Амит Йоран: время менять курс и методы защиты

В этом году конференция RSA 2015 проходит в четырёх регионах, традиционно стартуя из Сан-Франциско. Под девизом «Изменение сегодняшних взглядов на безопасность» в стенах крупнейшего выставочного комплекса Moscone Center в апреле собралось рекордное число посетителей, среди которых было около тридцати тысяч топ-менеджеров и специалистов в области ИБ. Президент компании RSA Security Амит Йоран (Amit Yoran) призвал собравшихся переосмыслить стратегию защиты данных и отказаться от широко используемых консервативных методов, которые сегодня лишь создают ложное ощущение неуязвимости. Взамен он предложил пять общих принципов и ряд специфических решений.

В бесконечной борьбе щита и меча снова побеждает атакующая сторона. «Прошлый год стал ещё одним напоминанием о том, что мы проигрываем в поединке, – заявил Амит Йоран в своём выступлении. – Противник продолжает переигрывать индустрию… и выигрывать на всех уровнях».

Амит Йоран на конференции RSA 2015 (фото: emc.com).
Амит Йоран на конференции RSA 2015 (фото: emc.com).

Мы до сих пор уповаем на сигнатурный анализ файлов, жёсткие правила фильтрации трафика, старые доменные политики и принципы аудита. В корпоративной сети этот отработанный комплекс мер теперь сравнивается с образом средневековой крепости, только штурмует её уже не орда варваров, как это было в нулевые, а десант спецназа под прикрытием авиации. Возводить более высокие стены и глубже копать рвы стало бесполезно.

«За последние годы характер угроз кардинально изменился, – соглашается руководитель группы Windows Security & Identity компании Microsoft Дастин Ингаллс (Dustin Ingalls). – Сетевые атаки, спонсируемые правительствами, в настоящее время стали самой большой проблемой».

Йоран отметил, что многие руководители до сих пор пребывают в плену предубеждений. Например, они верят, что «умные» и дорогие технологии защитят их уже сами фактом своего внедрения. Между тем, они вовсе не самодостаточны. За последний год менее чем один процент угроз был обнаружен с помощью традиционных инструментов анализа, вроде SEIM (систем управления событиями и информацией о безопасности).

Выступление Амита Йорана (фото: rsaconference.com).
Выступление Амита Йорана (фото: rsaconference.com).

Многолетний опыт позволяет Йорану видеть, как развивалась отрасль информационной безопасности, и какие пути в ней оказались ошибочными. Он начинал свою карьеру в Министерстве обороны США (подразделение DoD CERT), затем перешёл в Министерство внутренней безопасности, был вице-президентом Symantec, членом правления в Guidance Software, Invincea и Guardium (дочерней компании IBM). Своё видение дальнейшего курса на смену парадигмы защиты он обрисовал так:

  1. Перестаньте надеяться на то, что даже самых совершенных систем защиты вам будет достаточно: «Неважно насколько высоки ваши стены или умны ваши люди, целеустремлённые недоброжелатели всегда найдут способ пробраться внутрь, если не через стены, то под ними, вокруг и сквозь них». Многие киберпреступники в прошлогодних атаках вообще не использовали вредоносные программы в качестве основной тактики доступа.
  2. Не упускайте из виду ни один уровень информации, который может оказаться под угрозой – от конечных устройств до облачных систем хранения: «Нам необходим хороший обзор внутри наших корпоративных сред. Сегодня просто невозможно обеспечивать безопасность без наблюдения как за полным пакетом облачных сервисов, так и за уровнем риска на конечных устройствах».
  3. Идентификация и аутентификация имеют большее значение, чем когда-либо: «В мире, где нет защитного периметра и есть всего несколько точек привязки защиты, идентификация и аутентификация приобретают колоссальное значение… В какой-то из моментов атаки, использование идентификации является отличной помощью атакующему».
  4. Сбор информации о внешних угрозах – основополагающая функция службы безопасности: «Существуют источники информации об угрозах. Они должны стать автоматизированными для увеличения скорости определения угрозы и ее значимости. Такие методы должны быть интегрированы в вашу программу безопасности и настроены под нужды вашей компании таким образом, чтобы аналитики могли быстро справляться с угрозами, представляющими наибольший риск».
  5. Поймите, какая информация является бескомпромиссно и критически важной для вашего бизнеса: «Вы должны понимать, что является критически важным для вашего бизнеса. И вам необходимо защищать то, что имеет такое большое значение, с помощью всех доступных средств».

Всё это справедливо и для самой RSA Security, ставшей в 2006 году подразделением EMC– одной из крупнейших корпораций, специализирующихся на управлении данными. Йоран отметил, что его компания также постоянно перестраивается для того, чтобы соответствовать новым реалиям. «Как представители индустрии, мы тоже идем по новому пути, понимая, что направление будет меняться».

Секретарь Министерства внутренней безопасности США Джех Джонсон на RSA 2015 (фото: rsaconference.com).
Секретарь Министерства внутренней безопасности США Джех Джонсон на RSA 2015 (фото: rsaconference.com).

Новые угрозы появляются в том числе из-за необдуманной интеграции систем разного назначения и стремления подключить всё к интернету. Официальные лица и правительственные ведомства часто не знают, как им реагировать в такой ситуации. «Компьютерра» уже писала о задержании эксперта по безопасности Криса Робертса, который как раз направлялся на конференцию RSA 2015, чтобы рассказать о методах атаки на авионику через мультимедийные средства для развлечения пассажиров.

В прошлом году схожее исследование представил консультант по безопасности компании IOActive Рубен Сантамарта на конференции Black Hat. Другой консультант этой же компании – Эйрианн Леверетт – обнаружил свыше десяти тысяч систем мониторинга управления технологическими процессами с удаленным доступом, атака на которые может привести к техногенной катастрофе.

В заключении Йоран подчеркнул, что на рынке нет дефицита в современных средствах предупреждения угроз и адекватного сбора информации об них. Также достаточно много систем управления цифровыми и деловыми рисками. «Проблема не в отсутствии технологий, а в наших устаревших установках», – подытожил он.

Ежегодные конференции по безопасности устраиваются RSA Security в Сан-Франциско с 1991 года. Став подразделением EMC, компания увеличила охват аудитории и расширила географию конференций. В этом году она продолжится в Лондоне (RSAC Unplugged, 4 июня), Сингапуре (RSA Conference Asia Pacific & Japan, 22 – 24 июля) и в Абу-Даби (4 – 5 ноября).

Что будем искать? Например,ChatGPT

Мы в социальных сетях