций предпочитает сосредоточиться на аутентификации пользователей и обеспечении безопасности устройств. В настоящий момент Google перевела более 90% своих приложений в Интернет, и теперь для доступа к ним сотрудники используют зашифрованные соединения.
Жизнь сотрудников Google стала намного проще: они получили возможность работать из любой точки мира, без необходимости использования технологии виртуальных частных сетей (VPN). Механизмы BeyondCorp позволяют принимать решение об одобрении или отказе обслуживания пользователей или устройств (user/device repudiation), опираясь на, оценку пользовательского поведения, анализ учётной записи, репутацию устройства и интеллектуальные статистические данные. Вся эта информация поступает в принципиально новую инфраструктуру «Аналитики доступа» (Access Intelligence), которая теперь используется для защиты корпоративных ресурсов.
Поэтому, когда руководство компаний вместо внедрения прогрессивных методов защиты данных полагает, что проблемы безопасности носят разовый характер, оно фактически делает утечки неизбежными. Но это не означает, что нужно опускать руки и признавать поражение, компания Gemalto в этом случае рекомендует следующее:
· в первую очередь необходимо признать, что данные могут находиться где угодно, и механизмы обеспечения безопасности следует переместить в ту зону, где расположены эти данные;
· лучше встраивать механизмы безопасности изначально, чем добавлять их впоследствии;
· разработать методику реагирования на утечки. В организации должен существовать чёткий порядок действий, который необходимо будет выполнить в случае утечки данных;
· работать со всеми заинтересованными сторонами на всех уровнях — безопасность зависит не только от технологий, но и от самих пользователей;
· конечная ответственность за обеспечение кибербезопасности должна лежать на главных исполнительных директорах и старших руководителях.
Данные нововведения не стоит считать поводом для полного прекращения инвестиций в основные инструменты для предотвращения утечек. Так, при создании эффективной системы безопасности стоит учитывать индивидуальные нужды той или иной компании: вид данных, приложения и методы, которая она использует. Возможно, в некоторых случаях методы защиты, которые применяет компания, полностью соответствуют ее требованиям по безопасности. Однако, это не должно стать преградой для выявления новых угроз, внедрению актуальных решений и разработке новых систем информационной безопасности.
Автор статьи — вице-президент и технический директор по защите данных, Gemalto.