Алексей Лукацкий, Cisco: информационная безопасность переходит к принципам «нулевого доверия»
Лента новостей
Одним из главных вызовов для бизнеса в «новой реальности» эксперты называют обеспечение информационной безопасности. С весны этого года поменялись подходы к организации работы — многие компании стали переходить к удаленной или «гибридной» схеме, когда часть сотрудников остаются дома, а часть посещает офисы
О том, как меняется рынок кибербезопасности и с какими угрозами сталкиваются компании, в интервью BFM.ru рассказал эксперт по безопасности компании Cisco Алексей Лукацкий.
Как следствие, перед службами информационной безопасности и перед производителями ИБ-решений встают сложные вопросы. Как обеспечить контролируемый доступ сотрудника? Как проверить, что удаленно подключается именно сотрудник, а не мошенник, который выдает себя за него? Как подтвердить, что доступ может быть осуществлен именно к этим данным и к этим приложениям? Как ограничить доступ и дать его только к тем данным и приложениям, которые нужны для выполнения служебных обязанностей? И при этом — как сделать это удобным и понятным для сотрудников способом? Ведь если какие-то новые меры, в том числе защитные, нарушают привычный режим работы — люди начинают пытаться эти меры обходить.
Для рядовых сотрудников «новая нормальность» не должна отличаться от их привычных способов работы — разве что кресло будет менее удобным, и за чаем или кофе они смогут ходить чаще. Но с точки зрения используемых приложений, все должно оставаться так же, как и было: с тем же уровнем удобства, с той же скоростью. А вот для специалистов по безопасности это действительно вызов. За первые недели от начала пандемии, когда компании стали переходить на самоизоляцию, мы получили запросы от большого количества заказчиков на предоставление решений для организации удаленного доступа. В том числе, мы предоставляли ряд продуктов бесплатно. По нашим оценкам, около 2,5 млн пользователей в России находились под защитой наших предложений по удаленному безопасному доступу.
Еще заметно, что все так же хорошо работает фишинг, и тема пандемии эксплуатируется злоумышленниками вовсю. Есть немало примеров, когда сотрудник получал на почту «Новые секретные данные о заболевании, которые скрывает государство», либо «Новую карту заражений в вашем регионе». Также злоумышленники использовали сообщения «от имени» платформ видеоконференций, письма о предоставлении бесплатной возможности обучения, о новых способах заработка на дому. В России мы столкнулись с рядом угроз, которые были связаны с заявлениями президента. Когда он объявил, что семьи с детьми могут получить определенные единовременные выплаты, а также о том, что российский малый бизнес может получить отсрочку по налогам — сразу появилась разветвленная хакерская инфраструктура, насчитывающая сотни мошеннических сайтов в российском интернете. Мошенники заманивали на свои страницы пользователей, и те расставались со своими персональными данными или со своими деньгами. Корпоративные же пользователи, попавшие на такие сайты, теряли свои пароли, с которыми потом хакеры пытались проникать в сети предприятий, в том числе и с зараженных домашних компьютеров.
Второе направление — это облачная безопасность, которая разделяется на две части: безопасность облака и безопасность из облака. Первая часть касается заказчиков, которые начинают активно использовать облачные платформы для своего бизнеса. Поэтому направление безопасности облака является очень быстро растущим. Что касается «безопасности из облака» — развивается сервисная модель информационной безопасности, когда технологии разворачиваются в облаке и их поддерживает производитель, а клиенты пользуются результатами работы этих технологий. Все, что можно унести в облако, — уносится в облако. Это дает компаниям возможность сосредоточиться на профильном бизнесе, а все непрофильное отдать специалистам. Кроме того, это позволяет и с финансовой точки зрения уйти от модели CapEx в сторону OpEx, которая более предсказуема, что особенно востребовано в текущие непростые времена, когда инвестировать много денег в безопасность не всегда возможно.
Третье направление — технологии, связанные с аналитикой. То, что называется на Западе Security Analytics. На самом деле направление разбивается на множество подсегментов, и одним из самых ярких является искусственный интеллект, машинное обучение. Технологии, которые позволяют исключить человека из процесса анализа принятия решения и более оперативно, на других скоростях, обнаруживать вредоносные программы, в том числе, ранее не существовавшие и не обнаруживаемые человеком. Машинное обучение — подспорье для обнаружения угроз, которых становится все больше. Cisco, например, ежедневно детектирует порядка 20 млрд угроз с помощью своих технологий. В год — это 7,2 трлн. Для сравнения, Google ежегодно через себя пропускает всего 1,2 трлн поисковых запросов. То есть число угроз настолько велико, что вручную, без применения специальных аналитических возможностей с ними уже не справиться.
Конечно, активно будут развиваться технологии, связанные с реагированием на угрозы. Гарантировать 100-процентную защиту и предотвращение угроз сегодня очень сложно. Злоумышленники находят способы обхода инструментов предотвращения и блокирования угроз, и необходимо иметь возможность быстро выявлять и быстро реагировать, локализовать угрозу и не дать ей распространиться. Примерно, как с пожарами, где основная задача — не предотвратить пожар, хотя на это тоже делается ставка, а локализовать уже начавшийся пожар и не дать ему распространиться по еще большей территории.
Технологии, связанные с удаленкой, также будут активно развиваться. Все решения, связанные с аутентификацией пользователей и с их авторизацией. Во многом именно по этой причине Cisco купила компанию Duo, лидера рынка аутентификации, пару лет назад. Также развивается технология поведенческой аналитики и обнаружения отклонений от обычного поведения пользователя — так можно оперативно выявлять мошенников, выдающих себя за сотрудников. А кто-то использует такие решения для анализа режима работы сотрудников.
И еще одно направление, которое стало модным — это технология «нулевого доверия». Мы стали доверять IT, доверять вендорам, доверять технологиям. А злоумышленники научились эксплуатировать это доверие в своих целях. Принцип «нулевого доверия» предлагает строить систему защиты исходя из отсутствия доверия вообще, путем организации непрерывных проверок. Проверок доступа, уязвимости, поведения, потоков данных, приложений, которые используются в инфраструктуре. В условиях «нулевого доверия» можно организовывать систему защиты и не привязываться к понятию периметра. Эта технология позволяет эффективно выстраивать бизнес, снижать время вывода продуктов и сервисов на рынок, обеспечивать географическую экспансию компании на новые регионы и достигать других бизнес-показателей.