Статті

Широкий взгляд основателя Fortinet на средства защиты

Люди, которые постоянно следят за новостями, наверняка уже отметили тенденцию к усложнению киберугроз и повышению их вредоносности. Мой опыт на посту руководителя компании-поставщика технологий безопасности свидетельствует о том, что задача противодействия этим угрозам становится все более актуальной для миллионов организаций, ежедневно подвергающихся атакам.

Современные технологии информационной безопасности являются обязательным элементом корпоративных инфраструктур. Разумеется, перед их внедрением организации следует нанять специалистов и осуществить развертывание политик и процедур. Кроме того, отметим, что технологии безопасности не сводятся к устройствам в стойках.

Компонент, на котором основаны все средства защиты, невидим глазу, однако играет ключевую роль в обеспечении противодействия угрозам, представляющим опасность для бизнеса. Ваша система безопасности функционирует на основе данных об угрозах — точнее, благодаря способности средств защиты собирать сведения о развивающихся угрозах и принимать упреждающие меры.

Задача своевременного сбора данных об угрозах, на основе которых можно составлять точные прогнозы, гораздо сложнее, чем может показаться. Для этого необходимо эффективное научно-исследовательское подразделение, деятельность которого построена на следующих принципах

  1. Разделяйте и властвуйте — для многих сфер бизнеса верно то, что работа в больших группах приносит более существенные результаты. Тем не менее, когда речь идет о борьбе с мотивированными на успех киберпреступниками, следование общепринятым представлениям не всегда оправдано. Как свидетельствует мой опыт, эффективная организация по исследованию угроз состоит из нескольких мелких групп, каждая из которых занимается изучением определенной разновидности угроз. Сосредоточенность групп на отдельных направлениях способствует повышению уровня специализации и компетентности каждой команды. Такой подход повышает оперативность выявления угроз и идентификацию новых угроз, в то же время сокращая время реагирования на инциденты.
  2. Действуйте оперативно — группы исследователей угроз должны быстро реагировать на изменения. Угрозы очень динамичны, они изменяются с каждым днем, а иногда и с каждым часом и минутой. Группы должны оперативно ставить перед собой новые цели и быстро адаптироваться к ним. Например, планы исследований в компании Fortinet постоянно обновляются в соответствии с прогнозами развития угроз. После определения новых направлений работы мы привлекаем исследователей, обладающих соответствующими навыками. В составе целевых рабочих групп исследователи занимаются изучением появляющихся угроз. В качестве актуальных примеров подобных угроз можно привести IoT, программы-вымогатели и автономное вредоносное ПО.
  3. Составьте комплексное представление о ситуации — поощряйте исследователей мыслить масштабно и уделять внимание собственным профессиональным интересам, в том числе тем из них, которые не имеют непосредственного отношения к продукции компании. К примеру, исследование уязвимостей IoT может способствовать углублению представлений поставщика корпоративных услуг безопасности об угрозах.
  4. Развивайте интуицию — руководители по исследовательской работе должны обучать специалистов умению определять уровень опасности угроз еще до того, как их серьезность станет очевидной. Например, самые талантливые исследователи угроз еще несколько лет назад говорили о том, что следующим актуальным направлением атак станут уязвимости IoT. По прошествии некоторого времени этот прогноз получил подтверждение в виде нового ботнета Mirai IoT, появившегося в сентябре прошлого года. Угрозы постоянно возникают и быстро развиваются. Если поставщик услуг безопасности недостаточно оперативно выявляет угрозы и реагирует на них, он не сможет своевременно обеспечить безопасность клиентов.        
  5. Накапливайте данные — от объема данных, к которому имеет доступ исследовательская группа, зависит и достоверность результатов исследований. Хорошо информированные исследовательские организации не хранят собранные данные в тайне — они делятся ими с другими. К примеру, компания Fortinet не только собирает сведения с помощью 3 миллионов датчиков, развернутых по всему миру, но и активно обменивается данными об угрозах с такими организациями, как Интерпол, НАТО, Корейское агентство по вопросам Интернета и информационной безопасности, а также с другими поставщиками технологий безопасности, состоящими в объединении Cyber Threat Alliance. На протяжении последних месяцев мы также заключили соглашения с другими государственными учреждениями и операторами по всему миру. Это благоприятная тенденция, так как она позволяет всем участникам совместно создать более крупную базу данных об угрозах и с ее помощью отслеживать и блокировать вредоносное ПО, а также устанавливать его источники.
  6. Инвестируйте в технологии проведения исследований — эпоха ручного анализа данных об угрозах давно осталась в прошлом. Эффективные группы исследователей используют современные инструменты интерпретации и корреляции ежесекундно поступающих массивов данных. В настоящее время мы располагаем языками распознавания образов содержимого (Content Pattern Recognition Languages, CPRL), предназначенными для выявления тысяч существующих и потенциальных вариаций вирусов при помощи единой подписи. Тем не менее, будущее за такими технологиями, как анализ «больших данных» и искусственный интеллект. В скором времени ИИ в сфере информационной безопасности будет способен оперативно адаптироваться к появлению новых угроз. Сегодня люди занимаются выполнением достаточно сложных задач по сопоставлению фактов, обмену данными и применению этих данных в рамках систем. В будущем высокоразвитые системы искусственного интеллекта автоматизируют принятие множества из этих сложных решений. 

Однако, независимо от степени продвинутости искусственного интеллекта, полная автоматизация, которая предполагает стопроцентную передачу машинам управления и всех этапов процесса принятия решений, остается недостижимой целью. Необходимость вмешательства специалиста сохранится. Благодаря платформам «больших данных» и анализа можно будет предсказывать тенденции развития вредоносного ПО, но не резкие изменения курса развития. Лишь человеческий разум мог предвидеть то, что вредоносное ПО, например Wannacry, будет внедрять эксплойты уязвимостей Агентства национальной безопасности в незащищенные системы.

Сущность процесса развития вредоносного ПО такова, что он всегда следует за прогрессом человечества и проникновением новых технологий в повседневную жизнь. Если, к примеру, в ближайшие годы широко распространятся автомобили без водителей и носимые устройства IoT, киберпреступники, как и всегда, найдут способ оседлать волну и воспользоваться уязвимостями таких автомобилей и устройств. Аналогичным образом, если развитие криптовалют продолжится теми же темпами, что и в этом году, то эта сфера привлечет множество злоумышленников. 

Концепция автоматизации создает множество новых возможностей для киберпреступников и повышает риск для организаций. По мере того, как злоумышленники увеличивают уровень автоматизации вредоносного ПО, атаки на корпоративные сети не только станут более частыми, но и сократится период между проникновением и воздействием. Атаки смогут избегать обнаружения. Перед организациями встанет задача обеспечения принятия согласованных мер реагирования, охватывающих экосистему распределенной сети целиком — от IoT до облака, — практически в режиме реального времени. В настоящее время не все организации имеют возможность решить эту задачу. Эта проблема должна стать приоритетной для директоров по ИТ. 

Материалы по теме:
Комментарии: