Морис Кэшмен, McAfee: «Информационная безопасность представляет для организаций самостоятельную ценность»

За стремительным ростом технологий сегодня не поспевают многие другие сферы нашей жизни. Не получится ли так, что одной из отстающих окажется киберпезопасность, которая сегодня, похоже, балансирует на самой грани? Об этом и многом другом нам довелось поговорить с Морисом Кэшменом, директором отдела архитектуры корпоративных систем McAfee, подразделения Intel Security, по региону EMEA. Свою уже более чем 15-летнюю карьеру с области кибербезопасности он начинал в различных структурах Армии США и этот опыт весьма пригодился при последующем переходе в McAfee.

Морис, как бы вы охарактеризовали текущее состояние дел в кибербезопасности?

Важно отметить, что сегодня изменился сам характер киберугроз. Операционная среда предприятий значительно расширилась — они выходят на новые рынки, в смежные отрасли и все сильнее зависят от информационных систем, которые сами стали более сложными и взаимозависимыми. Все это делает их потенциально более уязвимыми.

С другой стороны, кибератаки становятся сфокусированными. Причем, если когда-то они носили чисто технический характер, и для крупных предприятий являлись, скорее, просто раздражителем, то сегодня большинство из них, будь то DDoS или кража персональных данных, имеют целью нанесение вполне конкретного ущерба.

Фактически, мы наблюдаем качественный переход: зависимость от информационных систем приводит к трансляции угроз с киберуровня в реальный физический мир. К примеру, атаки на энергетические предприятия вполне могут привести к техногенным последствиям. А компрометация военных систем — поставить под угрозу человеческие жизни и вызвать самые непредсказуемые политические последствия.

Также нужно отметить постоянное совершенствование вредоносного ПО и методов проведения атак, что является следствием формирования «черного» рынка соответствующих инструментов и технологий. То, что когда-то было доступно лишь хакерам самого высокого уровня, сегодня может попросту приобрести весьма широкая аудитория злоумышленников.

Но можно ли выделить какие-то самые главные угрозы?

Основные киберугрозы сегодня, безусловно, исходят из Интернета, Веба, причем сформировалась группа наиболее подверженных атакам приложений и технологий. К последним относятся, прежде всего, браузеры, Java, Flash, которые присутствуют на огромном числе устройств различных типов. Соответственно, охват каждой атаки может быть просто огромным и потому группы хакеров целенаправленно ищут и находят все новые уязвимости в таком ПО.

Значит ли это, что и защищаться всем организациям надо примерно одинаково?

Разница в подходах к защите, безусловно, имеется. Но она заключается, скорее, не в технологических особенностях, а в уровне ответственности. Успешная кибератака на коммерческое предприятие обычно наносит ущерб лишь конкретному бизнесу, а на государственную организацию может поставить под угрозу не просто большое число граждан, но и саму национальную безопасность.

Вы долгое время работали в военных организациях, насколько приобретенный там опыт актуален для вашей нынешней деятельности?

В действительности, параллелей очень много. Кибератаки характеризуются асимметричностью, качеством, которое мы все чаще отмечаем и в современных приемах ведения боевых действий — когда сравнительно слабый и хуже обеспеченный противник может, тем не менее, добиться определенных успехов. Примерами могут служить террористические атаки, партизанское движение или даже события последнего времени в Украине.

В кибербезопасности асимметричность проявляется даже сильнее — небольшой коллектив злоумышленников или один профессиональный хакер могут нанести огромный урон. Поэтому и принципы защиты в какой-то степени можно позаимствовать из военной сферы. К примеру, во время операций в Ираке и Афганистане большую проблему создавали самодельные взрывные устройства. Их обезвреживание требовало огромных усилий и ресурсов, поэтому борьба была направлена на противодействие их производству — пресечение поставок определенных материалов, выявление инфраструктуры распространения и пр. — и дала необходимый результат. Так же и в кибербезопасности: наибольший эффект, по-видимому, даст борьба не с самим вредоносным кодом, а с инфраструктурой его производства, распространения, финансирования. Для этого, конечно, требуется тесное взаимодействие различных служб и организация многоуровневого мониторинга.

Другая параллель: в асимметричной войне, в первую очередь, необходима защита центров концентрации людей; в борьбе с киберугрозами — хранилищ наиболее важных и ценных данных.

Почему важно говорить именно об архитектуре безопасности?

Мы действительно сторонники идеи комплексной многоуровневой защиты, которая при этом, однако, будет функционировать как единое целое. Она, к тому же, должна охватывать не только собственно технологическую сферу, но и смежные области, организационные и управленческие аспекты. Необходимо, к примеру, обеспечить информирование и обучение сотрудников. Только это позволит построить действительно надежную, гибкую и, что очень важно, устойчивую к различным воздействиям защиту. Просто внедрения отдельных решений абсолютно недостаточно, так как ценность для бизнеса представляет информационная безопасность, как единое целое.

Но не подразумевает ли такой подход дополнительную сложность?

Нет, не обязательно. Какие-то системы и решения действительно могут быть сложными, состоять из множества компонентов. Но если архитектура безопасности корректно спроектирована, то ее поддержание и обеспечение как раз упростятся — за счет прозрачности функционирования, предусмотренных средств контроля и пр. Сложность, скорее, проявляется в тех случаях, когда пытаются изобретать нечто свое, вместо того, чтобы положиться на стандартные спецификации, протоколы и процедуры.

Существует ли эталонная спецификация архитектуры безопасности, которую можно было бы просто адаптировать к конкретным случаям?

Фактически, это наша McAfee Security Connected Platform, которая объединяет множество технологий и компонентов, основанных на международных стандартах и принципах интероперабельности. У нас есть также типовые решения для отдельных направлений, вроде электронного правительства, центров обеспечения безопасности, электронной медицины и т.п., которые включают необходимые строительные блоки, базовые руководства и рекомендации.

Может ли конкретная реализация такой архитектуры быть гетерогенной, т.е. построенной не только из компонентов McAfee?

Я уже говорил, что для эффективной работы системы безопасности необходимо тесное взаимодействие отдельных компонентов, что подразумевает поддержку стандартов и умение работать с различными типами информации. Поэтому McAfee создала Security Innovation Alliance, специальную партнерскую программу, целью которой является именно обеспечение взаимодействия между решениями в области кибербезопасности от различных вендоров, упрощение их совместного внедрения и получения максимального эффекта.

А что принесло McAfee сотрудничество с Intel?

Как известно, Intel реализует в свои процессорах и чипсетах специальные функции безопасности, такие как аппаратное шифрование или защита BIOS, способные существенно повысить уровень безопасности конечных точек. Эти функции, конечно, доступны всем участникам рынка, но McAfee, в силу своего положения, первой получает возможность ознакомиться с ними и внедрить в своих продуктах. Кроме того, сегодня мы сотрудничаем с Intel в таких областях, как IoT и облачные вычисления, которые в ближайшее время будут играть определяющую роль, и вопросы безопасности там будут стоять особенно остро.

Безопасность в «облаках», по-видимому, требует каких-то специфических подходов? Что здесь предлагает McAfee?

Это обширная проблематика, на которую можно смотреть с разных точек зрения. Так, мы разрабатывает компоненты для защиты серверов и инфраструктуры, которые позволяют облачным провайдерам защищать свои сервисы. Здесь еще предстоит многое прояснить и сделать, поэтому McAfee стала членом Cloud Security Alliance, некоммерческой организации, которая занимается разработкой спецификаций и рекомендаций по обеспечению безопасности в «облаке». Между прочим, мы были пионерами в сфере Intelligence-as-a-Service и с 2008 г. поддерживаем оперативную онлайновую базу знаний об угрозах, которая используется и сторонними компаниями в своих продуктах: межсетевых экранах, веб-фильтрах и пр.

Другое важное направление нашей облачной стратегии, развиваемое в сотрудничестве с Intel, — обеспечение безопасного использования облаков бизнесом. Наше решение Intel Secure API Gateway позволяет защищать API сервисов и контролировать их использование приложениями и устройствами. Тем самым обеспечивается совершенно новый уровень безопасности, фактически, мы можем построить некую оболочку вокруг любого приложения и сервиса, так что доступ к его API будет происходить совершено прозрачно и в соответствиями с требованиями политик.

Кроме того, мы начали тесно сотрудничать с известными облачными компаниями, такими как VMware и Amazon, чтобы гарантировать корректную работу наших управляющих инструментов в гибридных инфраструктурах. Такая унификация очень важна, ведь для бизнеса не должно иметь значения, где находится тот или иной информационный актив — в локальном ЦОД или в публичном «облаке».

Многие ваши решения сегодня предоставлены в виде SaaS, насколько велик спрос на них?

Это уже огромный рынок, и он продолжает расти. Облачные сервисы для таких фундаментальных вещей, как защита почтового и веб-трафика, завоевывают все большую популярность даже у крупных и правительственных организаций. Это объясняется мобильностью их сотрудников, а также экономической эффективностью облачных решений, благодаря их гибкости и простоте масштабирования.

И последний вопрос, Морис, что ожидает сферу кибербезопасности в ближайшем будущем?

C приходом IoT наше соприкосновение с информационными системами кардинально вырастет, они будут окружать нас буквально повсюду. Соответственно, вырастет и возможность злоумышленников влиять не только на наши компьютеры и данные, но и на саму нашу жизнь, в буквальном смысле. Поэтому сотрудничество McAfee и Intel в этой области мне кажется особенно важным и перспективным.

С точки зрения организации защиты я вижу другую интересную тенденцию. Я уже говорил о важности анализа всего происходящего в киберпространстве и своевременном оповещении о угрозах — теперь, по-видимому, в эту область придут технологии Big Data. Потребность в этом действительно назрела, все больше появляется новых устройств, сервисов, приложений, и для анализа данных о них требуются качественно новые подходы. Не случайно в последнее время стали появляться стартапы соответствующей направленности.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365