В извечной борьбе брони и снаряда фора обычно у создателей снаряда, они вольны выбирать способы атаки и порой очень изобретательны. Эта истина особенно актуальна для специалистов по защите корпоративных компьютерных сетей, поскольку громкие взломы последних лет доказали – сделать защиту без брешей сегодня практически невозможно. Именно это побуждает разработчиков защиты радикально менять подход к ней.
Ключевым понятием в информационной безопасности является площадь атаки (attack surface), которая, если говорить просто, означает совокупность потенциальных возможностей для злоумышленника проникнуть в систему и совершить в ней несанкционированные действия. Основной проблемой последнего десятилетия является непрерывно растущая площадь атаки: широкое внедрение Интернета на рабочих местах, распространение съемных носителей и появление привычки работать с домашних компьютеров, популярность рабочих ноутбуков, а в последние годы – концепция «принести свое устройство» (BYOD, bring your own device) создают все больше и больше брешей безопасности. Корпоративную сеть больше нельзя герметично запечатать, новые принципы ведения бизнеса побуждают к открытости, которая в свою очередь создает дополнительные возможности для взлома. Если от обычных злоумышленников, ориентированных на массовые мелкие кражи или вымогательство, грамотно выстроенная политика IT-безопасности еще защищает, то против квалифицированной целенаправленной атаки (APT, advanced persistent threat) не смогли устоять даже такие гиганты, как Google, New York Times и Microsoft. Главным принципом целевой атаки является максимальная скрытность и постепенность. Хакеры действуют шаг за шагом, прицельно атакуя единичных людей и начиная как правило даже не с сотрудника интересующей их компании. Сначала устанавливается контроль над компьютером дальнего родственника или сотрудника другой фирмы, имеющей с намеченной жертвой деловые отношения, затем от его имени направляется достоверно составленное письмо или ссылка, по которой жертва загружает специально для нее написанный вредоносный код, и так далее. Шаг за шагом, очень осторожно выбирая компьютеры для заражения, хакеры попадают в корпоративную сеть, собирают в ней интересующие их конфиденциальные документы и затем отправляют их на серверы злоумышленников, после чего данные перепродаются заказчику взлома - обычно это конкуренты, хотя возможны и более серьезные атаки со стороны зарубежных спецслужб. Ключевой проблемой в борьбе с качественно проведенной атакой является бессилие традиционных средств защиты: специально написанные вредоносные программы изначально проверяются на недетектируемость существующими антивирусами, для внедрения в систему используются новые, еще не исправленные уязвимости приложений на компьютере жертвы, а шифрование и стеганография позволяют скрытно выгружать информацию из корпоративной сети, не вызывая тревоги у систем предотвращения утечек (DLP). В ретроспективе, когда о взломе становится известно, его следы могут быть найдены квалицированными вирусологами, специалистами по цифровым расследованиям и другими штучными экспертами, но вот полностью предотвратить взлом или обнаружить его на ранних этапах осуществления мало кому удается. Довольно смелое программное заявление сделал по этому поводу Арт Ковелло, председатель совета директоров компании RSA, десятки лет специализирующейся на корпоративной безопасности. По его словам, в имеющейся ситуации бесполезно тратить усилия на полное предотвращение взлома, поскольку невозможно написать антивирус или иное защитное решение, которое предотвратит заражение корпоративных компьютеров со 100% надежностью, а уж обеспечить «стерильность» домашних компьютеров сотрудников и чистоту сетей всех деловых партнеров – полная фантастика. Поэтому новый вектор решения проблемы, который пробует RSA – это предотвращение не взлома как такового, а его последствий, то есть кражи данных. Для этого необходимо, чтобы все события в сети и на корпоративных компьютерах анализировала система, «интеллект» которой может конкурировать с опытным аналитиком. Как ни странно, это решаемая задача, хотя свое преимущество система получает не за счет человеческой способности к интуитивному принятию решений, а за счет установления скрытых взаимосвязей между разнородными событиями на основе аналитики Больших Данных. Эта перспективная сфера в IT пока наиболее востребована для анализа и предсказания событий в потребительской торговле и на финансовых рынках, но ее методы прекрасно применимы к многим другим областям, и безопасность IT одна из них. Система аналитики может установить связь между внешне безобидными событиями, каждое из которых по отдельности было бы пропущено системой DLP, но вместе они образуют портрет взлома. Здесь и вступает в дело система, которая в автоматическом режиме предотвращает выгрузку данных за пределы сети, а также оповещает администраторов для принятия дополнительных мер и проведения углубленного расследования. Данный перенос фокуса с предотвращения взлома на предотвращение кражи данных и других нежелательных последствий уже достаточно революционен, но видение Ковелло распространяется и дальше. Очевидно, что описанная система хорошо работает в больших сетях, но вряд ли может служить для эффективной защиты индивидуальных компьютеров у пользователей дома. Как же защитить их от банковских троянцев и других вредоносных приложений? По мнению Арта Ковелло, здесь ответственность должна перемещаться из рук владельца компьютера, который как правило недостаточно образован в данной области для того, чтобы действовать грамотно, в руки более компетентных структур. Например, в случае банка описанная система аналитики должна проверять не только сами транзакции, которые инициирует клиент, но и их вспомогательные признаки, такие как скорость заполнения веб-форм, IP-адрес и устройство, с которых ведется работа с банковским сайтом, и многое другое. На основании сотен признаков система аналитики может выявить, что данный клиент пострадал от взлома, и его транзакции нужно временно заблокировать, а человека оповестить о необходимости лечения компьютера.
Разумеется, новый подход не полностью вытеснит традиционный, поскольку значительное большинство угроз проще все же отлавливать обычными антивирусами, базовыми поведенческими анализаторами, действующими по фиксированным правилам и т.п. Но для наиболее изощренных и опасных атак Большие Данные могут оказаться настоящей панацеей, особенно в таких сферах, как защита критической инфраструктуры.