17.12.2013

А вы готовы к облачной аналитике в области ИБ?

Про эволюцию угроз сказано уже немало и разными компаниями. Почти каждый конец года знаменуется различными апокалиптическими прогнозами о будущем киберпространства и киберугроз. Чуть меньшее количество компаний связывает различные угрозы с разными классами защитных средств, доказывая и показывая, что серебряной пули не бывает и каждое защитное средство предназначено для решения своей собственной задачи. Это, в общем-то, очевидно, но до сих нередко приходится слышать про спасительные пилюли "все в одном", которые якобы достаточно поставить на периметре и она решат все проблемы. Однако мало кто обычно говорит об инструменте, который и делает средства защиты эффективными, - о системе принятия решения.

Сегодня я написал заметку в нашем корпоративном блоге на тему облачной ИБ-аналитики, как одном из основополагающих трендов на ближайшие годы у абсолютного большинства производителей средств защиты, исключая, вероятно, СКЗИ. И хотя в заметке я описывал эту технологию на примере Cisco и приобретенной нами Sourcefire, мы далеко неединственный производитель, который обратился к вынесению системы принятия решения за пределы потребителя. По этому принципу сегодня работают многие компании:
  • Cisco - Cisco Security Intelligence Operations
  • Sourcefire - Sourcefire Cloud-based Sandbox
  • Лаборатория Касперского - Kaspersky Security Network (KSN)
  • ESET - ESET Live Grid
  • TrendMicro - TrendMicro Smart Protection Network
  • HP - HP Reputation Digital Vaccine и ThreatLinQ
  • Symantec - Symantec Global Intelligence Network
  • Cezurity (часть ГК Infowatch) - Cezurity Cloud
  • и т.д.
Основными решаемыми такими "облаками" задачами можно назвать:

  • Снижение размера системы защиты и объема обновлений, что особенно актуально для мобильных устройств. 
  • Автоматизация процесса защиты от непрерывно растущего числа угроз, которые при этом еще и постоянно усложняются.
  • Снижение времени реакции на новые угрозы.

В целом преимуществ у такой технологии немало; их неплохо описали в статье Лаборатории Касперского. Я бы хотел коснуться двух особенностей облаков ИБ-аналитики, о которых мало кто пишет. Но не потому, что это секретная информация и ее тщательно скрывают. Просто во многих странах, особенно в тех, в которых сидят штаб-квартиры компаний-р
азработчиков, уровень проникновения Интернет достигает 98%, что делает там первую российскую особенность неактуальной. Речь идет о каналах связи - об их надежности, качестве, пропускной способности. Когда у вас скорость Интернет-подключения составляет десятки мегабит или даже гигабит в секунду, а канал в Интернет резервируется не только на уровне внутренних линков или оборудования, но и на уровне провайдеров, то вы даже не задумываетесь, как работает система защиты и на основании чего она принимает решение о блокировании угрозы. А теперь обратим свой взор на Россию. Какие риски существуют у нас?Их три:

  • Низкое качество связи даже в крупных региональных центрах. Во время написания этой заметки у меня Интернет то пропадал, то появлялся, и заявленная в 50 МБит/сек скорость регулярно снижалась до нескольких сотен килобит.
  • Отсутствие Интернет на удаленных площадках или дороговизна Интернет-канала по причине отсутствия конкуренции или используемых технологий (например, спутниковый Интернет за Полярным кругом).
  • Менталитет, приводящий к невозможности или нежеланию передачи пусть и обезличенной, но все же чувствительной информации производителю средства защиты. Даже если представить, что никакой конфиденциальной информации в передаваемых данных нет, в условиях вселенской паранойи некоторых отечественных регуляторов, потенциального повтора Сноуденовского сценария, запрета передачи информации госорганами за пределы государственной границы РФ, работа облачной ИБ-аналитики становится под вопросов.
  • Случайное блокирование IP-адресов облачного сервиса по решению Роскомнадзора, суда, прокурора, его брата, зятя, тестя и других уполномоченных лиц. Такие случайные блокировки нередки в последнее время и сбрасывать со счетов этот риск нельзя. 

При таких условиях ни о каком анализе угроз в реальном времени говорить в России не приходится. Но и отказываться от технологии облачной ИБ-аналитики тоже нельзя - она сейчас является единственным решением проблемы с постоянным ростом числа и сложности киберугроз.

Что делать? Для потребителя рекомендация будет одной - учитывать вышеприведенные риски и готовиться к их снижению различными методами (расширение канала, SLA, резервный провайдер, развертывание частного облака ИБ-аналитики и т.д.). Нельзя забыть и про регуляторов (ЦБ, ФСТЭК, ФСБ...), которые сейчас активно пишут нормативную базу, регламентирующую различные вопросы в области информационной безопасности. Им стоит учитывать, что даже сейчас сделать абсолютно замкнутую контролируемую зону невозможно, т.к. средству защиты необходимо обновляться. Через год-другой средств защиты, базирующихся на знании угроз (не используют эту информацию, пожалуй, что только СКЗИ) и не обновляемых через облако ИБ-аналитики не останется. Блокирование возможности обновления, или требование обновления по гостированному каналу, или требование обновления с сервера, находящегося в России, будет невыполнимо, что поставит крест на применении многих современных защитных технологий.

4 коммент.:

SK комментирует...

Не знаю, облачная безопасность это уже как то слишком. АНБ не дремлет.

Сергей Борисов комментирует...

Отдавать данные об атаках и статистику - это одно. С этим многие готовы смирится ради выгоды в цене или эффективности защиты.

А вот направлять весь свой трафик, в том числе внутрикорпоративный, в облако - нет, не готовы.

Алексей Лукацкий комментирует...

Кто-то готов - ты посмотри на облачные проекты, которые сейчас реализуются

Евгений комментирует...

Было бы интересно понять, какие стратегии применяют производители СЗИ при переносе части функционала ИБ в облако в случае проблем со связью - начинают пропускать непроверенное или же блокируют вообще работу?