Мартин Борретт (IBM): «Продумывать защиту приложений надо на самых ранних этапах»

Компания IBM в общем и целом не ассоциируется у широкой публики с понятием «информационная безопасность», и тем не менее, как выясняется, эта корпорация более чем активно работает в этом направлении, хоть и не настолько публично и, с позволения сказать, громогласно, как известные поставщики антивирусов, файерволлов и прочих средств защиты от сетевых угроз. «Компьютерре» удалось побеседовать с Мартином Борреттом, директором Института IBM по передовым разработкам в области безопасности (Institute of Advanced Security), который рассказал об усилиях компании в этом направлении.

— Расскажите, пожалуйста, о разработках IBM в области информационной защиты. Для большинства людей IBM, казалось бы, не ассоциируется с этой областью.

Мартин Борретт, IBM: "Продумывать защиту приложений надо на самых ранних этапах"
Мартин Борретт, IBM (фото http://appbeat.co.uk)
— В том-то и дело, что IBM занимается вопросами безопасности уже более 40 лет. Это, если хотите, часть традиций IBM, её культуры, но часть, возможно, не самая заметная для внешней аудитории. IBM оказалась вовлечённой в процессы стандартизации шифрования информации с самого начала, когда корпорация разработала DES, Data Encryption Standard, или симметричный алгоритм шифрования, который был утверждён правительством США в 1977 году как официальный стандарт (FIPS 46-3). Так что история работы IBM в сфере безопасности исчисляется десятилетиями!

Более того, IBM занимается и исследованиями в этой области. Большая команда экспертов, так называемая группа X-Force, на постоянной основе изучает угрозы, уязвимые места в обеспечении безопасности информации. Результаты этих изысканий публикуются каждые 6 месяцев в формате отчётов. Последний такой отчёт о тенденциях и рисках информационной безопасности вышел по итогам первого полугодия 2012 г. («2012 Mid-Year Trend and Risk Report»). Эта отчётность ведётся на протяжении более 10 лет. Поэтому у нас есть все основания полагать, что IBM располагает базой данных в этой области, которая превосходит ресурсы любой другой компании, которая занимается этими вопросами. 9 лабораторий IBM, рассредоточенных по всему миру, занимаются исследованиями в области безопасности.

4000 заказчиков в 133 странах мира — такое количество заказчиков пользуются решениями IBM, чтобы защитить свою информацию. 13 миллиардов событий, связанных с безопасностью данных, генерируют эти заказчики ежедневно. Все эти данные проходят через центры по управлению безопасностью (IBM Security Operations Center), всего таких центров IBM – десять по всему миру. Центры оказывают помощь заказчикам в упреждающей обработке ИТ-угроз, включая их анализ в реальном времени и раннее оповещение о событиях безопасности. Последний центр в Польше (г. Вроцлав) был открыт буквально несколько месяцев назад.

IBM также занимается разработками специализированного ПО – одним словом, мы действительно очень плотно занимаемся вопросами безопасности, хотя это и не самая видимая часть работы. Кроме того, в 2010 году IBM открыла Институт современных исследований в области безопасности, который призван объединить в себе все достижения IBM. Я возглавляю Институт на протяжении двух лет; главная цель нашей деятельности — объединить исследовательский ресурс с операционной экспертизой. Кибербезопасность, безопасность в «облаках» — мы разрабатываем новые подходы к современным вызовам информационного пространства.

Угрозы становятся всё более сложными, огромные объёмы информации, которые стекаются в компании в режиме 24/7, требуют новых подходов к безопасности. Большие данные vs безопасность — этот вопрос стоит остро по мере разрастания петабайт данных, которыми питается современный мир. Как автоматизировать аналитику больших данных? Мы ищем ответы на эти вопросы, и вот почему, например, была приобретена компания Q1 Labs в октябре 2011 года. Этот игрок на рынке интеллектуальных решений для обеспечения безопасности разрабатывает действительно сильные решения. Решения Q1 Labs были интегрированы в портфолио IBM, а в январе 2012 года на основе компании было создано отдельное подразделение IBM Security Systems Division, поэтому, на наш взгляд, направление безопасности для IBM является не просто профильным, но и стратегическим. Руководитель Q1 Labs возглавил это подразделение. Брэндан Ханниган — профессионал высочайшего уровня!

— Каковы дальнейшие шаги IBM по сборке этого security-паззла?

— Прошлый год был очень важным для понимания того, что ждёт нас дальше, и отчёт X-Force отражает это. В отчёте по итогам первой половины 2012 года было зафиксировано учащение так называемых «постоянных угроз повышенной сложности» (Advanced Persistent Threat, APT). Распространение таких угроз привело к активным обсуждениям вопросов информационной безопасности, при этом разговор переместился в кабинеты генеральных директоров, это уже не вопрос исключительно IT-отдела.

Для IBM, которая несколько лет назад анонсировала начало глобальной инициативы «Разумная планета», информационная безопасность располагается очень высоко на шкале приоритетов. Осуществление этой концепции предполагает оснащение городской инфраструктуры датчиками, видеокамерами и прочими мониторинговыми инструментами, консолидацию всей информации — в идеале — в условном центре принятия решений и использование наиболее современных алгоритмов принятия решений, механизмов обработки информации и пр. Конечно, без решения вопросов информационной безопасности целей «Разумной планеты» не достичь, поэтому корпорация последовательно развивает направление Security.
IBM стремится к обеспечению безопасности на этапе создания — так ведётся работа надо всеми устройствами, приложениями и другими технологиями «Разумной планеты».

— Насколько сложен сейчас «ландшафт» угроз, и какие области наиболее подвержены рискам?

— Технологии не стоят на месте. Вот почему никогда не достичь такого состояния, когда можно сказать: «Ну, всё! С безопасностью мы всё решили». Это невозможно, потому что возникают всё новые и новые типы угроз. Ведь человек постоянно создает новые технологии! Появились «облака» и продвинутые мобильные технологии, современные сотрудники компаний вырабатывают новые привычки — они приносят свои собственные устройства, они хотят с ними работать, потому что это удобно, это — про мобильность. Этот тренд, BYOD (Bring Your Own Device), и другие тенденции приводят, конечно же, к новым вызовам и угрозам, направленным на информационную безопасность. И на эти вызовы нужно отвечать.
Два типа уязвимостей, которые мы чаще всего наблюдали в последние годы, – это SQL-инъекции и межсайтовый скриптинг. SQL-инъекции продолжают оставаться очень популярными, и 51 процент уязвимостей веб-приложений, согласно данным последнего отчёта X-Force, относится к категории межсайтового скриптинга.

— Но ведь это довольно известная проблема, в чём заключаются трудности её решения?

— Отличный вопрос! Думаю, одна из проблем заключается в том, что организации и разработчики приложений до сих пор редко учитывают аспект безопасности при создании приложений. Они не задумываются о защите продукта в начале разработки; я бы сказал, что им не удалось включить обеспечение защиты в жизненный цикл разработки. Возможно, эту проблему нужно решать с помощью обучения разработчиков, создания более простых в использовании, автоматизированных инструментов для обеспечения безопасности. Такие инструменты есть, например IBM AppScan – набор средств, автоматически анализирующих коды программ на предмет самых распространённых уязвимостей. Эти инструменты сканируют каждое поле ввода, на каждой странице, в том числе на предмет SQL-инъекций и межсайтового скриптинга. По моему мнению, проблема как раз в недостаточном использовании таких технологий, их преимущества для процесса разработки рынок ещё не оценил. Думаю, другая причина в том, что усилий по обеспечению безопасности не бывает много: нужно постоянно напоминать людям, почему это важно. Мы в IBM посвящаем много времени образованию сотрудников с помощью различных регулярных тренингов, в них должен участвовать каждый. Ведь из университетов к нам постоянно приходят новые специалисты, владеющие современными методиками разработки, придерживающиеся другой логики, а более опытные сотрудники подключаются к выполнению более масштабных задач, и часть знаний без постоянных тренировок может быть потеряна.

— Java иногда называют главной угрозой Mac OS. Из стандартной сборки последних релизов, насколько я знаю, технологию исключили. Проблемы в слабости самого языка Java, или есть другие причины?

— Хороший вопрос. Могу сказать, что мы зафиксировали некоторые уязвимости Java, в том числе в отчёте X-Force, связанные с некоторым зловредным ПО для Mac и распространением вируса Flashback. Да, есть отдельные уязвимости, о которых мы сообщили, но я бы не стал характеризовать Java как уязвимый язык программирования в целом.

— Давайте поговорим о защите Android. Многие вендоры сообщили о том, что с обеспечением защиты этой системы связано много проблем. Недавно немецкие исследователи нашли в Google Play около 400 очень популярных приложений с уязвимостями в защите – слабо реализованные SSL, TLS. Использование этих приложений может привести к серьёзным утечкам информации, в том числе конфиденциальной. Что IBM может сказать о защите Android, как решить связанные с этим проблемы?

— Упомянув эти приложения, вы снова напомнили мне о важности обеспечения их защиты на каждой стадии жизненного цикла разработки – защите кода, использовании лучших методик, обеспечении безопасного взаимодействия пользователя с приложениями, надёжном шифровании паролей. Очень важно принимать все эти меры. Уязвимостей не лишены многие платформы, очень сложно разработать абсолютно защищённую среду – из анализа результатов отчёта ясно, что при тщательном рассмотрении уязвимости можно обнаружить в любой системе, поэтому важен именно подход вендоров и организаций к их исправлению, к работе с этими проблемами.

Я считаю, что здесь важна зрелость: в начале своего развития платформы ещё недостаточно развиты, не так широко распространены, и, возможно, в этот момент вопросам безопасности уделяется не так много внимания. Но с распространением платформ и расширением пользовательской базы приложения начинают использовать больше людей, и проблема обеспечения защиты становится более насущной. Уязвимости становятся очевидны именно с расширением использования той или другой платформы – проблемы в защите iOS и Android сегодня фиксируются гораздо быстрее, чем раньше; вопрос только в том, своевременно ли выпускаются патчи для их исправления. Не думаю, что какие-то из проблем Android непреодолимы, но гораздо дешевле и эффективнее с точки зрения расходов заботиться о безопасности с самого начала, закладывая такие функции в саму архитектуру платформы.

Безопасность систем следует обеспечивать с самого начала, с самого основания, чтобы использовались оптимальные подходы к написанию кода. Для организаций в целом очень важно использовать хорошо структурированный, профессиональный подход к этим вещам. И если это происходит, то вы лучше вооружены. Не неуязвимы, но лучше подготовлены.

Что ещё необходимо отметить: не существует «волшебных палочек», каких-либо универсальных средств, например антивирусов или фаерволлов, никаких технических «серебряных пуль».

Важно также, чтобы организации совместно работали над решением проблем, поскольку понятно, что IBM не сможет разрешить все существующие в мире вопросы по безопасности. Необходимо налаживать сотрудничество с другими игроками в отрасли.
Мы делимся своими находками, лучшими методами организации работы, вырабатываем стандарты обеспечения безопасности и так далее. Мы также занимаемся расширением спектра методик защиты, в частности, разрабатываем новые методы шифрования данных. В 2010 году исследователь Крейг Джентри из IBM совершил прорыв в области гомоморфного (homomorphic) шифрования, и я лично сейчас занимаюсь этой техникой и рядом других. Новые гомоморфные методы весьма интересны, они позволяют вам значительно повысить безопасность данных в облаке. Я могу зашифровать данные, отправить их в облако (в зашифрованном виде), провести анализ этих данных, получить обратно результаты анализа также в зашифрованном виде, и только я смогу их расшифровать.

— BYOD – растущий тренд, и IBM явно испытывает оптимизм по этому поводу. По мнению вашего коллеги, с которым мы общались весной, многие компании считают эту тенденцию очень важной и до определённой степени поощряют использование сотрудниками личных устройств. Какие проблемы может вызвать такой подход, и как их преодолеть?

— Вы правы, есть тенденция к широкому использованию мобильных платформ и устройств, которые по популярности, возможно, одерживают верх над традиционными десктопами, ноутбуками и т.д. Безусловно, стоит ожидать увеличения количества сотрудников, которые приносят свои устройства на работу, и главные проблемы безопасности, вызванные этим, связаны с данными на мобильных устройствах и проблемой отделения корпоративной информации, требующей защиты, от личных данных. Как обеспечить надлежащий контроль доступа к информации работодателя? Как быть, если устройство будет потеряно или украдено, как удалить эти данные? Вот главные проблемы, которые необходимо решить. У нас в IBM действует BYOD-программа: существует набор политик безопасности, определяющих использование таких устройств, ответственность сотрудников и т.д., и был установлен ряд технических требований – к парольной защите, шифрованию информации, защите от вирусов.

Мы движемся в направлении device management, к управлению устройствами, и полагаем, что ответ заключается в более оптимальном управлении самими устройствами, нежели формированию некой «безопасной области». Поэтому мы отслеживаем ситуацию с появлением новых платформ и смотрим, какие новые инструменты технического контроля доступны на ней и какие приложения необходимы и желательны работникам, и мы задействуем эти устройства [в наших сетях]. Это важно, поскольку здесь всё пребывает в постоянном движении.

— В последнее время в «ландшафте» спама произошли некоторые значительные изменения; его, в частности, стало меньше. С чем это может быть связано, и что предпринимает IBM в этом направлении?

— У нас в IBM есть своя база по фильтрации спама — ею занимается наша немецкая команда; в ней содержится более 14 млн сигнатур спама, и она обновляется каждые пять минут. Почему я об этом упоминаю? Информация, почерпнутая из этой базы, используется в наших разработках и технологиях. Думаю, благодаря этому наши средства автоматического определения спама стали эффективнее. Так же как спамеры совершенствуют свои методы рассылки, мы всё более эффективнее выявляем и отфильтровываем спам.

— Расскажите, пожалуйста, что изменилось в сегодняшнем восприятии понятия «периметр безопасности»?

— Недавно у нас была крупная презентация, на которой мы представили 10 новых продуктов, связанных с безопасностью в трёх ключевых направлениях: мобильном, облачном и Big Data — области, связанной с обработкой больших объёмов данных. Среди прочего, мы говорили, что сегодня мы живём в мире «мультипериметра». Больше не существует единого периметра безопасности, их много, и нам нужны инструменты для управления ими всеми. В связи с этим мы движемся в направлении модели безопасности, в центре которой — сами данные. Чем более множественными и «мягкими» становятся периметры, тем ближе к самим данным должны располагаться инструменты контроля, чтобы можно было видеть, кто и когда получал или пытался получить доступ к вашей информации, зачем, с какой целью и куда данные идут дальше.

Что будем искать? Например,ChatGPT

Мы в социальных сетях