`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Чего ждут от архитектора безопасности

Многие организации в последнее время уделяют особое внимание вопросам кибербезопасности, разыскивая специалистов, обладающих нужной квалификацией.
 
Поскольку киберпреступники продолжают разрабатывать изощренные атаки, а бизнес-лидеры стремятся продвигать вперёд цифровую трансформацию, для успеха организации необходима слаженно работающая команда работающая над задачами безопасности. Вместе эти две тенденции изменили требования к навыкам и способностям, которыми руководствуются директора по безопасности (CISO) и другие руководители, при найме талантливых профессионалов в этой области.
 
Подобно изменениям, происходящим на уровне CISO, который теперь берёт на себя и функции поддержки бизнеса, мы сейчас наблюдаем сдвиг в круге обязанностей тех, кто претендует на должность архитектора безопасности. От этих сотрудников во многом требуется не только умение создать надежную инфраструктуру безопасности, не только правильно реагировать на угрозы, но и по возможности их предугадывать. Как показывает недавнее исследование Fortinet, CISO все больше внимания уделяют кандидатам, которые имеют сбалансированное сочетание навыков.
 
Конкуренция в сфере кибербезопасности чрезвычайно высока из-за дефицита кибер-навыков – проблема, которая выходит за рамки нехватки новых талантов, также включает в себя недостаточность квалификации тех, кто уже работает в этой области. В подготовленном «Отчете о пробелах в навыках архитектора безопасности» представлена ​​информация, необходимая, чтобы свести к минимуму последствия дефицита навыков. Предпринимается попытка предоставить CISO данных и контекста, необходимых для оптимизации процесса набора архитекторов безопасности, с демонстрацией того, как претенденты должны адаптироваться к меняющимся требованиям бизнеса.
 
Поскольку CISO стремятся набирать свои группы безопасности из профессионалов, способных противостоять современными кибератаками и защищать проводимую цифровую трансформацию, они ищут такую совокупность качеств претендентов, в которой стратегия и аналитика дополняют традиционные навыки проектирования и конфигурирования. Хотя эти требования могут варьироваться в зависимости от конкретных потребностей разных организаций, есть несколько тенденций, которые стоят упоминания.
 
Необходимо, чтобы кандидаты разбирались в управлении рисками и в стандартах безопасности, а также осознавали бизнес-цели и то, как они будут воплощаться в практике безопасности. Эти типы навыков упоминались в объявлениях о найме архитектора безопасности чаще, чем тактические способности, такие как шифрование, брандмауэры или средства управления безопасностью.
 
Это свидетельствует о необходимости сосредоточиться на сочетании безопасности с поддержкой бизнес-процессов. Тем не менее, не следует думать, что CISO вообще перестали интересовать технические навыки и умение работать с конкретными системами.
 
К числу обязательных умений, которые организации чаще всего ищут в соискателях должности архитектора безопасности, относятся:
·       Архитектура безопасности
·       Управление рисками
·       Интеграция
·       Стандарты безопасности
·       Шифрование
·       Брандмауэры
·       Средства управление безопасностью
 
Поскольку команды безопасности играют все более важную роль в поддержке бизнеса, CISO также ищут кандидатов, демонстрирующих владение навыками, необходимыми для совместной работы и выработки стратегий для различных направлений бизнеса. Собранные данные показывают, что так называемые мягкие навыки, на которые ссылаются в объявлениях о вакансиях архитектора безопасности и в ответных резюме, как правило, делятся на четыре категории:
·       Аналитические: Анализ, исследование и решение проблем
·       Лидерские: Планирование, наставление, руководство
·       Личностные: Целостность, сосредоточенность
·       Коммуникационные/межличностные: Межличностное общение, работа в коллективе, коммуникабельность
 
Исследование показывает, что CISO сейчас ищут кандидатов, способных легко переключаться между стратегическими и тактическими задачами. Например, планировать шаги по ликвидации последствий инцидента безопасности, но не игнорировать и важных насущных стратегических задач, таких как оценка рисков или выработка безопасных подходов к облачному внедрению.
 
В дополнение к обозначенным выше навыкам, есть несколько других квалификаций, которые учитываются при оценке кандидатов на сегодняшние должности архитектора безопасности. Двумя из них являются образование/сертификация и карьера.
 
Как правило, организации настаивают, чтобы архитекторы безопасности имели степень бакалавра, но не требуют дальнейшего высшего образования. Работодатели также часто запрашивают в среднем два сертификата, применимые к потребностям конкретных должностей.
 
Опыт работы является еще одним фактором, учитываемым в процессе найма. Многие претенденты на должности архитектора безопасности находятся в середине своей карьеры, проработав до этого, в среднем, 18,8 лет. Данные также свидетельствуют, что проблемой остаётся частая смена места работы. Переманивание персонала приобретает всё больший масштаб в ответ на растущую нехватку навыков: средний кандидат за последние два года сменил 1,8 рабочих мест. Это показывает, что CISO должны подходить стратегически к проблеме удержания кадров в такой высоко востребованной отрасли.
 
В процессе анализа тысяч объявлений о вакансиях системного архитектора и ответных резюме обнаружились расхождения между навыками, которые ищут CISO, и тем, как потенциальные кандидаты рекламируют себя в резюме и рекомендательных письмах. 
 
Вместо того, чтобы фокусироваться на стратегических навыках, таких как управление рисками, кандидаты, как правило, делают акцент только на знании ими конкретных технологий и систем, например, SQL, Oracle или VPN. Кроме того, соискатели часто упоминают о владении отраслевыми стандартами, такими как ISO и NIST, но не предоставляют доказательств стратегий из применения в своей работе. Фактически, стратегические навыки включает в свои резюме менее половины претендентов.
 
Хотя многие кандидаты подчеркивают свои качества руководителя, они часто упускают другие важные навыки. Включая в свои резюме лидерство и планирование, они обычно думают, что именно эти характеристики потенциальные работодатели хотят видеть больше всего. Однако помимо них большинство нанимателей часто включает аналитические и коммуникативные навыки в число главных требований в своих списках вакансий.
 
Роли в сфере безопасности развиваются, переходя от тактических к стратегическим позициям участия в бизнес-процессе. Это означает, что CISO, желающие заполнить эти должности, а также соискатели работы, должны скорректировать то, как они представляют свои требования и квалификацию.
 
Претендующим на должность архитектора безопасности следует обязательно включить в свои резюме мягкие навыки. Когда же дело доходит до демонстрации наборов обязательных навыков, они должны упоминать и стратегические способности в дополнение к тактическим навыкам в конкретных системах.  
 
Аналогично, CISO должны использовать в перечнях вакансий терминологию, точно характеризующую востребованные ими навыки. Это обеспечит привлечение таких кандидатов, которые смогут удовлетворить стратегическим, аналитическим и коммуникационным запросам.
 
Следование этим правилам поможет свести к минимуму нестыковки в навыках, позволив квалифицированным специалистам по безопасности демонстрировать именно тот опыт, которые требуется организациям, желающим усовершенствовать свою безопасность.

О передовых практиках защиты многооблачных сред

Forrester прогнозирует, что мировой рынок публичных облаков увеличится до 178 млрд долл. в этом году по сравнению со 146 млрд долл. в 2017 г. Фирма также предсказала, что к концу 2018 года более половины глобальных предприятий в своей цифровой трансформации будут полагаться как минимум на одну публичную облачную платформу. Не вызывает сомнений, что будущее ИТ связано с многооблачными и гибридными решениями.

Есть много причин, по которыми всё больше организаций выбирают вариант с несколькими облаками. Крупные предприятия могут использовать Office 365 и Salesforce.com, а небольшой бизнес — Google Apps со всеми прилагающимися подключаемыми модулями. Широко распространены и другие предложения Software-as-a-Service (SaaS) и Infrastructure-as-a-Service (IaaS). Простота использования и привлекательная модель потребления, предлагаемая облачными провайдерами, сделали принятие этого варианта практически безальтернативным с технологической и деловой точек зрения.

Большинство из тех, кто выбирает многооблачный подход, разделяются на два лагеря. Один состоит из полностью облачных организаций — стартапов и «рожденных в облаке» предприятий, таких как Netflix. Эти организации используют сервисы многих облачных провайдеров, они живут в облаке и остаются там. Им требуется разработать разные подходы к безопасности для каждого облачного провайдера.

Традиционные организации, которые переносят некоторые цифровые активы в облако, но сами не являются облачными, образуют другой лагерь. В этом случае облако содержит только часть их данных. Такие компании обычно выбирают, какие варианты SaaS и IaaS использовать, руководствуясь деловыми соображениями, как правило эти решения принимаются на уровне бизнес-подразделений и зачастую без учета возможных последствий для безопасности. Это ставит ИТ-отделы и команды безопасности перед фактом, вынуждая их решать вопросы обеспечения безопасности задним числом.

Таким образом, для каждой из этих групп облачная безопасность имеет собственные особенности и проблемы.

Отдельные и общие заботы

Для облачно-нативного лагеря фактором, определяющим какую технологию безопасности использовать, является возможность её интеграции со средой автоматизации, функциями DevOps и операционными моделями. Команды DevOps и SecDevOps заинтересованы в том, чтобы иметь возможность автоматизировать и оптимизировать операции безопасности с помощью общих методологий непрерывной интеграции, которые используют эти организации. Они хотят, чтобы меры безопасности не мешали им внедрять новые технологии, выпускать ПО и его версии для своих клиентов.

Перед этой группой стоит сложная задача: найти единую операционную модель и оптимальную политику безопасности, которые могут быть применены ко многим различным облачным инфраструктурам и приложениям, не обязательно обладающими одинаковыми операционными возможностями управления безопасностью. Как результат, команды SecDevOps сталкиваются с проблемой обеспечения единообразия безопасности, включая оптимизацию операций безопасности для платформ любого типа.

