19.05.2015 14:15
Новости.
Просмотров всего: 2259; сегодня: 1.

В условиях цейтнота особое значение приобретает надежная аналитика угроз

Блог Марка Соломона (Marc Solomon), вице-президента компании Cisco по маркетингу средств информационной безопасности

В то время, как злоумышленники активно расширяют арсеналы средств нападения, пользователи невольно помогают им осуществлять атаки. Вследствие этого инциденты ИБ перешли в разряд обыденных явлений. При этом современные атаки зачастую очень трудно остановить. Их особенностью стала повышенная скрытность. Нередко они остаются необнаруженными в течение длительного времени. И в течение всего этого времени критичная информация и интеллектуальная собственность находятся под прямой угрозой компрометации, что создает огромные риски для активов, ресурсов и репутации компании.

От того, насколько быстро сотрудники служб информационной безопасности обнаружат и устранят угрозу, зависит, ограничится ли дело еще одной проблемой или закончится катастрофой. Попытки не отставать от постоянной эволюции ландшафта угроз привели к тому, что в последние годы наметился определенный сдвиг от традиционных средств ИБ, основанных на концепции реагирования на события, к упреждающему аналитическому подходу.

Ситуация напоминает то, как общество защищается от обычных преступников. Налицо тенденция смещения от трудоемких, экстенсивных мер локального характера к высокотехнологичным, масштабным методам обеспечения безопасности. Раньше правоохранительные органы США получали сведения о преступлениях, в основном, в результате работы полицейских патрулей или посредством звонков от частных граждан. Такое положение вещей до сих пор обеспечивает надежный уровень базовой безопасности. Вместе с тем для того, чтобы обеспечить адекватный уровень защиты от наиболее мобильных, скрытных, хорошо организованных (и потому наиболее опасных) преступников, правоохранительные органы вынуждены были дополнить традиционные методы современными комплексными технологиями сбора и обработки информации.

Такая же ситуация сложилась в сфере ИБ. Для того, чтобы успешно противодействовать современным атакам, уже недостаточно обычных средств, рассчитанных на то, чтобы обнаруживать вредоносную активность угроз уже известного типа. Необходима расширенная аналитическая информация, включающая, помимо прочего, оперативные данные о самых новых, еще только набирающих обороты угрозах. Реализация систем такого рода, однако, крайне сложна. Основная проблема заключается в том, чтобы обеспечить непрерывный и тщательный сбор нужной информации. Кроме того, очень важно правильно управлять полученными данными, проверять их, выявлять закономерности и взаимосвязи. Только так можно получить полноценную информацию о современных атаках, позволяющую успешно противодействовать им.

В современном мире ситуация обстоит таким образом, что в результате успешной атаки злоумышленники могут похитить важные данные за считанные минуты, тогда как обнаружение и изучение атаки может занять месяцы и даже годы. Таким образом, очевидно, что главными факторами эффективности систем ИБ становятся, во-первых, сокращение времени, затрачиваемого на обнаружение инцидента (TTD), а во-вторых, времени, затрачиваемого на реагирование на обнаруженный инцидент (TTR). Аналитическая информация об угрозах ИБ жизненно важна для эффективной работы систем защиты и реагирования. Вместе с тем такая информация должна иметь определенные особенности:

• Тактический характер. Непрерывный и тщательный сбор важной информации из доверенных источников, управление полученными данными, выяснение взаимосвязей, изучение действий злоумышленников и принятие соответствующих мер — все это должно осуществляться в рамках риск-ориентированного подхода, точно определяющего, как использовать эту информацию. Объемы информации могут быть огромными, поэтому очень важно использовать подходящий формат хранения, обработки и предоставления данных — это значительно облегчит их использование.

• Наличие контекста. Данные об угрозах нельзя изучать как автономные элементы. Они рассматриваются в рамках той или иной совокупности, а для адекватной интерпретации такой совокупности необходимо знание общего контекста. Этот контекст может включать в себя сведения о расположении, масштабе или специфике деятельности предприятия. Он может функционировать в тесной связи с индикаторами компрометации (IoCs), информационными лентами и другими средствами. Например, для организаций сферы финансовых услуг, прежде всего, важна информация об угрозах, характерных для этой отрасли, тогда как, к примеру, аналитика угроз, касающихся сферы розничной торговли, будет представлять существенно меньшую ценность.

• Высокая степень автоматизации. Автоматизация определяется тем, насколько легко и согласованно реализуются процессы получения и обработки данных, а также эффективностью создания итоговой оперативной аналитики, специализированной для конкретных нужд предприятия. Такая система не должна включать никаких трудоемких ручных операций (они лишь ограничат ее эффективность). Информация об угрозах должна непрерывно поступать, обрабатываться и преобразовываться в форму, необходимую для обеспечения эффективной защиты предприятия. Кроме того, понятие автоматизации включает в себя методики обмена информацией между доверенными структурами для ускорения процессов взаимодействия и принятия решений.

Важным дополнением к глобальной аналитике угроз следует назвать аналитику локального характера. Она предоставляет данные об особенностях и функционировании внутренней вычислительной инфраструктуры организации. Такая информация предоставляет дополнительный уровень контекста и является необходимой основой для принятия конкретных решений в области ИБ предприятия. Чтобы получать такую информацию в полном объеме, необходимо осуществлять всеобъемлющий мониторинг вычислительной сети, что сопряжено с определенными сложностями.

Современные сетевые инфраструктуры вышли далеко за пределы традиционных периметров ЛВС. Теперь они включают в себя не только серверы и конечные точки, но и центры обработки данных (ЦОД), мобильные устройства, разнообразные виртуальные и облачные платформы. Современные сети и их компоненты постоянно развиваются, что зачастую порождает новые векторы атак. В качестве примера можно назвать специфические атаки, направленные на гипервизоры, домашние компьютеры, мобильные устройства и приложения, на интернет-приложения, бразузеры, социальные сети и даже на автомобили. Только всесторонний контроль за устройствами, приложениями, пользователями и другими системами, являющимися частью расширенной сети предприятия, позволит правильно интерпретировать все внутрисетевые события и взаимосвязи между ними, а это важная предпосылка для правильного применения глобальной аналитики угроз.

Итак, для того, чтобы уменьшить затраты времени на обнаружение (TTD) и реагирование (TTR) на инциденты ИБ, аналитическая информация об угрозах должна иметь выраженный тактический и контекстуальный характер, быть автоматизированной и хорошо приспособленной к обмену и совместной работе. Кроме того, она должна охватывать все пространство расширенной сети и включать в себя полные данные обо всех подключенных устройствах. Аналитическая информация об угрозах, обладающая всеми этими свойствами, способна обогатить арсенал средств защиты и обеспечить специалистам все преимущества аналитического подхода к обеспечению информационной безопасности.


Ньюсмейкер: cisco — 3787 публикаций
Поделиться:

Интересно:

Деньги маслом не испортишь
27.12.2024 17:50 Аналитика
Деньги маслом не испортишь
Люди по-разному относятся к деньгам. Для одних это лишь средство к существованию, для других — вопрос личного статуса, для третьих — путь к роскошной жизни. Едва ли не половина мировой литературы посвящена этическим, практическим и символическим аспектам финансового...
Среди крестьян я чувствовала себя настоящим человеком
27.12.2024 12:59 Персоны
Среди крестьян я чувствовала себя настоящим человеком
Невероятная судьба царской сестры Великой княгини Ольги Александровны Романовой (1882–1960). В сказках Золушки становятся принцессами, а в реальной жизни бывает так, что настоящая принцесса становится Золушкой: сама стирает, стряпает обед и копает грядки. Такая метаморфоза произошла с Ольгой...
Самарский купец, промышленник, благотворитель Антон Шихобалов
27.12.2024 10:10 Персоны
Самарский купец, промышленник, благотворитель Антон Шихобалов
Шихобалов Антон Николаевич (1827–1908) – видный самарский благотворитель, купец первой гильдии, коммерции советник, пожертвовал около 1,5 млн руб. Шихобалов происходил из крестьянской семьи, из села Наченалы Ардатовского уезда (сейчас территория Мордовии). Его отец занимался земледелием и...
Как Василий Маргелов с двумя автоматчиками и броневиком город взял
27.12.2024 09:03 Аналитика
Как Василий Маргелов с двумя автоматчиками и броневиком город взял
27 декабря 1908 года в городе Екатеринославе (современный Днепр) родился Василий Филиппович Маргелов – будущий советский военачальник, генерал армии, Герой Советского Союза. В историю он вошел как один из самых результативных командующих Воздушно-десантными войсками, который превратил их в элиту...
«Будь Здоров» оценили проекты студентов ГУУ
27.12.2024 06:29 Мероприятия
«Будь Здоров» оценили проекты студентов ГУУ
В декабре в бизнес-центре Государственного университета управления прошел Демо-день акселерационной программы «Технологии здоровой жизни 2.0», в рамках которого участники представили свои проекты, в числе которых – мобильные устройства для мониторинга здоровья, портативные биоанализаторы и другие...