Искусственный интеллект против хищника
Инновационный подход
Бизнес в современных условиях вынужден трансформироваться непрерывно: обрастать новыми направлениями, избавляться от потерявших актуальность, осваивать постоянно возникающие цифровые каналы общения с клиентами, все глубже интегрироваться в экосистему, бороться за место на рынке. Несладкая жизнь осложняется нарастающим числом киберугроз, которые также непрерывно меняются. Чтобы справиться с ними, нужны новые подходы к информационной безопасности.
Будь инновационным либо умри — это закон новой реальности, в которой существует бизнес. Правило работает практически в любой отрасли: финансах, ритейле, телекоме, транспортных перевозках, промышленности и даже в нефтегазе. Компании стараются следовать ему по мере способностей и наличия ресурсов. Внедряют инновации, практикуют agile, перестраивают корпоративную архитектуру, делая ее датацентричной. Все это вызывает нервный тик и бессонницу у директоров, ответственных за информационную безопасность,— CSO (Chief Security Officers): зачастую веб-приложения, которые выпускаются в режиме agile, не проходят должной проверки на наличие уязвимостей. Дыры приходится латать прямо по горячему — на рабочих версиях.
Инновационные программные решения, которые всегда срочно нужны маркетологам, отделам продаж, HR-специалистам, финансистам и топ-менеджерам, возможно, ускоряют бизнес-процессы и создают новые возможности для работы, но могут нести и риски. Злоумышленники стали все чаще встраивать вредоносный код прямо в легитимное ПО. Это может происходить в результате взлома корпоративной системы разработчиков либо когда киберпреступники создают с виду полезную программу, добавляя в дистрибутив неприятный сюрприз.
Но бизнес мало волнуют проблемы директоров по безопасности. Как говорит Нейл Макдональд, вице-президент и ведущий аналитик Gartner, "реальность такова, что бизнес-лидеры несутся на полной скорости с вами или без вас". Пытаться действовать по-старому, стремясь обеспечить информационную безопасность, так же сложно, как удержать воду в решете.
Аналитики Gartner предлагают CSO придерживаться нового подхода CARTA (continuous adaptive risk and trust assessment). Он заключается в том, чтобы непрерывно оценивать риски и степень доверия, адаптируясь к ситуации. Причем это касается всех участников бизнеса: от разработчиков компании до ее партнеров. На практике это означает в первую очередь использование аналитики данных. И в этой сфере компании могут получить большую пользу от применения deep learning.
Умные машины на страже
Как говорит, Эрик Альм, директор по исследованиям Gartner, на обнаружение утечки данных в США сейчас уходит в среднем 99 дней и это стоит компаниям около $4 млн. Аналитические инструменты могут существенно сократить потери и ускорить процесс.
"Инструменты обнаружения аномалий и машинное обучение помогают нам находить плохих парней, которые в ином случае могут пробраться через систему защиты от проникновения. Поэтому аналитики сейчас очень нужны департаментам безопасности: они прекрасно отыскивают плохих парней, изучая данные, там, где другие системы не срабатывают". То есть компании должны непрерывно мониторить все, что происходит в корпоративной системе. Подход с однократной аутентификацией дает сбой, если злоумышленник уже проник за периметр. К примеру, если легитимный на первый взгляд пользователь скачивает важные данные на определенное устройство, они должны быть зашифрованы, а затем система должна наблюдать за действиями этого пользователя. Если он начинает скачивать слишком много, проявляет нетипичную активность, система должна оповестить об этом службу безопасности.
Андрей Гайко, руководитель направления аудита ИБ финансовых организаций Digital Security, говорит, что алгоритмы машинного обучения стали очень популярны. "Современная информационная безопасность подразумевает сбор и анализ большого объема данных, которые создаются защищаемыми системами и системами защиты. Механизмы deep learning позволяют автоматизировать большую часть рутинных задач в части анализа данных, выявления аномалий. Они встраиваются в системы обнаружения и предотвращения вторжений (IDS/IPS), межсетевые экраны прикладного уровня (так называемые web application firewalls — WAF), которые выявляют подозрительную сетевую активность и определяют, насколько она легитимна".
Этот подход отличается от того, как вендоры решений ИБ действовали в прошлом. Они использовали сигнатурные базы, в которых содержатся некие значения, являющиеся индикатором атак. Эти базы обновлялись вручную производителями. Как объясняет Андрей Гайко, в системах с deep learning заложена возможность самообучения. После установки такое средство защиты накапливает данные и обучается в течение одного-двух месяцев, после чего самостоятельно может создавать сигнатурную базу. "WAF, которые используют deep learning, показывают довольно хорошие результаты и являются более эффективными, чем классические системы с обновляемыми в ручную базами сигнатур. Но системы, использующие deep learning, дороже, чем "классические"",— добавляет Андрей Гайко.
По словам Сергея Терехова, директора центра компетенций по информационной безопасности "Техносерв", технологии машинного обучения в РФ пока не применяются в ИБ массово. Возможно, стоимость — одна из причин этого.
Безопасность на полной скорости
Использование систем с машинным обучением помогает предотвращать внешние угрозы, но этого недостаточно для полноценной информационной защиты. Вторая практическая рекомендация Gartner касается процесса разработки новых корпоративных приложений. Аналитики советуют как можно раньше начинать оценивать риски. В современном мире разработка больше напоминает сборку из уже готовых компонентов и внешних библиотек. Этот код необходимо проверять на наличие рисков до того, как он попадет в готовый продукт. Также не следует спешить с релизом кода, написанного собственными силами, до его проверки: должен соблюдаться баланс между скоростью и безопасностью. Это касается и всех внешних партнеров: границы бизнеса размываются — если возникают проблемы у одной компании, они, как правило, затрагивают многих, если не всех, участников экосистемы. Подход CARTA подразумевает необходимость постоянного наблюдения за всеми, в том числе репутационными, рисками, возникающими в экосистеме, и наличие способности адаптироваться к ситуации.
На этапе планирования Gartner рекомендует точно рассчитывать риски, которые может себе позволить компания с точки зрения информационной безопасности. К примеру, сколько времени система может быть недоступна без ущерба для репутации и без существенных потерь. В каких-то случаях это будет два часа, в других — критичными могут оказаться три минуты. Математическое моделирование и предиктивная аналитика помогают объяснить эти риски в терминах, понятных бизнесу.
Сергей Терехов говорит, что это актуально и для РФ. По его словам, буквально еще пару лет назад практически вся информационная безопасность (ИБ) в стране была сфокусирована на соответствии требованиям регуляторов и обеспечении конфиденциальности. Это один из трех столпов ИБ в классическом понимании наряду с доступностью и целостностью. В текущем году массовые инциденты ИБ сместили акценты на доступность, на обеспечение непрерывности бизнеса, повысилась значимость вопросов безопасности для ИТ-директоров и топ-менеджмента.
Поэтому прогрессивные российские компании создают бизнес-ориентированные модели ИБ, прозрачные для высшего руководства, и практикуют проактивный подход к отражению критичных для бизнеса угроз, конечно не забывая о требованиях закона.
Последняя рекомендация Gartner касается расширения взгляда на ИБ: оставляя в фокусе внимания собственный бизнес, учитывать также и то, что происходит в экосистеме. Поставщики решений, согласно принципам CARTA, должны выполнять пять требований: предоставлять открытые API и полный доступ к данным без дополнительной оплаты, поддерживать современные ИТ-практики, такие как контейнеры и облака, а также множество методов детекции, давать возможность применять адаптивные политики, например менять настройки безопасности в зависимости от контекста.
Все это, по словам мистера Макдональда, позволит компании быть более открытой инновациям и новым возможностям, говорить "да" даже в тех случаях, которые в прошлом вызвали бы категоричное "нет".
Разделяй и властвуй
Один новых практических инструментов, который соответствует принципам CARTA,— это так называемая микросегментация. Этот подход набирает популярность и активно обсуждается последние пару лет. Идея заключается в том, чтобы разбить информационную корпоративную систему на отдельные участки и поставить защиту на каждом из них. Сергей Терехов объясняет: "Это совокупность технологий, которые позволяют гранулярно, с точностью до конкретной машины контролировать межсетевые взаимодействия внутри виртуальной сетевой инфраструктуры. Таким образом, они позволяют обеспечить минимальный уровень контроля и защищенности виртуальных машин через их безопасное взаимодействие и организацию VPN". Но, по словам господина Терехова, это не является гарантией полной защищенности. Вместе с микросегментацией необходимо также использовать специализированные системы безопасности (распределенные виртуальные системы предотвращения вторжений, контентную фильтрацию, межсетевые экраны приложений и т. д.), спроектированные специально под технологии микросегментации и сетевой виртуализации. Такие системы могут строиться в том числе с использованием deep learning.
Как объясняет Андрей Гайко, микросегментация поможет минимизировать ущерб в случае, если система уже скомпрометирована и злоумышленник проник внутрь. "Если говорить о микросегментации как о выделении каждого сервера и рабочей станции в отдельный сегмент, то это дает надежную защиту от атак типа "человек посередине" (man in the middle). Но часто взлом становится успешным, если администраторы где-то недоглядели, что-то забыли. В таких случаях ни одна технология не поможет. Человеческий фактор всегда будет присутствовать. Современные технологии, в том числе микросегментация, становятся эффективными, когда сотрудники службы безопасности не забывают об основах, соблюдают политики и учитывают лучшие практики".