Томер Теллер, Check Point: «Главное в организации ИТ-защиты — постоянно следить за новостями»

Проблема обеспечения безопасности стоит перед каждым пользователем, какой бы пост он ни занимал, от рядового сотрудника, до руководителя высшего уровня. Поэтому мнение по этому вопросу ведущего специалиста компании Check Point Томера Теллера (Tomer Teller), занимающего пост управляющего инновационными исследованиями в области безопасности, наверняка окажется полезным не только ИТ-персоналу крупных компаний, использующих специализированные системы, но и всем интересующимся современными информационными технологиями.

Наша компания занимается анализом постоянно возникающих угроз безопасности как ИТ-инфраструктур в целом, так и отдельных пользователей. Причем эта сфера настолько динамично меняется, что уже невозможно полагаться только на сигнатурные признаки вредоносного кода, а приходится разрабатывать методы его обнаружения на основе поведения. Именно последние и являются предметом изучения моей группы, которая исследует самые невероятные сценарии вторжения, какие только можно придумать. При этом мы анализируем возможности противодействия им и создаем механизмы защиты. Они и ложатся в основу коммерческих продуктов компании.

Получается, что вы одновременно создаете и средства взлома, и защиты?

Невозможно доказать работоспособность защиты без проверки ее адекватными средствами нападения. В своей работе мы фокусируемся на такие направления, как анализ нейронных сетей, эксплойтов для популярных браузеров, а также на работу в мобильных сетях и в «облаке». Недавно в нашу группу поступило молодое пополнение из MIT, которое, в частности, решает задачу наглядного представления наших исследований для сообщества, включая технические описания.

А какое направление исследований сейчас является наиболее важным?

Мы называем такие угрозы «один процент». Опасность этого типа вредоносного ПО заключается в том, что оно использует новый тип атак, которые пока еще не могут быть распознаны, из-за чего чему этот код не обнаруживается практически никакими устройствами защиты. В последние годы к этой категории можно отнести такие «черви» как StuxNet и Snake. Их анализ показал, что у всей этой «заразы» довольно много общего, включая способы проникновения через уязвимости, поведение после взлома и прочие аспекты. И на базе этого подобия мы строим свои методы выявления новых, ранее не встречавшихся «червей». Впрочем, их продвинутость базируется не только на слабостях, обнаруживаемых в операционных системах, но и на социальной инженерии. Поэтому так важно образование всех: и тех, кто вовлечен в организацию системы безопасности, и обычных пользователей. Наша же главная задача минимизировать присутствие в ИТ-инфраструктуре этого самого «одного процента».

Мы не тешим себя иллюзией, что наша защита абсолютно непробиваема. Вредоносное ПО класса «один процент», при всей условности этого названия, будет существовать всегда. Мы лишь стараемся добиться того, чтобы создающие его хакеры несли как можно большие расходы.

Какие же направления атак стали в последнее время наиболее опасными?

Как это и предсказывалось раньше, самыми сложными для противодействия стали взломы ИТ-системы изнутри. Причем, проникновение через инсайдера может быть организовано как путем его подкупа, так и с помощью социального инжиниринга. На самом деле, всегда стоит иметь в виду, что кроме системных уязвимостей существует и человеческий фактор, на который нельзя просто так наложить «заплатку». Вообще этот способ взлома в последнее время получает все большее распространение, так как операционные системы совершенствуются, повышая свою надежность. Поэтому хакерам приходится тратить гораздо больше усилий на преодоление программно-аппаратной защиты с помощью атак через уязвимости «нулевого дня». Естественно возникает желание направить свои усилия и средства на то, чтобы заморочить голову кому-то из сотрудников компании, на которую нацелена атака.

Давайте чуть подробнее остановимся на способах выявления наиболее опасных угроз.

Кроме сигнатур, используемых в традиционных антивирусах, для выявления угроз класса «нулевого дня» мы применяем эвристические методы и анализ поведения. Последнее включает признаки того, что происходит до осуществления атаки, во время взлома и после него. Такая схема является уникальной для каждого из известных нам инцидентов. Поэтому достаточно пополнить систему такими данными, чтобы она могла выявлять не только строго определенных «червей», но и тот код, что ведет себя аналогичным образом, но отличается сигнатурами. И стоит нашей системе выявить новую угрозу по уже имеющимся признакам либо по базе знаний, полученных от наших партнеров, как тут же сведения о ней передаются в «облачную» базу Threat Cloud. После этого все подключенные к ней системы уже готовы блокировать только что выявленный вредоносный код.

Не секрет, что создатели вредоносного кода идут на различные уловки. Можете привести пример?

В последнее время широко развернулась дискуссия вокруг проблемы целенаправленного обхода средств противодействия вторжению. Ставится вопрос о том, что мол, если защитный механизм пытается выявить вредоносный код, то может ли создатель последнего выявить его и, к примеру, обмануть или отключить? В теории, конечно, можно выстаивать все новые и новые уровни такого соперничества. Однако предложенный моей группой способ позволяет избежать ненужного усложнения. И если уж исследуемый в «песочнице» код пытается обойти заготовленную заранее ловушку, то его нужно однозначно рассматривать как вредоносный.

На что в первую очередь стоит обратить внимание ИТ-директору, планирующему внедрить систему безопасности на своем предприятии?

Прежде всего, стоит постоянно следить за новостями в сфере безопасности. Даже если вы потратили массу времени на выбор некоего интегрированного решения, заплатили за него кучу денег и оно уже установлено, нельзя быть уверенным в том, что вскоре не обнаружится очередная уязвимость типа Heartbleed и использующие ее «черви». И если защита будет сконфигурирована так, что позволит получить доступ к этим новым «дырам», считайте, что все затраченные на предыдущих этапах усилия и средства были потрачены впустую. Поэтому, повторюсь, необходимо постоянно следить за происходящим в сфере безопасности и проводить необходимые настройки, исключающие проникновение «червей» нового поколения. Один из возможных рецептов — задать системную политику, в соответствии с которой будет регулярно выполняться пусть даже небольшое изменение системы, причем стоит это делать хотя бы каждый день.

Обычно появление какой-то новой серьезной опасности вызывает в прессе много шума. Так что не стоит переоценивать надежность защиты любой системой и тщательно изучать рекомендации специалистов.

Крупные корпорации конечно же располагают средствами для защиты своих ИТ-инфраструктур, а стоит ли особо переживать по этому поводу небольшим предприятиям?

Малый масштаб бизнеса не является сам по себе гарантией его безопасности. И если малое предприятие появилось на базе какой-то инновационной идеи, то ее нужно защищать ничуть не меньше, чем сейф с золотыми слитками. Ведь если крупное предприятие даже после весьма крупной атаки сможет выжить, то небольшая компания рискует погибнуть из-за потери своих секретов. Да и инвесторы вряд ли захотят в дальнейшем иметь с ней дело, если она не в состоянии обеспечить собственную безопасность. Понятно, что бюджет на ее организацию в малых компаниях невелик, поэтому, прежде всего, владельцу бизнеса стоит оценить, какие именно активы должны быть защищены наиболее надежно.

А насколько корректно для подобных бизнесов прибегать для решения этой задачи к услугам сторонних компаний?

На самом деле, это наиболее разумный выход в ситуации, когда у малого предприятия нет средств для содержания штатного сотрудника, хорошо разбирающегося в вопросах ИТ-безопасности. Тем более, что в небольшой компании нет и серьезной нагрузки для него, так как установка «заплаток» на ОС и рабочие станции, а также конфигурирование сетевого оборудования выполняются не столь часто. А во многих случаях все это может быть сделано и удаленно. Но и не стоит забывать про обучение сотрудников азам обеспечения безопасности, что тоже должен взять на себя приглашенный специалист.

Check Point также решила взяться за предоставление услуги «безопасность как сервис»?

Действительно, на конференции CPX 2014 было объявлено наше новое решение, позволяющее арендовать ресурсы Check Point для проверки трафика. Схема организации этого сервиса такова, что мобильное устройство подключается к одному из наших ЦОД, который выступает в роли интернет-шлюза. При этом используется наше оборудование и программные блейды, поэтому исключена возможность взлома или заражения, например, смартфона, даже когда он находится вне периметра защиты предприятия, при минимальных задержках в передаче данных.

А можно ли рассчитывать крупным компаниям, что ваше «облако» справится с тем объемом трафика, который необходимо обеспечить для непрерывности их бизнеса?

Безусловно, наша система хорошо масштабируется, и нет никаких причин опасаться за то, что она окажется не в состоянии обработать интернет-трафик даже крупной корпорации. Тем более что клиенту не нужно задумываться о том, чтобы докупать дополнительное оборудование при увеличении объема передаваемых данных. А при снижении трафика приобретенное «железо» не будет простаивать, напрасно расходуя электроэнергию.

Следовательно, вопрос лишь в цене этого сервиса?

Мы подготовили ценовые предложения для компаний различных масштабов: от малых предприятий до крупных корпораций.

А в чем главное отличие Check Point от других производителей средств ИТ-безопасности?

Наша компания всецело сфокусирована на обеспечении защиты ИТ-инфраструктуры всеми доступными методами. У нас ведется около 100 исследований в этой сфере, результаты которых находят применение в каждом из выпускаемых Check Point программных блейдов. Причем последние включают все типы защиты. Так моя группа занимается тематикой защиты от взлома. Параллельно работает команда, исследующая проблему утечек информации. Я также хорошо знаком с результатами работы разработчиков «анти-ботов». Да и сделанные нами около пяти лет назад прогнозы по ситуации в области безопасности на 2012-2013 гг. оказались справедливыми примерно на 90%. Это ли не является свидетельством высокого уровня профессионализма наших специалистов?

По какому параметру можно наиболее объективно оценить эффективность работы системы защиты?

Главный показатель качества системы — обеспечиваемый ею уровень распознавания угроз. И этот интегральный показатель сегодня является самым высоким именно в решениях Check Point. Возможно, кто-то возразит мне, что нельзя отрывать этот критерий от стоимости. Я не буду этого оспаривать, так как меня, прежде всего, волнует то, насколько надежно работает защита. А уж соотношение ее стоимости и ценности сберегаемой с ее помощью информации пусть оценивают заказчики. Подчеркну, что не бывает систем, способных закрыть все 100% путей взлома. Всегда будут оставаться пусть совсем крошечные, но лазейки. Поэтому наша главная задача — минимизировать возможность проникновения через них.

Можно ли ожидать, что категория наиболее опасных угроз с нынешнего 1% сократится, скажем, до 0,5%?

На самом деле, название весьма условно. Просто после выявления очередного типа вторжения, наша система становится еще надежнее, но полностью исключить появление новых методов взлома мы просто не в состоянии. Поэтому и говорим лишь о стремлении как можно сильнее усложнить жизнь хакерам.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365