`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Гийом Лове, Fortinet: «От атак на государственном уровне защиты практически не существует»

+44
голоса

Гийом Лове (Guillaume Lovet) является признанным экспертом в области кибербезопасности и членом сети обмена информацией относительно инцидентов безопасности. Он был номинирован на приз «Наиболее инновационное исследование», также известный как «The Oscar of Security», в 2010 г., и на «The Best Newcomer of the Decade» по версии Virus Bulletin в 2010 г. Гийом Лове был приглашен в качестве докладчика на конференцию UISGCON11, где и было взято это интервью. В качестве вступления мы попросили г-на Лове кратко представить себя нашим читателям.

Гийом Лове, Fortinet,: «От атак на государственном уровне защиты практически не существует»

Я стал работать в области кибербезопасности в 2004 г., а до этого занимался разработкой ПО на С++. Работу в Fortinet я начал как вирусный аналитик, затем стал заниматься исследованием угроз, трижды выступал на каждой из конференций VB и Black Hat и после этого возглавил работу по исследованию угроз и реагированию на них. В настоящее время моя должность называется директор по продуктам безопасности Fortinet, что является достаточно сложной и трудоемкой работой, поскольку у нас около 70 продуктов. Однако время от времени я продолжаю по специальному приглашению выступать на конференциях.

Могли бы вы обрисовать некую общую картину в области киберпреступности, некий ландшафт угроз, с одной стороны, и в области защиты данных, с другой? Что мы увидим, если взглянем на «поле битвы» с высоты птичьего полета?

По существу, имеются три категории киберпреступнников. Это традиционные киберпреступнки, которые занимаются этим ради денег. Их цель — скомпрометировать как можно больше устройств IoT, ПК, ноутбуков, планшетов и т. п. и извлечь из этого деньги. Вторая — это «хактивисты», анонимные хакеры. Им не нужны деньги, они таким образом выражают свой протест против чего-то. И третья категория — это киберпреступники, которых нанимает государство. Последняя имеет значительную финансовую поддержку, поскольку это те люди, которые занимаются целенаправленными атаками на государственные инфраструктуры, национальную экономику и т.п.

Жертвы первой категории киберпреступников обычно находятся не в их стране, иначе они подверглись бы преследованию полицией, судебной системой и т. д. Если же жертвы живут в другой стране, то такое преследование организовать сложнее. Если говорить о той категории, которая работает на государство, то нужно сказать, что кибервойна отличается от традиционной войны, где есть какие-то правила по применению силы и есть четко определяемый враг. В киберпространстве легко приписать что угодно кому угодно. Предположим, что имеется исходный код какого-то «троянского коня». С этим кодом можно поработать в Microsoft Visual Studio китайской версии. Затем подключиться к прокси-серверу, расположенному в Китае, и с этого прокси-сервера отправить трояна, скажем, в Белый дом. Кто-то в Белом доме сядет и начнет анализировать полученный вредоносный код. Он увидит, что все символьные строки — на китайском языке, IP-адрес относится к Китаю, и таким образом решит, что атака пришла из Китая.

Если мы взглянем на поле битвы с высоты птичьего полета, то увидим глубокий черный океан, в котором хаотически передвигаются подводные лодки. Они не видят друг друга и в какие-то моменты времени атакуют те или иные страны. Но в целом это совершенно непрозрачная картина.

Со средствами и механизмами защиты ситуация следующая. Если атакующий может воспроизвести средства защиты в своей лаборатории, то он может взять вредоносный код, а затем модифицировать и тестировать его до тех пор, пока средства защиты не смогут его обнаружить. Добиться этого всегда можно в силу теоремы Коэна (Frederick Cohen Theorem — прим. ред). Поэтому обычно компании делают следующее. Они стремятся максимально усложнить для атакующего воссоздание систем защиты, сделать механизмы защиты максимально сложными и скрыть их. Кроме этого, они добиваются, чтобы воспроизведение системы защиты в лаборатории обходилось дорого.

Допустим, речь идет о защите персонального ноутбука. На нем, скорее всего, установлено какое-то антивирусное ПО. Пользователь может скрыть от атакующего, какой антивирус установлен. Это так называемая безопасность посредством незнания. Можно использовать антивирус, который, скажем, стоит 100 тыс. долл. Вряд ли хакер захочет приобрести такой антивирус для изучения способов его обхода. Действуя таким образом, пользователь затрудняет жизнь хакеру-одиночке, но не государству. Государство в состоянии потратить 100 тыс. долл., чтобы воспроизвести систему защиты атакуемого объекта. Наконец, можно использовать какую-то очень сложную систему защиты, к примеру, антивирус, песочницу, механизмы корреляционного анализа плюс что-то еще для того чтобы атакующему было очень сложно ее воспроизвести.

Допустим, что хакеру все же удалось воспроизвести атакуемую систему защиты и создать вирус, который она не обнаруживает. Но это еще не значит, что этот вирус заразит ноутбук. Для противостояния можно уменьшать поверхность возможных атак, например не использовать Skype или электронную почту. Если электронная почта все же используется, и вирус отправлен как присоединение в электронном письме, то это не значит, что он запустится, — для этого нужно открыть присоединении. Поэтому здесь важно обучение пользователей. Можно также сегментировать сеть. К примеру, в упомянутом ноутбуке можно использовать для проверки почты виртуальную машину. Если вирус даже был запущен, то все, что он заразил — это виртуальная машина. Если вернуться в корпоративный мир, то, допустим, если заразили компьютер какого-то бухгалтера, то нужно сделать так, чтобы этот вирус не распространился на корпоративные ресурсы.

