Пять инноваций в сфере ИБ в 2017 г.

7 Февраля 14:29
Майкл Се
Процесс развития никогда не останавливается. Применяя этот факт к сфере технологий, можно сказать, что ключевыми факторами успеха для поставщика решений являются непрерывная исследовательская деятельность и внедрение инновационных идей.

Этот принцип еще более значим в сфере информационной безопасности. Многие злоумышленники — это очень талантливые люди. Опередить их можно только одним способом — быть еще талантливее. А также мыслить быстрее и применять творческий подход.

Вот почему научно-исследовательская деятельность занимает такое важное место в области разработки технологий безопасности. Задача поставщиков решений по обеспечению информационной безопасности заключается в создании открытых, интегрированных технологий безопасности и сетевых технологий, с помощью которых организации смогут выявлять новые способы атак, адаптироваться к ним, повышать оперативность реагирования, а также масштабировать и распределять ресурсы безопасности по мере развития бизнеса. Чтобы удовлетворить столь обширные требования — что нередко приходится делать в сжатые сроки, — поставщики технологий должны уметь выходить за рамки традиционных решений, совершенствуя экосистему в целом.

Компания Fortinet занимает лидирующее положение по количеству инноваций. Только в 2016 г. мы получили около 80 патентов в самых разных сферах, таких как CASB, технологии выявления вредоносного ПО, защита от утечки данных, обнаружение вирусов, аппаратное ускорение, DDoS и облачные службы.

Однако в 2017 г. киберугрозы будут становиться все более изощренными. Перечислим несколько направлений научно-исследовательской деятельности, которые станут приоритетными для компании Fortinet в новом году.

1. Глубокое обучение и анализ атак

За годы развития появились технологии выявления угроз самых разных типов. Все началось с сигнатур (технология, сравнивающая нераспознанную часть кода с кодом известного вредоносного ПО), затем появилась эвристика (эта технология пытается выявить вредоносное ПО за счет анализа поведения кода). На следующем этапе возникли технологии «песочницы» (наблюдение за неизвестным кодом, запущенным в виртуальной среде, позволяет сделать вывод о его вредоносности), и машинного обучения (эта технология использует сложные алгоритмы, которые определяют, является ли поведение файла вредоносным или безопасным, после чего оператор-аналитик принимает окончательное решение).

Теперь же на рынок вышла последняя технология — технология глубокого обучения. Глубокое обучение — это новейшая форма искусственного интеллекта, которая использует процедуры, схожие с процессами распознавания разных явлений в человеческом мозгу. Эта технология обладает большим потенциалом применения в сфере информационной безопасности, в особенности для выявления угроз «нулевого дня», новых угроз и наиболее изощренных продвинутых постоянных угроз (APT).

Установив характеристики вредоносного кода, машина может в режиме, приближенном к реальному времени, с высокой степенью точности определить, является ли неизвестный код вредоносным. После этого автоматически применяется политика, предписывающая удаление или помещение файла в карантин, либо предпринимаются другие заранее определенные меры. Полученные данные автоматически распространяются по всей экосистеме безопасности.

В 2017 г. компания Fortinet продолжит разработку технологий, направленных на обучение наших интеллектуальных средств и более точное выявление неизвестного вредоносного ПО

2. Корреляция журналов при помощи «больших данных»

Информационные технологии глубоко проникли в деловую и личную жизнь. Во всем мире наблюдается увеличение объемов создаваемых данных, которые затем собираются и направляются на хранение.

Принцип работы можно описать так: чем больше событий обнаруживает поставщик решения безопасности, тем проще для этого поставщика становятся задачи сопоставления фактов, понимания самой сути угроз и обеспечения безопасности сети. Использование «больших данных» в целях выявления закономерностей на основе постоянно растущего массива журналов событий станет важным направлением наших исследований в 2017 г.

В новом году мы продолжим работу по совершенствованию технологии управления информационной безопасностью и событиями (SIEM), а также повысим эффективность функционирования наших решений на основе данных об угрозах FortiGuard Labs, которые позволяют получить всестороннее представление о кибератаках.

3.  Повышение безопасности контейнера

Тенденция к запуску приложений в контейнерах вместо виртуальных машин (VM) продолжает развиваться. В основе данной экосистемы лежат такие решения, как Docker — проект с открытым исходным кодом, платформа, поддерживающая упаковку, распространение и управление приложениями Linux в рамках контейнеров.

Технология Docker обладает несколькими преимуществами: к их числу относятся простота, оперативность конфигурации и более быстрое развертывание. Однако с точки зрения безопасности существуют и недостатки. Перечислим эти недостатки.

  • Эксплойты, ориентированные на поражение ядра — все контейнеры используют общее ядро, которое также является узлом. В этом заключается отличие от виртуальной машины. В связи с этой особенностью уязвимости ядра становятся более существенными. Один контейнер может вызвать «панику ядра», что приведет к прекращению работы всего узла и связанных с ним приложений.
  • Атаки типа «отказ в обслуживании» — все контейнеры имеют доступ к общим ресурсам ядра. Если один контейнер присвоит себе право доступа к определенным ресурсам, для других контейнеров на узле это чревато отказом в обслуживании (DoS).
  • Прорыв контейнера — злоумышленника, которому удалось получить доступ к контейнеру, необходимо остановить до того, как он получит доступ к другим контейнерам на узле. В рамках платформы Docker пользователям не присваиваются имена по умолчанию, поэтому любой процесс, который выходит за пределы контейнера, будет пользоваться на узле теми же полномочиями, что и внутри контейнера. Теоретически эта особенность может быть использована в ходе атаки, основанной на разности полномочий (например, атаки с использованием полномочий привилегированного пользователя). 
  • Подозрительные изображения — в неприкосновенности используемых изображений убедиться сложно. Если злоумышленнику удастся обманом вынудить пользователя использовать предоставленное им изображение, под удар будут поставлены как данные узла, так и данные самого пользователя.
  • Секреты, угрожающие безопасности — как правило, для доступа контейнера к базе данных или службе требуется ключ API либо имя пользователя и пароль. Злоумышленник, получивший доступ к этим ключам, сможет получить доступ и к службе. В отличие от архитектур с небольшим количеством длительно работающих виртуальных машин эта проблема наиболее актуальна в архитектурах на основе микрослужб, в рамках которых контейнеры постоянно запускаются и останавливаются.

Перечисленные проблемы будут рассмотрены в ходе нашей исследовательской работы в 2017 г. Важность этих исследований бесспорна, так как технология контейнеров в перспективе будет только набирать популярность.

4.  Защита виртуального клиентского оборудования

Такое направление развития, связанное с технологиями виртуализации и облачных вычислений, как виртуальное клиентское оборудование (vCPE), представляет собой значительный исследовательский интерес.

В настоящее время потребности бизнеса быстро изменяются, и в целях оперативной и безопасной адаптации рабочего процесса в филиалах к этим изменяющимся потребностям организации должны обладать гибкостью. Они нуждаются в возможности включения новых служб на базе единой платформы по запросу. В отличие от развертывания дополнительных устройств и управления ими такое решение не приводит к увеличению затрат и повышению сложности инфраструктуры.

Поставщики управляемых услуг (MSP) могут использовать виртуальное клиентское оборудование в целях предоставления организациям сетевых услуг, например, реализации функций межсетевого экрана и поддержки подключений VPN при помощи программного обеспечения, а не специализированного оборудования. За счет виртуализации клиентского оборудования поставщики могут упростить и ускорить обслуживание, удаленно осуществлять процедуры конфигурации устройств и управления ими, а также предоставлять клиентам возможность настройки услуг по запросу или заказа новых услуг.

За счет внедрения технологии виртуализации сетевой функции (NFV) компания Fortinet значительно продвинулась вперед в направлении объединения современных сетевых функций и служб безопасности на базе одного устройства (FortiHypervisor). Такое решение не требует установки большого количества оборудования в клиентском помещении и позволяет пользоваться преимуществами обслуживания по запросу. В 2017 г. мы намерены продолжить разработку в данном направлении в целях расширения охвата, повышения производительности и качества обслуживания клиентов. 

5.  Поддержка развертывания корпоративной сети SD-WAN

Все большее количество организаций делает выбор в пользу более гибких и открытых облачных сетей WAN, отказываясь от применения частной или специализированной технологии WAN, которая нередко требует развертывания фиксированных цепей или дорогостоящего закрытого аппаратного обеспечения.

Эта тенденция свидетельствует о начале эпохи программно-конфигурируемых глобальных сетей (SD-WAN), которые не требуют внедрения дорогостоящего оборудования для маршрутизации, так как функции подключения и обслуживания выполняются на базе облака. Также благодаря технологии SD-WAN подключениями можно управлять с помощью облачного программного обеспечения.

В перспективе технология SD-WAN может во многих отношениях способствовать повышению уровня сетевой безопасности, например:

  • Технология SD-WAN упрощает шифрование трафика.
  • При помощи технологии SD-WAN можно разделить сеть на сегменты, что ограничивает негативные последствия нарушения или атаки рамками небольшой, хорошо поддающейся управлению области.
  • Благодаря росту объема облачного трафика стал возможен доступ к сети Интернет из филиалов организаций. Технологию SD-WAN можно использовать не только в целях поддержки подключений, но и для обеспечения безопасности подключения.
  • За счет эффективной реализации функции отслеживания объема и типов сетевого трафика сети SD-WAN позволяют оперативно обнаруживать атаки.

В этом году в планы компании Fortinet входит проведение научно-исследовательских работ в рамках перечисленных направлений. В результате технология SD-WAN станет доступной для организаций. 

Благодаря нашей технологической концепции и такому достижению, как разработка адаптивной системы сетевой безопасности Fortinet, мы располагаем необходимыми ресурсами для решения многих перечисленных выше проблем безопасности и поддержки организаций, находящихся в процессе цифровой трансформации. Мы продолжим заниматься расширением охвата нашей системы безопасности и, отходя от вопросов отслеживания состояния сетей, начнем уделять больше внимания такому приоритетному направлению научно-исследовательской деятельности, как измерение показаний и проведение сравнительных испытаний. И наконец, мы разработаем способы определения соответствия корпоративных политик принятым в конкретной области стандартам.

Благодаря обилию возможностей для планомерного развития в новом году достижения в сфере информационной безопасности по-прежнему будут привлекать внимание корпоративных клиентов.

Материалы по теме:

Комментарии:

НОВЫЕ СТАТЬИ

Как обеспечить 100% доступность данных
Владимир Смирнов 27 Апреля 11:43
Как «заказывают» DDos-атаки: история из жизни
По материалам Космонова 26 Апреля 11:33