RSA Conference 2011: концепции безопасности требуют радикально новых подходов

24 февраль, 2011 - 18:27Елена Дериева

14-18 февраля 2011 г. в Сан-Франциско (США) состоялась юбилейная 20-я конференция RSA Conference 2011 Основанная как форум криптографов, за прошедшее время она выросла до главного мирового события в сегменте безопасности, в котором приняли участие более 350 компаний, и где обсуждались как практические вопросы защиты данных, так и глобальные проблемы киберпреступности.

RSA Conference 2011 концепции безопасности требуют радикально новых подходов

На прошедшей в Сан-Франциско конференции RSA 2011 основной темой стали «облачные» вычисления и задачи повышения доверия к ним. На протяжении 2010 г. многочисленные исследования показывали, что внедрение облачных сервисов затрудняется в основном из-за сомнений в их безопасности, тем не менее тенденция сокращения вложений в инфраструктуру и роста инвестиций в ИТ с целью решения бизнес-задач очевидна. Ведущие эксперты, руководители компаний EMC, RSA и VMware едины во мнении - миграция в облака уже происходит, она неотвратима, экономичность «облачных» служб и их способность оперативно адаптироваться к потребностям бизнеса будут вынуждать все большее число компаний внедрять «облачные» сервисы независимо от опасений связанных с безопасностью. Практически все участвующие в конференции вендоры, от гигантов индустрии Cisco, Symantec и McAfee до стартапов, представляли «облачные» средства защиты, в которых реализован широкий спектр технологий и подходов.

В ключевом докладе глава RSA Арт Ковьелло (Art Coviello) отметил, что достичь доверия к «облакам» возможно уже сегодня, правда для этого необходимо отказаться от элементов безопасности, разработанных для физических инфраструктур. Вместо этого, в условиях, когда мир неотвратимо движется к информационно-центрической модели, необходимо обратиться к технологиям виртуализации, которые позволяют повысить прозрачность и управляемость «облачных» сред. Виртуализация – ключ к «облачной» безопасности, естественный путь для обеспечения такого уровня видимости и управляемости «облаком», какой на сегодня доступен по отношению к физическим средам. В виртуальных инфраструктурах периметры защиты определяются логическими ограничениями, таким образом, инструменты безопасности тоже изменятся – они должны быть встроенными, автоматическими, адаптивными и основываться на оценке рисков. Таким образом реализуется принципиально новый подход – от построения системы безопасности внутри виртуальных машин (которые динамически подстраиваются под рабочие потоки) к продлению и распределению ее на все облако. При этом основной акцент должен быть сделан на оценке рисков и адаптации инструментов защиты к эволюционирующей среде.

В этой связи RSA анонсировала собственную платформу Cloud Trust Authority, разработанную для построения безопасных облачных сервисов, во второй половине 2011 г. будет запущена ее бета-версия. Службы позволят создавать единый логин для облачных сервисов, и управлять этими данными, устанавливать и отзывать разрешения по мере добавления и удаления пользователей. Сервис будет использовать набор тестов и методов проверки, которые, по словам RSA, позволят компаниям просматривать профили безопасности в и создавать более четкую картину сильных и слабых мест инфраструктуры. На основе данных стека Cloud Security Alliance GRC пользователи смогут получать полные отчеты о провайдерах. Новая модель, по мнению RSA, поможет сформировать доверительные взаимоотношения между клиентами и поставщиками облачных услуг, обеспечить болен тесное взаимодействие, необходимое для обеспечения безопасности персональных данных, информации и рабочих потоков в облаке.

Руководитель компании Symantec Энрике Салем (Enrique Salem) посвятил свой доклад концепции «контекстной безопасности» и представил обновленную версию Endpoint Protection 12, использующую репутационные оценки для защиты от вредоносного ПО. Новая система использует данные, собираемые от 175 млн конечных пользователей, и на их основе создаются рейтинги и выявляются потенциально опасные ресурсы. Данный продукт указывает на видение Symantec новых трендов в распространении и поведении вредоносного ПО – по данным компании 75% собранных образцов ПО инфицировало менее 50 пользователей. Энрике Салем также коснулся проблемы консьюмеризации и растущей популярности мобильных платформ, которые инициируют потребность во внедрении кардинально новых инструментов защиты независимых от местоположения пользователя и применяемых для доступа в сеть устройств.

