Дарвинизм в IT-безопасности и Светлое будущее сегодня.
"Выживает не самый сильный, а самый восприимчивый к переменам".
Ч. Дарвин
Что-то давно мы не беседовали о будущем IT-безопасности (голосом Н.Н.Дроздова, ведущего программы "В мире животных" :) Поэтому приготовьтесь к "много букв" о технологиях, бизнесе и тенденциях под гарниром из фактов и размышлений. Запаситесь вниманием и попкорном.
Речь пойдёт об идеальной IT-безопасности, каким путём секюрити-индустрия эволюционирует в этом направлении, что происходит по дороге и как это можно объяснить согласно теории эволюции. Где и как происходит естественный отбор, какие виды становятся доминирующими, а какие материалом для палеонтологов, что такое симбиоз и паразиты?
Начну с определения.
Идеальное в несовершенном мире.
Строго говоря, "идеальной" IT-безопасности не бывает. Можно к ней бесконечно стремиться, создавая максимально защищённую систему, но каждое приближение к 100% будет стоить всё больших и больших, экспоненциально растущих расходов, которые рано или поздно превысят стоимость потенциального ущерба от самого жёсткого сценария успешной атаки. Не говоря уже о том, что 100% защитой обладает только сферический конь в вакууме, полностью оторванный от реалий практического использования.
Посему логично дать следующее определение "идеальной безопасности": взлом системы должен стоить дороже потенциального ущерба (плюс, естественно, стоимость самой защиты). Или, если посмотреть с другой стороны баррикады, стоимость атаки должна быть выше получаемой выгоды.
Разумеется, будут случаи, когда атакующий пойдёт на любые расходы для достижения результата (например, кибер-военщина), но это не причина накрыться простынёй и ползти на кладбище.
А как именно строить максимально защищённую систему безопасности?
Начало координат.
Один из ключевых принципов дарвинизма - изменчивость. Из-за рекомбинации генов, мутаций и других неведомых причин живые организмы приобретают новые признаки. А дальше - кому с признаками повезло, те заполняют среду обитания и вытесняют других, менее везучих особей. Потому-то мишки в Арктике белые, а на Камчатке бурые.
Похожее происходит в IT-безопасности: кибер-негодяи постоянно находят новые уязвимости в системах, изобретают новые методы атак и совершенствуют "четыреста сравнительно честных способов отъёма денег у населения" ©. Кто преуспел - тот подминает под себя андеграунд и захватывает денежные потоки. Только в отличие от биологической эволюции скорость изменений здесь зашкаливает: за год может смениться несколько поколений угроз.
Создание успешной секюрити-системы требует ориентации на самый адский из самых адских сценариев. Вероятность его реализации мала, но построение защиты на таком допущении позволяет избавиться от опасного оптимизма, розовых очков и "авосей". Размышления из этой отправной точки помогают не просто признать проблему, но понять её масштаб и разработать оптимальную стратегию решения. Вы знаете свою уязвимость, вы больше не жертва, вы - охотник.
Но что конкретно делать дальше? Как быть на шаг впереди этих упырей, предугадывать их следующий шаг?
Адаптируйся или умри.
Разумный выход в условиях высокой энтропии - адаптивная модель поведения. Мы начинаем действовать, исходя из анализа ситуации на основе ограниченного объёма подтверждённых данных (часто в отсутствии оных) и большого числа гипотез. Каждая итерация цикла "анализ - действие - результат" снижает неопределённость, повышает рациональность поведения, производительность и другие значимые для бизнеса параметры.
В 2013г. мы начали реализовывать такую адаптивную модель в области IT-секюрити, а в 2014г. Gartner опубликовал своё видение. Адаптация системы безопасности основана на цикличном применении инструментов из четырёх основных доменов: предотвращение атаки, обнаружение атаки, реакция на атаку, прогнозирование атаки. Внедрение такой модели позволяет создать оптимальную защиту, соответствующую жизненному циклу кибер-атаки и способную быстро подстраиваться под изменяющиеся внутренние и внешние условия.
Источник: Designing an Adaptive Security Architecture for Protection From Advanced Attacks, Gartner (February 2014)
Уже несколько лет адаптивная модель безопасности является основой нашей сервисно-продуктовой стратегии развития. Несмотря на то, что в начале у нас было много белых пятен на схеме модели, мы поняли - это правильный подход для защиты корпоративных сетей, это то, к чему нужно стремиться, чтобы решить актуальные проблемы заказчиков. Прошло полтора года, немного воды утекло, зато мы сильно продвинулись в реализации планов.
Хьюстон, у нас проблема.
Как же сейчас обстоят дела с реализацией адаптивной модели безопасности?
Пока, мягко говоря, фигово. Образно говоря, "верхи не могут, низы не хотят".
С одной стороны, очень мало вендоров, способных предоставить все инструменты для создания непрерывного цикла адаптивной безопасности. Отдельные куски пазла не сильно совместимы между собой и их тем более сложно объединить в единой системе управления.
С другой стороны, заказчики сконцентрированы на отдельных доменах цикла (в основном в области предотвращения атаки), недооценивая важность остальных и всего комплекса в целом. Увы, такое пагубное увлечение усугубляет и поведение некоторых вендоров, заявляющих о создании волшебной панацеи против всех кибер-бед.
В итоге, ага - иллюзия безопасности, недоумение после очередного инцидента, порочный круг экстренного пожаротушения и постоянная угроза бизнесу, которая вызывает рост расходов (без повышения эффективности защиты) и девальвирует ценность защитных IT-систем.
В дарвинизме изменение - одна из движущих сил биологического развития. В IT-безопасности на эволюции висит груз интеллекта и поэтому пинок к изменениям даёт признание проблемы, оно же - первый шаг к её решению. И я вижу, что и секюрити-индустрия и заказчики находятся на правильном пути.
Тачка на прокачку.
Прежде всего, мы запустили широкий спектр сервисов для усиления позиций во всех доменах модели. Сейчас в нашем портфолио тренинги для персонала любого уровня, "сводки с полей" о кибер-атаках, тестирование на проникновение, аудит корпоративных приложений, анализ инцидентов, рекомендации по устранению их последствий и много других полезных вещей для реализации полного цикла "предотвращение, обнаружение, реакция, прогнозирование".
C продуктовой точки зрения, мы дополнили нашу традиционно сильную позицию в домене "Предотвращение" решением в домене "Обнаружение" для защиты от целевых атак ( Kaspersky Anti Targeted Attack Platform) и его интеграцией в SIEM-системы. В ближайших планах - выпуск полнофункционального EDR (Endpoint Detection and Response) решения, которое позволит связать в единую картину разные события на всех машинах сети.
Так что уже в краткосрочной перспективе мы будем поставлять полный спектр продуктов и услуг для создания и поддержки адаптивной модели безопасности. Её главная "фишка" - "суперчувствительные" системы в области анализа угроз: с помощью сенсоров по всей сети и на всех узлах мы предоставляем заказчику кратно больше информации для принятия осведомлённого решения. Скрестив эту информацию с нашей человеческой и машинной экспертизой эффективность борьбы со сложными целевыми атаками будет на порядок выше.
Важно: внедрение такой стратегии не потребует революционных крайностей в духе "весь мир … мы разрушим до основанья, а затем…" с выносом тел и бубнами. Внедрение может идти этапами, эволюционно, в соответствии с теорией Дарвина особенностями бизнеса, IT-инфраструктуры и другими специфическими деталями. Опыт показывает, что заказчики предпочитают начинать с сервисов (тренинги и "сводки с полей"), постепенно устанавливая новые части большого адаптивного секюрити-пазла.
Продолжение следует.
Не скрою - мы не единственные, кто системно разрабатывает новое поколение адаптивной IT-безопасности. Однако, очень приятно, что мы в авангарде и, без ложной скромности, в лидерах. А это, надо сказать, здорово мотивирует.
Заказчику все равно, как называется продукт, как красиво он смотрится на YouTube или в маркетинговых материалах - "вам шашечки или ехать?". Важно, чтобы при прочих равных у организации был максимальный шанс избежать инцидента и сопутствующих потерь. А значит, мы и дальше будем расшибаться в лепёшку, чтобы дать рынку даже больше, чем он ожидает.
Время нашей передачи подошло к концу (опять голосом Н.Н.Дроздова). В следующей части мы поговорим про издержки мутации, естественный отбор и борьбу за существование.
Ч. Дарвин
Что-то давно мы не беседовали о будущем IT-безопасности (голосом Н.Н.Дроздова, ведущего программы "В мире животных" :) Поэтому приготовьтесь к "много букв" о технологиях, бизнесе и тенденциях под гарниром из фактов и размышлений. Запаситесь вниманием и попкорном.
Речь пойдёт об идеальной IT-безопасности, каким путём секюрити-индустрия эволюционирует в этом направлении, что происходит по дороге и как это можно объяснить согласно теории эволюции. Где и как происходит естественный отбор, какие виды становятся доминирующими, а какие материалом для палеонтологов, что такое симбиоз и паразиты?
Начну с определения.
Идеальное в несовершенном мире.
Строго говоря, "идеальной" IT-безопасности не бывает. Можно к ней бесконечно стремиться, создавая максимально защищённую систему, но каждое приближение к 100% будет стоить всё больших и больших, экспоненциально растущих расходов, которые рано или поздно превысят стоимость потенциального ущерба от самого жёсткого сценария успешной атаки. Не говоря уже о том, что 100% защитой обладает только сферический конь в вакууме, полностью оторванный от реалий практического использования.
Посему логично дать следующее определение "идеальной безопасности": взлом системы должен стоить дороже потенциального ущерба (плюс, естественно, стоимость самой защиты). Или, если посмотреть с другой стороны баррикады, стоимость атаки должна быть выше получаемой выгоды.
Разумеется, будут случаи, когда атакующий пойдёт на любые расходы для достижения результата (например, кибер-военщина), но это не причина накрыться простынёй и ползти на кладбище.
А как именно строить максимально защищённую систему безопасности?
Начало координат.
Один из ключевых принципов дарвинизма - изменчивость. Из-за рекомбинации генов, мутаций и других неведомых причин живые организмы приобретают новые признаки. А дальше - кому с признаками повезло, те заполняют среду обитания и вытесняют других, менее везучих особей. Потому-то мишки в Арктике белые, а на Камчатке бурые.
Похожее происходит в IT-безопасности: кибер-негодяи постоянно находят новые уязвимости в системах, изобретают новые методы атак и совершенствуют "четыреста сравнительно честных способов отъёма денег у населения" ©. Кто преуспел - тот подминает под себя андеграунд и захватывает денежные потоки. Только в отличие от биологической эволюции скорость изменений здесь зашкаливает: за год может смениться несколько поколений угроз.
Создание успешной секюрити-системы требует ориентации на самый адский из самых адских сценариев. Вероятность его реализации мала, но построение защиты на таком допущении позволяет избавиться от опасного оптимизма, розовых очков и "авосей". Размышления из этой отправной точки помогают не просто признать проблему, но понять её масштаб и разработать оптимальную стратегию решения. Вы знаете свою уязвимость, вы больше не жертва, вы - охотник.
Но что конкретно делать дальше? Как быть на шаг впереди этих упырей, предугадывать их следующий шаг?
Адаптируйся или умри.
Разумный выход в условиях высокой энтропии - адаптивная модель поведения. Мы начинаем действовать, исходя из анализа ситуации на основе ограниченного объёма подтверждённых данных (часто в отсутствии оных) и большого числа гипотез. Каждая итерация цикла "анализ - действие - результат" снижает неопределённость, повышает рациональность поведения, производительность и другие значимые для бизнеса параметры.
В 2013г. мы начали реализовывать такую адаптивную модель в области IT-секюрити, а в 2014г. Gartner опубликовал своё видение. Адаптация системы безопасности основана на цикличном применении инструментов из четырёх основных доменов: предотвращение атаки, обнаружение атаки, реакция на атаку, прогнозирование атаки. Внедрение такой модели позволяет создать оптимальную защиту, соответствующую жизненному циклу кибер-атаки и способную быстро подстраиваться под изменяющиеся внутренние и внешние условия.
Источник: Designing an Adaptive Security Architecture for Protection From Advanced Attacks, Gartner (February 2014)
Уже несколько лет адаптивная модель безопасности является основой нашей сервисно-продуктовой стратегии развития. Несмотря на то, что в начале у нас было много белых пятен на схеме модели, мы поняли - это правильный подход для защиты корпоративных сетей, это то, к чему нужно стремиться, чтобы решить актуальные проблемы заказчиков. Прошло полтора года, немного воды утекло, зато мы сильно продвинулись в реализации планов.
Хьюстон, у нас проблема.
Как же сейчас обстоят дела с реализацией адаптивной модели безопасности?
Пока, мягко говоря, фигово. Образно говоря, "верхи не могут, низы не хотят".
С одной стороны, очень мало вендоров, способных предоставить все инструменты для создания непрерывного цикла адаптивной безопасности. Отдельные куски пазла не сильно совместимы между собой и их тем более сложно объединить в единой системе управления.
С другой стороны, заказчики сконцентрированы на отдельных доменах цикла (в основном в области предотвращения атаки), недооценивая важность остальных и всего комплекса в целом. Увы, такое пагубное увлечение усугубляет и поведение некоторых вендоров, заявляющих о создании волшебной панацеи против всех кибер-бед.
В итоге, ага - иллюзия безопасности, недоумение после очередного инцидента, порочный круг экстренного пожаротушения и постоянная угроза бизнесу, которая вызывает рост расходов (без повышения эффективности защиты) и девальвирует ценность защитных IT-систем.
В дарвинизме изменение - одна из движущих сил биологического развития. В IT-безопасности на эволюции висит груз интеллекта и поэтому пинок к изменениям даёт признание проблемы, оно же - первый шаг к её решению. И я вижу, что и секюрити-индустрия и заказчики находятся на правильном пути.
Тачка на прокачку.
Прежде всего, мы запустили широкий спектр сервисов для усиления позиций во всех доменах модели. Сейчас в нашем портфолио тренинги для персонала любого уровня, "сводки с полей" о кибер-атаках, тестирование на проникновение, аудит корпоративных приложений, анализ инцидентов, рекомендации по устранению их последствий и много других полезных вещей для реализации полного цикла "предотвращение, обнаружение, реакция, прогнозирование".
C продуктовой точки зрения, мы дополнили нашу традиционно сильную позицию в домене "Предотвращение" решением в домене "Обнаружение" для защиты от целевых атак ( Kaspersky Anti Targeted Attack Platform) и его интеграцией в SIEM-системы. В ближайших планах - выпуск полнофункционального EDR (Endpoint Detection and Response) решения, которое позволит связать в единую картину разные события на всех машинах сети.
Так что уже в краткосрочной перспективе мы будем поставлять полный спектр продуктов и услуг для создания и поддержки адаптивной модели безопасности. Её главная "фишка" - "суперчувствительные" системы в области анализа угроз: с помощью сенсоров по всей сети и на всех узлах мы предоставляем заказчику кратно больше информации для принятия осведомлённого решения. Скрестив эту информацию с нашей человеческой и машинной экспертизой эффективность борьбы со сложными целевыми атаками будет на порядок выше.
Важно: внедрение такой стратегии не потребует революционных крайностей в духе "весь мир … мы разрушим до основанья, а затем…" с выносом тел и бубнами. Внедрение может идти этапами, эволюционно, в соответствии с теорией Дарвина особенностями бизнеса, IT-инфраструктуры и другими специфическими деталями. Опыт показывает, что заказчики предпочитают начинать с сервисов (тренинги и "сводки с полей"), постепенно устанавливая новые части большого адаптивного секюрити-пазла.
Продолжение следует.
Не скрою - мы не единственные, кто системно разрабатывает новое поколение адаптивной IT-безопасности. Однако, очень приятно, что мы в авангарде и, без ложной скромности, в лидерах. А это, надо сказать, здорово мотивирует.
Заказчику все равно, как называется продукт, как красиво он смотрится на YouTube или в маркетинговых материалах - "вам шашечки или ехать?". Важно, чтобы при прочих равных у организации был максимальный шанс избежать инцидента и сопутствующих потерь. А значит, мы и дальше будем расшибаться в лепёшку, чтобы дать рынку даже больше, чем он ожидает.
Время нашей передачи подошло к концу (опять голосом Н.Н.Дроздова). В следующей части мы поговорим про издержки мутации, естественный отбор и борьбу за существование.