Новые типы атак можно выявлять даже без сигнатур и правил корреляции

Николай Нашивочников

Современная система безопасности — это сложная модульная структура, которая включает в себя целый набор решений объединенных общей логикой

Последние полтора года специалисты информационной безопасности вынуждены реагировать на стремительно меняющиеся поверхности атаки, обусловленные массовым переходом сотрудников на удаленный и гибридный режимы работы, ростом числа потенциально уязвимых компонентов инфраструктуры, а также размытием традиционных корпоративных периметров безопасности.

К другим актуальным трендам можно отнести все более широкое использование облачных сервисов, популяризацию использования корпоративных мобильных устройств или внедрения политик BYOD (bring your own device). Использование этих инструментов способно повысить конкурентоспособность и эффективность бизнеса, но в то же время значительно усложняет процессы обеспечения ИБ.

В этих новых для бизнеса условиях набирают рост угрозы, связанные с фишингом, вирусами-вымогателями, компрометацией учетных данных, растет число атак нулевого дня. В 2021 году уже наблюдались крупномасштабные атаки с помощью вредоносных программ DearCry и Hafnium, использующих уязвимости нулевого дня в Microsoft Exchange. По разным оценкам, количество пострадавших компаний уже достигло 30-100 тысяч, и их число продолжает расти. Более того, по подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 тысяч уязвимых серверов Exchange, которые можно скомпрометировать.

Немаловажно, что справляться с этими и множеством других проблем специалистам в сфере информационной безопасности часто приходится в условиях сокращения бюджетов. И здесь стоит вспомнить о том, что скупой платит дважды. Киберпреступники прекрасно разбираются в современных трендах. Экономия на ИБ сегодня может уже завтра обернуться крупными финансовыми потерями и репутационными рисками, эту повестку, кстати, активно обсуждали в этом году в рамках форума Global Information Security Days.

Совсем недавно аналитики Trend Micro установили, что количество атак на банковский сектор с использованием вымогателей в 2021 году увеличилось более чем в 10 раз по сравнению с предыдущим годом.

Под воздействием всех этих факторов в профессиональном сообществе уже сложилось четкое понимание, что сегодня нет универсального решения, которое защищало бы компанию от всех угроз. Современная система безопасности — это сложная модульная структура, которая включает в себя целый набор решений объединенных общей логикой. Использование средств антивирусной защиты, межсетевых экранов, средств обнаружения и предотвращения вторжений, инструментов предотвращения утечек данных (Data Loss Prevention, DLP) и обеспечения безопасности веб-приложений (Web Application Firewall, WAF) становится нормой для любых компаний, в первую очередь, крупных.

Вместе с тем аналитики фиксируют рост спроса на системы классов XDR (EXtended Detection and Response), NTA (Network Traffic Analysis), UEBA (User and Entity Behavior Analytics), SOAR (Security Orchestration, Automation and Response). При этом я придерживаюсь мнения, что еще более широкое применение будут находить инструменты поведенческого анализа. Эта связано с возросшей необходимостью распознавать нетипичное поведение и аномальную активность учетных записей в условиях удаленной работы.

Сегодня существует три подхода: лоскутный, системный и платформенный. Лоскутный подход предполагает противостояние строго определенным угрозам при определенных условиях. Главным недостатком такого подхода является точечность воздействия. Сосредоточившись на защите одних объектов от определенных угроз, легко упустить из виду другие, а также утратить контроль над ситуацией в целом. Метод может быть приемлем для обеспечения ИБ малого и микробизнеса, но очень нежелателен для реализации в сегменте среднего и крупного бизнеса.

Системный подход нацелен на создание комплексной системы защиты информации (КСЗИ) для всей иерархии ИТ-инфраструктуры предприятия. Комплексные системы реализуют защищенную среду, объединяющую разнородные методы и инструменты противодействия угрозам: программно-технические, правовые, организационно-экономические. Очевидно, он позволяет обеспечивать более высокий уровень безопасности функционирования ключевых организационно-технических систем компании. Но в то же время подобными решениями трудно управлять, им не хватает унификации безопасности и аналитики угроз, необходимых для защиты от крупномасштабных автоматизированных атак.

Не стал бы противопоставлять системный и платформенный подходы. Подход к созданию комплексных систем защиты можно назвать системным подходом «версии 1.0», который фокусирует внимание на полноте и систематичности выполнения функций защиты с учетом системных принципов взаимной связи компонентов и иерархичной структуры комплексной системы обеспечения ИБ в целом. В последние несколько лет популярным стал термин «платформенный подход», в котором акцент делается на архитектурных особенностях систем обеспечения ИБ. Назвал бы его системным подходом «версии 2.0». Суть и достоинства платформенного подхода очень хорошо видны на примере автомобиля. Автомобильная платформа – это некий набор общих деталей, из которых собирают разные автомобили одной или даже нескольких марок. То есть сначала создают универсальную платформу, далее эта платформа используется как часть разных моделей и марок автомобилей.

Хотя разработка платформы сложная и ресурсоемкая задача, создается она один раз, обеспечивая в последующем разрабатывать ИБ-решений на основе унифицированных модулей исходя из разных требований заказчиков и сценариев использования.

Реализация такого подхода оптимизирует операционную деятельность центров безопасности предприятий, сокращает эксплуатационные расходы, повышает прозрачность процессов, налаживает обмен аналитическими данными и автоматизирует процессы реагирования на инциденты.

Следует понимать, что универсальных рецептов нет. Бизнес должен подбирать оптимальное решение, исходя из стоящих перед ним конкретных задач. Многое зависит от инфраструктуры, используемой в компании, приложений и интерфейсов взаимодействия. Об окончательном переходе к той или иной модели говорить не стоит. В определенных случаях, например, для малых предприятий лоскутный подход себя оправдывает. В то время как для крупного бизнеса с развитой ИТ-инфраструктурой, в защите которой нет места пробелам, он неприемлем. Безусловно, многие средние и крупные компании, следуя тенденциям, взяли курс на использование платформенного подхода в обеспечении безопасности.

Важно понимать, что обеспечение кибербезопасности – процесс постоянный и эволюционный. Убежден, что даже за время подготовки нашего интервью, в арсеналах атакующей и защищающейся сторон уже появились новые разработки.

Платформенный подход позволяет эффективно противостоять целевым кибератакам (Advanced Persistent Threat, APT). Особенность APT-атак заключается в том, что злоумышленников интересует конкретная компания или государственная организация. Это отличает данную угрозу от массовых хакерских атак, когда воздействие направлено одновременно на большое количество целей и наименее защищенные пользователи становятся жертвами. Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов: от разведки и внедрения до уничтожения следов присутствия. Проводя целенаправленную атаку хакеру проще найти слабое место в средствах защиты, которые внедрены лоскутным способом.

Но, повторюсь, панацеи не существует. Современные средства не могут гарантировать обеспечение абсолютной безопасности информации с учетом скорости работы и уровня подготовки злоумышленников, а также сложности используемых ими средств и методов.

Николай Нашивочников

Все продукты, которые разрабатывает компания отлично интегрируются между собой

Линейка продуктов компании «Газинформсервис» достаточно обширна. Это и решения, обеспечивающие безопасность сетевой инфраструктуры, и надежная отечественная СУБД, и продукты, позволяющие контролировать права пользователей, безопасность на транспорте и многое другое. Все продукты, которые разрабатывает компания отлично интегрируются между собой и могу работать комплексно, но подробнее хотелось бы остановиться на относительно новом продукте – совместной разработке «Газинформсервис» и Лаборатории искусственного интеллекта и нейросетевых технологий Санкт-Петербургского политехнического университета Петра Великого, Ankey ASAP (Advanced Security Analytics Platform). Платформа помогает повышать эффективность процессов кибербезопасности, представляя расширенную аналитику событий безопасности c функциями поведенческого анализа, в том числе, за счет использования инструментов машинного обучения и искусственного интеллекта.

Решение будет особенно актуально для реализации задач ИБ-подразделений компаний среднего и крупного размера, количество пользователей в которых составляет от пятисот до нескольких тысяч.

Первоначально Ankey ASAP мы задумывали как SIEM-систему, дополненную возможностями современных технологий анализа данных, однако, практика показала, что разработка, настройка, а главное эффективная эксплуатация системы правил корреляции SIEM, требует оперативного анализа большого количества событий безопасности в контексте их возникновения и развития. Вот почему уже на первом этапе разработки в продукте была реализована возможность представления контекста событий, что позволило более эффективно анализировать выявленные инциденты кибербезопасности и сокращать время реагирования на них.

В 2020 году мы представили коммерческую версию продукта, дополненную функциями мониторинга интегральных индикаторов аномальности поведения пользователей, позволяющую создавать профили поведения и выявлять отклонения. В актуальной версии реализованы модели выявления признаков компьютерных атак: разведка периметра, компрометация учетной записи или устройства, утечка данных, злоупотребление привилегиями и другие.

Ankey ASAP может выявлять новые типы атак, для которых нет идентифицирующих их сигнатур и не разработаны правила корреляции. Это недоступно для традиционных средств защиты информации. Для определения базовых поведенческих параметров и аномалий, указывающих на потенциальные инциденты безопасности, мы дополнили нашу платформу подсистемой UEBA (User and Entity Behavior Analytics).

Поведенческий анализ позволяет выявлять не только инсайдерские угрозы, но и опасную смену поведения скомпрометированной учетной записи. Данный инструмент может являться отличным дополнением к средствам проактивного мониторинга в задачах обнаружения сложных атак на ранних стадиях.

Еще одним преимуществом решения является возможность использования анализа данных для сокращения ложных срабатываний SIEM-решений и предотвращения лавины бесполезных алертов. Наше решение становится особенно эффективным в тандеме с традиционной аналитикой на основе корреляционных правил, используемых в SIEM.

Ankey ASAP прежде всего ориентирован и разрабатывался для анализа данных из предметной области ИБ. Методы анализа, которые мы используем, и ее техническое устройство таковы, что Ankey ASAP может использоваться и для анализа данных в других направлениях обеспечения безопасности, например, для обнаружения мошенничества в финансовых операциях или аномальной смены режимов работы киберфизических систем.

Дело в том, что сегодня уже недостаточно работать по статичным регламентам и формальным правилам, они слишком быстро устаревают. Важно оценивать ситуацию в моменте, гибко подстраиваться под нее, анализируя полученную информацию. Наш продукт позволяет реализовать этот подход. Что касается технических особенностей, то можно выделить возможности топологического анализа данных, а также наличие модели формирования профиля поведения и модели поиска похожих профилей поведения.

Отмечу, что востребованность нашего решения на российском рынке обеспечивает не только его надежность и качество, но и действующие в стране нормы законодательства. В частности, ФЗ №187 «О безопасности критической информационной инфраструктуры РФ». После апробации и закрепления позиций продукта на местном рынке мы рассматриваем возможность его реализации в странах ближнего зарубежья, в первую очередь, СНГ. О выходе на европейский или американский рынок говорить преждевременно. Для конкуренции в сегменте подобных решений на рынке США необходимы инвестиции, во много раз превышающие возможности российских вендоров.

Если же говорить в целом про сегмент UEBA, то на фоне кризиса, вызванного COVID-19, спрос на решения аналитики поведения пользователей стремительно растет. В 2020 году, по данным из открытых источников, объем этого рынка оценивался в $549,6 млн, а согласно некоторым прогнозам, уже к 2026 году он составит $4,2 млрд.