RSA Conference 2011 концепции безопасности требуют радикально новых подходов

В свою очередь, компания Microsoft намерена предпринимать нетрадиционные шаги для обеспечения безопасности. Ее новая идея - карантин инфицированных ПК. Скотт Чарни (Scott Charney), вице-президент корпорации, посвятил свой доклад тому, как компания намерена развивать данную концепцию, по сути повторяющую широко принятые в здравоохранении меры. Сегодня популярно мнение о том, что доступ к всемирной сети является неотъемлемым правом каждого. Тем не менее, инструменты защиты каждого отдельного ПК определенно будут дополнены системами коллективной безопасности, которая намного эффективнее и может применять активные инструменты противодействия инфекциям. Для ее реализации не обходимо внедрять публичные модели здорового поведения в интернете: как только деятельность отдельно взятого пользователя становится небезопасной для окружающих, нужно применять правила, ограничивающие негативный эффект. Модель Microsoft включает планы создания сертификатов здоровья ПК, выходящих в мировую сеть, и ограничения доступа в Интернет с инфицированных машин. Безусловно, эта идея имеет ряд проблем, связанных с проверкой подлинности сертификатов, однако, по мнению Microsoft, при поддержке правительств и гармонизации национальных законодательств внедрить единые во всем мире правила безопасности вполне возможно.

Среди широко обсуждаемых тенденций оказалось замедление темпов роста спама. Согласно данным, представленным Dell SecureWorks Counter Threat Unit, самым большим и продуктивным спам-ботнетом в мире остается Rustock, насчитывающий 250 тыс ПК, однако в последний год наблюдается тенденция ограничения владельцами размеров сети ботнетов, что позволяет им избежать операций по уничтожению. При этом большинство наиболее активных сетей существует в течение нескольких лет. Вообще, полагают эксперты, сегмент спам-ботнетов является достаточно зрелым рынком, основные игроки на котором давно известны, и интенсивного развития экосистемы не наблюдается.

Среди актуальных проблем безопасности большое внимание было уделено социальным сетям – такие вредоносы как Koobface и поддельные учетные записи в Facebook могут стать настоящим бедствием не только для персональных пользователей, но прежде всего для компаний. По данным Sophos, которую на конференции представлял Грэхем Клули (Graham Cluley), атаки продолжают углубляться, а возможны они потому, что люди с большим доверием относятся к информации, которая исходит от знакомых -до 40% из тех, кому было отослано приглашение с подложной учетной записи согласились его принять. Очевидно, социальные сети должны усовершенствовать внутренние средства поиск злонамеренного контента.

В целом, прямой взлом сетей отходит в прошлое – теперь хакеры проникают в инфраструктуру используя отдельных сотрудников компаний (этому процессу помогают вполне легальные социальные сети, в числе которых и LinkedIn), и такие атаки наиболее совершенны. Именно к этой категории относятся три наибольших вторжения прошлого года - Operation Aurora, Night Dragon и GhostNet – инициализованные с помощью направленных атак против точно известных персоналий, отметил глава департамента технологий компании RSA Ури Ривнер (Uri Rivner).

RSA Conference 2011 концепции безопасности требуют радикально новых подходов

Ури Ривнер также отметил, что анализ активности вредоносного ПО за последний год показывает возрастающую прибыльность: так владельцы трояна NimKey всего за несколько месяцев заработали более $30 млн, проникнув в систему торговли квотами на выбросы углекислого газа. Кражи с банковских счетов стали более интеллектуальными - недавно выявленная RSA модификация Zeus может опустошать банковские счета и скрывать кражу, генерируя подложные балансовые отчеты и удаляя записи о съеме средств. Следы его работы зафиксированы в крупнейших банках США и Великобритании. Вообще проблема Zeus может оказаться глобальной – он уже инфицировал более 5 млн ПК в мире, и, принимая во внимание доступность неограниченных серверных ресурсов в Китае всего за $15 в месяц, можно предположить, что хакеры обладают гигантским объемом данных и определенно ищут способы их монетизации. «WikiLeaks может оказаться сущим пустяком по сравнению с ZeusiLeaks» - полагает Ури Ривнер.

В целом, подчеркивают эксперты, следует признать, что свободный рынок терпит неудачу в решении проблем компьютерной безопасности. В этом смысле замкнутые экосистемы вроде Apple, имеют целый ряд преимуществ. Тем не менее, хакеры уже неоднократно развеивали мифы о неуязвимости отдельных систем (например Java), да и пользователи смартфонов Apple остаются незащищенными от весьма эффективных атак социальной инженерии. Как от метили представители Kaspersky Lab, грядет волна инфекций для смартфонов, и она может напрямую коснуться Apple, которая, к тому же, не спешит оказывать поддержку разработчикам ПО в создании средств защиты для своих платформ.

В общем ситуация такова, что сегодня требуются слишком большие усилия для ограничения недобросовестного поведения в киберпространстве. И, как отмечает Брюс Шнейер (Bruce Schneier), эксперт и глава подразделения безопасности BT, бизнес отчетливо осознает, что рынок не может обеспечить уровень защиты, в котором нуждаются компании. В связи с этим назрела необходимость в установлении новых правил и их формализации. Это как раз тот этап, когда в игру должны вступить правительства, которые будут заниматься проблемами безопасности посредством регулирования. Так, за счет законодательных мер можно было бы обязать сервис-провайдеров фильтровать сетевой трафик. В целом, утверждают эксперты, сколько-нибудь значительного спроса на чистые каналы и готовности платить за них дополнительно не наблюдается, таким образом, у сервис-провайдеров нет экономических мотивов предпринимать дополнительные меры защиты, более того, ISP получают неплохой доход от вредоносного ПО. Одновременно, опыт Германии и Японии, где регуляторные нормы вынудили ISP ввести системы блокирования фишинга и вредоносов, показывают значительное снижение уровня заражения.

Кроме того, в противодействии кибератакам крайне необходимо межгосударственное сотрудничество. В частности, по данным TrendMicro, в отсутствие такого взаимодействия на протяжении значительного времени компании не удается закрыть управляющие сервера генераторов вредоносных программ: они были выявлены в Германии, но пока шли переговоры с полицией этой страны успели перебазироваться в соседнюю Италию, а за время, которое заняло привлечение к сотрудничеству Интерпола – и вовсе передислоцированы в Южную Америку.

RSA Conference 2011 концепции безопасности требуют радикально новых подходов

RSA Conference 2011 отличалась большим числом докладчиков, представляющих органы государственной власти США. Майкл Чертофф (Michael Chertoff), занимавший пост секретаря Министерства внутренних дел и безопасности в 2005-2009 гг. отметил, что на сегодняшний день основная проблема США – неготовность к кибератакам, что не далее как в прошлом году показало нападение на Google, недостаточная защищенность правительственных сетей, энергосистем, прочих объектов государственного значения. И это на фоне того, что природа кибератак за последний год также претерпела изменения от тактики разрушения к методичному деструктивному поведению. Если ранее хакеры ставили перед собой цель с помощью DDoS-атак вывести из строя правительственные сайты и службы, новые инциденты свидетельствуют о том, что предпринимаются попытки подрыва либо уничтожения военных сетей и критически важных инфраструктур, что может привести к значительным экономическим убыткам либо физическому уничтожению инженерных сооружений. Государства пока не прибегают к таким способам борьбы друг с другом, но экстремистские группировки не имеют сдерживающих факторов и могут предпринять подобные акции. Продолжая данную тему, генерал Кейт Александер (Keith Alexander), руководитель подразделения US Cyber Command, отметил, что американская промышленность нуждается в помощи военных для защиты критически важных инфраструктур. Традиционные модели обеспечения безопасности неэффективны, US Cyber Command реконфигурирует свои сети, от модели реактивного противодействия онлайновым угрозам, к модели активной защиты. Для повышения уровня защиты правительственных систем и публичных инфраструктур правительство США помимо использования внутренних резервов служб национальной безопасности, намерен привлечь частный бизнес. Заместитель министра обороны США Уильям Линн (William Lynn) официально пригласил к сотрудничеству с военно-промышленным комплексом компании из Кремниевой долины и представил план “Cyber 3.0”. который предусматривает значительные инвестиции в образовательную систему, в особенности – развитие математики, технологий и инженерии, а также программу Information Technology Exchange обмена экспертами в области безопасности, на что уже в ближайшее время будет выделено $500 млн.

В ходе конференции как обычно были представлены новые решения безопасности. Компания Oracle объявила о готовности Oracle Database Firewall: брандмауер использует технологии грамматического анализа SQL для противодействия SQL-инъекциям и пр. попыткам захвата данных, включает политики работы с черным и белым списками ресурсов. Брандмауер может развертываться в сети или на линях святи, работает с Oracle Database 11g и болем ранними версиями, IBM DB2, Microsoft SQL Server и Sybase.

Juniper Networks объявила об интеграции шлюзов бузопасности vGW Virtual Gateway и SRX Series Services Gateways для частных и публичных «облачных» сред, в них реализованы недавно приобретенные технологи Altor, а объединение физических и виртуальных инструментов обеспечения безопасности позволяет оборудованию работать в физических, виртуальных и облачных середах.

Fortinet запустила новый програмно-аппаратный комплекс для ЦОД. FortiGate 3140B проектировался для крупных компаний с високими требованиями к защите, обеспечивает производительность брандмауера 58 Гб/с, 10 Гб/с при предотвращении вторжений и 22 Гб/с в VPN.

Cisco объявила о внесении изменений в архитектуру своего ПО – теперь ее основой станет модель репутационной безопасности, которая выявляет злоумышленное поведение и обеспечит лучшую защиту от вредоносов. Технологи контекстной защиты будут добавлены к Adaptive Security Appliances через обновление прошивки.