Им также требуется надежный, унифицированный набор согласованных средств управления безопасностью. Чтобы достичь этого, организация должна найти способ абстрагировать службы безопасности, предлагаемые различными платформами, с получением единого набора инструментов, пригодного для применения ко всей инфраструктуре.

Не желая попадать в зависимость от отдельных облачных провайдеров, эти организации ищут несколько источников для построения своей облачной инфраструктуры. Это лишь добавляет сложности и усугубляет проблему, делая ее ещё более трудозатратной.

У более традиционной группы предприятий имеются свои сложности. Им необходимо обеспечивать равную степень безопасности для локальной и облачной инфраструктур. «Теневые ИТ» представляют серьёзную проблему для этой группы, так как руководители организации могут увлечься возможностями нового приложения и забыть предупредить команду безопасности, что они начали его использовать. Поэтому важно побыстрее интегрировать имеющиеся средства управления безопасностью в различные платформы, чтобы каждый раз заново не изобретать велосипед.

В этой группе меньше сотрудников DevOps и более традиционных ИТ-специалистов, которым нужны несложные приложения с графическим интерфейсом для управления единой инфраструктурой. Сотрудники службы безопасности, как правило, сильно перегружены постоянными изменениями и необходимостью обеспечивать их безопасность и соответствие требованиям. Наряду с текущими внутренними теневыми ИТ-инициативами команда занимается и более плановым наращивание инфраструктуры облачной безопасности, чтобы иметь возможность быстро откликаться на запросы различных бизнес-единиц. В этих случаях глобальное размещение и эластичная природа облака становятся важными, поскольку вы хотите получать такие сервисы в любой точке земного шара и в любое время, и платить только за те услуги, которые вы используете.

В конечном итоге организациям обоих типов необходимо внедрить унифицированную инфраструктуру безопасности в нескольких облачных инфраструктурах. Для некоторых это подразумевает лишь сочетание публичных облаков, а для других — комбинацию публичных и частных облаков.

Рекомендации по безопасности в облаке

Независимо от конкретных различий в безопасности, обе группы могут извлечь выгоду из внедрения следующих передовых практик защиты многооблачных сред:

  • Автоматизация: Возможность автоматизировать безопасность и интегрировать автоматизированные процессы в цикл разработки обеспечит соответствие требованиям безопасности без каких-либо дополнительных усилий и с сохранением максимальной скорости разработки приложений.

  • Абстракция: Политику безопасности нужно абстрагировать в единый язык централизованного управления, так чтобы, независимо от базовых технологий — будь то частный ЦОД или инфраструктура публичного облака — компания реализовала безопасность единым и стандартным образом. Межсетевые экраны должны обеспечивать логическую абстракцию для того, чтобы поддерживать физическую и виртуальную сегментацию в частных и общедоступных облаках.

  • Гибкость: По мере роста приложения или внедрения большего их количества, расти и расширяться должна также безопасность. И организации должны иметь возможность платить только за ту степень защиты, которую они используют.

  • Осведомленность о приложениях. Для того, чтобы сохранять актуальность для разных приложений, система безопасности должна учитывать их специфику. Тогда она будет эффективна для SaaS и приложений для внутреннего использования, базирующихся на различных инфраструктурах и сервисах. Состояние безопасности улучшается если возможность применения различных инструментов, наиболее подходящих для защиты конкретных приложений, дополняет согласованная политика безопасности для всех инфраструктур.

  • Видимость: Поскольку инциденты могут возникать в любом месте поверхности атаки, важным требованием является видимость всей гибридной, многооблачной инфраструктуры. Коррелированное представление угроз и рисков для всей инфраструктуры становится существенным преимуществом. С переходом на «единое окно обзора» организации получают всеобъемлющую перспективу многочисленных частных и публичных облаков, а также приложений SaaS.

Прогнозы: ИИ-фаззинг и отравление машинного обучения

Для многих преступных организаций методы нападения оцениваются не только с точки зрения эффективности, но накладных расходов, необходимых для их разработки, модификации и проведения. Например, чтобы добиться максимального дохода, они отвечают на цифровую трансформацию беря на вооружение популярные методологии, такие как гибкая (Agile) разработка, позволяющие более эффективно производить и совершенствовать программное обеспечение для атак, а также уменьшать риск и увеличивать скрытность для повышения рентабельности.

С учётом этого напрашивается защитная реакция — внести изменения в людей, процессы и технологии, влияющие на экономическую модель атакующего. Например, внедрение новых технологий и стратегий, таких как машинное обучение и автоматизация для укрепления поверхности атаки путем обновления и исправления систем или выявления угроз, вынуждает преступников менять методы атаки и ускорять собственные усилия в области разработки.

Атаки будут становиться умнее

Мы прогнозируем, что в стремлении адаптироваться ко всё более широкому использованию их целями машинного обучения и автоматизации, сообщество киберпреступников, скорее всего, будут руководствоваться следующими стратегииями, которые нуждаются в отслеживании всей индустрией кибербезопасности.

Прогноз: использование фаззинга для выявления уязвимостей нулевого дня

Фаззинг

Фаззинг (fuzzing) традиционно представляет собой сложную технику, применяемую в лабораторных средах профессиональными исследователями угроз для обнаружения уязвимостей в аппаратных и программных интерфейсах и приложениях. Они делают это, вводя неверные, неожиданные или полуслучайные данные в интерфейс или программу, а затем отслеживают такие события, как сбои, недокументированные переходы к процедурам отладки, неудачные подтверждения кода и потенциальные утечки памяти.

Одна из причин, почему преступники так редко используют фаззинг — потому что это очень трудно реализовать. Крайне мало людей обладают знаниями, необходимыми для разработки и запуска эффективных инструментов фаззинга, именно поэтому их использование, как правило, ограничивается простыми вещами, такими как атаки DDoS, и поэтому же обнаружение и использование эксплойтов нулевого дня (от которых ещё не создано защиты) самими киберпреступниками имеет низкую вероятность.

Тем не менее, вполне вероятно, что в коммерческом ПО и операционных системах имеется бесчисленное количество готовых к вредоносному использованию уязвимостей, которые можно было бы обнаружить с помощью технологий фаззинга, и для их открытия просто не хватает специализированных инструментов фаззинга или квалифицированных разработчиков.

AIF — фаззинг с применением искусственного интеллекта

Искусственный интеллект (ИИ) изменит это. Он уже начинает использоваться для решения проблемы обнаружения и использования программных ошибок.

Прогноз: ИИ-фаззинг

Применение моделей ИИ и машинного обучения позволит фаззингу стать более эффективным. Преступники смогут разрабатывать и тренировать фаззинговые программы для автоматизации и ускорения обнаружения атак нулевого дня. В конечном счете, таким инструментам достаточно будет указать на цель, и они автоматически исследуют её на эксплойты нулевого дня. Я называю этот подход Artificial Intelligence Fuzzing (AIF) или фаззинг с искусственным интеллектом.

AIF будет включать в себя две фазы машинного обучения, Discovery и Exploit. Во время открытия инструмент AIF узнает о функциях и требованиях ПО, на которое он нацелен, включая шаблоны, используемые тем для структурированных данных. Затем, на этапе эксплойта, он начнет вводить в это ПО преднамеренно скомпонованные структурированные данные, отслеживать результаты, использовать машинное обучение для уточнения атаки и в конечном итоге приводить программу к сбою, тем самым одновременно обнаруживая уязвимость и эксплойт.

Этот метод принудительного машинного обучения, осуществляемого под контролем опытного хакера, может воспроизводиться неоднократно, позволяя преступнику вести непрерывные комбинированные атаки, ставя обнаружение и использование уязвимостей нулевого дня на поток. И в среде, где возможно бесконечное число атак нулевого дня, даже передовые средства защиты, такие как песочница, могут быть быстро преодолены.

Влияние AIF на экономику киберпреступлений

Рост количества и многообразия доступных уязвимостей и эксплойтов, в том числе возможностей быстро производить эксплойты нулевого дня и даже предоставлять сервисы по их добыче (Zero-Day Mining-as-a-Service), может радикально изменить типы и расценки услуг, доступных в Даркнете. Zero-Day MaaS полностью изменит подход организаций к безопасности, поскольку невозможно предвидеть, где находятся эти уязвимости и как правильно от них защищаться, особенно используя те устаревшие отдельностоящие средства безопасности, которые сегодня развёрнуты в сетях большинства организаций.

Прогноз: Роевой сервис (Swarm-as-a-Service)

Впечатляющие успехи в области роевых интеллекта и технологий приближают время, когда они станут применяться как в атаках, так и в средствах кибер-безопасности. Например, представленная недавно в Гонконге новая методология использует естественное поведение роя для управления кластерами нанороботов. Эти микро-рои можно заставить выполнять точные структурные манёвры с высокой степенью реконфигурации, такие как расширение, сжатие, рассеивание и слияние.

Прогноз: Роевой сервис

Эта же технология может быть применена для создания больших роёв интеллектуальных ботов, способных работать вместе и автономно. Они не только поднимут планку технологий, необходимых для защиты организаций, но, как и Zero-Day Mining, окажут влияние на основополагающие экономические модели, используемые сообществом киберпреступников.

В настоящее время криминальная экосистема сильно ориентирована на людей. Профессиональные хакеры-наёмники за плату создают заказные эксплойты, и даже прогрессивные новшества, такие как Ransomware-as-a-Service, требуют криминальных инженеров для таких задач, как создание и тестирование эксплойтов или управление внутренними (back-end) серверами C2. Но когда речь заходит о предоставлении автономного, самообучающегося Swarms-as-a-Service, объём непосредственного взаимодействия между хакером-потребителем и подпольным предпринимателем резко падает.

Меню «A la Carte»

Способность подразделять рой на разные задачи для достижения желаемого результата означает, что ресурсы в роевой сети могут быть распределены или перераспределены для решения конкретных проблем, возникающих в цепочке атак. Преступники-потребители могут предварительно выбирать для атак различные типы роёв, такие как: предварительно запрограммированные рои, которые используют машинное обучение, чтобы проникать в устройство или в сеть; те, которые применяют AIF для выявления точек эксплойтов Zero-Day; разработанные для распространения по сети в поперечном направлении и расширения поверхности атаки; рои, которые могут уклоняться от обнаружения и/или собирать и фильтровать конкретные целевые данные; рои, предназначенные для пересечения кибер-физического разрыва и контроля не только сетевых, но и физических ресурсов атакуемой цели.

Прогноз: отравление машинного обучения

Машинное обучение является одним из наиболее перспективных инструментов в наборе средств безопасности. Устройства и системы могут быть натренированы для автономного выполнения определенных задач, таких как принятие эффективных мер противодействия обнаруженной атаке. Машинное обучение также может эффективно определять типичное поведение, а затем применять поведенческую аналитику для выявления сложных угроз, которые охватывают различные среды или используют стратегии уклонения. Утомительные ручные задачи, такие как отслеживание устройств с учётом их уязвимости для современных трендов угроз и автоматическая установка патчей или обновлений, также могут быть легко переданы надлежащим образом обученной системе.

Прогноз: отравление систем машинного обучения

Этот процесс также может быть обоюдоострым мечом. Вместо того, чтобы пытаться передумать или превзойти по производительности систему, улучшенную с помощью машинного обучения, может быть проще просто атаковать сам процесс машинного обучения. Методология и инструменты, используемые для обучения устройства или системы выполнению конкретной задачи, также являются их самой большой ахиллесовой пятой. Например, если злоумышленник может взломать систему машинного обучения и ввести инструкции, она может обучить устройства или системы не устанавливать патчи или обновления на конкретную машину, чтобы та оставалась уязвимой для атаки или игнорировал конкретные типы приложений или поведения, либо игнорировать некоторые типы приложений или поведения, или не регистрировать определенный трафик, чтобы избежать обнаружения.

Модели машинного обучения регулярно используют данные из потенциально недостоверных источников, к примеру собранные краудсорсингом или из соцсетей, а также информацию, сгенерированную пользователями, такую как рейтинги удовлетворённости, истории покупок или веб-трафик. Благодаря этому, киберпреступники могут относительно просто «отравить» тренировочные наборы данных, подсунув туда вредоносные выборки, чтобы добиться игнорирования угроз или даже внести троянцев или создать тайный вход. Для предотвращения этого следует принять экстраординарные меры предосторожности и обеспечить тщательные контроль и защиту всех ресурсов и протоколов машинного обучения.

Отвечая новой стратегией защиты

Для решения проблем, которые мы видим на горизонте, сообщество кибербезопасности должно изменить свои традиционные подходы к безопасности. Вероятно самой эффективной стратегией, будет та, которая нацелена на экономическую модель преступников. Например, если поставить их перед перспективой дорогостоящего и трудоёмкого перестроения своих атак, это может заставить их искать более легкую добычу.

Прогноз: обман

Стратегии обмана были известны и прежде, но ключевое значение они приобрели лишь недавно — из-за усложнения атак, которым удаётся легко преодолевать традиционную защиту периметра.

Основная идея состоит в том, чтобы создать слишком много вариантов выбора для злоумышленника, большинство из которых — тупиковые, чтобы заставить их замедлиться и потенциально позволить себя обнаружить. Если вы можете генерировать соблазнительный трафик из большого количества баз данных, и только одна из них является настоящей, злоумышленникам придется замедлиться, чтобы проверить каждый источник данных, а может быть даже атаковать каждую опцию. Но что если эти тупиковые варианты не только содержат интересные данные, но также реализованы в среде, где неожиданный трафик сразу становится заметным, не только увеличивая способность защитника обнаруживать захватчика, даже использующего технологию уклонения, но также запускает автоматический ответ, выбрасывающий нападающих из сети. Такая стратегия увеличивает как риск обнаружения, так и затраты на проведение атаки.

Этот подход будет расшатывать бизнес-модель киберпреступников, в которой цели выбираются руководствуясь стратегиями риска/вознаграждения и возврата инвестиций. Добавление уровней сложности, требующих глубокого, практического анализа, означает, что стоимость запуска атаки внезапно возрастает. Большинство киберпреступников склонны идти по пути наименьшего сопротивления и наибольшей выгоды, кроме того, они в большинстве своём очень ленивы, поэтому, скорее всего, они станут искать более доступную сеть для приложения своих усилий.

Прогноз: объединённое открытое сотрудничество

Хотя прогресс в технологиях безопасности позволяет некоторым защитникам обнаруживать всё более сложные атаки, подавляющее большинство внедрённых решений безопасности по-прежнему полагаются на сверку сигнатур или другие простые методы детектирования. Из-за этого, один из самых простых способов для кибер-преступника получить максимальный эффект от своих инвестиций, это внести незначительные изменения в существующее решение для атаки. Даже элементарная смена Ip-адреса может позволить вредоносной программе избежать внимания традиционных средств защиты.

Одним из наиболее распространенных способов, как оставаться в курсе таких изменений, является активный обмен информацией об угрозах. Новые открытые инициативы по совместной работе между исследовательскими организациями по угрозам, производителями безопасности и правоохранительными органами и другими правительственными учреждениями повысят эффективность, своевременность и глубину информации об угрозах. Ширится сотрудничество в таких проектах, как Cyber Threat Alliance, которые не только осуществляют обмен данными между исследователями, но и публикуют результаты исследований в виде сценариев атак, раскрывающих тактику злоумышленников.

Преступники будут вынуждены реагировать на это, внося всё более сложные и дорогостоящие модификации в свои инструменты, программы и решения для атак. И по мере расширения этих форумов Объединённого открытого сотрудничества, организации вскоре смогут применять поведенческую аналитику к «живым» потокам данных и прогнозировать будущие действия вредоносных программ, делая цифровой рынок более безопасным для всех.

Заключение

Столкнувшись с парадигмой киберугроз организации должны переосмыслить свои стратегии безопасности с точки зрения того, как воздействовать на экономические основы преступного сообщества. Вместо того, чтобы вовлекаться в непрерывную гонку вооружений, организации смогут задействовать потенциал автоматизации для предвосхищения угроз и бить по экономическим мотивациям киберпреступников, заставляя их вернуться к чертежной доске.

Однако разрушение криминальной экономической модели может быть достигнуто только путем плотной интеграции систем безопасности в единую интегрированную структуру, которая может свободно обмениваться информацией, выполнять логистический и поведенческий анализ для выявления шаблонов атак, а затем включает эти знания в автоматизированную систему которая может не только реагировать на атаки скоординированным образом, но фактически начинают предвидеть преступные намерения и направления атак.

Скорость, интеграция и автоматизация - ключевые принципы кибербезопасности

Очевидно, что сегодня организациям необходимо пересмотреть свои стратегии, чтобы повысить эффективность прогнозирования угроз. Вместо того, чтобы участвовать в бесконечной гонке вооружений, компаниям необходимо научиться использовать технологии автоматизации и искусственный интеллект, чтобы сократить временные промежутки от вторжения до обнаружения и от обнаружения до устранения угрозы.

Для решения этой задачи необходимо объединить все компоненты защиты в единую адаптивную систему сетевой безопасности, в которой происходит динамический обмен данными об угрозах. Такой подход обеспечивает комплексную защиту и отслеживание каждого сегмента сети — от устройств IoT до многооблачных сред

В недавно обнародованных прогнозах, составленных специалистами FortiGuard Labs, отмечается ряд наблюдений в отношении того, что киберпреступники будут использовать в ближайшем будущем, и что необходимо предпринять, чтобы защититься от предстоящих атак. Итак, основные выводы, изложенные в отчете.

Кибератаки станут более интеллектуальными и изощренными

Многие преступные организации оценивают технологии атак не только с точки зрения их эффективности, но и учитывают затраты на их разработку, модификацию и реализацию. Таким образом, для остановки некоторых атак достаточно сменить сотрудника, модернизировать процессы и технологии. Одним из решений для организаций является внедрение новых стратегий и технологий, таких как машинное обучение и автоматизация, для выполнения утомительных и трудоемких задач, которые обычно требуют высокой степени контроля и участия человека. Такие новые стратегии защиты могут повлиять на стратегии киберпреступников, заставляя их модернизировать методы атак и прилагать больше усилий для развития. Учитывая все более широкое использование машинного обучения и автоматизации, мы можем заявлять, что киберпреступное сообщество, скорее всего, будет придерживаться описанных ниже стратегий. И специалистам в сфере кибербезопасности также придется им следовать.

  • Фаззинг искусственного интеллекта (AIF) и уязвимости. Традиционный фаззинг представляет собой сложную технологию, которая используется в лабораторных условиях специалистами по исследованию угроз для обнаружения уязвимостей в аппаратных и программных интерфейсах и приложениях. Они вводят недопустимые, неожиданные или полупроизвольные данные в интерфейс или программу, а затем отслеживают такие события, как сбои, незадокументированные запуски процедуры отладки, ошибки утверждения кода и потенциальные утечки памяти. Но так как к этому процессу применяются модели машинного обучения, мы прогнозируем, что этот метод станет более эффективным и адаптированным. Поскольку киберпреступники начинают использовать машинное обучение для разработки автоматизированных программ фаззинга, они смогут ускорить процесс обнаружения уязвимостей «нулевого дня», что приведет к увеличению атак «нулевого дня», нацеленных на различные программы и платформы.
  • Обнаружение уязвимостей «нулевого дня» с помощью AIF. Как только алгоритм AIF попадет в систему, его можно нацелить на код в контролируемой среде для обнаружения эксплойтов «нулевого дня». Таким образом можно значительно повысить скорость внедрения атак «нулевого дня». Как только концепция «обнаружение уязвимостей нулевого дня как услуга» станет доступна, организациям придется кардинально изменить свой подход к безопасности, поскольку больше не будет способов предвидеть, где могут произойти такие атаки и как правильно от них защищаться. Больше всего проблем возникнет с изолированными или устаревшими средствами безопасности, которые используются во многих организациях.
  • «Цена» уязвимостей «нулевого дня». Цена эксплойтов «нулевого дня» всегда была довольно высокой, прежде всего из-за времени, усилий и навыков, необходимых для их обнаружения. Но по мере развития технологии ИИ такие эксплойты перестают быть крайне редким явлением и превращаются в предмет торговли. Мы уже наблюдали коммерциализацию более традиционных эксплойтов, таких как программы-вымогатели и ботнеты, в результате чего возможности многих средств безопасности оказались ограничены. Быстрый рост количества и разнообразия доступных уязвимостей и эксплойтов, включая возможность быстрого обнаружения эксплойтов «нулевого дня» и предоставление их в качестве услуги, может радикально повлиять на выбор и стоимость услуг, доступных в глубоком Интернете.
  • Роевая сеть как услуга. Значительное развитие изощренных атак на базе технологии роевого интеллекта приближает нас к реальности больших групп ботов, которые называются «роевыми» сетями. Это новое поколение угроз будет использоваться для создания огромных роевых сетей, состоящих из интеллектуальных ботов, которые могут работать совместно и автономно. Такие роевые сети не только повысят требования к технологиям корпоративной защиты, но, как и в случае с обнаружением угроз «нулевого дня», окажут существенное влияние на базовую бизнес-модель киберпреступников. В итоге развитие технологий обнаружения эксплойтов и методологий атак приведет к кардинальному изменению бизнес-моделей, используемых киберпреступным сообществом. В настоящее время экосистема киберпреступности ориентирована главным образом на людей. За определенную плату профессиональные хакеры разрабатывают специальные эксплойты и даже новые модели, например «программы-вымогатели как услуга». Для этого хакерам требуется поддерживать различные ресурсы, в том числе выполнять разработку и тестирование эксплойтов, а также управлять внутренними серверами C2. Но при использовании автономных самообучающихся моделей «роевая сеть как услуга» объем непосредственного взаимодействия между заказчиком и хакером-разработчиком значительно уменьшается.
  • Роевые сети на заказ. Возможность разделять роевую сеть на отдельные сегменты, выполняющие разные задачи, для достижения желаемого результата очень похожа на то, как мир переходил к виртуализации. В виртуализированных сетях с помощью ресурсов можно ускорять и замедлять работу виртуальных машин, ориентируясь исключительно на необходимость решения конкретных проблем, например, связанных с пропускной способностью. Аналогичным образом в роевой сети можно распределять или перераспределять ресурсы для решения конкретных проблем, возникающих в цепочке атак. Хакеры-разработчики предварительно программируют роевую сеть с помощью различных инструментов анализа и эксплойтов, а также используют самообучающиеся протоколы, которые обеспечивают согласованную работу всех компонентов для оптимизации атаки на протоколы. В результате, приобрести атаку для киберпреступников становится так же просто, как выбрать блюдо в меню.
  • «Отравление» машинного обучения. Машинное обучение является одним из наиболее перспективных инструментов в наборе решений безопасности. Устройства защиты и системы безопасности могут обучаться для автономного выполнения конкретных задач, таких как определение базового поведения, анализ поведения для выявления изощренных угроз, а также отслеживание устройств и установка исправлений. К сожалению, этот процесс также может быть использован киберпреступниками. С помощью технологии машинного обучения киберпреступники смогут обучать устройства или системы не применять исправления и обновления к указанному устройству, игнорировать отдельные типы приложений или поведения, а также не регистрировать определенный трафик для обхода механизмов обнаружения. Это значительно повлияет на будущее машинного обучения и развитие технологии ИИ.

Системы защиты станут более сложными

Для противодействия развитию подобных технологий организациям придется продолжать усложнять жизнь киберпреступникам. Ниже описаны стратегии безопасности, каждая из которых окажет влияние на деятельность киберпреступных организаций, заставив их менять тактику, модифицировать атаки и разрабатывать новые способы оценки возможностей. Стоимость атак будет расти, в результате чего хакерам-разработчикам придется использовать больше ресурсов для получения того же результата либо искать более доступные сети.

  • Продвинутые тактики введения злоумышленников в заблуждение. Интеграция технологий обмана в стратегии безопасности, которые используют вариации сетей, созданные на основе ложной информации, заставит злоумышленников постоянно проверять свои данные об угрозах, тратить время и ресурсы на обнаружение ложных срабатываний и перепроверять, действительно ли сетевые ресурсы, которые они отслеживают, являются подлинными. А поскольку любые атаки на ложные сетевые ресурсы будут мгновенно обнаружены с автоматическим применением мер противодействия, злоумышленникам необходимо соблюдать предельную осторожность даже при выполнении таких базовых тактик как сканирование сети.
  • Всеобщее открытое сотрудничество. Один из самых простых способов получить максимальную выгоду от вложений в существующую атаку и зачастую обойти механизмы обнаружения — это просто внести незначительные изменения, например изменить IP-адрес. Эффективным способом, позволяющим отследить такие изменения, является активный обмен данными об угрозах. Благодаря постоянному обновлению данных об угрозах поставщики решений безопасности и их клиенты всегда будут в курсе последних угроз. Открытое сотрудничество между организациями, занимающимися исследованием угроз, отраслевыми альянсами, производителями решений безопасности и правоохранительными органами поможет существенно сократить время обнаружения новых угроз путем выявления тактики, используемой злоумышленниками. Благодаря анализу поведения потоков данных в режиме реального времени, осуществляемому в рамках открытого сотрудничества, средства защиты вместо того, чтобы только реагировать, смогут прогнозировать поведение вредоносного ПО и, таким образом, обходить текущую модель атаки. В результате, киберпреступники не смогут повторно использовать существующие вредоносные программы.

У стратегии защиты на основе автоматизации или машинного обучения нет будущего без комплексной системы сбора, обработки и применения данных об угрозах, использующей сложный механизм интеллектуального реагирования. Чтобы противостоять все более изощренным угрозам, организациям необходимо объединить все средства защиты в адаптивную систему сетевой безопасности, которая обеспечивает оперативное обнаружение угроз и принятие мер реагирования с увеличением охвата атак. Автоматизация сбора данных о продвинутых угрозах и обмена ими между всеми компонентами системы безопасности обеспечивает быстрое выявление и реагирование на угрозы. Интеграция специализированных решений, развернутых в распределенной сети, и стратегическая сегментация, существенно повышают эффективность борьбы с атаками, которые становятся все более интеллектуальными и автоматическими.

С приближением праздников преобладающими становятся мобильные атаки

В глобальном отчете Threat Landscape Report за третий квартал 2018 г. проанализированы данные об угрозах, собранные миллионами устройств Fortinet, развернутых по всему миру.

Одной из уникальных особенностей этого отчета является то, что мы проводим анализ ландшафта угроз регулярно, а не в годовом или полугодовом форматах. Это позволяет нам глубже вникать в то, что происходит с эксплойтами, вредоносными программами и бот-нетами, чтобы предоставлять профессионалам в области кибербезопасности своевременную информацию о проблемах, которые должны интересовать их прямо сейчас, а не о давно прошедших событиях.

Это также даёт возможность осуществлять текущий анализ тенденций. Подобно любой другой стратегии защиты, выявление закономерностей помогает специалистам кибербезопасности опережать угрозы, а не просто реагировать на них. Разумеется, даже ежеквартального отчёта недостаточно. Наша FortiGuard Labs Weekly Threat Brief предоставляет своевременные анализ и выводы, которые помогают организациям быть в курсе наиболее актуальных угроз и тенденций и отвечать на них.

Итак, какие же тенденции выявил опбубликованный отчет.

Криптовзлом создаёт плацдарм для угроз

За последний год или около того мы видели, как криптовзлом растет, становясь главной проблемой безопасности. Это нашло отражение в том факте, что за 2018 г. количество платформ, используемых для добычи данных, подскочило на 38%. С ещё большей тревогой люди начинают осознавать, что криптовзлом не ограничивается утечкой системных производительности и ресурсов. Мы наблюдаем распространение вариантов криптовзлома, которые отключают существующие решения безопасности, такие как антивирус, открывают дополнительные порты связи на развернутых брандмауэрах и добавляют учетные записи администратора, позволяющие злоумышленникам возвращаться для распространения новых вредоносных программ. Таким образом, кибервзлом не только крадёт циклы процессора, но и создаёт плацдарм для дополнительных эксплойтов.

Мобильные устройства – растущая угроза

Угрозы со стороны мобильных устройств оказывают всё большее влияние на сетевую безопасность. За 3-й квартал более четверти организаций подверглись атаке мобильных вредоносных программ. ОС Android для мобильных устройств является главной виновницей с большим отрывом от остальных. Для сравнения, только 0,0003% угроз можно было связать с Apple iOS. К Android фактически отношение имели 14% предупреждений о вредоносном ПО в этом прошедшем квартале. И это не только предупреждения мобильных устройств, это 14% всех вредоносных программ. Без стратегии решения проблем мобильных угроз руководители служб безопасности, особенно те, кто проводит открытую политику BYOD, делают свои организации чрезвычайно уязвимыми, поскольку мобильные устройства все чаще становятся средством доступа к корпоративным активам.

