В 2013 году аналитик Нейл МакДональд из авторитетной консалтинговой компании Gartner прогнозировал, что к 2020 году традиционные стратегии информационной безопасности устареют. Сбываются ли прогнозы?
Недавно я наткнулся на статью аналитика Нейла МакДональда из Gartner под названием «Prevention Is Futile in 2020: Protect Information Via Pervasive Monitoring and Collective Intelligence». Она была опубликована еще в 2013 году, но в 2016 году она была обновлена. В ней автор рассуждает о том, как поменяются подходы к обеспечению информационной безопасности предприятий в ближайшие годы на период с 2013 по 2020 годы.
Интересно, прав ли был тогда в своих прогнозах Gartner?
Вот некоторые моменты в статье, на которые я обратил внимание:
1. Предприятия по отдельности не смогут защитить себя без коллективного обмена данными об угрозах и злоумышленниках
Действительно, огромное количество новых угроз и их вариантов, а также огромный объем данных, которые требуется контролировать, коррелировать и проверять, делают все более актуальными облачные решения с коллективным разумом на платформе больших данных.
2. К 2020 году 60% корпоративных бюджетов на ИБ будет выделено на решения с технологиями мгновенного обнаружения атак и реагирования на них
Сложно сказать, достигнем ли мы показателя в 60%, особенно с учетом непростой экономической ситуации. Но все же тенденция, на мой взгляд, прослеживается. Например, мы в Panda Security видим, что в последние годы предприятия все более активно тратят свои бюджеты именно на подобные технологии (в частности, EDR), т.к. риски оказаться жертвой неизвестной угрозы или направленной атаки в последнее время выросли многократно, причем независимо от размера предприятия. А ущерб вполне очевиден – это нарушение конфиденциальности и целостности корпоративной информации.
3. К 2018 году 80% решений для защиты конечных устройств будут включать в себя возможности мониторинга активности пользователей и экспертную информацию, в отличие от менее 5% в 2013 году
Да, такая тенденция действительно наблюдается, потому что для обеспечения безопасности и конфиденциальности корпоративной информации требуется все более глубокий анализ всех происходящих ИТ-процессов с дополнительной экспертной информацией. Спрос рождает предложение, а потому на рынке появляется все больше решений, которые предлагают экспертную информацию по обнаружениям, а также функции глубокого мониторинга и анализа всех процессов в сети.
4. Часть ответа на проблему обнаружения атак без сигнатурных механизмов лежит в повсеместном мониторинге для выявления значимых отклонений от нормального поведения, что позволяет идентифицировать вредоносные намерения. Поэтому предполагая компрометацию систем усовершенствованными направленными угрозами, необходимо сконцентрировать усилия по обеспечению информационной безопасности на детальный, всеобъемлющий и контекстный мониторинг, чтобы обнаружить эти угрозы.
Именно такой глубокий, непрерывный и контекстный мониторинг, учитывающий причинно-следственную связь каждого процесса, позволяет более точно идентифицировать вредоносное поведение. Кроме того, такие технологии позволяют обнаруживать атаки, не использующие каких-либо вредоносных программ, или безфайловые атаки, что в последнее время становится все более актуальным.
Эффективность такого подхода обусловлена тем, что в отличие от традиционных поведенческих анализаторов, когда система анализирует «нормальность» поведения одномоментно, контекстный мониторинг анализирует с учетом всей истории развития данного процесса (в котором данный момент – это всего лишь один из многих субпроцессов). Это позволяет более правильно оценить, как возник данный процесс на машине, откуда он пришел, какие процессы породил, что куда отправлял, к чему обращался, какие у него предположительно цели (подключаем искусственный интеллект).
5. Детальный мониторинг всех процессов, запущенных в пользовательской системе, а также их взаимодействие с контентом, исполняемыми файлами и корпоративными системами, позволят предприятиям получить полную видимость всего происходящего. Что-то типа цифрового видеорегистратора. Поэтому в случае инцидента можно проверить эти данные и понять, против каких пользователей он был направлен, какие системы могли быть скомпрометированы и какая информация могла пострадать.
Это тоже верно подмечено. Понятно, что вряд ли администратор будет непрерывно сидеть и анализировать огромный массив данных, поступающих со всех машин в тысячах разрезов. Это нереально. Хотя современные системы позволяют настраивать определенные триггеры, чтобы администратор был оперативно уведомлен о каких-либо отклонениях. Но в целом это все работает (должно работать) автоматически. Но вот когда точно эта вся информация пригодится: когда появились подозрения относительно определенных процессов, файлов, поведения сотрудников (сработали триггеры!) или все же произошел инцидент. В этом случае оперативный доступ к такой информации с возможностью глубокого и быстрого анализа позволят отчетливо проследить весь жизненный цикл обнаружения и динамику развития атаки или подозрительной модели поведения: что, где, когда, откуда, каким образом, куда и т.д. В результате можно будет локализовать источник атаки, выявить пострадавших и виновных, оценить размер ущерба, а главное – на основе анализа этих данных устранить выявленные слабые места и отработать более эффективную модель поведения в подобных чрезвычайных ситуациях.
Кроме того, автор статьи говорит о том, что в эпоху BYOD и использования облачных сервисов, ИТ-департаменты предприятий теряют контроль над устройствами пользователей, что ограничивает их возможности тотального контроля. Поэтому, по мнению Нейла Макдональда, будет наблюдаться переход к защите информации, а не самих систем.
В качестве одной из рекомендаций аналитик Gartner предлагает внедрять системы мониторинга корпоративных конечных устройств. По его мнению, в идеале такие системы должны быть составной частью решений по защите конечных устройств (EPP), чтобы не было необходимости приобретать дополнительное стороннее решение.
Возможно, в России все вышеперечисленные тенденции пока проявляются чуть слабее, чем в Европе или США, что можно объяснить целым набором стандартных объективных причин, хотя, на мой взгляд, и у нас динамика примерно такая же.
Честно скажу, мне эта статья показалась интересной еще и в том плане, что наш подход, реализованный в решении Panda Adaptive Defense 360, соответствует прогнозам автора этой статьи. Я помню, как в 2013 году мы как раз тестировали прототип семейства решений Adaptive Defense, обкатывая совершенно новую модель безопасности. Сейчас, спустя несколько лет, я вижу, что прогнозы Gartner сбываются, а выбранный нами путь, надеюсь, оказался верным.
P.S. В заключение не удержался, чтобы не предложить Вам посмотреть видеообзор, где осуществляется попытка заражения компьютера набором различных свежих вариантов шифровальщиков (WannaCry 2.0, Cerber, Spora, Razy, Goldeneye), а также других вредоносных программ. На этом компьютере стоит Adaptive Defense 360 с отключенным антивирусом (активирован только модуль расширенной защиты от неизвестных угроз) и файерволом, также отключен брандмауэр в Windows и Windows Defender:
Поделиться с друзьями
teecat
> Предприятия по отдельности не смогут защитить себя без коллективного обмена данными об угрозах и злоумышленниках
Не вижу смысла. Неизвестный ни для какого средства защиты троян атакует всех рассылкой через какой Мираи и никакой обмен не успеет помочь.
> 2. К 2020 году 60% корпоративных бюджетов на ИБ будет выделено на решения с технологиями мгновенного обнаружения атак и реагирования на них
Штука нужная, но кто будет обслуживать это у домашников, ИП и СМБ? Только если всех в единое облако
Все это классно, но на текущий момент — для богатых, у которых и так деньги на защиту есть
PandaSecurityRus
1. Оперативный обмен информацией в глобальном смысле значительно сокращает количество инцидентов. Да, возможно, это и не дает 100% результат, но все же есть разница, если все же пострадает 1-5 предприятий, а не 500-10000. В первом случае чисто математически получается, что вероятность заражения каждого отдельного предприятия снижается многократно.
2. Я бы не сказал, что те же EDR-системы, как Panda Adaptive Defense, слишком дорогие. На российском рынке они стоят в разы дешевле, чем на Западе (в евро). Те же ИП и малые предприятия спокойно могут себе позволить такие решения. И у нас в России ощутимая часть пользователей этого продукта — это малые предприятия (до 100 пользователей). Так что тут выбор остается за ними: тратить чуть больше денег или потом заплатить в разы больше за расшифровку (или не платить за расшифровку, или еще какие варианты).
teecat
1. 5-10 пострадавших при атаке с помощью ботнета — мелковато. Тысячи пострадавших за первые минуты. При этом если атака была нормально подготовлена и средства защиты не реагируют (а именно это входит в систему подготовки атаки), то облако замечательным образом не только не реагирует, но и сопротивляется попыткам изменить вердикт на негативный
2. Я вполне вам верю, но наблюдая постоянные сокращения бюджетов у всех почти компаний…
PandaSecurityRus
В том-то и дело, что задача облака и всех технологий вокруг этого сделать так, чтобы от новой неизвестной угрозы пострадало не более 5-10 предприятий, а не тысячи за первую минуту. В этом направлении тоже ведется работа. И тут достигнуты вполне приличные результаты. За последнее время мы уже неоднократно видели подобное поведение нашей системы. Не совсем понял Вашу мысль по поводу того, что облако будет сопротивляться изменить вердикт на негативный. Это как?
teecat
1. Создается троян, не определяемый в том числе и облаком
2. обкатывается на ботнете, где пользователи не реагируют на нарушения безопасности — тем самым рейтинг в облаке получается хороший
3. атакуется нужная группа — репутация в облаке отличная, поскольку репутация в облаке считается актуальнее локального вердикта — внедрение проходит успешно
4. попытки админов изменить вердикт облака по репутации — без шансов — миллионы леммингов не могут ошибаться. Вердикт будет изменен только после анализа новой угрозы аналитиками и внесения в облако новых правил
Не стоит думать, что злоумышленники дурнее всех. Облако обеспечивает реакцию на новые файлы и не более. Фактически это статистика появления новых файлов на контролируемых машинах + поведенческий анализатор — подписанные файлы. Ну нет в нашей области пока искуственного интеллекта
PandaSecurityRus
По поводу сокращения бюджетов и экономии.
Реальный пример от нашего клиента.
Приобрел на год 165 лицензий (1 основной офис и 3 офиса в области и соседнем регионе):
• Panda Adaptive Defense 360
• Panda Systems Management
Стоимость решений безопасности и решений по управлению ИТ-инфраструктурой составила: 346 500 рублей
В результате этого:
1. Клиент отказался от сисадминов в удаленных офисах:
3 сотрудника х 25 000р (зп) = 75 000 руб/мес +49% (налоги и взносы в бюджет) = 111 750 руб/мес. Итого: 1 341 000 руб/год (только по заработной плате)
2. Ресурсы серверов, которые ранее были выделены под антивирусное ПО, сейчас используются под другие цели. Более того, удалось серверы из удаленных офисов убрать в центральный офис (внутреннее облако), что также дешевле в плане обслуживания.
3. Обслуживание инфраструктуры антивирусного ПО в год обходилось порядка 20 000 рублей
4. Экономия на рабочих местах для сокращенных сотрудников
5. Ранее расходы на антивирус составляли 132 000 рублей в год.
6. Не требуется ресурсов на приобретение новых серверов для обслуживания антивируса.
В итоге грубая экономия в год для клиента составила: 1 493 000 — 346 500р= 1 146 500р в год.
За последний год инцидентов с шифровальщиками у данного клиента не было. А в течение года до перехода на Panda Adaptive Defense 360 было несколько инцидентов с шифровальщиками, ущерб составил порядка 120 000 рублей на восстановление данных.
Именно это заставило искать другое решение. Заодно клиент еще и решил автоматизировать работу ИТ-службы, чтобы можно было сэкономить на рабочих местах и штатных единицах и повысить качество внутреннего ИТ-сервиса.
teecat
Вполне верю. По моей практике организация процедур защиты резко снижает количество инцидентов. Зачастую до нуля — хотя общее количество инцидентов растет. За расчет — спасибо, итересно!