Сразу оговоримся: эта статья не о классической защите периметра. Периметр мертв! В этой статье вы узнаете, как по-настоящему защитить свою бизнес-модель от киберугроз — как внутренних, так и внешних.
Более шести из десяти ИТ-руководителей США говорят, что пандемия усложнила защиту от кибератак. В Германии ситуация, вероятно, будет значительно более разрушительной. Цифровизация, вызванная COVID-19, и массовый переход к удаленной работе с растущим потребителем (fka Bring Your Own Device, BYOD) не совсем невинны в росте уже многочисленных кибератак и громких утечек данных в компаниях, а также в правительствах.
Гонка со временем. Или? ИЛИ?!
Киберпреступники постоянно разрабатывают новые методы и совершенствуются в маскировке под законные приложения или соединения. Традиционные подходы к кибербезопасности никогда не были в состоянии идти в ногу со временем. Сканеры вирусов, блокировщики URL-адресов или фильтры IP-адресов и портов никогда не отвечали. Ни один из них не подходит для атак нулевого дня или внутренних преступников.
Первые проблески надежды появились с первыми настоящими межсетевыми экранами NG. Palo Alto Networks, Barracuda и Adyton (теперь LANCOM R&S®Unified Firewalls) были первыми представителями этой гильдии. В основе этого нового поколения брандмауэров был (и остается) однопроходный механизм и его декодеры. В случае с PAN это была собственная разработка; и Barracuda, и Adyton полагались на опыт глубокой проверки пакетов Ipoque и его декодеров приложений и протоколов. Между тем, у Barracuda тоже есть свой двигатель. Как и Adyton в то время, Ipoque принадлежит Rohde & Schwarz. Компания Lancom, которая была приобретена позже, вероятно, до сих пор использует эту технологию. Если вы знакомы с историей Saxons, то знаете, что rhebo и cognitix также уходят корнями в компанию, которая была основана в Лейпциге еще в 2005 году.
Мало того, что межсетевые экраны нового поколения намного надежнее обнаруживают потенциальные угрозы, они также почти без потерь и по-прежнему работают на скорости, близкой к линейной, даже при полной нагрузке. Производители быстро осознали еще одно преимущество: в отличие от громоздких UTM или прокси-брандмауэров, новое поколение подходит не только для гейткипера. Брандмауэры NG могут быть размещены прозрачно в любом месте сети, например. в качестве сегментаторов, в облаке или на периферии.
Вскоре была добавлена еще одна функция: искусственный интеллект. Это открыло совершенно новые возможности. И на рынок вышли новые вендоры: rhebo, Vectra, cognitix (теперь genua cognitix Threat Defender) и DARKTRACE.
Но, но, но... ИИ тоже учится на исторических данных!
Да, это так. Однако ИИ в продуктах сетевой безопасности не анализирует прошлые или известные атаки. Алгоритмы используются для изучения с нуля, какое поведение приложений, сетевого трафика, устройств и пользователей является нормальным или безвредным. Отклонения от этого могут быть помечены как аномалия или заблокированы напрямую. Таким образом, могут быть обнаружены атаки нулевого дня, а также внутренние злоумышленники и сложные постоянные угрозы (очень сложные сценарии атак).
Другая сторона медали: если вредоносный шаблон уже установлен, ИИ узнает его как обычно. Возможны и ложные срабатывания, например, в случае резких изменений. Так было, когда наступил Covid, и сотрудники день ото дня меняли свое поведение. Благодаря Work from Home (WfH) изменились не только соединения в сети. Расписания сотрудников и корпоративные процедуры тоже внезапно изменились.
Белый список стероидов
ИТ-безопасность нового поколения по сути основана на белом списке. Доступ к определенным процессам и данным предоставляется только доверенным приложениям, устройствам или пользователям.
При включении в белый список для проверки целостности используются подписи, сравнимые с отпечатками пальцев. Каждое приложение, каждый файл, каждое поведение имеет уникальную подпись, которая хранится в базе данных. Проверка целостности сравнивает, является ли это авторизованным доступом разрешенного приложения. Если шаблон приложения не соответствует сохраненной подписи, доступ блокируется. Эта процедура не только эффективна, но и очень эффективна. На практике количество разрешенных приложений намного меньше, чем количество программ, классифицированных как вредоносные или нежелательные. Меры защиты на основе белых списков реагируют быстрее и намного экономичнее, чем традиционные решения, основанные на черных списках.
Этот подход играет большую роль в подходах к безопасности на основе поведения и моделях нулевого доверия.
«В ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НЕТ СЕРЕБРЯНОЙ ПУЛИ. НО ПРАВИЛЬНОЕ РАЗВЕРТЫВАНИЕ БЕЛОГО СПИСКА ОБЕСПЕЧИВАЕТ ИСКЛЮЧИТЕЛЬНУЮ ЗАЩИТУ ОТ НУЛЕВОГО ДНЯ И ЦЕЛЕВЫХ АТАК». СИЛА БЕЛОГО СПИСКА, НИЛ МАКДОНАЛЬД, GARTNER
So quo vadis?
Многие кибератаки до сих пор устарели. Фишинг, трояны или вирусы, а также недовольный сотрудник — самые большие угрозы. Однако атаки становятся все более изощренными и многочисленными. Другая сторона также шире использует ИИ, как это уже произошло с атакой на SolarWinds.
Следующая важная вещь в ИТ-безопасности — это анализ основных причин, предиктивная аналитика, графики, корреляция и локальная аналитика угроз. Одним из самых популярных в последнее время является Riverbed. Специалист по мониторингу сетевого трафика и производительности теперь считает себя «экспертом по анализу первопричин». Другие поставщики включают стартапы, такие как словацкая Minit или немецкая KnowledgeRiver, а также более известные Lana Labs. Все они также работают с ИИ.
Cognitix, которую купили Genua и Bundesdruckerei, а также такие компании, как GlassWire, Vectra, Awake Security и ExtraHop, работают с графами. Помимо Palo Alto Networks, Firemon и Guardicore, среди прочих, уже интегрировали аналитику угроз. Последнее, в частности, может стать серьезным конкурентом на рынке брандмауэров.
Эта статья изначально была опубликована на сайте data-disrupted.de.
