`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Форум Cisco Cyber 19: от проблем — к решениям

+33
голоса

Кибербезопасность. С каждым днем ее значение усиливается как в бизнесе и госструктурах, так и для частных лиц. И форумы Cisco по кибербезопасности, охватывающие широкий круг проблем, неизменно вызывают большой интерес со стороны ИТ-сообщества.

На Форуме, состоявшемся в последней декаде мая, рассматривался широкий круг проблем в области кибербезопасности. Они, в частности, включали современные тенденции в ИБ, роль ИИ и МО в новых подходах к кибербезопасности, важную роль ИБ в бизнесе.

Участников приветствовал директор по работе с клиентами и партнерами Cisco Сергей Мартынчук. Он выразил уверенность в том, что уже нет необходимости рассказывать, почему кибербезопасность столь важна сегодня. Многие из присутствующих уже могли на своем опыте убедиться в ее значении для бизнеса. В то же время, он выразил надежду, что происходившие на компании атаки были отражены с помощью продуктов Cisco. Сегодняшнее мероприятие это не просто образовательное событие, его нужно воспринимать, в первую очередь, как инвестицию в самого себя как специалиста по ИБ, которая с лихвой окупится. Почему? По последним исследованиям в мире, и здесь Украина не является исключением, сегодня наблюдается ажиотажный спрос на специалистов по безопасности. Таким образом, перед ними открываются хорошие перспективы.

Рабочую сессию конференцию открыл доклад Паскаля Гиненса (Pascal Geenens), евангелиста по кибербезопасности из компании Radware, технологического партнера Cisco, в котором он представил некоторые рассуждения относительно ИИ в стратегии автоматизированной кибербезопасности.

 от проблем — к решениям

Паскаль Гиненс: «Обнаружение недопустимых действий и защита в режиме реального времени выполняется на основе самообучающихся моделей»

Докладчик начал с того, что в марте 2016 г. обнаружил проведенный Microsoft эксперимент. Компания сделала чат-бот по имени Тай, имитирующий девочку-подростка, которая должна была разговаривать с людьми так, чтобы им показалось, что это реальный человек. От эксперимента ожидали, что чат-бот будет становиться все «умнее» и научится общаться с людьми. Но пришли тролли и стали болтать с этим ботом. Не прошло и суток, как несчастная электронная девочка превратилась в ужасную сексуально озабоченную особу, и ее пришлось закрыть. Вот к чему приводит запуск ИИ без понимания, как это все работает. Вот так можно отравить ИИ.

Перейдя к сути доклада, Паскаль Гиненс сделал предположение, что все присутствующие знают, что такое Cyber Kill Chain — последовательность действий злоумышленника. У него очень много возможностей взломать сеть компании намного раньше, чем она узнает об этом. Есть очень много точек входа, которые помогают отследить взлом. Тем не менее в среднем на обнаружение взлома уходит 191 день.

В безопасности всегда стремятся свести к минимуму так называемые позитивные ложные срабатывания, когда система якобы обнаруживает атаку, а на самом деле это какое-то обычное событие. Ложное негативное срабатывание — это когда наоборот, кто-то взломал сеть, и никто не понимает, что произошло. И нужно найти компромисс между ними. Для этого компания Radware разработала метод обнаружения аномалий. Этим занимается SOC и специалисты по ИБ. Однако незадача в том, что количество угроз растет быстрее, чем их финансирование. Выход — все автоматизировать. Автоматизация должна тысячи событий свести к двум десяткам, которые можно неторопливо исследовать. А результаты должны быть использованы для того, чтобы научить средства автоматизации работать лучше. И тогда мы естественно приходим к МО. Здесь понадобится четкое понимание терминов ИИ, МО и глубокое (глубинное) МО.

ИИ — это большая сфера, включающая в себя МО и глубокое МО. Это система, которая обнаруживает, что вокруг нее происходит, распознает то, что происходит, и самонастраивается, адаптируется к этому. МО — это алгоритмы, которые самообучаются и самосовершенствуются в процессе работы. Radware уже давно использует МО.

Сравнительно недавно возникло движение в сторону глубокого МО. Здесь интересно, что эта тема начала разрабатываться еще в 40-х годах, когда ученые попытались промоделировать работу мозга, но больших успехов не достигли ввиду отсутствия необходимых вычислительных мощностей и данных.

Несколько лет назад появились гипероблака, нейронные сети с гигантскими объемами данных, и работы в этой области оживились. Каков же традиционный подход к МО, не включающий нейронные сети, с учетом того, который использовался в 40-х годах?

Традиционное МО — это сбор статистики и поиск корреляций. Такие системы позволяют решать задачи низкой и средней сложности, для которых можно построить модель.

Если, например, рассмотреть протокол TCP, то здесь есть диаграмма состояний, которая полностью описывает его поведение, позволяющий рассмотреть эту систему и понять, сколько нейронов, аксонов и синапсов нам нужно, чтобы построить аналогичную. Если взять транзакционную среду с огромным количеством транзакций, то синапсов нужно очень много, это одна крайность, а если это потоковое видео, то их нужно совсем немного. Здесь можно построить модель того, что происходит, и, применяя алгоритмы, исследовать поведение системы и понять, нормальное ли оно. Такие системы используют сравнительно небольшое количество данных для определения нормального состояния, причем это происходит при отсутствии атак. И в этом состоянии нужно определить количество ложных положительных срабатываний и попытаться отладить алгоритм так, чтобы свести их к минимуму. Но существуют и сложные задачи, которые мы не знаем, как решать. Здесь нужен черный ящик, который можно запрограммировать, но не прописывать код строчку за строчкой. Это должна быть программа, работающая на основе примеров, программа, которую нужно обучить, используя выборки ретроспективных данных из реальной жизни. Потом начинают вводить в программу реальные данные, и программа на каком-то наборе говорит, вот это похоже на то, что я уже видела, а вот эти данные мне незнакомы, возможно, это какая-то аномалия. То, что делает этот черный ящик, и есть глубокое обучение. По сути черный ящик представляет собой нейронную сеть, в которой каждый нейрон имеет связи с другими нейронами, каждой связи присвоен какой-то вес и характер зависимости выходного сигнала от входного, которая может быть линейной или нелинейной. На вход такого ящика подаются данные, а на выходе получаются какие-то результаты. Правда, необходимо контролировать, что система дает на выходе и корректировать результат, в соответствии с которым система изменяет веса в разных нейронах. Для обучения нейронной сети необходимо большое количество промаркированных данных, но не во всех отраслях такие данные существуют.

Итак, есть детерминированные и понятные алгоритмы обнаружения — это традиционное МО. Но эти алгоритмы могут решать сравнительно простые задачи. А есть системы общего характера, которые нужно обучать на большом количестве данных.

Возникает вопрос, а зачем тогда нужна схема традиционного МО? Давайте пользоваться нейронными сетями, которые решают любые задачи. Так не получается. Дело в том, что в нейронных сетях есть свои сложности. Прежде всего нужно много данных. При этом данные нужны не только для обучения системы, но и для ее тестирования. Здесь действует правило — 20% данных для обучения, 80% — для контроля.

Некоторые успехи в области МО стимулировали киберпреступников использовать эту технологию для взлома систем. Первое, что здесь происходит, это вредоносные программы лучше маскируются, потому что есть так называемые враждебные генерирующие сети GAN (Generative Adversarial Network). Это сети с глубоким МО, они добавляют к вредоносным программам шум и запускают эти программы в систему обнаружения вредоносных программ. Если эта система обнаруживает, что это вредоносное ПО, тогда шум автоматически немного подстраивается до тех пор, пока система обнаружения перестает его распознавать. При этом система обнаружения также может использовать ИИ.

Уже в 2016 г. простые CAPCHA взламывались с использованием глубокого МО в 92% случаев, в то время как средний человек ошибался в 40% случаев. Таким образом программа справляась с задачей лучше, чем человек, хотя CAPCHA была разработана с целью отличить человека от робота.