Ботнеты сохраняются дольше, чем когда-либо

Несмотря на то, что количество инфекций ботнетов существенно не возросло за 3-й квартал, число дней, в течение которых они были способны оставаться внутри инфицированной организации увеличилось на 34%, с 7,6 до 10,2 дней. Это показывает, что ботнеты становятся более сложными, трудными для обнаружения и удаления. Но в этом увеличении также есть вина многих организаций, которые не могли ввести у себя хорошую кибер-гигиену, включая установку патчей и обновлений на уязвимые устройства. Наряду с внедрением лучших практик безопасности, организациям необходимы инструменты, чтобы видеть, сегментировать и отслеживать каждое устройство сети, включая оборудование IoT.

Шифрование данных установило новую планку

Наш анализ показал, что зашифрованный трафик теперь впервые составляет более 72% всего сетевого трафика. За год его доля увеличилась почти на 20%, с 55% в 3-м квартале 2017 г.
Хотя многие считают рост шифрования положительным для безопасности, более высокие степени шифрования также создают серьезные проблемы для мониторинга и обнаружения угроз. Во многих кибератаках шифрование используется как прикрытие, поскольку известно, что критические ограничения производительности, присущие почти всему оборудованию для межсетевых экранов и систем обнаружения вторжений (IPS), продолжают ограничивать способность организации проверять зашифрованные данные без серьезного влияния на производительность сети. В среднем, спад производительности при глубокой проверке пакетов составляет 70%, что делает такой контроль почти бесполезным в сетях, где производительность имеет критическое значение.

Поскольку киберпреступники успешно осваивают растущее число векторов атаки, возникающих в ходе цифровой трансформации, экстенсивный подход к безопасности это проигрышная стратегия. Угрозы, изложенные в отчете Q3 Threat Landscape Report, показывают, что организациям необходимо не только быть сверхбдительными в вопросах безопасности, но также более разумно использовать эту информацию. Те кто окажется не в состоянии дополнить свои усилия по цифровому преобразованию столь же агрессивной стратегией трансформации безопасности лишатся возможности конкурировать на современном цифровом рынке, став жертвами постоянно развивающегося сообщества киберпреступников.

Многооблачная безопасность: 3 шага к обеспечению контроля и видимости

Гибридная многооблачная среда предлагает преимущества высокой отказоустойчивости в сочетании с гибкостью, позволяющей быстро адаптироваться к изменяющимся запросам цифрового бизнеса. В одном недавнем анализе о своей приверженности многооблачной стратегии заявили 86% опрошенных организаций. Обратной стороной преимуществ такой стратегии является множество связанных с ней проблем безопасности. К примеру, если миграция в одну облачную среду расширяет поверхность атаки, то несколько облаков увеличивают её еще больше. Организациям следует продумать, как масштабировать защиту для решения таких проблем, как рост, а также как эффективно отслеживать и защищать рабочие нагрузки, распределённые на несколько облачных сред.

Расширение ваших цифровых владений означает увеличение ваших кибер-рисков

Сегментация. Подобно тому как рабочие нагрузки распределяются между многими облаками, так же легко могут распространяться и угрозы. В традиционных сетях, в качестве лучшей практики для сдерживания угроз ИТ-команды используют сегментацию. В многооблачной среде сложность сдерживания угроз усугубляется необходимостью эффективно сегментировать приложения, рабочие процессы и данные, перемещающиеся в облачных средах — приватных, IaaS и SaaS. Возможности применения к ним — и к переходящим вместе с ними в разные облачные среды векторам атак — лучших практик защиты путём традиционной сегментации сетей ограничены. Вместо этого, критическую важность приобретает последовательное использование меток для обеспечения политик безопасности, возможности идентифицировать угрозы и моментально реагировать на них там, где они возникают. Кроме того, возможности отслеживать источник угроз, оценивать масштабы ущерба, устранять риски и уязвимости как можно ближе к их первопричине, становятся более реальными при использовании надёжных методов маркировки активов.

Видимость. Это еще одна из фундаментальных проблем многооблачной реальности. Защита сегодняшнего быстро меняющегося и высокопроизводительного окружения требует непрерывной оценки безопасности ИТ-портфеля организации во всей его полноте. Хотя ИТ-команды могут обеспечивать видимость в каждой облачной сети с помощью специфичных для неё инструментов, они обычно не могут обнаруживать или сопоставлять угрозы в нескольких облачных средах, а также не могут сразу оценить степень опасности угрозы для того или иного облачного ресурса. Им также сложно реализовать согласованную функциональность безопасности и соблюдение политик для совокупности часто очень разных экосистем.

Интеграция. Часть проблемы кроется в том, что большинство многооблачных сред напоминают одноранговую сеть с ячеистой (mesh) топологией, что затрудняет одновременный доступ ко всем облачным средам для обнаружения угроз и реагирования на них. Поэтому растёт необходимость глубокой интеграции функций безопасности и централизованного управления: без них практически невозможно идентифицировать многие из современных сложных угроз, не говоря уже о координации эффективного ответа. И учитывая скорость сегодняшних атак, требования к времени реакции также высоки, то есть организациям требуются инструменты, которые избавят их от необходимости тратить часы на сопоставление и сбор данных из разных облачных административных порталов или на сравнение сигналов от разных облаков и на анализ атаки перед принятием решения об адекватных действиях.

Проблемы многооблачной защиты

Величайшая трудность для организаций, пытающихся защитить многооблачную инфраструктуру, — это налаживание управления соблюдением политик безопасности. Требуется единое окно системы администрирования, отображающее функции безопасности в разных облачных средах: только так можно обеспечить глубокую видимость, интегрированное сопоставление событий, централизованное проведение политик, адекватные контроль и реагирование.

Чтобы достичь этого, необходима естественная интеграция в облачные платформы. Выбранные продукты должны быть рассчитаны на нативную работу в каждой облачной среде, используемой для поддержки бизнес-операций, а также предоставлять API-интерфейсы, упрощающие разработку рабочих процессов безопасности в сочетании с процессами управления жизненным циклом приложений. В свою очередь, поскольку эти продукты безопасности интегрированы в каждую облачную инфраструктуру, и поскольку они должны взаимодействовать с единой системой управления, такие продукты неизбежно образуют слой абстракции, обеспечивающий их согласованную работу в разных облачных средах. В противном случае политики могут быть реализованы по-разному в разных средах, приводя к огромным операционным проблемам и дырам в безопасности, благоприятствующим результативным атакам.

Чтобы эффективно решить проблемы многооблачной защиты, должна быть реализована безопасная связность в соответствии с вышеизложенным правилам сегментации и видимости. Многооблачные решения должны поддерживать возможности межсайтового и удалённого подключения через VPN для выборочного или временного доступа к ресурсам по мере необходимости. Эти требования становятся более настоятельными при агрегации соединений с мобильными устройствами и с офисами филиалов следующего поколения, поскольку они нуждаются в удаленном доступе к конфиденциальным ресурсам, и для этого часто используют облачный VPN-хаб в качестве безопасного узла доступа в Интернет. Текущие операции, связанные с миграцией данных, доступом к большим массивам данных со всего мира, внедрением сложных рабочих процессов, развертыванием кастомных приложений и использованием сторонних облачных аналитических служб, требуют безопасного подключения к внешним сетям, а также средств для несложного управления этим подключением и для его оптимизации к постоянно меняющимся требованиям. Поэтому любое компетентное решение для многооблачной защиты должно обеспечивать интегрированный набор возможностей безопасного сетевого подключения.

Три шага к установлению видимости и контроля

Решение проблем безопасности облака, особенно многооблачной, требует целостного подхода, который возвращает управление в руки команды корпоративной безопасности. Вот три элемента, имеющие наибольшее значение при планировании любой стратегии многооблачной безопасности.

1. Функции безопасности и проведения (политик) должны работать единообразно, независимо от среды, в которой они были развернуты. Для этого способность определять и классифицировать информацию и рабочие нагрузки должна поддерживаться каждой из различных используемых облачных инфраструктур, а функции безопасности — одинаково действовать в инфраструктуре каждого облака. Рассматриваемые решения безопасности должны не только обеспечивать надёжный контроль облаков, но делать это с помощью тех же проверенных способов и функций, которые используются для защиты традиционной сети.

2. Управление этими продуктами и их оркестровка должны осуществляться внутри предприятия через единую панель, кроме того должна быть предусмотрена возможность автоматизировать операции во всей распределенной инфраструктуре безопасности, посредством единого централизованного набора процедур, применимых к различным инфраструктурам. Сюда входит способность легко и динамично определять политики безопасности, сегментировать ответственные системы, рабочие нагрузки и приложения на основе уникальных профилей рисков, отслеживать эти политики, чтобы поддерживать сложные многооблачные рабочие процессы и приложения и в конечном итоге использовать их для расследования инцидентов безопасности.

3. Любой набор средств обнаружения, предотвращения и смягчения угроз, выбранных для ИТ-инфраструктуры предприятия, должен беспрепятственно обмениваться контрольной информацией безопасности, а также работать в комплексе над устранением угроз независимо от того, где они происходят. От инструментов требуется взаимодействие не только локальное, но и во всех основных инфраструктурах публичных облаков, с одновременным использованием соответствующих нативных сервисов, предлагаемых каждым из облаков. Подобная кросс-функциональная интеграция необходима организациям для уменьшения рисков многооблачных распределенных инфраструктур.

Многооблачная защита требует интегрированного фреймворка безопасности

Защита сегодняшних сложных и постоянно меняющихся ИТ-инфраструктур требует ячеистой среды обеспечения безопасности, которая позволяет всем функциям безопасности общаться между собой и координировать совместные действия, используя общую семантику и синтаксис независимо от того, где они развернуты, а также предлагает инструментарий для автоматизации каждой операции безопасности.

Такой подход не только обеспечивает сквозную видимость, но также обеспечивает всеобъемлющий контроль исполнения политик, создавая связную стратегию, которая адаптируется ко всей распределенной сети. Такая полностью интегрированная система позволяет сотрудникам службы безопасности получить уровень видимости и контроля, необходимый для надёжного руководства операциями, определения приоритетности действий, а также для организации скоординированного ответа с привлечением всех требующихся ресурсов безопасности — независимо от того, где происходит атака — чтобы не только остановить текущие вредоносные действия, а также определить и минимизировать их последствия для остальной сети.

Заключение

Облачные вычисления и цифровая трансформация изменили парадигму профессионалов безопасности. Сети с хорошо укреплённым периметром, где защита главным образом сосредоточена на отражении угроз, ломящихся через межсетевой экран, больше не являются безопасными. Решения облачной безопасности сегодня должны учитывать уникальные требования любой инфраструктуры облачных вычислений, как публичной, так и приватной или гибридной, включая новые и всё более сложные многооблачные среды, и сплетать их в единую, интегрированную систему безопасности. Лишь такой подход поможет организациям перейти от практики, когда безопасность сдерживает инновации, к той, с которой должным образом организованная безопасность повышает уверенность в ускоренном внедрении облачных вычислений.

Распознавание и предотвращение современного кибер-скама

В защите людей и организаций от кибернетического мошенничества (кибер-скама) не существует готовых решений на все случаи жизни. Внедряя новые устройства и технологии, люди и организации открываются, создают больше возможностей для кибер-атак. Для того, чтобы эффективно защищать ценную информацию, привлекающую кибер-преступников, важно разбираться в разных типах скама, нацеленного на нас.

Понимание опознавательных признаков современного кибер-скама

Преступники используют множество тактик скама для того, чтобы получать доступ к устройству или сети, вымогать деньги или красть ценную информацию. Знание четырёх основных способов социальной инженерии, применяемых ими для обмана пользователя, позволит свести эффект от скама к минимуму:

1. Фишинговый скам

Фишинговые атаки – обычное дело как в корпоративных, так и в персональных сетях. Они происходят когда преступник посылает письмо e-mail, текстовое сообщение или звонит по телефону, выдавая себя за кого-то другого, с целью вытянуть у человека или организации, на которую он работает, коды доступа, персональную, финансовую или прочую конфиденциальную информацию. Более того, 59% всех успешных инфекций ransomware осуществлялись через фишинговый скам.

Несколько простых правил помогут вам распознать этот вредоносный скам:

Проверяйте контакты: Соблюдайте осторожность, если с вами пытается связаться источник, которого вы не знаете, если он просит вас, что-то сделать, например, отправить ему персональную информацию или авторизоваться на сайте. Многие, если не все, компании никогла не станут запрашивать вашу информацию по электронной почте или текстовым сообщением. Такой запрос должен зажигать у вас красный сигнал предупреждения о том, что отправитель не тот, за кого себя выдаёт. Проверьте, есть ли его электронный адрес или номер телефона в контактном списке человека или организации, к которым он себя причисляет.

Ищите орфографические и грамматические ошибки: В профессиональных организациях корреспонденция вычитывается перед отправкой. У фишинговых мошенников часто на это не хватает времени. Если в сообщении от якобы надёжного источника вы натолкнулись на опечатки, плохую грамматику и пунктуацию, велики шансы, что это скам.

Подмечайте агрессивное поведение: Для скама характерны подчёркнуто агрессивные тема и стиль изложения. Встречали ли вы когда-нибудь в папке спама электронные письма, озаглавленные «Срочно! Ваша учётная запись просрочена на 10 дней Свяжитесь с нами НЕМЕДЛЕННО»? Его задача – встревожить вас, заставить паниковать и совершать действия, нужные скамерам. Вместо этого, не делайте ничего, пока не проясните ситуацию в той организации, которую они якобы представляют.

2. Целевой фишинговый скам (spear phishing)

Если фишинговый атаки носят массовый характер и обладают относительно легко заметными отличительными признаками, то целевой фишинг это узкоспециализированная и гораздо более сложная атака. Для целевого фишинга мошенники тщательно изучают свои жертвы, чтобы получить представление об их организации, коллегах, интересах и пр. и повысить свои шансы на успех.

Для защиты от целевого фишинга рекомендуем принять следующие меры:

Использовать верификацию электронной почты: Этот сервис проверяет, совпадает ли источник пришедшей почты с тем, который числится за этим адресом e-mail в реестре Administrative Management Domain (ADMD).

Сообщать как можно меньше информации: Звучит тривиально, однако, если бы пользователи по своей воле не делились бы информацией с преступниками, фишинг никогда не стал бы эффективным видом мошенничества.

Поддерживать хорошую гигиену безопасности: Если каждодневно соблюдать простые базовые правила безопасности, скамеры лишатся возможности применять многие из своих векторов атаки для инфицирования вашего компьютера, получения доступа к вашей информации или к сети организации.

3. Ловля на наживку (baiting scam)

Как можно догадаться по названию, задача этого вида мошенничества – побудить ничего не подозревающего пользователя выполнить некоторые действия (загрузить вирус или ввести персональные данные) в обмен на наживку. В качестве последней может быть что угодно: от бесплатного антивирусного ПО и загружаемых фильмов до материальной наживки – «забытой» на столе флэшки с этикеткой «Корпоративная информация о заработной плате», которую жертва из любопытства поспешит вставить в свой компьютер. Хотя этот вид скама может выглядеть по-разному, конечная цель его одна: соблазнить пользователя загрузить что-то вредоносное. Чтобы не стать его жертвой, нужно обращать внимание на следующие признаки такого скама:

«Бесплатные» предложения – избегайте их: Старая поговорка, «Это слишком хорошо, чтобы быть правдой», обычно справедлива. Многие кибер-мошенники будут пытаться завлечь жертвы обещаниями бесплатных загрузок, бесплатной доставки, бесплатной подписки и т.п. Так что, не поленитесь дважды проверить источник этих щедрых предложений и прочитать всё, написанное мелким шрифтом в тексте любого соглашения.

Не используйте незнакомые внешние флэш-накопители или жёсткие диски: Убедитесь, что вы знаете их владельца, прежде чем подключать эти устройства к своей машине.

4. Скам технической поддержки

Только за один прошлый год, ФБР, по слухам, получила около 11 тысяч сообщений о случаях мошенничества техподдержки, а понесённые в результате убытки сложились в ошеломительную сумму – 15 млн долл. Из названия понятно, что скамеры, чтобы получить доступ к персональной информации, выдают себя за сотрудников технической поддержки той организации, в которой работает жертва, или независимого сервиса. Успех или неудача этого скама (как и других упомянутых здесь) определяются тем, сработает ли на жертве социальная инженерия атаки. Имея это в виду, не стоит отмахиваться от следующих подозрительных сигналов:

Невостребованные обращения
: Крайне редко техническая поддержка связывается с вами просто «на всякий случай» или сама предлагает починить ваш компьютер. Разработчики ПО и оборудования никогда не следят за судьбой своих решений и не звонят потом, чтобы предложить помочь с обеспечением безопасности. Если работник или служба техподдержки связываются с вами через всплывающую рекламу, невостребованное электронное письмо, телефонный звонок или через социальную сеть, вероятнее всего это скам. Подлинные компании имеют устоявшийся порядок обновления ваших продуктов и сервисов, например, путём публикации патчей и апдейтов, либо такие способы решения проблем, которые встроены непосредственно в само это решение.

Предложения установить что-нибудь из незнакомого источника
: Загружая что-либо через Интернет иначе как из источника, которому вы доверяете, вы всегда рискуете инфицировать свой компьютер. Как и при ловле на наживку, кибер-преступники часто пытаются предложить «бесплатное сканирование безопасности» или «очистку компьютера», оборачивающиеся заражением машины жертвы вредоносным кодом.

Попытки удалённого подключения к вашему устройству: Удалённый доступ позволяет подлинному техперсоналу дистанционно перехватить управление машиной для её починки. Однако та же технология может служить для быстрого копирования персональных данных с вашего устройства. Если кто-то незнакомый просит разрешить доступ к вашему устройству, держитесь от него подальше.

5. Защита мобильных устройств

Все чаще жертвами криминального мошенничества становятся мобильные устройства. Поддельные приложения, применяемые для кражи информации или вымогательства денег, стали обыденной реальностью, особенно на платформе Android.

Избегайте вредоносных программ, замаскированных под легальные приложения и обновления: Растущее количество фальшивок предлагается независимыми репозиториями программ (например, Apkmonk). Кроме того, в изобилии имеются импланты и апдейты для взлома приложений и устройств (такие как криптомайниговые вирусы). Также остерегайтесь приложений, запрашивающих ненужные разрешения (эксплойты SMS, Device Admin и пр.).

Используйте безопасный WiFi
: Людные места и магазины, где предоставляется бесплатное подключение WiFi, это типичная среда для посреднических (man-in-the-middle) атак, при которых преступники выдают себя за раздатчиков услуг Wi-Fi и затем используют их для перехвата данных. Пользуйтесь публичными Wi-Fi через VPN-подключение и старайтесь не осуществлять через них конфиденциальных операций. Многие мобильные приложения настроены на автоматическое подключение к известным сетям, поэтому преступники часто используют распространённые идентификаторы SSID, такие как “Home Network”, чтобы заставить устройство установить соединение без ведома пользователя.

6. Устройства IoT

Всё более популярной целью атак становятся устройства Интернета Вещей (IoT). Многие из них легко взламываются, имеют постоянную связь с Сетью и используют мощные графические процессоры, что делает их идеальным инструментом для организации атак DDoS и неавторизованного криптомайнинга.

Обновите пароли: Наиболее распространённая стратегия взлома заключается просто в попытках получить доступ к IoT-устройству с помощью логина и пароля, заданных по умолчанию. Когда это возможно, меняйте пароли в ваших маршрутизаторах, смарт-ТВ, домашних развлекательных системах и т.п.

Подключенные автомобили: Когда все больше устройств становятся связанными, их уязвимость равна уязвимости слабейшего из звеньев этой цепочки. Такая техника, как подключенные авто, это не просто  заманчивая цель для кибер-преступников, содержащая пользовательские данные, контактную и даже платёжную информацию, её взлом может представлять опасность для водителя и пассажиров. Купив подключенный автомобиль, внимательно проверьте его заводские настройки безопасности и измените их, а также не устанавливайте приложений из незнакомых источников. Дополнительно, проверьте безопасность и пароли устройств с интерфейсом Bluetooth, особенно тех, которые подключаются в сеть вашего автомобиля.

Мысли напоследок

Кибер-скам опасен для каждого, кто не знает об этих характерных его признаках. Поскольку количество устройств, подключаемых к сети, постоянно увеличивается, риск стать жертвой мошенничества тоже растёт. Знание основных видов кибер-скама, практикуемых в наше время, и способов их распознавания поможет вам защитить ценную информацию – как свою, так и тех сетей, к которым вы подключаетесь.

Размечая новый ландшафт безопасности

Пришло время для очередного квартального экскурса в дебри ландшафта киберугроз. Если специалисты по безопасности помещают себя в ботинки хакеров, чтобы лучше предвидеть откуда будут нанесены атаки, то злоумышленники начинают думать больше как разработчики для того, чтобы избежать обнаружения.

И в последнее время они более тщательно выбирают свои мишени, меньше полагаясь на слепой поиск уязвимых жертв. Как команды ИТ-безопасности могут идти в ногу с применяемой киберпреступниками гибкой разработкой, выявлять повторно используемые уязвимости? Последний отчёт Fortinet Global Threat Landscape Report проливает свет на текущую преступную деятельность и даёт рекомендации организациям, как оставаться на шаг впереди.

Гибкие атаки
Авторы вредоносных программ долгое время полагались на полиморфизм – способность вирусного ПО постоянно изменять свой собственный код по мере распространения, чтобы избежать обнаружения, но со временем в системы защиты сети были внесены улучшения, из-за которых их стало труднее обойти. Не останавливаясь на достигнутом, авторы вредоносных программ недавно обратились к гибкой разработке, чтобы быстро противостоять новейшей тактике антивирусных продуктов. Чтобы противостоять этим новым роевым атакам требуется защита улья, где все имеющиеся компоненты вашей могут видеть друг-друга и общаться между собой, а затем сообща работать над защитой сети.

Для улучшения своих атак киберпреступники используют не только гибкое развитие, но и автоматизацию. На подъёме сейчас находятся программы, которое полностью написаны машинами, основаны на автоматическом обнаружении уязвимостей, сложном анализе данных и автоматизированной разработке наилучших возможных эксплойтов, исходя из уникальных характеристик уязвимости. Организации должны парировать это собственной автоматизацией, использовать машинное обучение, чтобы понимать и даже прогнозировать новейшие атаки злоумышленников, так чтобы они могли опережать эти продвинутые угрозы.

Ярким примером злонамеренной гибкой разработки является версия 4.0 ПО GandCrab.

GandCrab
Криминальная группа, которая стоит за GandCrab, первая стала принимать кибервалюту Dash. Похоже, что они используют гибкий подход к разработке, чтобы бороться с конкурентами,  устранять возникающие проблемы и ошибки. Еще одним уникальным аспектом GandCrab является его модель Ransomware-as-a-Service, основанная на распределении прибыли 60/40 между разработчиками и преступниками, желающими использовать их услуги. И, наконец, GandCrab использует .BIT – не признанный ICANN домен верхнего уровня, который обслуживается через криптовалютную инфраструктуру Namecoin и использует различные серверы имен для разрешения DNS и перенаправления трафика на него. На протяжении второго квартала преобладали версии GandCrab 2.x, но под конец этого срока в Сети появилась третья версия, за которой последовала четвёртая в начале июля.

Мы заметили, что файлы не блокируются если в системной папке COMMON APPDATA присутствует файл <8hex-chars>.lock.  Обычно это происходит после того, как вредоносное ПО обнаруживает русскую раскладку клавиатуры или другими методами определяет принадлежность компьютера к русскоговорящей стране. Мы тогда предположили, что добавление этого файла может быть лишь временным решением. Основываясь на нашем анализе, в отрасли был создан инструмент, который предотвращал зашифрование файлов с помощью этого ransomware. К сожалению, обновление GandCrab 4.1.2, вышедшее через день-два, сделало данный блокировочный файл бесполезным.

Важные уязвимости
Киберпреступники всё умнее и быстрее используют эксплойты. В дополнение к применению сервисов Тёмного Веба, таких как Malware-as-a-Service, они оттачивают свои методы таргетинга, фокусируя их на тех эксплойтах, которые сулят максимальную отдачу. Реальность такова, что ни одна организация не может устранять уязвимости достаточно быстро. Поэтому, они должны действовать стратегически и сосредоточиться на тех проблемах, на первостепенную важность которых указывает аналитика угроз.

Организациям необходимы расширенные возможности обнаружения угроз и защиты от них, такие, которые помогут выявлять эксплуатируемые в настоящее время уязвимости. Согласно нашему исследованию, преступники используют только 5,7% всех известных уязвимостей. Учитывая, что  основная их масса остаётся незадействованной, организациям следует подумать о более превентивном и стратегическом подходе к исправлению уязвимостей.

Новый ландшафт безопасности
Использование продвинутой аналитики угроз, доступной своевременно для всех элементов системы безопасности, и песочницы с многоуровневой встроенной аналитикой сужает необходимые окна детектирования и позволяет реализовать автоматические меры защиты от многовекторых эксплойтов современности. Именно с этой целью был образован Cyber Threat Alliance – объединение компаний, работающих в сфере безопасности,  служащее для обмена информацией о новых угрозах.

Хотя многие организации прилагают все усилия для сбора как можно большего количества данных из различных источников, включая их собственные, большая часть работы по обработке, корреляции и преобразованию их в политику по-прежнему выполняется вручную. Это делает очень сложным быстрое реагирование на активную угрозу. В идеале, обработку и корреляцию информации об угрозах для формулирования эффективной политики необходимо автоматизировать.

Эффективная кибербезопасность также требует дотошности в устранении уязвимостей. Располагая данными о том, какие уязвимости в настоящее время эксплуатируются, команды ИТ-безопасности могут стратегически использовать своё время и укреплять, скрывать, изолировать или защищать уязвимые системы и устройства. Если они слишком устарели для установки патчей, замените их.

Сегментация и микросегментация сети также являются обязательными. Эти шаги гарантируют, что любой ущерб, нанесённый прорывом защиты, будет локализован. Помимо этой пассивной формы сегментации, используйте макросегментацию для динамической и адаптивной защиты от никогда не прекращающегося натиска новых интеллектуальных атак.

Киберпреступники неутомимы в применении и адаптации новейших технологий для своего ремесла. Используя информацию и рекомендации, изложенные выше, команды ИТ-безопасности могут победить их на их собственном поле.

Стратегическое обеспечение бизнеса – новый ориентир сегодняшних CISO

Бизнес и государственные агентства всех размеров подвергаются кибератакам, частота которых и сложность постоянно растут. Киберпреступники, национальные государства и множество других злоумышленников разрабатывают новые тактики, инструменты и процедуры, чтобы обойти современные решения кибербезопасности. Мы все чаще наблюдаем целевые атаки, задействующие специально настроенное вредоносное ПО, и доступность на рынке тёмного веба инструментов и сервисов, охватывающих каждый аспект реализации киберпреступления. Недавний отчёт Fortinet Global Threat Landscape Report показал, что фактически ни одна фирма не может считать себя в безопасности, и 96% из них испытали по крайней мере один серьёзный инцидент.

Пытаясь устранить эти новые угрозы и, в то же время, обеспечить поддержание рабочего процесса,  расширение бизнеса, выполнение миссии и осуществление цифровой трансформации, организации понимают, что для успеха требуется сбалансированный учёт требований как бизнеса, так и безопасности. Это понимание находит отражение в меняющихся ролях и обязанностях директора по информационной безопасности (Chief Information Security Officer, CISO). Сегодня организации публичного сектора и частные предприятия, все ищут на место CISO кандидатов с глубоким технологическим опытом, с организационными способностями и качествами лидера, с деловой хваткой, необходимой для достижения бизнес-целей.

Новый опрос претендентов на место CISO и их нанимателей

Данная тенденция анализируется в опубликованном Fortinet исследовании меняющейся роли CISO.  Это первый в серии аналитических отчетов о профессиях в сфере безопасности, в основу которых положено изучение с использованием алгоритмов обработки естественного языка (NLP) более тысячи объявлений о вакансиях кибербезопасности и резюме от организаций со всего мира. Руководствуясь данными анализа, выполненного фирмой Datalere, этот начальный отчёт исследует как организации переопределяют роли и обязанности своих CISO путём расширения обязательных критериев на организационное лидерство, управление бизнесом и другие традиционные «мягкие» навыки.

Мы установили, что роль CISO претерпевает резкие изменения и больше не фокусируется исключительно на сетевой безопасности. Сегодня организации ждут от своих CISO, помимо курирования безопасности, участия в различных бизнес-инициативах, поддержки цифровой трансформации и способствования росту бизнеса.

Согласно нашему исследованию, организации ищут CISO, которые обладают смесью жёстких навыков – опыта и квалификации – с мягкими навыками четырёх категорий – лидерство, коммуникационные/межличностные, аналитические и личные характеристики. Из жёстких качеств работодателям нужны умение и опыт решения традиционных вопросов безопасности, приватности и соответствия. Из мягких навыков качества лидера востребованы в вакансиях в два раза чаще, чем остальные три категории, вместе взятые.

Безопасность становится всё более критичным условием успешности бизнеса, и директорам информационной безопасности делегируют обязанности кросс-функционального лидерства для того, чтобы обеспечить согласование бизнес-целей со стратегиями ИТ и безопасности, и не просто внедрять тактические защитные технологии, а управлять рисками. Ответственность CISO этой новой породы перерастает традиционные сферы технологий: они служат технологическими лоцманами для цифровой трансформации.

Пропасть между работодателями и соискателями

Рассматривая жёсткие и мягкие навыки, которые организации определяют как необходимые для предполагаемых CISO, мы заметили интересный сдвиг, который показывает, как меняются обязанности сегодняшних CISO. Наниматели делают упор на мягкие навыки на >30% чаще, чем CISO-претенденты включают их в свои резюме и заявки. Это может указывать на медленное осознание соискателями смещения в приоритетах найма сотрудников безопасности эшелона C (уровень директоров).

Почему меняется роль директора информационной безопасности

Предприятия и организации изо всех сил пытаются соответствовать требованиями современного цифрового рынка, его подключенных граждан и потребителей. Цифровая трансформация изменяет распределение ролей высшего управленческого состава. Для CISO это выражается в нацеленности не только на управление рисками и контроль соответствия, но, в равной степени, и на достижение намеченных деловых и финансовых показателей.

Стремительный темп инноваций и изменений, заданный цифровой трансформацией, порождает спрос на CISO, обладающих глубокой технической эрудицией в комбинации с навыками трансформационного управления. Как потребители, так и регулирующие органы все чаще рассматривают безопасность как интегральную часть опыта клиентов, и требуют надежной безопасности и конфиденциальности от всего бизнеса. Отныне и впредь CISO должен быть движителем инноваций и роста, а не только безопасности, соответствия и приватности.

Эти свежие тренды не остались незамеченными преступниками, которые ищут слабые места в новых рабочих процессах предприятий. Новым CISO приходится противостоять расширенному сочетанию эксплойтов известных уязвимостей и узкоспециальных атак «нулевого дня». Сегодняшние CISO должны быть способны эффективно защищать расширяющиеся сети от этой растущей угрозы, одновременно удовлетворяя требованиям развивающегося бизнеса, которые определяют их новую роль.

Подход современного CISO к сетевой безопасности

Цифровая трансформация и ускоренный темп инноваций, сложности и угроз означает, что безопасность должна соответствовать новой скорости бизнеса, или же она станет неактуальной. Для этого CISO нужна широкая, интегрированная архитектура безопасности, которая обеспечит автоматизацию глубокой видимости, быстрый и масштабируемый контроль. Такой инфраструктурный подход осуществляет цифровую трансформацию через плотную технологическую интеграцию, распространяющуюся на анализ последних угроз, методы обнаружения и предотвращения, корреляцию событий и угроз, координированный ответ. Это даёт возможность  CISO сосредоточиться на поддержке бизнеса и не позволяет ему увязнуть в постоянном реактивном жонглировании проблемами кибербезопасности в стиле вчерашнего дня.

Как максимально увеличить облачную эффективность без риска для данных

Организации переносят свой бизнес в публичные облачные инфраструктуры для того, чтобы делать его быстрее и обслуживать больше клиентов. Но с ростом трафика приходит необходимость выделять больше ресурсов для его проверки, что может привести к замедлению работы во имя сохранения безопасности данных.

Как добиться сбалансированного наращивания систем безопасности, вровень с увеличивающимися запросами к производительности современных облачных сред?

Двумя вариантами решения проблем обеспечения такой «эластичной» производительности являются вертикальное и горизонтальное масштабирование.

Горизонтальное масштабирование

Под горизонтальным масштабированием (scaling out) понимают увеличение производительности путём наращивания количества отдельных экземпляров в решении. Оно позволяет облачному пользователю автоматически подключать больше ресурсов брандмауэра при изменении загруженности трафика. Именно возможность инфраструктуры динамически подстраиваться к изменениям трафика делает облачную среду столь привлекательной. Некоторые организации даже временно помещают свои приложения и сервисы в облако, чтобы справиться с необычно высокими, но спорадическими вспышками потребления, и возвращают их на обычные серверы когда ситуация входит в норму. Безопасность должна масштабироваться синхронно с этими изменениями.

При горизонтальном масштабировании следует учитывать не только производительность, но и цену, которую за неё приходится платить. Критически важно сравнить производительность решений перед тем, как встраивать их в вашу облачную инфраструктуру. Внедрение высокопроизводительных решений означает, что вы сможете покупать дополнительные экземпляры брандмауэра не так часто, как были бы должны с более медленным решением.

Вертикальное масштабирование

При вертикальном масштабировании (scaling up) изменяется размер одного экземпляра виртуального оборудования. Одним из важнейших факторов, учитываемых при определении нужной величины ВМ для эффективной работы средств безопасности является производительность на одно ядро. Если вы затребовали большую ВМ с множеством процессорных ядер, то какую пропускную способность вы реально получите с каждого оплаченного вами ядра?

Этот вопрос — прекрасный пример того, как вещи, выглядящие одинаковыми на поверхности — решения всех вендоров работают на одинаковых ВМ — на практике могут оказаться абсолютно разными. Архитектуры, используемые вендорами могут в корне различаться. Так, многие выделяют ядро целиком для администрирования, и покупая двухъядерную систему, вы получаете только половину её ресурсов для обработки трафика и данных. В другом примере вендор связывает одиночную сессию (IKE SA) с отдельным ядром вместо того, чтобы распределять трафик IPSec на многие ядра. Такой архитектурный изыск тоже снижает полезную отдачу от каждого дополнительного ядра сверх одного.

Не всё решения облачной безопасности созданы равными

При выборе решения безопасности для своего облачного или многооблачного внедрения, помимо проверки его безукоризненной работы в различных облачных средах вы должны иметь возможность оценить его истинную производительность. К счастью, провайдеры облачных услуг имеют программы оценки, позволяющие каждому прогнать тесты производительности в любой среде, созданной на базе их публичных облачных платформ. Такой образ действий, принятый за основу, сможет сберечь вам время и деньги.

Можно предположить, что выбор вендора не даёт преимуществ в производительности при перемещении в облако — ведь всё работает на одном и том же оборудовании. Но производительность определяется далеко не только аппаратной частью сети. Она зависит от множества эффективных инженерных техник, нацеленных на оптимизацию, распараллеливание и аппаратную разгрузку.

Оптимизация: не только аппаратная, но полная оптимизация. Некоторые утверждают, что поставщики оборудования утрачивают их преимущества производительности в облачной среде. Но, правда заключается в том, что для достижения нужной производительности от чипа, инженеры должны хорошо оптимизировать программное обеспечение. Многие вендоры ПО никогда не занимаются подобной сплошной оптимизацией стека. Тем не менее, оптимизированные программы напрямую влияют на производительность и могут значительно дифференцировать облачные предложения разных провайдеров.

Распараллеливание: системы обеспечения безопасности, загруженные в облачную среду, должны быть способны задействовать весь ассортимент доступных ресурсов, включая многоядерные ВМ. Для получения максимальной потенциальной производительности, инженеры используют технику распараллеливания. В принципе, для всех вычислений предпочтительна параллельная архитектура, основанная на степенях двойки (2, 4, 8, 16, 32). Она даёт максимальную эффективность и является важной причиной того, почему в одинаковой облачной среде один вендор достигает более высокой производительности, чем другой.

Из-за архитектурных ограничений программного обеспечения многие провайдеры вынуждены выделять одно из каждых четырёх доступных ядер под управляющий уровень (control plane). Это нарушает модель распараллеливания и может иметь серьёзные последствия для эффективности и производительности.

Если вам требуется 8-ядерная ВМ и вы купили её для своего облачного брандмауэра, но для проверки данных доступно только шесть ядер, то это серьёзно ухудшит вашу способность эффективно распределять и обрабатывать эти данные. Именно поэтому следует убедиться, что ваше решение может распараллеливать работу на все имеющиеся процессоры или ресурсы.

Аппаратная разгрузка: виртуальные машины не всегда справляются со всеми возложенными на них задачами обработки. Повышение пропускной способности сети при интенсивных потоках данных обеспечивает технология Single Root I/O Virtualisation (SR-IOV). Она организует обход обработки пакетов ядра гипервизором и устаревшего интерфейса паравиртуализации, назначает гостевым ВМ виртуальную функцию, напрямую замыкающую их ввод-вывод (vNIC) на единый физический сетевой интерфейс (NIC).

Хотя этот вариант доступен для всех вендоров, умение реализовать его преимущества, особенно в сочетании с эффективными оптимизацией и распараллеливанием, может оказать существенное влияние на производительность и функциональность предложения конкретного поставщика.

Производительность играет критическую роль при выборе облачного решения безопасности. Масштабируемое и высокопроизводительное решение позволяет организациям соответствовать растущим требованиям сегодняшних облачных сред к производительности. Вдобавок, более производительные решения также имеют и лучшую ценовую эффективность. Но не все решения облачной безопасности равноценны. Тщательный анализ позволит вам выбрать решение, которое наилучшим образом удовлетворяет критериям производительности вашей организации и её бюджетным ограничениям.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT