Стремясь как можно скорее разработать и внедрить стратегии сетевой безопасности, способные противостоять резкому увеличению сегодняшних киберугроз, многие организации оказываются в ловушке с далекоидущими последствиями. Вместо того, чтобы подойти к делу методически, с учётом дальних перспектив, как подобает администраторам сложных датацентров, они ведут себя как шопоголики — импульсивно покупают специализированное, отдельное средство от сиюминутной проблемы или кризиса.

Такое тактическое решение стратегической проблемы не только недостаточно в краткосрочной перспективе, но и крайне разрушительно для долговременных безопасности и функциональности систем, призванных хранить и защищать ответственную информацию.

Если что-то одно хорошо защищает нашу сеть, то два десятка (инструментов, поставщиков, команд и систем защиты) сделают защиту только крепче? Это абсолютно не так!

Как минимум, этот подход ведёт к обескровливанию ресурсов организации — от бюджета до полосы пропускания и всего между ними — с очень низкой полезной отдачей. А в реалиях глобальной гиперсвязанной цифровой среды проблемы отдельных компаний становятся проблемами каждого.

Даже организации с глубоким пониманием и опытом в области безопасности оказываются не в состоянии локализовать, а тем более смягчить ущерб, и становятся невольными пособниками преступников. В результате мы наблюдаем стремительный и очень опасный рост сложности, когда к новым проблемам безопасности применяют годные только для них методы, что делает нас менее защищёнными.

Тем, кто сомневается в коллективном эффекте от ошибочных корпоративных стратегий, предлагаю подумать, чем объясняется всплеск кибератак, «делающих» заголовки новостей почти каждый день. Появлением каких-то суперзлодеев, с нечеловеческой скоростью и точностью на шаг опережающих действия защиты? Или всё-таки это результат подхода, при котором одни решения улучшают другими, устанавливаемыми поверх них, с получением трудоёмкого для администрирования, мониторинга и оптимизации результата?

Как бы серьёзно мы не воспринимали возможности киберпреступников, особенно обладающих с государственной поддержкой, вторая возможность выглядит реалистичнее.

Торопливая реакция на быстрые новые угрозы приводит к созданию защиты, пронизанной дырами. Важно осознавать, что скорости и ловкости атак соответствует столь же стремительная модернизация сетей. Однако оперативное внедрение этих инноваций представляет собой проблему само по себе, даже без внешних попыток взлома.

Первым шагом к эффективной стратегии будет признание того факта, что общепринятая практика защиты данных не работает. И нет смысла винить в этом организации, вендоров, конкретные продукты, просто пришло время переосмыслить общий стратегический подход, оказавшийся ущербным.

Новая стратегия должна покоиться на двух основных столпах — интеграции и автоматизации.

Интеграция достигается построением сети, предназначенной специально для бесперебойной работы, согласованных коммуникаций, со встроенным мониторингом и обнаружением угроз. Это создает структуру (ткань) безопасности, которая достигает каждого уголка сети, независимо от того, насколько та обширна или как много точек входа содержит.

Такая интегрированная ткань безопасности обеспечит неизмеримо лучшую защиту, чем та, которой обладают многие сегодняшние предприятия, а также намного более всеобъемлющую и качественную видимость. Вы не сможете защитить то, чего не видите — то, что ваша сеть не может обнаружить, или, ещё хуже, может обнаружить, но не может об этом уведомить другие средства киберзащиты.

Для сетей, которые охватывают различные грани IoT и гибридных облачных архитектур, такая интеграция имеет решающее значение. Без этого сеть будет испещрена дырами и слепыми зонами, позволяющими злоумышленникам проникать внутрь и оставаться необнаруженными как угодно долго.

При наличии защитной ткани угроза обнаруживается мгновенно. Но сможет ли ИТ-команда её устранить? Возможно. Но что если угроза не одна, если скоординированные удары наносятся одновременно по множеству уязвимых мест? Сегодняшняя киберзащита должна уметь встречать в реальном времени согласованные, непрерывные атаки, наносимые в любую часть сети, в любой момент, из любой точки мира.

Единственная возможность осуществить это — автоматизация. Добавление автоматического моментального ответа в безукоризненную структуру безопасности позволит сетевой защите соответствовать скорости и интенсивности сегодняшнего ландшафта угроз. Это также позволяет уменьшить масштабы последствий человеческих ошибок.

Автоматизация также разгружает ИТ-команды, позволяя им работать максимально плодотворно, с пониманием природы и мотивов угроз, вместо того, чтобы быть надсмотрщиками неэффективных систем в громадной и всё более усложняющейся (с каждым автономным дополнением тактической безопасности) сети.

Интеграция и автоматизация резко снижают сложность, а качество локализации и устранения угроз экспоненциально возрастает. Это не только способствует куда более эффективному использованию выделяемых ресурсов, но также позволяет специалистам ИТ и безопасности полностью сконцентрировать свои усилия на реализации гораздо более действенных, оптимизированных и стратегических подходов к обеспечению безопасности.

Проблема влияния искусственного интеллекта на рынок занятости приобрела особую остроту в последние пару лет из-за жарких дебатов об иммиграционной политике США. Наиболее чётко её суть была сформулирована в редакторской колонке Los Angeles Times, озаглавленной «Роботы, а не иммигранты забирают американские рабочие места»: «Доклад Белого Дома, опубликованный в декабре, говорит, что 83% рабочих мест в США, где люди получают менее $20 в час, сейчас или вскоре будут автоматизированы ... и призывает американцев быть готовыми к эре 60%-й безработицы».

Аргументы и заголовки, представляющие технологию растущей угрозой, увеличивающей социальное неравенство и ограничивающей возможности, могут провоцировать сильную реакцию (и больше кликов), но в действительности инновации не добавляют или вычитают, они умножают возможности, увеличивают их экспоненциально.

Вытеснила ли e-mail почтовые отделения? Количество занятых в доставке почтовых отправлений сегодня даже несколько больше, чем в 1965 г. Объёмы бумажной переписки уменьшились, однако количество пересылаемых пакетов возросло с 3,3 до 5,2 млрд. Больше стало и пунктов доставки — 156 вместо 148 млн. — и на дорогах появились дополнительные тысячи почтовых фургонов.

Аналогично, появление банкоматов не устранило банки, но снизило затраты на открытие филиала. В результате, количество банков выросло на 40%. Штат служащих, работающих с клиентам, остался прежним, лишь повысился их ранг из-за необходимости охватывать больше филиалов. Это наблюдение особенно важно — новые технологии (и ИИ в частности) не отнимают работу, дающую средства к существованию.

Возникновение и распространение ИИ как ничто другое демонстрирует насколько устарел прежний стиль управления, заставляющий служащих выполнять те задачи, для которых хорошо подходит ИИ — повторяющиеся, требующие точности и внимательности, но не нуждающиеся в умозаключениях высокого порядка или даже в обычном здравом смысле.

Трудно представить отрасль, более зависимую от цифровых технологий, чем кибербезопасность. В цифровом мире, который изобилует злоумышленниками — от пранкеров до преступников, идеологически мотивированных сект и кибертеррористов на государственном жаловании, угрожающими всему, от индивидуальной идентичности до критической инфраструктуры общества — данные невозможно защитить без самообучающегося ИИ и автоматизации. Реализуя эффективную кибербезопасность, нужно использовать ИИ для выполнения трудоёмких задач, таких как добыча информации и анализ журналов данных, и позволить специалистам сосредоточиться на задачах более высокого порядка — идентификации и устранении угроз.

Между тем, одной из главным проблем кибербезопасности сегодня является нехватка талантов. Эта отрасль имеет нулевой процент безработных, в 2016 г. в ней было открыто около миллион новых рабочих мест, а прогнозы на ближайшие пару лет обещают ещё от пяти до шести миллионов вакансий. За 2015 г. количество объявлений о поиске специалистов кибербезопасности выросло на 74%, причём половина этих позиций так и осталась незаполненной.

Автоматизация и ИИ не устраняют рабочие места, они с беспрецедентной скоростью создают их — высокооплачиваемые, высокоуровневые и гарантированные. По мере роста объёмов данных, создаётся всё более высокий спрос.

Мы никогда не сможем заполнить эти вакансии, не осознавая необходимости в них, без раннего обучения в средней школе, а также без более активного привлечения ветеранов и студентов колледжей, особенно женщин, которые в настоящее время составляют всего 14% занятых в кибербезопасности.

Безусловно существуют объективные причины застоя в оплате труда и потери работы — от тех, кто непропорционально зарабатывает на экономическом росте или путём управления капиталом, а не товарами или услугами, до проблем с финансированием и с приоритетами системы образования, до всё более нестабильной финансовой системы и последствий быстрой глобализации.

Всё это сложные проблемы, требующие неординарных решений, и намного легче сделать козлом отпущения технологию, чем отвечать на связанные с ней вызовы. Обрушиваясь с обвинениями на инновации, нельзя решить реальные проблемы или предотвратить кризис. Это только усугубит недопонимание в условиях всё более небезопасного цифрового ландшафта.

Перед лицом непомерного роста числа подключенных устройств в сетях и проистекающих из этого угроз, многие организации совершают ошибку, пытаясь огнём бороться с огнём. Сложности они противопоставляют сложность – сиюминутный тактический рефлекс, который сводит их киберзащиту к неэффективной сборной солянке из вендоров, протоколов и операционных систем. В лучшем случае, данные, являющиеся их самым ценным активом, окружены надёжной архитектурой безопасности, которая разрастаясь, становится все более сложной и дорогостоящей для интеграции и поддержки. В худшем варианте, у них получается эквивалент сита – сеть с зазорами, через которые злоумышленники могут проскальзывать внутрь и наружу, зачастую избегая обнаружения.

В бесконечной погоне за стремительно возникающими в реальном времени угрозами и новыми атаками, многие организации фактически сделали себя менее защищёнными. Более чем когда-либо, тут справедливо хорошее эмпирическое правило: «то, что не является бесшовным, небезопасно». Но создавать эту бесшовность становится все труднее, если играть вторым номером – подход больше тактический, чем стратегический.

Есть много факторов, объясняющих как мы дошли до такой жизни – от буйного распространения мобильных устройств, увеличивающейся сложности атак с целью обогатиться или нанести вред, до поставщиков, настойчиво продвигающих решения безопасности – новейшие и самые лучшие, но плохо взаимодействующие между собой. Не последнее место занимают и беспорядочные действия команд высших управленцев, стремящихся остаться на плаву в урагане данных и в реалиях цифрового глобального рынка.

Однако одна вещь не вызывает сомнения: сложившаяся ситуация не есть результат  недосмотра или отсутствия понимания со стороны шефов информационной безопасности (CISO).

Эта должность в совете директоров ещё сравнительно молода, важную роль CISO в решении совершенно новых вызовов кибербезопасности стали осознавать лишь в последние 3–5 лет, и это похоже на назначение главы ещё несозданной пожарной службы после того, как лесные пожары вырвались из-под контроля.

Более того, воду для борьбы с уже бушующими лесными пожарами, этот главный пожарник может использовать только с разрешения и под контролем начальника коммунального хозяйства. Для выдвижения на место пожара и использования сирен на своих машинах он обязан предварительно заручиться разрешением от начальника движения. И если он всё же прибудет туда вовремя, должен быть достигнут общий консенсус – какие горящие инфраструктуры защищать и какие команды для этого можно привлекать.

Хотя такая метафора выглядит абсурдно, к сожалению она достаточно точно передаёт внутреннюю структуру кибербезопасности во многих организациях.

С руками, связанными тяжёлым наследием – смётаной на живую нитку сетевой безопасностью, с угрозами, бушующими вокруг них, CISO часто оказываются в безвыходном положении. Несмотря на то, что они делают все возможное для защиты систем своих организаций, скорость и масштаб сегодняшних данных и угроз ставят их перед выбором лучшего варианта среди худших. Стремительное развитие ситуации сильно затрудняет переход от тактики «бей всё, что шевелится» к упреждению атак и исправлению уязвимостей. Однако каждый раз делая это, они понимают, что выигрывают битву, но проигрывают войну.

Нет большей угрозы для данных организации, чем сложности, возникающие из-за дублирования поставщиков и продуктов, образующих решения безопасности многих корпоративных сетей. Не будет преувеличением сказать, что во многих сетях сосуществуют более 50 различных продуктов и поставщиков безопасности – некоторые перекрываются, другие оставляют незащищенные бреши, а многие не способны общаться друг с другом, чтобы выстроить защиту при обнаружении угрозы.

К этому добавляются отчаянный дефицит профессионалов кибербезопасности, с которым сталкивается отрасль, и внутренние политики защиты сети, контролируемые несколькими различными чиновниками высшего эшелона, с возможным конфликтом интересов и инициатив.

Аналитики угроз – и новые поставщики безопасности, которые заставляют индустрию чувствовать себя оказавшейся в метро в час пик, – с готовностью объясняют  всплеск атак и наносимого ими ущерба эволюционирующей изощренностью и автоматизацией хакеров. Тем не менее, внешние угрозы это не единственная, а зачастую даже не основная причина.

Являются ли оценка угроз и ликвидация их последствий абсолютно важными для эффективной кибербезопасности? Безусловно. Возможно ли поддерживать эффективные протоколы и практики кибербезопасности одной борьбой с угрозами? Безусловно нет.

Сегодняшние сети становятся избыточно технологичными и недостаточно защищенными, а единственными, кто выигрывает от внутреннего усложнения  безопасности, являются поставщики и хакеры. Это никоим образом не проводит знака равенства между ними. Но это результат образа мышления, который выбирает краткосрочные решения и выгоды, забывая о долгосрочных перспективах здоровья и безопасности данных.

Так с чего же начать?

Очень просто, с простоты. Мы не можем допустить, чтобы наша любовь к технологии и инновации работала против нас. Нет ничего проще, особенно когда степень серьёзности угроз растёт, искать спасения во всё новых продуктах и сервисах за счет разумных принципов бизнеса, таких как четкость, согласованность и эффективность.

Самые передовые видение и инструменты не могут изменить ситуацию в условиях организационной неразберихи и конфликта руководства. Есть много преимуществ во внутреннем разделении (компартментализации) сети. Но говорить об этом преждевременно, пока компартментализация имеется между руководителями организации.

Эффективная кибербезопасность должна начинаться с тех, кто принимает решения в совете директоров, с того как они структурируют и согласуют управляющие роли и ресурсы. Сегодня, CISO, отвлекаясь от прямых обязанностей вынуждены заниматься координацией действий с ИТ-директорами и главами компаний. Хотя это само по себе может оказаться серьёзной проблемой, это единственный способ получить ресурсы, сотрудничество и мандат для борьбы с пожарами, бушующими вокруг. Ставки слишком высоки, чтобы даже в качестве эксперимента пускать всё на самотёк. От директора информационной безопасности требуется возглавить внутренний и внешний диалог, что позволит добиться тех ясности и согласованности, что сегодня становятся всё более основополагающими условиями эффективной кибербезопасности.

Независимо от степени продвинутости искусственного интеллекта, полная автоматизация, которая предполагает стопроцентную передачу машинам управления и всех этапов процесса принятия решений, остается недостижимой целью.

Необходимость вмешательства специалиста сохранится. Благодаря платформам «больших данных» и анализа можно будет предсказывать тенденции развития вредоносного ПО, но не резкие изменения курса развития. Лишь человеческий разум мог предвидеть то, что вредоносное ПО, например Wannacry, будет внедрять эксплойты уязвимостей Агентства национальной безопасности в незащищенные системы.

Сущность процесса развития вредоносного ПО такова, что он всегда следует за прогрессом человечества и проникновением новых технологий в повседневную жизнь. Если, к примеру, в ближайшие годы широко распространятся автомобили без водителей и носимые устройства IoT, киберпреступники, как и всегда, найдут способ оседлать волну и воспользоваться уязвимостями таких автомобилей и устройств. Аналогичным образом, если развитие криптовалют продолжится теми же темпами, что и в этом году, то эта сфера привлечет множество злоумышленников.

Концепция автоматизации создает множество новых возможностей для киберпреступников и повышает риск для организаций. По мере того, как злоумышленники увеличивают уровень автоматизации вредоносного ПО, атаки на корпоративные сети не только станут более частыми, но и сократится период между проникновением и воздействием. Атаки смогут избегать обнаружения. Перед организациями встанет задача обеспечения принятия согласованных мер реагирования, охватывающих экосистему распределенной сети целиком — от IoT до облака, — практически в режиме реального времени. В настоящее время не все организации имеют возможность решить эту задачу. Эта проблема должна стать приоритетной для ИТ-директоров.

Майкл Се
основатель, президент и технический директор Fortinet

Киберугрозы становятся все изощреннее и задачи противостояния им усложняются с каждым разом.

Современные технологии информационной безопасности уже являются обязательным элементом корпоративных инфраструктур. Разумеется, перед их внедрением необходимо определить политики и процедуры, а сами технологии безопасности не сводятся лишь к устройствам в стойках.

Компонента, на которой основаны все средства защиты, невидима глазу, однако играет ключевую роль в обеспечении противодействия угрозам, представляющим опасность для бизнеса. Система безопасности функционирует на основе данных об угрозах — точнее, благодаря способности средств защиты собирать сведения о развивающихся угрозах и принимать упреждающие меры.

И задача своевременного сбора данных об угрозах, на основе которых можно составлять точные прогнозы, гораздо сложнее, чем может показаться. Для этого необходимо эффективное научно-исследовательское подразделение, деятельность которого построена на следующих принципах.

1. Разделяйте и властвуйте — для многих сфер бизнеса верно то, что работа в больших группах приносит более существенные результаты. Тем не менее, когда речь идет о борьбе с мотивированными на успех киберпреступниками, следование общепринятым представлениям не всегда оправдано. Как свидетельствует мой опыт, эффективная организация по исследованию угроз состоит из нескольких мелких групп, каждая из которых занимается изучением определенной разновидности угроз. Сосредоточенность групп на отдельных направлениях способствует повышению уровня специализации и компетентности каждой команды. Такой подход повышает оперативность выявления угроз и идентификацию новых угроз, в то же время сокращая время реагирования на инциденты.

2. Действуйте оперативно — группы исследователей угроз должны быстро реагировать на изменения. Угрозы очень динамичны, они изменяются с каждым днем, а иногда и с каждым часом и минутой. Группы должны оперативно ставить перед собой новые цели и быстро адаптироваться к ним. Например, планы исследований в компании Fortinet постоянно обновляются в соответствии с прогнозами развития угроз. После определения новых направлений работы мы привлекаем исследователей, обладающих соответствующими навыками. В составе целевых рабочих групп исследователи занимаются изучением появляющихся угроз. В качестве актуальных примеров подобных угроз можно привести IoT, программы-вымогатели и автономное вредоносное ПО.

3. Составьте комплексное представление о ситуации — поощряйте исследователей мыслить масштабно и уделять внимание собственным профессиональным интересам, в том числе тем из них, которые не имеют непосредственного отношения к продукции компании. К примеру, исследование уязвимостей IoT может способствовать углублению представлений поставщика корпоративных услуг безопасности об угрозах.

4. Развивайте интуицию — руководители по исследовательской работе должны обучать специалистов умению определять уровень опасности угроз еще до того, как их серьезность станет очевидной. Например, самые талантливые исследователи угроз еще несколько лет назад говорили о том, что следующим актуальным направлением атак станут уязвимости IoT. По прошествии некоторого времени этот прогноз получил подтверждение в виде нового ботнета Mirai IoT, появившегося в сентябре прошлого года. Угрозы постоянно возникают и быстро развиваются. Если поставщик услуг безопасности недостаточно оперативно выявляет угрозы и реагирует на них, он не сможет своевременно обеспечить безопасность клиентов.

5. Накапливайте данные — от объема данных, к которому имеет доступ исследовательская группа, зависит и достоверность результатов исследований. Хорошо информированные исследовательские организации не хранят собранные данные в тайне — они делятся ими с другими. К примеру, компания Fortinet не только собирает сведения с помощью 3 миллионов датчиков, развернутых по всему миру, но и активно обменивается данными об угрозах с такими организациями, как Интерпол, НАТО, Корейское агентство по вопросам Интернета и информационной безопасности, а также с другими поставщиками технологий безопасности, состоящими в объединении Cyber Threat Alliance. На протяжении последних месяцев мы также заключили соглашения с другими государственными учреждениями и операторами по всему миру. Это благоприятная тенденция, так как она позволяет всем участникам совместно создать более крупную базу данных об угрозах и с ее помощью отслеживать и блокировать вредоносное ПО, а также устанавливать его источники.

6. Инвестируйте в технологии проведения исследований — эпоха ручного анализа данных об угрозах давно осталась в прошлом. Эффективные группы исследователей используют современные инструменты интерпретации и корреляции ежесекундно поступающих массивов данных. В настоящее время мы располагаем языками распознавания образов содержимого (Content Pattern Recognition Languages, CPRL), предназначенными для выявления тысяч существующих и потенциальных вариаций вирусов при помощи единой подписи. Тем не менее, будущее за такими технологиями, как анализ «больших данных» и искусственный интеллект. В скором времени ИИ в сфере информационной безопасности будет способен оперативно адаптироваться к появлению новых угроз. Сегодня люди занимаются выполнением достаточно сложных задач по сопоставлению фактов, обмену данными и применению этих данных в рамках систем. В будущем высокоразвитые системы искусственного интеллекта автоматизируют принятие множества из этих сложных решений.

Майкл Се
основатель, президент и технический директор Fortinet