Как же МО используется в области кибербезопасности? В Cisco, например, создали программные ядра, которые предназначены для исследования трафика и обнаружения вредоносного кода внутри этого трафика. Эта система самообучающаяся. Ей предоставили гигантские объемы нормального трафика, недопустимого трафика, и множество черных ящиков его анализировало.

Теперь боты. Есть нормальные и есть вредоносные, и последние нужно обнаруживать. Это могут делать люди или машины. Боты могут приходить из сотен тысяч точек одновременно, их нужно проанализировать, собрать в кластеры, нужно запустить какую-то систему обучения с супервайзером и, в конечном счете, научить ее различать, где хороший, а где плохой бот. Если нет такой уверенности, то нужно послать какую-то информацию типа CAPCHA для определения человека и, получив ответ, понять, что происходит.

Каковы же итоги? Компании, производители инструментов для ИБ, защищают сети с помощью устройств, максимально приближенных к ним. Обнаружение недопустимых действий и защита в режиме реального времени выполняется на основе самообучающихся моделей. Дальше добавляется новые уровни, которые обнаруживают все известные атаки, за ними стоят системы в облаке, которые собирают информацию из огромного множества источников и передают ее на устройства. Кроме того, используются так называемые приманки для хакеров, где анализируются вторжения, находятся и методики атак, и IP-адреса активных злоумышленников. И дальше — система Cisco Umbrella, которая смотрит на доменные имена, URL, и на основе информации со всего мира обеспечивает защиту. И наоборот, информация, предоставляемая компаниями, помогает защищать других.

Итак, осуществляется переход от МО к сложным системам облачного базирования, обрабатывающих огромное количество данных. Причем это все происходит довольно быстро. Время занимает обучение, и оно требует огромных вычислительных мощностей и ОЗУ. Это делается в облаке, результаты переносятся на локальные машины, которые уже и обнаруживают попытки вторжения. И здесь возникает некоторая задержка, поскольку результаты обучения должны быть перенесены на машины. Для того чтобы сократить это время, ведется разведка угроз.

Если рассмотреть краткосрочную перспективу, то обнаруживаются аномалии, исследуется и анализируется вредоносное ПО, обнаруживаются сложные атаки и ведется разведка угроз. В долгосрочной перспективе автоматизируются и делаются адаптивными системы защиты. С другой стороны, злоумышленники тоже не сидят, сложа руки. Они автоматизируют свои атаки в краткосрочной перспективе, делают их более сложными и улучшают методы сокрытия атаки. В долгосрочной перспективе будут автономные системы атак и будут программные системы, создающие и маскирующие векторы атак. МО уже какое-то время в традиционных понятиях защищает системы, атаки автоматизируются и усложняются, и становится понятным, что автоматизация, МО и ИИ нужны для обнаружения и предотвращения этих атак. Хотя все это еще далеко от совершенства, но очевидно, что эти средства сыграют здесь решающую роль.

Поскольку сегодня данные, приложения и (в некоторой степени) пользователи переходят в облако, безопасность должна следовать этой тенденции. По утверждению Cisco, ее продукт Umbrella обеспечивает простую и эффективную защиту для вычислительных облаков. О нем рассказал Андреас Гольдшмидт (Andreas Goldschmidt), менеджер по продажам решений Cisco Cloud Security в Восточной Европе и Швейцарии.

 от проблем — к решениям

Андреас Гольдшмидт: «Поскольку сегодня данные, приложения и (в некоторой степени) пользователи переходят в облако, безопасность должна следовать этой тенденции»

Он начал с того, что компания считает, что в области кибербезопасности нужно что-то менять. Если вспомнить, что было несколько лет назад, то сеть распределялась следующим образом: был какой-то центральный офис, филиалы, подключающиеся дистанционно к сети пользователи, и их всех нужно было защитить. Для этого весть трафик сводился в центральный офис, где были установлены средства защиты. То есть, нужно было защищать одну точку. Здесь и была заложена мина. Дело в том, что весь трафик нужно было направлять в центральный офис, защищать по дороге и возвращать его обратно филиалам. Это долго, дорого, утомительно для пользователей, и кто-то должен все это администрировать. Поэтому Cisco и ряд других компаний перешли к современной модели организации сети: от одной точки входа к множественным точкам входа в сеть. На это повлияли многие факторы: стоимость, задержка, реагирование сети, ну и главное — Интернет. Данные, которые должны быть предоставлены пользователям, сейчас не обязательно хранятся ЦОД, в штаб-квартире, а все в большей степени перемещаются в облака, возникают понятия IaaS, DaaS, и больше нет смысла выводить весь трафик в центральный офис, а оттуда в облако, гораздо правильнее обеспечить прямой доступ к Интернету. Но здесь возникает проблема — при прямом доступе к Интернету не удается защитить всю структуру.

В этих обстоятельствах нужно решить новую задачу обеспечение защиты инфраструктуры даже в случае точечных нарушений. Это подтверждается тем, что, по результатам опроса, 4/5 всех организаций переходят к прямому доступу к Интернету (DIA), 3/4 организаций интенсивно или селективно используют сети SD-WAN, передавая и обрабатывая данные в облаке. Но и старые задачи также остались, к примеру, программы-вымогатели.

В то же время возникают новые комплексы защиты, которые позволяют защитить пользователей и данные. Но эти комплексы становятся все сложнее и ими как-то нужно управлять. Однако ни денег, ни специалистов на это не хватает.

Для решения этой проблемы Cisco разработала комплекс Umbrella. Компания предложила перенести средства защиты туда, где находятся данные и приложения, то есть в облако.

Итак, Umbrella — это комплекс облачного базирования, который компания называет первым эшелоном защиты, потому что все, от чего Umbrella пытается защитить, имеет общие черты. Вредоносное ПО должно сначала проникнуть в сеть, а потом выдавать информацию наружу. И все это делается либо по IP-адресу, либо по доменному имени. То есть где-то находится пункт управления, с которым связывается вредоносное ПО. И Umbrella занимается именно этой вредоносной информацией и пытается пресечь такой обмен. За первым эшелоном стоят брандмауэр, антивирус, все средства защиты конечного пользователя. Umbrella защищает и штаб-квартиру, и филиалы, и устройства IoT.

Для поддержки Umbrella и обеспечения эксплуатационной готовности были развернуты ЦОД с дублированием в 31 стране. С 2006 г. не было ни одного отказа этой сети ЦОД.

Докладчик обратил внимание участников на организацию Talos, которая занимается киберразведкой и аналитикой. Это самая крупная в мире негосударственная структура по сбору информации о вредоносном ПО. И все данные разведки Talos немедленно реализуются в Umbrella. Имеется также огромное количество источников данных: это и конечные точки, и средства защиты Web, и облачная инфраструктура. Каждые сутки просматривается 180 млрд. запросов DNS. Об эффективности работы Umbrella можно судить по следующим цифрам. К примеру, у Cisco есть 110 тыс. программ-клиентов, которые устанавливаются через AnyConnect, и они передают 7,6 млрд. DNS-запросов на Umbrella. Во всем мире не более 10 ложных положительных срабатываний в месяц.

Помимо защиты на уровне DNS, Web-шлюза, брандмауэра, систем DLP, в Cisco думают сейчас над новым уровнем защиты. Прежде всего, это Web-proxy, или защищенный веб-шлюз, для тех случаев, когда нельзя определить, допустимы или недопустимый DNS-запрос. Вскоре должна быть построена система, которая сможет пропускать весь клиентский трафик через один из ЦОД компании для полного анализа. Предполагается также внедрить расшифровку HTTPs-трафика, чтобы знать, что передается. Уже реализована инспекция файлов, позволяющая просматривать proxy-цепочку.

Подводя итоги, выступающий подчеркнул, что средства защиты облачного базирования Cisco Umbrella — это многоэшелонная, надежная и эффективная защита.

Характеризуя Форум в целом, нужно отметить, что он проходил в двух потоках: основном и техническом, на которых можно было прослушать восемь докладов о технологиях и продуктах Cisco. Кроме этого, в перерывах между выступлениями проводилась демонстрация решений Cisco.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT