Согласно недавнему опросу IHS Markit*, 74% организаций из тех, что переместили приложение в публичное облако, впоследствии решили перенести его обратно в свою локальную или частную облачную инфраструктуру.

Конечно, это не означает, что они полностью отметили свои облачные развертывания. Но это тенденция, о которой мало кто говорит. Оказывается, облачная история далека от завершения. Например, почти половина респондентов отметили, что они перенесли облачные развертывания обратно в свою инфраструктуру в рамках «запланированного временного» развертывания для поддержки перехода ИТ, такого как слияние или приобретение.

Однако самой большой проблемой остается безопасность. В рамках исследования «2018 Cloud Computing Survey», проведенного IDG в 2018 году, респонденты заявили, что планируют перевести половину своих приложений, установленных в публичном облаке, в частную облачную или не облачную среду в течение следующих двух лет, главным образом из-за проблем безопасности.

Даже тем организациям, которые используют единую облачную инфраструктуру, все равно приходится выбирать, развертывать, настраивать и управлять своими системами безопасности, а неправильно настроенный облачный брандмауэр так же уязвим, как и физический. Большинство ИТ-специалистов, занимающихся вопросами безопасности, не имеют большого опыта работы с облаком. И организации, безусловно, не имеют ресурсов, необходимых для одновременного управления безопасностью нескольких различных сред. Кратко рассмотрим некоторые из сдерживающих факторов:

• Частное облако. В среднем организации имеют три разных частных облачных среды. Это означает, что три разных гипервизора, три разные инфраструктуры и три разных набора ресурсов — каждый со своими уникальными профилями безопасности — должны быть защищены.

• Публичное облако. Эти же организации также имеют от двух до трех различных публичных облачных сред, функционирующих как платформа или инфраструктура. Подобно частным облакам, эти среды часто имеют разные протоколы, функции и возможности, которые делают их подходящими для одних сетевых функций, а не для других.

• SaaS. Средний сотрудник использует по меньшей мере восемь различных приложений, причем компании с числом сотрудников от 500 до 1000 используют более 150 различных приложений, а организации со штатом более 1000 используют свыше 200. Даже самая маленькая организация с персоналом от 1 до 50 человек, использует 40 различных облачных приложений. Эти данные опубликованы в отчете Blissfully "2019 Annual SaaS Trends Report"

• Теневое ИТ.  Согласно недавнему исследованию Oracle и KPMG, 93% респондентов в одном из опросов заявили, что им регулярно приходится иметь дело с Shadow IT — использованием несанкционированных облачных сервисов и приложений — при этом половина утверждают, что пробелы в контроле безопасности и неправильные конфигурации приводят к утечкам данных и мошенничеству. По оценкам Gartner, Shadow IT составляет от 30 до 40% расходов на ИТ на крупных предприятиях.

Обеспечение безопасности каждого из этих облачных экземпляров является сложной задачей, особенно для организаций с ограниченным ИТ-персоналом или тех, кто испытывает головную боль от нынешнего разрыва в навыках кибербезопасности. Но это самая легкая из проблем. Хитрость в том, что облачные среды очень эластичны и постоянно развиваются, поэтому стратегии и решения безопасности должны быть в состоянии адаптироваться к этим изменениям.

Сложность обеспечения безопасности гибридного облака обусловлена тем, что все эти проблемы усугубляются гибридной облачной средой, особенно той, которая объединяет физическую сеть с частными и общедоступными облачными средами. Управление текучестью между частным и общедоступным облаком и обеспечение их безопасности — не просто трудная задача. Обеспечение согласованной безопасности приложений, рабочих нагрузок и других ресурсов, которые перемещаются между различными облачными средами, влечет за собой практически невозможный уровень сложности, когда нет правильных стратегий и инструментов.

Любой, кто хочет поддерживать безопасную гибридную облачную среду, должен иметь основную стратегию безопасности и желаемое определение операционной модели. Перед развертыванием одного устройства или использованием одного приложения организациям необходим план, позволяющий им масштабировать свою сетевую поверхность — и связанную с ней поверхность атаки — по существу, используя те же ресурсы, которые были у них до того, как они начали.

Для начала, вот четыре критических концепции, которые необходимо понять, прежде чем такой план может быть разработан.

1. Не все инструменты облачной безопасности одинаковы. Решения облачной безопасности бывают двух видов. Целевые встроенные решения безопасности, которые работают поверх облачной инфраструктуры, и нативные облачные решения, которые воспринимаются как часть инфраструктуры облачных сервисов только потому, что ими управляет поставщик. Однако предпочтительным подходом является сочетание специально созданных инструментов безопасности и использования облачных сервисов собственной безопасности, которые последовательно управляются.

2. Вам нужен правильный инструмент для работы. Облачные среды являются сложными и требуют различных видов решений безопасности. Например, для быстрой разработки приложений требуются инструменты безопасности, которые можно интегрировать в код или загрузить в контейнер, а затем связать в цепочку элементов приложения. Для облачных инфраструктур требуются NGFW, брандмауэры веб-приложений, системы IPS и передовые решения для защиты от угроз. Для приложений SaaS требуются такие вещи, как CASB, песочница и другие службы безопасности приложений, чтобы обеспечить контроль доступа к приложениям и данным.

3. Средства безопасности должны быть в состоянии видеть и обмениваться информацией между развертываниями. Снижение сложности требует снижения затрат на ИТ, необходимых для развертывания, настройки, обновления и координации высокораспределенной системы безопасности.

4. Большое значение имеет централизованный контроль. В конечном счете, эти инструменты безопасности будут работать без значительного увеличения затрат на ИТ, если они связаны друг с другом через интерфейс управления и оркестровки с единой панелью управления — будь то одно устройство или интегрированный SOC — для обеспечения детальной визуализации и согласованного контроля во всей распределенной сети.

Подводя итоги, можно сказать, что в обозримом будущем облачные развертывания, скорее всего, останутся в движении, в то время как организации определяют лучшее место для хранения данных, приложений и других цифровых ресурсов. Тем временем ИТ-лидерам необходимо создать систему безопасности, которая будет направлять принятие и развертывание новых облачных сервисов, чтобы цифровая трансформация не привела к тому, что ваша компания стала жертвой некоторых современных и высокоорганизованных организаций, занимающихся киберпреступностью.

---------

* - данное исследование IHS Markit было проспонсировано компанией Fortinet

В контексте безопасности, сегодня основной интерес прикован к облачной тематике, SD-WAN и сегментации. Бесспорно, это все важно, но есть темы, которые остаются в тени, хотя именно на них приходится основной вектор атак. И одна из таких тем - безопасность электронной почты.

Если вы посмотрите недавний отчет 2019 Data Breach Investigation Report от Verizon, вы обнаружите, что 94% вредоносного ПО было доставлено по электронной почте. Кроме того то же исследование говорит, что основной активностью киберпреступников, которая приводит к взлому систем, является фишинг.

Но, как это не парадоксально, риск представляют не только вредоносные файлы или URL-адреса в электронной почте. По данным ФБР, за последние два года компрометации деловой электронной почты привела к общим потерям в сумму более 3,3 млрд долл. А министерство юстиции США недавно подало иск против киберпреступников, которые предположительно похитили 100 млн долл., используя именно тот вид мошенничества, о котором мы говорим.

Независимо от того, используете ли вы Microsoft Office 365, Google G-Suite или сервис другого облачного провайдера e-mail, инфраструктура электронной почты перемещается за пределы вашей инфрастуктуры и контролируется уже кем-то другим. И это совершенно оправдано, поскольку сервисы e-mail уже достаточно зрелы и развиты, а внимание ИТ-специалистов должно быть сосредоточено на других важных аспектах цифровой трансформации.

Однако аутсорсинг инфраструктуры электронной почты вовсе не должен означать, что вы должны кому-то отдать и вопросы, связанные с защитой e-mail. Учитывая приведенные ранее отраслевые данные очевидно, что это очень важный вопрос для каждой организации, чтобы держать под контролем имеющиеся риски.

По мнению ведущих аналитиков, вы должны переосмыслить архитектуру безопасности электронной почты. В руководстве Market Guide for Email Security, недавно опубликованном Gartner отмечается, что отвественные за вопросы безопасности и управления рисками должны пересмотреть архитектуру безопасности электронной почты своих организаций в свете соверменных угроз, таких как комплексные вредоносные программы, ссылки на пакеты эксплойтов, фишинг учетных данных и компрометация корпоративного e-mail.

Gartner дает следующие рекомендации и критерии выбора продуктов для защиты электронной почты:

• От продвинутых угроз, связанных с атачментами: сетевые песочницы, деактивация контента и реконструкция.
• От продвинутых угроз, связанных с URL-адресами: перезапись линков, анализ времени клика и службы веб-изоляции.
• От мошенничества и тактик социальной инженерии: обнаружение поддельных имен, аутентификация сообщений на основе анализа доменов, создание отчетов и согласований для входящей электронной почты, обнаружение схожих доменов и детектирование аномалий.

Продводя итог напомним, что вредоносное ПО, проникающее по электронной почте, фишинговые атаки и компрометация корпоративного e-mail - это наиболее дорогостоящие, а зачастую и главные, действия киберпреступников. Для тех организаций, которые быстро переходят на облачные почтовые системы, эта проблема остается, и, как и в случае с традиционными почтовыми решениями. И регулярный пересмотр имеющейся инфраструктуры безопасности электронной почты на ее соответствие текущим угрозам также остается актуальным.

Недавно были представлены результаты очередного ежеквартального исследования глобальных угроз Global Threat Landscape Report, который готовит компания Fortinet. Этот отчет показывает, что киберпреступники продолжают искать новые возможности для осуществления атак по всей поверхности цифровых структур используют тактики обхода, а также методы противодействия анализу, которые делают их атаки еще более изощренными.

Стоит отметить, что Индекс угроз Threat Landscape Index в этом квартале обновил свой исторический максимум, увеличившись на 4% по сравнению с прошлым годом. Увеличение этого показателя обусловлено ростом активности вредоносных программ и эксплойтов.

Как отметил Фил Квэйд (Phil Quade), директор по информационной безопасности в Fortinet, постоянно расширяющееся разнообразие и изощренность методов атак, которые используют сегодня злоумышленники, напоминают нам о том, что киберпреступники всегда стараются использовать скорость и улучшающиеся возможности подключения в своих интересах". Поэтому при организации защиты важно следовать тем же принципам и постоянно расставлять приоритеты в этих важных аспектах кибербезопасности — таким образом организация сможет эффективнее управлять киберугрозами и минимизировать киберриски. Но чтобы работа по этим ключевым аспектам безопасности приносила свои плоды, организациям важно использовать в отношении каждого элемента своей инфраструктуры безопасности комплексный платформенный подход, который включает в себя сегментацию и интеграцию, действенный анализ угроз и автоматизацию в сочетании с машинным обучением.

Многие современные вредоносные инструменты уже включают в себя функции для обхода антивирусов или уклонения от других инструментов для обнаружения угроз, при этом, стараясь избежать обнаружения, злоумышленники становятся все более изощренными в своих методах запутывания и противодействия анализу.

Например, недавняя спам-кампания показывает, как злоумышленники используют и модернизируют эти методы противодействия защите. Кампания включает в себя создание фишинговых писем с вложениями, которые по сути являются зараженными Excel документами с вредоносным макросом. Этот макрос способен отключать инструменты безопасности и выполнять произвольные команды, вызывая проблемы с памятью, при этом макрос работает только на компьютерах японских пользователей. Кроме того, одним из свойств, которые в частности использует этот макрос, является незадокументированное свойство xlDate.

Другой пример включает в себя вариант банковского троянcкого вируса Dridex, который изменяет имена и хэши файлов при каждом входе жертвы в систему, что затрудняет обнаружение вредоносного ПО на зараженных хост-системах.

Растущая популярность методов противодействия анализу и все новые тактики обхода служат напоминанием о необходимости многоуровневого подхода к защите и об актуальности средств обнаружения, основанных на анализе поведения.

Вредоносная программа Zegost, созданная для хищения данных, стала ключевым элементом целенаправленной фишинговоой кампании с применением не совсем обычных методов. Как и у других программ, похищающих данные пользователей, основная цель Zegost заключается в сборе информации об устройстве жертвы и доставке этой информации злоумышленнику. При этом в отличие от других подобных программ, Zegost сконфигурирован таким образом, чтобы оставаться незамеченным. Например, Zegost использует функции для очистки журналов событий. Такие возможности доо сих пор не наблюдались в обычных вредоносных программах. Еще одной любопытной особенностью в Zegost стали его способности обхода защиты, и, в частности, команда, позволяющая этой вредоносной программе оставаться в состоянии покоя до 14 февраля 2014 года, после чего запускался основной вредоносный код.

Злоумышленники, создавшие Zegost, используют весь арсенал эксплойтов, чтобы устанавливать и поддерживать соединение с системами жертв, что делает эту угрозу намного более долгосрочной по сравнению с другими угрозами, представленными сегодня.

Программы-вымогатели все активнее используются для более таргетированных атак.

Атаки, нацеленные сразу на несколько городов, на местные органы власти и образовательные учреждения служат напоминанием о том, что программы-вымогатели никуда не уходят и по-прежнему продолжают представлять серьезную угрозу для многих организаций. Атаки с использованием программ-вымогателей продолжают меняться и теперь уже не носят тот массовый, приспособленческий характер, но все чаще нацелены на конкретные организации, которые по, мнению злоумышленников, в состоянии заплатить выкуп, или для которых выкуп станет более удобным и эффективным решением проблемы. В некоторых случаях киберпреступники провели значительную работу по зондированию почвы, и только затем начали разворачивать свои программы-вымогатели на тщательно отобранных системах, чтобы максимально использовать возможности.

Например, программа-вымогатель RobbinHood предназначена для атаки на сетевую инфраструктуру организации и способна отключать сервисы Windows, предотвращающие шифрование данных, а также отключать сетевые ресурсы.

Еще одна более свежая программа-вымогатель под названием Sodinokibi способна стать новой угрозой для организаций. Функционально она не очень отличается от большинства инструментов вымогателей. Основная ее изюминка заключается в векторе атаки, который использует более новую уязвимость, которая допускает выполнение произвольного кода и не требует какого-либо взаимодействия с пользователем, как другие вымогатели, доставляемые вместе с фишинговой электронной почтой.

Независимо от вектора атаки, программы-вымогатели по-прежнему представляют серьезную угрозу для организаций, выступая напоминанием о необходимости установки обновлений безопасности и повышения осведомленности пользователей. Кроме того, уязвимости протокола удаленного рабочего стола (RDP), такие как BlueKeep, являются предупреждением о том, что службы удаленного доступа могут открывать новые возможности для киберпреступников и могут также использоваться в качестве вектора атаки для распространения программ-вымогателей.

Между домашними принтерами и критически важной инфраструктурой сегодня также появляется растущая линейка систем управления для дома и малого бизнеса. Эти интеллектуальные системы привлекают сравнительно меньше внимания со стороны злоумышленников, чем их промышленные аналоги, но и это может измениться с учетом возросшей хакерской активности, наблюдаемой в отношении таких устройств, как системы управления окружающей средой, камеры видеонаблюдения и системы безопасности. Было обнаружено, что уязвимость, связанная с решениями для управления зданием, сработала в 1% организаций, что может показаться незначительным, но этот показатель выше, чем обычно для продуктов ICS или SCADA.

Киберпреступники ищут новые возможности для захвата управления устройствами контроля в домах и на предприятиях. Иногда эти типы устройств не являются такими приоритетными, как другие, или выходят за рамки традиционного управления ИТ. Безопасность интеллектуальных жилых систем и систем малого бизнеса заслуживает повышенного внимания, особенно потому, что доступ злоумышленника к таким системам может иметь серьезные последствия для безопасности. Это особенно актуально для удаленных рабочих сред, где важен безопасный доступ.

Динамический, упреждающий и осуществляемый в режиме реального времени анализ угроз позволяет выявлять тенденции, в частности, меняющийся характер методов атак, ориентированных на поверхность цифровой структуры а также позволяет расставлять приоритеты в отношении кибергигиены. Ценность анализа угроз и способность принимать меры на основании этих данных значительно снижаются, если их нельзя реализовать в режиме реального времени на каждом устройстве безопасности. Только комплексный, интегрированный и автоматизированный подход к безопасности может обеспечить защиту всего сетевого окружения, от IoT до периферии, ядра сети и мультиоблачной инфраструктуры, с сохранением высокой скорости и масштабности.

В условиях современной цифровой экономики окно возможностей для извлечения выгоды из меняющихся предложений рынка и запросов потребителя постоянно сужается. Это, в свою очередь, ставит разработчиков и ИТ-отделы компаний перед необходимостью сокращать циклы разработки систем и приложений, но, при этом, продолжать обеспечивать выход исправлений и обновлений, совершенствование функций в соответствии с целями бизнеса. Все необходимые возможности для того, чтобы делать это быстро и эффективно, может предоставить только облачная среда.

Облако меняет то, как мы разрабатываем приложения

Перспективы гибкости, масштабируемости, производительности и снижения затрат являются одними из основных стимулов для перехода в облако и фундаментальным компонентом современной цифровой трансформации. Однако одна из первых ошибок, которую делают многие организации на пути в облако, это попытка перенести туда свои старые онпремисные приложения, а также стратегии разработки приложений. Этот подход, к сожалению, не позволяет воспользоваться теми преимуществами, которые предоставляет облако.

Новые возможности разработки, предлагаемые облаком, позволяют организациям опережать требования цифровой бизнес-модели, на которую они переходят сегодня. Эти возможности включают:

• Разработка продукта с минимальной жизнеспособностью — то есть, с минимально достаточным для потребностей ранних клиентов набором функций и средствами обратной связи для его дальнейшего совершенствования, подкрепляемого гибким облачным инструментарием и способностью быстро вносить изменения.

• Гибкая разработка — разделение функциональности приложения на микросервисы, используя различные технологии (виртуальные машины, PaaS, контейнеры, FaaS), обеспечивающие автономное создание/обновление функции для ускорения разработки и апдейтов.

• Мультивариантное тестирование — этот легко реализуемый в облаке процесс тестирования помогает определить, какая комбинация изменяемых элементов, из которых состоит приложение, работает лучше всего.

• Быстрая итерация — внесение изменений в приложение сразу же по мере выявлении проблем, не собирая исправления в общий апдейт, является важным побочным продуктом всего, упомянутого выше.

Эти процессы требуют создания базовой инфраструктуры, способной быстро приспосабливаться к изменению запросов к разработке. А это, в свою очередь, невозможно без плотного сотрудничества разработчиков приложений и ИТ-отделов как команд DevOps для непрерывной интеграции параметров разработки и ресурсов инфраструктуры.

Облако также требует изменения нашей безопасности

Реальность такова, что переносить в облако традиционную онпремисную безопасность ничуть не проще, чем старые приложения. Безопасность должна подчиняться общей стратегии разработки, то есть, понятие DevOps следует расширить, получив DevSecOps. Если команды разработчиков создают приложения с уже встроенной безопасностью, то внедрение таких решений происходит быстрее и без проблем.

Сила нативной облачной безопасности

Как и в случае стратегий гибкой разработки, распределение ресурсов безопасности для проверки трафика или реагирования на угрозу должно происходить моментально. К сожалению, многие инструменты безопасности, доступные в облачных средах, не были полностью оптимизированы для использования преимуществ облачной функциональности, из-за чего выявление угроз или реагирование на них могут быть неполными или происходить с задержкой. Во многих отношениях это ошибка аналогична той, которую совершают организации, пытаясь расширить в облако свои локальные приложения.

К счастью, истинная (или нативная) облачная безопасность способствует значительным изменениям в этом процессе. Под «истинно облачным» понимают подход к созданию и запуску приложений, использующий преимущества и возможности модели доставки облачных вычислений. Эти приложения специально созданы для гибкой и распределённой работы — то, чего требуют современные платформы облачных вычислений, сильно отличающиеся от традиционных инструментов безопасности.

Нативная облачная защита также обеспечивает полную интеграцию политики безопасности на основе метаданных в масштабах всей инфраструктуры, поэтому группы разработки и эксплуатации могут работать максимально автономно и безопасно. В отличие от традиционных сетей, где команды ИТ и безопасности часто сильной зависят друг от друга, реализация согласованной политики защиты разработки приложений и сервисов на всех этапах, требует от групп безопасности, разработки и эксплуатации формулирования рекомендаций, которые позволят им действовать независимо друг от друга.

Преимущества нативной облачной стратегии это:

• Высокая производительность — облачные приложения, созданные на основе публичных облачных сервисов, потенциально могут обеспечить намного лучшую производительность, чем не нативные решения.

• Широкая масштабируемость — поскольку нативное приложение безопасности использует облачные сервисы для доставки и облачные API-интерфейсы для управления, инфраструктуру безопасности можно масштабировать без необходимости переделки архитектуры.

• Лучшая эффективность — доступ приложений безопасности к нативным функциям и API также позволяет более эффективно использовать внутренние ресурсы облака, что выражается в оптимальном соотношении производительности к затратам.

Расширение нативной облачной функциональности в многоблачную среду

Конечно, после миграции приложений в облако облачная среда становится продолжением традиционной онпремисной сети организации, и в неё также поступают конфиденциальные корпоративные данные. Это диктует необходимость последовательно и согласованно визуализировать и контролировать политики в обеих средах, используя единую панель управления, чтобы обеспечить удовлетворение требований безопасности и соответствия независимо от того, где пребывают данные или протекают транзакции.

Всё ещё больше усложняется с переходом организаций на многооблачную стратегию. Базовые инфраструктуры, предоставляемые разными облачными провайдерами, принципиально отличаются друг от друга, из-за чего нативные облачные решения не всегда могут функционировать одинаково. Для того, чтобы обеспечить рабочим нагрузкам столь же надёжную защиту, как и в однооблачной среде, такие организации нуждаются в инструментах и процессах, которые не только эффективны, но и имеют идентичные функциональность и элементы управления в каждом контексте.

Командам безопасности можно порекомендовать избегать архитектур безопасности, основанных на разрозненных элементах управления, точечных решениях или узких нативных облачных опциях. Вместо этого им следует подумать о гибких и расширяемых решениях безопасности, рассчитанных на безотказную работу в физических, частных облачных и многооблачных средах. Кроссплатформенные коннекторы — это один из способов привязать каждую итерацию безопасности к централизованной консоли управления. Это сделает возможным создание, распределение, оркестровку, контроль соблюдения унифицированной политики для всей распределенной среды, без потери каких-либо преимуществ нативных облачных приложений.

Заключение

Единственной определённостью в современных сетевых средах является их изменчивость. Учитывать это при выборе и проектировании решений крайне важно. Команды DevSecOps должны думать не только о том, как задействовать все функциональные возможности уже имеющейся облачной среды — сегодняшние и будущие. Идеальная стратегия — та, что может естественно распространяться на любое количество платформ.

Облако это лишь вершина айсберга. Сети завтрашнего дня будут включать в себя такие вещи, как временные микро-облака, автономное принятие решений на расширяющейся границе и сложные кибер-физические среды. Вместо того, чтобы каждый раз разрабатывать новую стратегию безопасности с нуля для каждой из них, мы должны быть готовы вплетать их в уже существующую архитектуру нашей безопасности. И первые организации, которые сумеют использовать завтрашние возможности без ущерба для безопасности, вправе рассчитывать на наибольшую награду.

По мере того, как предприятия перемещают в облако всё больше данных и приложений, безопасность становится всё более основополагающим компонентом, поскольку для того, чтобы удовлетворять отраслевым требованиям соответствия и вплетаться в общую стратегию организации, безопасность должна быть встроена в общую облачную платформу. Если безопасность добавлена напоследок, её часто приходится перенастраивать вручную при адаптации сетевых ресурсов к новым потребностям бизнеса, что обесценивает сам смысл построения и внедрения масштабируемой и высокоэластичной облачной инфраструктуры.

К сожалению, никакие облачные пакеты услуг не предусматривают обеспечения комплексной безопасности. Эта задача решается сообща вашей организацией и облачным провайдером, причём обязанности обеих сторон чётко разграничиваются. У Microsoft Azure и других крупных облачных провайдеров имеются собственные опции безопасности, но они в основном ориентированы на защиту базовой сети: предполагается, что клиенты будут сами защищать свои данные, приложения, рабочие процессы и ресурсы.

Большинство облачных провайдеров предоставляют документацию, в которой разъясняется разделение обязанностей между провайдером и потребителем. Ниже приводится пример модели Azure.

Такое разделение может казаться очевидным, однако проблемы возникают с ростом масштабов. В настоящее время около трети (в среднем, 61) всех приложений, используемых предприятиями, являются облачными, согласно отчёту Fortinet Threat Landscape за III квартал 2017 года. Многие из этих приложений часто распространяются на несколько облаков, что усложняет ситуацию. Это означает, что безопасность должна быть не просто глубоко встроена в единую облачную среду, но функциональные возможности и протоколы безопасности должны работать согласованно в различных облачных средах и единообразно применяться при перемещении приложений, данных и рабочих процессов между облачными сетями.

Помимо защиты облачной инфраструктуры, еще одной серьезной проблемой является быстрое распространение программного обеспечения в качестве услуги (SaaS). Сегодня любой, у кого есть кредитная карта, может развернуть или подписаться на облачное приложение — проблема, известная как Shadow IT. Из-за этого многие организации плохо себе представляют, где хранятся критические данные и ресурсы или какие инструменты используются для доступа к информации и её обработки. Ежегодные совокупные утечки данных и потери от теневых ИТ-приложений (которые находятся вне контроля ИТ-отдела) оцениваются компаниями в 1,5–1,8 триллиона долларов, согласно сообщению в блоге CloudCodes за 2017 г.

Озабоченность безопасностью в облаке отталкивает многих руководителей от использования публичных облачных платформ. Однако проблема заключается не в безопасности облачной инфраструктуры, а в политиках и технологиях, используемых организацией для контроля своих данных и приложений и обеспечения их защиты. Некоторые аналитики прогнозируют, что к 2022 году, не менее 95% сбоев облачной безопасности будет на совести клиента, а не облачного провайдера.

Так как же сами предприятия могут предотвратить инциденты безопасности при работе в облаке? Каждая облачная среда уникальна, поэтому требования могут меняться от одного провайдера к другому.

В этом блоге мы предлагаем пять обязательных для организаций условий эффективной защиты своих рабочих нагрузок в Microsoft Azure, особенно когда это часть более масштабной многоблачной стратегии.

1. Обеспечение простоты использования

Вы должны централизовать и упростить контроль за облачной безопасностью, автоматизировать процессы управления жизненным циклом, а также установить и применять согласованные политики безопасности. Обеспечение безопасности для всех активов и приложений может быть упрощено посредством автоматизации. Динамические политики безопасности могут строиться на метаданных рабочих нагрузок, что позволит немедленно и последовательно охватывать весь трафик приложения и задавать уровень безопасности, соразмерный потребностям рабочей нагрузки.

Поэтому для начала нужно выбрать решение, которое упростит управление, позволив вам сосредоточиться на проблемах безопасности, а не на таких вещах, как конфигурация или обеспечение согласованности между облачными и другими средами.

2. Нативная интеграция

Полная интеграция в Azure средств безопасности, таких как защита контейнеров, автоматическое масштабирование, шаблоны Azure Resource Manager (ARM) и т. д. позволит вам задействовать облачную автоматизацию. Благодаря этому вы сможете формулировать согласованные политики для вашей гибридной облачной среды, работать с ней быстро и масштабно, динамически приспосабливать её к изменениям ресурсов. Интеграция с облачными административными ресурсами через API также позволит использовать облачную информацию как часть общей стратегии управления политикой безопасности и контроля за её соблюдением.

3. Внедрение систем защиты от вторжений

С перемещением сервисов организаций на платформы SaaS и IaaS, сложность их увеличивается, и возникает еще большая потребность в комплексном подходе к обнаружению угроз и реагированию на них. Системы защиты от вторжений (IPS) обеспечивают критическую защиту от вредоносных программ, атак и эксплойтов. Это особенно важно, принимая во внимание сложность существующего ландшафта угроз и постоянно расширяющуюся поверхность атаки.

Для успешного обнаружения сложных угроз в вычислительных средах публичных облаков необходима полная видимость. Команды сетевой безопасности должны иметь возможность централизованно отслеживать все компоненты безопасности и обмениваться сведения об угрозах в режиме реального времени между многими облакам — независимо от того, на которое из них она нацелена.

В средах DevOps необходимо уметь выявлять подозрительные действия и скомпрометированные учетные записи. В масштабе всей сети интегрированная архитектура безопасности должна опираться на передовые методики искусственного интеллекта и машинного обучения, позволяющие лучше комбинировать сведения об известных опасностях с детектированием новых угроз и реагировать на цифровые скорости.

4. Обеспечение контроля приложений

Кроме того для построения защищённой и эффективно работающей многооблачной инфраструктуры нужно найти решение, которое обеспечивает видимость и управление на уровне приложений. Вот несколько важнейших функций, которые должно обеспечивать такое решение:

• Блокировка или ограничение доступа к рискованным приложениям.

• Настройка политик безопасности в соответствии с типом приложений.

• Оптимизация использования полосы пропускания путем повышения/понижения приоритетности или блокировки трафика в зависимости от приложения.

5. Поддержание высокой производительности и высокой готовности

Защита Azure и других облачных сред нуждается в устойчивости, порождаемой высокой готовностью. Для реализации этой новой парадигмы безопасности, сервисы должны предоставляться на более высоких уровнях обслуживания (SLA).

Для достижения высокой производительности вам необходимо решение с:

• Безопасностью, которая соответствует масштабируемости и эластичности облачных рабочих нагрузок.

• Внутренней облачной оркестровкой для автоматизации масштабирования, высокой готовности и сегментации.

• Гибкой конструкцией, удовлетворяющей требованиям вашего приложения без необходимости в сложных и дорогих средствах развертывания.

Хотя публичные облака имеют уровень готовности до 99,999%, аварии в облачных ЦОД всё же случаются. Лучшая практика обеспечения безопасности — исходить из того, что рано или поздно отказать может всё, что угодно, и наращивать отказоустойчивость на уровне приложений, расположенном на вершине облачной инфраструктуры.

Во избежание досадных простоев, Azure предоставляет различные механизмы резервирования посредством Fault Zones и Availability Zones. Это позволяет архитекторам приложений реализовать избыточность на уровнях инстанса и сервиса. Помните, что меры обеспечения отказоустойчивости должны охватывать ваши решения безопасности, а также любую инфраструктуру и каждое приложение.

Заключение

Решения безопасности Fortinet для Azure предоставляют все пять этих обязательных возможностей.

Они предлагают широкий набор инструментов, охватывающих всю поверхность атаки для защиты от продвинутых угроз, возможность интеграции облачных элементов управления с локальными (онпремисными) решениями безопасности, а также органичную интеграцию и взаимодействие с решениями Fortinet, развернутыми в других средах, независимо от форм-фактора. Это означает, что предприятие получает согласованные видимость и контроль в пределах всей распределённой сети своей организации.

Постоянно развивающийся ландшафт угроз продемонстрировал необходимость точной, своевременной информации об угрозах для защиты организаций от потенциальных рисков. При сборе этой информации очень важно, чтобы команды кибербезопасности имели понятие о ключевых тенденциях, что позволит им сопоставлять получаемые данные с векторами атак для разработки стратегий эффективной защиты от сложных атак. Понимание этих тенденций гарантирует, что организации смогут распознавать и устранять текущие риски, а также готовиться к возможным будущим угрозам.

Анализ тенденций имеет решающее значение для понимания того, как работают киберпреступники, и прогнозирования их дальнейших действий. Команды кибербезопасности могут планировать свои действия, исходя из исследования особенностей распространённых киберугроз, и предвидеть будущие стратегии атак на основании траектории их развития с течением времени. Это и есть основная цель которую, преследует Fortinet в своих отчётах об угрозах.

Понимание трёх новых тенденций киберугроз

В недавнем отчете Fortinet Threat Landscape Report представлены сведения, собранные командой FortiGuard Labs в IV квартале 2018 года. Данные, обобщенные в этом отчете, группируются по трём основным направлениям — эксплойты, вредоносные программы и ботнеты. Три этих аспекта ландшафта угроз взаимно дополняют друг-друга в том смысле, что каждый сыграл важную роль в активности киберугроз, отмечавшейся в течение года, а также в преобладании и эволюции этих видов деятельности в последнем квартале 2018 года.

1. Эксплойты

Мониторинг тенденций эксплойтов является необходимым элементом сетевой безопасности. Эти наблюдения помогают понять, как киберпреступники находят уязвимые системы и взламывают их. В целом, исследователи обнаружили 15 эксплойтов нулевого дня и отметили рост количества уникальных эксплойтов на пять пунктов, число же эксплойтов, нацеленных на отдельные фирмы, увеличилось на 10 процентов. В этом последнем отчете более подробно рассматриваются эксплойты, признанные критическими и особо опасными, с указанием тех из них, которые были не только обнаружены, но и успешно достигли своих целей.

Так, например, в предпоследнюю неделю октября 2018 г., одновременно произошло несколько инцидентов, причём четыре из шести самых значительных были связаны с устройствами IoT. Та же картина наблюдалась для этого квартала в целом несмотря на то, что общее количество IoT-эксплойтов в нём было на 5% меньше, чем в III квартале. Из 12 серьёзнейших глобальных эксплойтов, обнаруженных и занесённых в рейтинг фирмой FortiGuard Labs, шесть были нацелены на IoT-устройства, в том числе четыре — на IP-камеры. Хотя не все эксплойты, обнаруженные в Q4, были связаны с IoT, количество атак, направленных на эти устройства, демонстрирует, насколько актуальны эти угрозы.

2. Вредоносное ПО

Исследование тенденций в области вредоносного ПО позволяет экспертам безопасности улучшить понимание целей и возможностей своих противников. В IV квартале 2018 г. было установлено, что количество вариантов таких программ на одну фирму возросло менее, чем на один процент, а число обнаруженных разных семейств осталось на том же уровне, что и в III квартале — 6405. В целом, частота обнаружения вредоносных программ немного снизилась по сравнению с предыдущим кварталом, команда FortiGuard Labs объясняет это сезоном отпусков, из-за которого большинство людей находятся вдали от своих офисных компьютеров. Другими словами, на отдыхе сотрудники с меньшей вероятностью открывают вредоносные вложения или загружают вредоносные файлы, открывающие киберпреступникам возможность запуска атак.

Обнаружение вредоносного ПО как и эксплойтов может происходить на любом уровне — сетевом, прикладном или хостинга — на различных устройствах, и если атака не была завершена, и если увенчалась успехом. В этом последнем отчете детально описываются два самых часто обнаруживаемых в этом квартале типа вредоносных программ: рекламное ПО и Coinhive, служба криптомайнинга. Статистика их детектирования демонстрирует значительную вариативность для разных регионов. Дополнительно, исследователи отметили вариант Android/Agent.FJ!tr, подключающийся с помощью поддельного веб-сайта, и штаммы, связанные с группой APT, специализирующейся на краже данных.

3. Ботнеты

Если тренды эксплойтов и вредоносных программ можно обнаружить до атаки, то для ботнетов они становятся видимыми только после заражения систем. Такие инфицированные системы начинают связываться с удаленными вредоносными хостами, и эта связь является признаком того, что происходит что-то неправильное. Анализ этих данных более полезен для выявления слабых мест в имеющейся защите и для понимания того, как избежать подобной атаки в дальнейшем. Как и в случае с вредоносными программами, в праздничный сезон количество обнаруженных ботнетов несколько уменьшилось, однако по по многим аспектам ботнетов квартального снижения не наблюдалось. Так, количество обнаружений уникальных ботнетов в IV квартале выросло на 2%, количество дней заражения на одну фирму увеличилось на 15%, а усреднённый по дням/компаниям объём прибавил 7 пунктов.

Из наиболее значительных ботнетов внимание исследователей привлёк, в частности, Gh0st, позволяющий захватывать полный контроль над инфицированной системой с доступом к потоковой трансляции веб-камер, к загрузке и выгрузке файлов и к прочему. Еще одной выдающейся угрозой конца 2018 года стал TrickBot, известный ранее ботнет, который внезапно разросся всего с десятка до 3,5 миллионов зараженных устройств. Эта сеть ботов продемонстрировала способность развиваться для кражи учётных данных и истории работы с браузером.

Заключительные мысли

Конец 2018 года видел как старые, так и новые угрозы. Хотя по сравнению с предыдущим кварталом для них было отмечено некоторое снижение, важно учитывать сроки проведения этого исследования и влияние на кибератаки сезона праздников. Анализируя тенденции угроз, исследователи и команды ИТ-безопасности получают возможность предварительного планирования с использованием ранее собранных данные как об успешных атаках, так и о неудачных попытках. Комбинирование их с мониторингом активности в реальном времени, позволит более точно идентифицировать риски, улучшить эффективность обнаружения и предотвращения.

Трудности с обеспечением безопасности наших сетей возрастают как прямое следствие цифровой трансформации, увеличивающей поверхность атаки. Киберпреступники стремятся использовать новые векторы атаки и оборачивать в свою пользу недочёты в видимости и контроле сетей.

Ухудшает ситуацию то, что многие из защитных решений работают в относительной изоляции — обмен информацией об угрозах с прочими инструментами безопасности поставлен из рук вон плохо. Кроме того, они по-прежнему в первую очередь следят за безопасностью периметра несмотря на растущую популярность в индустрии концепции безграничных (borderless) сетей.

Многие все ещё пытаются думать о сетях в традиционном, статичном смысле, предполагающем, что посередине находится датацентр, а от него, как спицы от оси колеса, расходятся остальные элементы — мобильные пользователи и устройства, офисы филиалов и многооблачные среды. Однако сегодня, с ростом распределенности данных, периметр не просто исчезает, на смену ему приходит сложная, ячеистая (meshed) сеть сетей с не только виртуальными, но, зачастую, временными компонентами.

Больше угроз — больше средств защиты

Новый ландшафт угроз побуждает предпринимателей в области безопасности выводить новые продукты на рынок, но в результате, организации, планирующие расширение или совершенствование своей киберзащиты, сталкиваются с переизбытком информации.

Эту проблему наглядно продемонстрировала недавняя конференция RSA. Более 30 000 участников взаимодействовали там с более, чем 400 поставщиками, каждый из которых рекламировал свое решение как важнейший элемент любой архитектуры безопасности.

Без универсальных стандартов эффективности и в отсутствие руководящего органа, который бы рассматривал и проверял факты, приводимые в маркетинговых материалах и в технических спецификациях, потребители — директора информационной безопасности (CISO) и их команды — вынуждены в своих критических решениях руководствоваться случайными сведениями и голословными заверениями производителей. То есть, оказываются в положении больного, занимающегося самолечением на основе информации из рекламы медицинских препаратов.

К сожалению, такой подход не только обходится дорого, но и оказывает существенное влияние на широкий спектр важных будущих решений и позиций в области безопасности, таких как критические и конфиденциальные данные, которые все чаще распределяются и постоянно находятся в движении.

Найти нужное в рекламном хайпе

В помощь организациям, сталкивающимся не только с растущим ландшафтом угроз, но и с растущим выбором решений, можно предложить несколько стратегий преодоления всей этой шумихи:

1. Использовать стороннее тестирование. Таблицы данных от поставщиков могут быть ненадёжными, и составленными так, что их невозможно сравнить с данными от других вендоров. Сторонняя проверка не только ставит все решения в равные условия, но и помогает выявить слабые стороны, которые поставщик может попытаться скрыть, манипулируя результатами испытаний.

2. Избегайте точечных решений. Как ни странно, множество поставщиков все еще продвигает решения отдельных аспектов безопасности (точечные решения), плохо интегрируемые в более крупную инфраструктуру безопасности. Инструменты, существующие сами по себе, в «вакууме», не работающие с разными формами-факторами, не обеспечивающие поддержки открытых стандартов и взаимосовместимости с продуктами других вендоров, не могут быть по-настоящему эффективными. Они лишь усложняют вашу среду безопасности, но не делают её лучше.

3. Будьте осторожны с инновациями. Слишком многие из них внедряют, просто чтобы быть не хуже других, но без должной старательности. Например, почти каждому поставщику удалось наклеить ярлык «готово к облаку» на свои устройства несколько лет назад, но, на поверку, это мало что значило. Многие инструменты поддерживали одного или двух облачных провайдеров и даже в этом случае не использовали преимущества их прикладных интерфейсов.

Сегодня мы видим то же самое с ИИ. Вместо того, чтобы прельщаться обещаниями, покупатели должны сначала понять, нужен ли ИИ в их стратегии, а затем достаточно войти в курс дела, чтобы задавать правильные вопросы. Например, ИИ требуется обучение от 3 до 5 лет, чтобы он стал эффективным и надёжным. Эта тренировка должна быть очень узкоспециализированной (экспертами рекомендуется использование обучения с наставником и без него, а также подкреплённого обучения) и требует огромных объёмов информации. Любая система ИИ, которая не может использовать десятки или сотни миллионов узлов для принятия решений, будет неполноценной.

4. Эффективные решения требуют высокой производительности и глубокой взаимосвязанности. Средства безопасности должны быть быстрыми даже при выполнении задач, интенсивно использующих процессор, таких как проверка зашифрованного трафика. И от них требуется уметь понимать и защищать цифровую среду, связывающую различные решения и сети, без потери данных и устройств и без добавления дыр, которые могут быть использованы хакерами.

Переосмысливая безопасность

При рассмотрении потенциальных решений безопасности корректировка традиционных парадигм должна происходить от микро- к макро-фокусу. Организациям требуются решения, способные применять единую стратегию безопасности к каждому устройству, независимо от его назначения или расположения, чтобы вы могли видеть дальше, а работать — эффективнее и с меньшими затратами.

В нынешнем ячеистом и всё менее разграниченном мире команды, отвечающие за безопасность, должны уметь идентифицировать всё, подключенное к их экосистеме, его статус и конфигурацию, проверять запросы на доступ, отслеживать и шифровать трафик. Специалистам следует выбирать устройства безопасности, руководствуясь, скорее, не их функциями, а возможностью работать как часть интегральной стратегии безопасности — участвовать не только в обмене информацией об угрозах, но и в любом координированном ответе на обнаруженные опасности.

Forrester прогнозирует, что мировой рынок публичных облаков увеличится до 178 млрд долл. в этом году по сравнению со 146 млрд долл. в 2017 г. Фирма также предсказала, что к концу 2018 года более половины глобальных предприятий в своей цифровой трансформации будут полагаться как минимум на одну публичную облачную платформу. Не вызывает сомнений, что будущее ИТ связано с многооблачными и гибридными решениями.

Есть много причин, по которыми всё больше организаций выбирают вариант с несколькими облаками. Крупные предприятия могут использовать Office 365 и Salesforce.com, а небольшой бизнес — Google Apps со всеми прилагающимися подключаемыми модулями. Широко распространены и другие предложения Software-as-a-Service (SaaS) и Infrastructure-as-a-Service (IaaS). Простота использования и привлекательная модель потребления, предлагаемая облачными провайдерами, сделали принятие этого варианта практически безальтернативным с технологической и деловой точек зрения.

Большинство из тех, кто выбирает многооблачный подход, разделяются на два лагеря. Один состоит из полностью облачных организаций — стартапов и «рожденных в облаке» предприятий, таких как Netflix. Эти организации используют сервисы многих облачных провайдеров, они живут в облаке и остаются там. Им требуется разработать разные подходы к безопасности для каждого облачного провайдера.

Традиционные организации, которые переносят некоторые цифровые активы в облако, но сами не являются облачными, образуют другой лагерь. В этом случае облако содержит только часть их данных. Такие компании обычно выбирают, какие варианты SaaS и IaaS использовать, руководствуясь деловыми соображениями, как правило эти решения принимаются на уровне бизнес-подразделений и зачастую без учета возможных последствий для безопасности. Это ставит ИТ-отделы и команды безопасности перед фактом, вынуждая их решать вопросы обеспечения безопасности задним числом.

Таким образом, для каждой из этих групп облачная безопасность имеет собственные особенности и проблемы.

Отдельные и общие заботы

Для облачно-нативного лагеря фактором, определяющим какую технологию безопасности использовать, является возможность её интеграции со средой автоматизации, функциями DevOps и операционными моделями. Команды DevOps и SecDevOps заинтересованы в том, чтобы иметь возможность автоматизировать и оптимизировать операции безопасности с помощью общих методологий непрерывной интеграции, которые используют эти организации. Они хотят, чтобы меры безопасности не мешали им внедрять новые технологии, выпускать ПО и его версии для своих клиентов.

Перед этой группой стоит сложная задача: найти единую операционную модель и оптимальную политику безопасности, которые могут быть применены ко многим различным облачным инфраструктурам и приложениям, не обязательно обладающими одинаковыми операционными возможностями управления безопасностью. Как результат, команды SecDevOps сталкиваются с проблемой обеспечения единообразия безопасности, включая оптимизацию операций безопасности для платформ любого типа.

Им также требуется надежный, унифицированный набор согласованных средств управления безопасностью. Чтобы достичь этого, организация должна найти способ абстрагировать службы безопасности, предлагаемые различными платформами, с получением единого набора инструментов, пригодного для применения ко всей инфраструктуре.

Не желая попадать в зависимость от отдельных облачных провайдеров, эти организации ищут несколько источников для построения своей облачной инфраструктуры. Это лишь добавляет сложности и усугубляет проблему, делая ее ещё более трудозатратной.

У более традиционной группы предприятий имеются свои сложности. Им необходимо обеспечивать равную степень безопасности для локальной и облачной инфраструктур. «Теневые ИТ» представляют серьёзную проблему для этой группы, так как руководители организации могут увлечься возможностями нового приложения и забыть предупредить команду безопасности, что они начали его использовать. Поэтому важно побыстрее интегрировать имеющиеся средства управления безопасностью в различные платформы, чтобы каждый раз заново не изобретать велосипед.

В этой группе меньше сотрудников DevOps и более традиционных ИТ-специалистов, которым нужны несложные приложения с графическим интерфейсом для управления единой инфраструктурой. Сотрудники службы безопасности, как правило, сильно перегружены постоянными изменениями и необходимостью обеспечивать их безопасность и соответствие требованиям. Наряду с текущими внутренними теневыми ИТ-инициативами команда занимается и более плановым наращивание инфраструктуры облачной безопасности, чтобы иметь возможность быстро откликаться на запросы различных бизнес-единиц. В этих случаях глобальное размещение и эластичная природа облака становятся важными, поскольку вы хотите получать такие сервисы в любой точке земного шара и в любое время, и платить только за те услуги, которые вы используете.

В конечном итоге организациям обоих типов необходимо внедрить унифицированную инфраструктуру безопасности в нескольких облачных инфраструктурах. Для некоторых это подразумевает лишь сочетание публичных облаков, а для других — комбинацию публичных и частных облаков.

Рекомендации по безопасности в облаке

Независимо от конкретных различий в безопасности, обе группы могут извлечь выгоду из внедрения следующих передовых практик защиты многооблачных сред:

• Автоматизация: Возможность автоматизировать безопасность и интегрировать автоматизированные процессы в цикл разработки обеспечит соответствие требованиям безопасности без каких-либо дополнительных усилий и с сохранением максимальной скорости разработки приложений.

• Абстракция: Политику безопасности нужно абстрагировать в единый язык централизованного управления, так чтобы, независимо от базовых технологий — будь то частный ЦОД или инфраструктура публичного облака — компания реализовала безопасность единым и стандартным образом. Межсетевые экраны должны обеспечивать логическую абстракцию для того, чтобы поддерживать физическую и виртуальную сегментацию в частных и общедоступных облаках.

• Гибкость: По мере роста приложения или внедрения большего их количества, расти и расширяться должна также безопасность. И организации должны иметь возможность платить только за ту степень защиты, которую они используют.

• Осведомленность о приложениях. Для того, чтобы сохранять актуальность для разных приложений, система безопасности должна учитывать их специфику. Тогда она будет эффективна для SaaS и приложений для внутреннего использования, базирующихся на различных инфраструктурах и сервисах. Состояние безопасности улучшается если возможность применения различных инструментов, наиболее подходящих для защиты конкретных приложений, дополняет согласованная политика безопасности для всех инфраструктур.

• Видимость: Поскольку инциденты могут возникать в любом месте поверхности атаки, важным требованием является видимость всей гибридной, многооблачной инфраструктуры. Коррелированное представление угроз и рисков для всей инфраструктуры становится существенным преимуществом. С переходом на «единое окно обзора» организации получают всеобъемлющую перспективу многочисленных частных и публичных облаков, а также приложений SaaS.

Для многих преступных организаций методы нападения оцениваются не только с точки зрения эффективности, но накладных расходов, необходимых для их разработки, модификации и проведения. Например, чтобы добиться максимального дохода, они отвечают на цифровую трансформацию беря на вооружение популярные методологии, такие как гибкая (Agile) разработка, позволяющие более эффективно производить и совершенствовать программное обеспечение для атак, а также уменьшать риск и увеличивать скрытность для повышения рентабельности.

С учётом этого напрашивается защитная реакция — внести изменения в людей, процессы и технологии, влияющие на экономическую модель атакующего. Например, внедрение новых технологий и стратегий, таких как машинное обучение и автоматизация для укрепления поверхности атаки путем обновления и исправления систем или выявления угроз, вынуждает преступников менять методы атаки и ускорять собственные усилия в области разработки.

Атаки будут становиться умнее

Мы прогнозируем, что в стремлении адаптироваться ко всё более широкому использованию их целями машинного обучения и автоматизации, сообщество киберпреступников, скорее всего, будут руководствоваться следующими стратегииями, которые нуждаются в отслеживании всей индустрией кибербезопасности.

Прогноз: использование фаззинга для выявления уязвимостей нулевого дня

Фаззинг

Фаззинг (fuzzing) традиционно представляет собой сложную технику, применяемую в лабораторных средах профессиональными исследователями угроз для обнаружения уязвимостей в аппаратных и программных интерфейсах и приложениях. Они делают это, вводя неверные, неожиданные или полуслучайные данные в интерфейс или программу, а затем отслеживают такие события, как сбои, недокументированные переходы к процедурам отладки, неудачные подтверждения кода и потенциальные утечки памяти.

Одна из причин, почему преступники так редко используют фаззинг — потому что это очень трудно реализовать. Крайне мало людей обладают знаниями, необходимыми для разработки и запуска эффективных инструментов фаззинга, именно поэтому их использование, как правило, ограничивается простыми вещами, такими как атаки DDoS, и поэтому же обнаружение и использование эксплойтов нулевого дня (от которых ещё не создано защиты) самими киберпреступниками имеет низкую вероятность.

Тем не менее, вполне вероятно, что в коммерческом ПО и операционных системах имеется бесчисленное количество готовых к вредоносному использованию уязвимостей, которые можно было бы обнаружить с помощью технологий фаззинга, и для их открытия просто не хватает специализированных инструментов фаззинга или квалифицированных разработчиков.

AIF — фаззинг с применением искусственного интеллекта

Искусственный интеллект (ИИ) изменит это. Он уже начинает использоваться для решения проблемы обнаружения и использования программных ошибок.

Прогноз: ИИ-фаззинг

Применение моделей ИИ и машинного обучения позволит фаззингу стать более эффективным. Преступники смогут разрабатывать и тренировать фаззинговые программы для автоматизации и ускорения обнаружения атак нулевого дня. В конечном счете, таким инструментам достаточно будет указать на цель, и они автоматически исследуют её на эксплойты нулевого дня. Я называю этот подход Artificial Intelligence Fuzzing (AIF) или фаззинг с искусственным интеллектом.

AIF будет включать в себя две фазы машинного обучения, Discovery и Exploit. Во время открытия инструмент AIF узнает о функциях и требованиях ПО, на которое он нацелен, включая шаблоны, используемые тем для структурированных данных. Затем, на этапе эксплойта, он начнет вводить в это ПО преднамеренно скомпонованные структурированные данные, отслеживать результаты, использовать машинное обучение для уточнения атаки и в конечном итоге приводить программу к сбою, тем самым одновременно обнаруживая уязвимость и эксплойт.

Этот метод принудительного машинного обучения, осуществляемого под контролем опытного хакера, может воспроизводиться неоднократно, позволяя преступнику вести непрерывные комбинированные атаки, ставя обнаружение и использование уязвимостей нулевого дня на поток. И в среде, где возможно бесконечное число атак нулевого дня, даже передовые средства защиты, такие как песочница, могут быть быстро преодолены.

Влияние AIF на экономику киберпреступлений

Рост количества и многообразия доступных уязвимостей и эксплойтов, в том числе возможностей быстро производить эксплойты нулевого дня и даже предоставлять сервисы по их добыче (Zero-Day Mining-as-a-Service), может радикально изменить типы и расценки услуг, доступных в Даркнете. Zero-Day MaaS полностью изменит подход организаций к безопасности, поскольку невозможно предвидеть, где находятся эти уязвимости и как правильно от них защищаться, особенно используя те устаревшие отдельностоящие средства безопасности, которые сегодня развёрнуты в сетях большинства организаций.

Прогноз: Роевой сервис (Swarm-as-a-Service)

Впечатляющие успехи в области роевых интеллекта и технологий приближают время, когда они станут применяться как в атаках, так и в средствах кибер-безопасности. Например, представленная недавно в Гонконге новая методология использует естественное поведение роя для управления кластерами нанороботов. Эти микро-рои можно заставить выполнять точные структурные манёвры с высокой степенью реконфигурации, такие как расширение, сжатие, рассеивание и слияние.

Прогноз: Роевой сервис

Эта же технология может быть применена для создания больших роёв интеллектуальных ботов, способных работать вместе и автономно. Они не только поднимут планку технологий, необходимых для защиты организаций, но, как и Zero-Day Mining, окажут влияние на основополагающие экономические модели, используемые сообществом киберпреступников.

В настоящее время криминальная экосистема сильно ориентирована на людей. Профессиональные хакеры-наёмники за плату создают заказные эксплойты, и даже прогрессивные новшества, такие как Ransomware-as-a-Service, требуют криминальных инженеров для таких задач, как создание и тестирование эксплойтов или управление внутренними (back-end) серверами C2. Но когда речь заходит о предоставлении автономного, самообучающегося Swarms-as-a-Service, объём непосредственного взаимодействия между хакером-потребителем и подпольным предпринимателем резко падает.

Меню «A la Carte»

Способность подразделять рой на разные задачи для достижения желаемого результата означает, что ресурсы в роевой сети могут быть распределены или перераспределены для решения конкретных проблем, возникающих в цепочке атак. Преступники-потребители могут предварительно выбирать для атак различные типы роёв, такие как: предварительно запрограммированные рои, которые используют машинное обучение, чтобы проникать в устройство или в сеть; те, которые применяют AIF для выявления точек эксплойтов Zero-Day; разработанные для распространения по сети в поперечном направлении и расширения поверхности атаки; рои, которые могут уклоняться от обнаружения и/или собирать и фильтровать конкретные целевые данные; рои, предназначенные для пересечения кибер-физического разрыва и контроля не только сетевых, но и физических ресурсов атакуемой цели.

Прогноз: отравление машинного обучения

Машинное обучение является одним из наиболее перспективных инструментов в наборе средств безопасности. Устройства и системы могут быть натренированы для автономного выполнения определенных задач, таких как принятие эффективных мер противодействия обнаруженной атаке. Машинное обучение также может эффективно определять типичное поведение, а затем применять поведенческую аналитику для выявления сложных угроз, которые охватывают различные среды или используют стратегии уклонения. Утомительные ручные задачи, такие как отслеживание устройств с учётом их уязвимости для современных трендов угроз и автоматическая установка патчей или обновлений, также могут быть легко переданы надлежащим образом обученной системе.

Прогноз: отравление систем машинного обучения

Этот процесс также может быть обоюдоострым мечом. Вместо того, чтобы пытаться передумать или превзойти по производительности систему, улучшенную с помощью машинного обучения, может быть проще просто атаковать сам процесс машинного обучения. Методология и инструменты, используемые для обучения устройства или системы выполнению конкретной задачи, также являются их самой большой ахиллесовой пятой. Например, если злоумышленник может взломать систему машинного обучения и ввести инструкции, она может обучить устройства или системы не устанавливать патчи или обновления на конкретную машину, чтобы та оставалась уязвимой для атаки или игнорировал конкретные типы приложений или поведения, либо игнорировать некоторые типы приложений или поведения, или не регистрировать определенный трафик, чтобы избежать обнаружения.

Модели машинного обучения регулярно используют данные из потенциально недостоверных источников, к примеру собранные краудсорсингом или из соцсетей, а также информацию, сгенерированную пользователями, такую как рейтинги удовлетворённости, истории покупок или веб-трафик. Благодаря этому, киберпреступники могут относительно просто «отравить» тренировочные наборы данных, подсунув туда вредоносные выборки, чтобы добиться игнорирования угроз или даже внести троянцев или создать тайный вход. Для предотвращения этого следует принять экстраординарные меры предосторожности и обеспечить тщательные контроль и защиту всех ресурсов и протоколов машинного обучения.

Отвечая новой стратегией защиты

Для решения проблем, которые мы видим на горизонте, сообщество кибербезопасности должно изменить свои традиционные подходы к безопасности. Вероятно самой эффективной стратегией, будет та, которая нацелена на экономическую модель преступников. Например, если поставить их перед перспективой дорогостоящего и трудоёмкого перестроения своих атак, это может заставить их искать более легкую добычу.

Прогноз: обман

Стратегии обмана были известны и прежде, но ключевое значение они приобрели лишь недавно — из-за усложнения атак, которым удаётся легко преодолевать традиционную защиту периметра.

Основная идея состоит в том, чтобы создать слишком много вариантов выбора для злоумышленника, большинство из которых — тупиковые, чтобы заставить их замедлиться и потенциально позволить себя обнаружить. Если вы можете генерировать соблазнительный трафик из большого количества баз данных, и только одна из них является настоящей, злоумышленникам придется замедлиться, чтобы проверить каждый источник данных, а может быть даже атаковать каждую опцию. Но что если эти тупиковые варианты не только содержат интересные данные, но также реализованы в среде, где неожиданный трафик сразу становится заметным, не только увеличивая способность защитника обнаруживать захватчика, даже использующего технологию уклонения, но также запускает автоматический ответ, выбрасывающий нападающих из сети. Такая стратегия увеличивает как риск обнаружения, так и затраты на проведение атаки.

Этот подход будет расшатывать бизнес-модель киберпреступников, в которой цели выбираются руководствуясь стратегиями риска/вознаграждения и возврата инвестиций. Добавление уровней сложности, требующих глубокого, практического анализа, означает, что стоимость запуска атаки внезапно возрастает. Большинство киберпреступников склонны идти по пути наименьшего сопротивления и наибольшей выгоды, кроме того, они в большинстве своём очень ленивы, поэтому, скорее всего, они станут искать более доступную сеть для приложения своих усилий.

Прогноз: объединённое открытое сотрудничество

Хотя прогресс в технологиях безопасности позволяет некоторым защитникам обнаруживать всё более сложные атаки, подавляющее большинство внедрённых решений безопасности по-прежнему полагаются на сверку сигнатур или другие простые методы детектирования. Из-за этого, один из самых простых способов для кибер-преступника получить максимальный эффект от своих инвестиций, это внести незначительные изменения в существующее решение для атаки. Даже элементарная смена Ip-адреса может позволить вредоносной программе избежать внимания традиционных средств защиты.

Одним из наиболее распространенных способов, как оставаться в курсе таких изменений, является активный обмен информацией об угрозах. Новые открытые инициативы по совместной работе между исследовательскими организациями по угрозам, производителями безопасности и правоохранительными органами и другими правительственными учреждениями повысят эффективность, своевременность и глубину информации об угрозах. Ширится сотрудничество в таких проектах, как Cyber Threat Alliance, которые не только осуществляют обмен данными между исследователями, но и публикуют результаты исследований в виде сценариев атак, раскрывающих тактику злоумышленников.

Преступники будут вынуждены реагировать на это, внося всё более сложные и дорогостоящие модификации в свои инструменты, программы и решения для атак. И по мере расширения этих форумов Объединённого открытого сотрудничества, организации вскоре смогут применять поведенческую аналитику к «живым» потокам данных и прогнозировать будущие действия вредоносных программ, делая цифровой рынок более безопасным для всех.

Заключение

Столкнувшись с парадигмой киберугроз организации должны переосмыслить свои стратегии безопасности с точки зрения того, как воздействовать на экономические основы преступного сообщества. Вместо того, чтобы вовлекаться в непрерывную гонку вооружений, организации смогут задействовать потенциал автоматизации для предвосхищения угроз и бить по экономическим мотивациям киберпреступников, заставляя их вернуться к чертежной доске.

Однако разрушение криминальной экономической модели может быть достигнуто только путем плотной интеграции систем безопасности в единую интегрированную структуру, которая может свободно обмениваться информацией, выполнять логистический и поведенческий анализ для выявления шаблонов атак, а затем включает эти знания в автоматизированную систему которая может не только реагировать на атаки скоординированным образом, но фактически начинают предвидеть преступные намерения и направления атак.