Какие типы угроз являются сегодня наиболее опасными для корпораций?

Самыми опасными являются целенаправленные атаки. Возвращаясь к ответу на первый вопрос, напомню, что есть три категории киберпреступников: работающих ради денег, хактивисты и работающие на государство. Третья категория является самой опасной, поскольку они имеют практически не ограниченные ресурсы, и если говорить о Stuxnet, черве, который был создан США и Израилем для поражения завода по обогащению урана в Иране, чтобы разрушить турбины, разрушить центрифуги, то для его разработки в пустыне Негел был воспроизведен этот обогатительный завод. Это не значит, что хакер, который охотится за деньгами, не опасен. Иногда ситуация с безопасностью в компании настолько плоха, что не нужно каких-то заоблачных ресурсов. Например, мне известен случай, когда ноутбук главбуха в компании был заражен, и главбух знал, что ноутбук заражен, и ИТ-департамент знал. Но когда главбуху сказали, что нужно все переустановить, тот ответил нет, потому что у него там была почта с перепиской. И главбух продолжал работать, пока компания через какое-то время не потеряла миллионы долларов. Это не означает, что главбух был дураком, это означает, что всякий раз, когда безопасность конкурирует с удобством работы, в жертву приносится именно безопасность. То есть задача компании — реализовать механизмы безопасности таким образом, чтобы они не мешали удобству работы.

Сегодня крупный, средний и малый бизнес может строить локальные системы безопасности или получить безопасность как сервис из облака. Каково ваше мнение об этих двух подходах для бизнеса разных масштабов?

Я не думаю, что на самом деле размер компании является по-настоящему важным фактором при принятии решения о том, отдавать ли кому-то свои данные для защиты или нет. Приведу очень близкую аналогию. Вернемся во время, когда банки еще не существовали. Тогда вопрос, где хранить деньги не стоял. Когда открылись банки, у человека появились две возможности, что делать со своими деньгами и как обеспечить их безопасность. Он мог держать деньги дома, под матрацем или в сейфе, или отдать их на хранение в банк. Вопрос в ответственности. С одной стороны, владелец денег не является специалистом в области безопасности, а с другой — если деньги положить в банк, то там есть профессионалы в области безопасного хранения денег. Но банки являются привлекательной мишенью для преступников. Тем не менее, в итоге все пошли в банки, но, возможно, не только потому, что банки профессионально защищают деньги, а потому, что на каком-то этапе это стало обязательным. Другими словами, государство, правительство запустили механизмы, которые заставили людей идти в банки. То есть банки стали единственным решением. Будет ли нечто подобное с облаками, я не знаю.

Если принять во внимание сложность современных угроз, то использование индивидуальных продуктов для решения индивидуальных проблем не является ответом на вопрос. Существует ли, по вашему мнению, какой-то целостный подход к защите данных или решение, которое может динамически адаптироваться к изменяющемуся ландшафту угроз?

На самом деле мы в какой-то степени коснулись этой проблемы в первом вопросе. Мы говорили об обнаружении, о дорогих и сложных для воспроизведения механизмах защиты. Но дело не только в этом. Дело в просвещении пользователей, в применении соответствующих политик, сегментации сети. Именно это и является целостным подходом, и это то, чего мы должны сегодня добиваться.

Переход к SDN усложнит защиту сетей от проникновения или наоборот, упростит ее и сделает более надежной?

Переход к SDN сделает защиту более сложной. Потому что при этом увеличивается фронт атак. Если используются традиционные коммутаторы, то возможности угроз ограничиваются аппаратными особенностями самого коммутатора. При использовании SDN-контроллера фронт атак увеличивается вдвое, потому что есть уязвимости контроллера как такового, и есть уязвимости работающего на нем ПО.

SDN упрощает управление сетью, но при этом является более сложной, чем традиционная сеть. Если, к примеру, взять школьную доску, на которой пишут мелом. Это очень простое приспособление, но на ней нужно стирать мел, ее нужно как-то мыть. Если теперь воспроизвести такую доску на компьютере, то управлять ею станет намного проще, но сама система будет намного сложнее, чем доска, на которой пишут мелом. А чем сложнее система, тем больше фронт атак.

Каковы сегодняшние тенденции в разработке инструментов и методов угроз и построения систем защиты информации?

Если говорить о тенденциях, то нужно вспомнить о трех категориях киберпреступников. Если взять первую категорию, то есть киберпреступников, крадущих деньги, то в наше время — это вредоносное ПО, требующее выкуп. На таком ПО очень легко зарабатывать, потому что сейчас подобное ПО существует не только для ПК, но и для смартфонов и других устройств, подключенных к Интернету. В ряде случаев проще заплатить небольшую сумму, чем возиться с восстановлением работоспособности.

Если говорить о системе защиты информации, то она должна быть максимально многоуровневой, то есть включать все возможные уровни защиты: антивирусы, антиспам, IPS, средства корреляционного анализа, средства анализа журналов, песочницу, средства обнаружения аномального поведения и т. д. Ну и текущая тенденция — использовать средства глубинного обучения, машинного обучения, искусственного интеллекта, нейронные сети и т. п., чтобы сделать эти средства наиболее эффективными.

+44
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT