МУК ЭКСПО 2017 – технологии и безопасность

MUK EXPO ежегодно собирает свыше 1 500 украинских и зарубежных ИТ-профессионалов. Свои решения представляют более 40 компаний-участниц — лидеров рынка информационных технологий. Технологическими партнерами выставки стали Dell EMC, Hitachi, HPE, VMware, IBM и Grandstream.

В рамках выставки состоялась масштабная конференция, которая по тематике была разделена на две части. В первой половине дня в двух потоках проходили технологические доклады, тогда как остальное время было полностью посвящено проблемам информационной безопасности (ИБ). В целом участники конференции могли прослушать 17 выступлений. Некоторые из них представлены ниже.

Не желая затеряться в толпе конвергентных и гиперконвергентных инфраструктур, НРЕ выводит на рынок решение, которое называется  Composable Infrastructure (компонуемая инфраструктура). Эту концепцию в свое время продвигала Intel в своем Rack Scale Design. Идея строилась на высокоплотных стойках, объединяющих в одну систему компьютеры, сети и СХД, и использовании ПО для создания виртуальных серверов, которые имеют все, что необходимо приложению для оптимальной производительности. Подобно физическим серверам, на этих виртуальных серверах могут запускаться ОС, ВМ или контейнеры. Разница в том, что если вы нуждаетесь в увеличении ресурсов – CPU, GPU, памяти, дисков, сетей, – вы можете получить их, изменяя конфигурацию сервера «на лету».

НРЕ реализовала эту концепцию в платформе для построения компонуемой инфраструктуры – HPE Synergy. О ней рассказал менеджер по продукции «серверные системы НРЕ» Александр Головченко.

Прежде всего он отметил, что концепция Composable Infrastructure и сама платформа HPE Synergy предназначена для крупных отечественных предприятий, хотя в США может использоваться на малых и средних предприятиях по американским меркам.

Компонуемая инфраструктура является эволюционным развитием гиперконвергентных систем, но отличается от них наличием аппаратных модулей, позволяющих управлять как физической, так и логической инфраструктурой. Благодаря этому появляется возможность доступа к пулу ресурсов по требованию.

Основная концепция HPE Synergy – это обеспечить возможность работы с ИС – с приложениями, ОС, хранилищами данных, с железом и в целом с ИТ – согласно двум моделям. Первая – это традиционная модель, которая разрабатывалась для поддержки и автоматизации существующих бизнес-процессов, таких как сотрудничество, обработка данных и аналитика, цепочки поставок и веб-инфраструктуры. Вторая модель, которая характеризуется облачным стилем, направлена на поддержку приложений и сервисов нового поколения. Она основывается на новом опыте компаний, использующих мобильность, большие данные и нативные облачные технологии. Таким образом, ИТ разрывается между традиционной средой, требующей снижения операционных расходов, и новой прикладной средой, требующей повышения скорости операций.

HPE Synergy содержит три определяющих элемента: гибкий пул вычислительных, сетевых и дисковых ресурсов в единой инфраструктуре; программно-определяемую логику, которая позволяет управлять этими ресурсами как единым целым и динамически распределять сообразно нуждам приложений, и единый API, обеспечивающий доступ к этим ресурсам посредством кода.

Управление вычислительными модулями выполняется блоками Composer и Image Streamer. Они позволяют предоставлять «физическое состояние» и «разворачиваемое программное состояние» посредством единого серверного профиля. Именно эта особенность позволяет описывать инфраструктуру как код. Любой компьютерный модуль, если он доступен, может быть использован в любое время с любым шаблоном развертывания для рабочей нагрузки. Это позволяет вычислительным модулям быть частью подвижного пула ресурсов, готовых для выполнения любой нагрузки и не хранящих память о состоянии, если они освобождаются. Это разрешает управлять физическими вычислительными ресурсами, как ВМ.

Чтобы ускорить развертывание рабочей нагрузки, HPE Synergy использует Image Streamer, репозиторий загрузочных образов ОС, гипервизоров и приложений, которые могут передаваться через множество вычислительных модулей за считанные секунды. Эта уникальная возможность позволяет HPE Synergy настраивать и обновлять инфраструктуру с высокой скоростью и согласованностью. Это значительно быстрее, чем традиционный последовательный процесс построения вычислительных модулей – физический модуль, за которым следует установка операционной системы или гипервизора. Таким образом, если необходимо развернуть новый сервер приложений или виртуальный десктоп, то это делается с помощью выбора необходимого шаблона.

В итоге, платформа HPE Synergy предоставляет бизнесу ряд привлекательных возможностей. Она позволяет ускорить доставку приложений и сервисов с помощью единого интерфейса, который точно и почти мгновенно компонует логическую инфраструктуру; снизить операционные расходы посредством программно-определяемой логики, управляемой шаблонами; увеличить продуктивность и управляемость ЦОД, объединяя и автоматизируя инфраструктурные операции и приложения с помощью единого API. Как отмечалось выше, она также позволяет техническое описание инфраструктуры в форме кода, предоставляя голое железо посредством одной командной строки – тем же способом, что и ВМ и облако.

Сегодня в единый ресурсный пул может быть объединено 252 сервера, что может составить 14 тыс. ядер и 775 ТБ ОЗУ. По словам докладчика, на отечественном рынке активно продаются две конфигурации системы: 60 серверов (3360 ядер, 180 ТБ ОЗУ) и 36 серверов (2016 ядер, 108 ТБ ОЗУ).

Александр Головченко: «Компонуемая инфраструктура отличается от гиперконвергентных систем наличием аппаратных модулей, позволяющих управлять как физической, так и логической инфраструктурой»

Как отметил в начале своего выступления технический специалист IBM Сергей Костенко, сейчас интерес заказчиков все больше смещается к программному обеспечению – аналитике, большим данным, программно-определяемым системам. В то же время, все это нужно на чем-то разворачивать.

Что же сегодня происходит в области СХД? Компания Gartner отмечает следующие особенности.

Благодаря включению SSD в массивы, производительность больше не является отличием сама по себе, но масштабируемость помогает повысить операционную и финансовую эффективность благодаря упрощению консолидации хранилищ. Далее, отличие продукта создается в основном за счет особенностей в архитектуре, функциональности программного обеспечения, потоке данных, поддержки и качества микрокода, а не за счет компонентов и упаковки. Кластерные, масштабируемые и интегрированные архитектуры хранения и продукты могут достичь уровней масштабируемости, производительности, надежности, удобства обслуживания и доступности, сопоставимых с традиционными масштабируемыми массивами высокого класса.

Набор функций высокопроизводительных массивов хранения адаптируется медленно, и старые системы неспособны предлагать предварительную обработку данных, виртуализацию и поддержку единого протокола.

В сложившейся ситуации Gartner дает ряд рекомендаций. В частности, при принятии решений о покупке больших массивов хранения не следует сосредоточиваться на технических атрибутах, а рассматривать также поддержку и обслуживание производителя, стоимость приобретения и владения. При выборе высокоуровневых СХД не нужно руководствоваться только положением производителя на рынке и репутацией продукта. Нужно выбирать дисковые массивы на основе взвешивания и критериев, созданных ИТ-отделом компании, чтобы соответствовать ее организационным или деловым целям, а не те СХД, у которых больше всего возможностей или наивысших общих баллов.

Действительно, продукты ведущих производителей СХД имеют практически одинаковые технические характеристики и выполняют одинаковые задачи. Однако они отличаются по реализации и функциональности ПО, архитектуре и дизайну, используемых технологиях и алгоритмах, аналитике и глубокому обучению. Сегодня это позволяет достичь тех же результатов при меньших затратах.

Современные ИТ-системы включают ИИ и глубокое обучение. Эти технологии помогают оптимизировать ИТ-инфраструктуру предприятия. В последней линейке IBM Power-систем появилась технология Power AI. Она позволяет обрабатывать большое количество изображений и распознавать их на основе машинного обучения. Используя новое распределенное программное обеспечения глубокого обучения с почти идеальной масштабируемостью, IBM Research достигла новой точности распознавания изображений 33,8% для нейронной сети, обученной на очень большом наборе данных (7,5 млн. изображений).

Сергей Костенко: «Отличие продукта создается в основном за счет особенностей в архитектуре, функциональности ПО, потоке данных, поддержки и качества микрокода, а не за счет компонентов и упаковки»

При выборе вычислительных систем заказчики обычно задают одни и те же вопросы: насколько быстрые процессор, сервер, СХД и т. п. Однако важно, как отметил выступающий, не то, насколько быстро, а, скорее, насколько точно данные могут быть обработаны и насколько адекватен ответ.

Сессия по кибербезопасности началась с доклада начальника Департамента киберполиции Национальной полиции Украины Сергея Демедюка, который назывался «Безопасность киберпространства Украины. Результаты работы и перспективы украинской киберполиции».

С развитием ИТ и высоких технологий количество угроз возрастает, отметил он. И основу их в большинстве случаев составляют киберпреступления. Это происходит во всем мире, и Украина, как мы недавно увидели, является одним из полигонов для них.

При создании подразделения киберполиции государство ставило одну цель: эффективно противостоять кибератакам, которые направлены на Украину. Сегодня кибератака может быть выполнена откуда угодно, и для этого не нужно даже выходить из дома. Более того, она может быть выполнена из мест лишения свободы.

Подразделению всего два года, но оно, по мнению его начальника, уже зарекомендовало себя с положительной стороны. Подразделение занимается созданием аппаратно-программного комплекса для обнаружения, прекращения и ликвидации последствий преступных действий в киберпространстве.

Цель подразделения – построить прямое практическое взаимодействие с частным сектором. Сегодня уже осуществляется совместная работа со многими частными структурами как отечественными, так и зарубежными, в том числе с сетевыми компаниями, которые занимаются кибербезопасностью. Также налажено прямое взаимодействие с практическими правоохранительными органами многих стран. Поэтому, если у компании возникают трудности с получением информации из-за рубежа об угрозах, подразделение готово оказать помощь без лишних формальностей.

Сергей Демидюк: «При создании подразделения киберполиции государство ставило одну цель: эффективно противостоять кибератакам, которые направлены на Украину»

Сегодня подразделение фиксирует многочисленные атаки как на госорганы, так и на частный сектор. В основном они носят пассивный характер, то есть, сбор информации пассивными методами. Однако каждый день подразделение обнаруживает целевые атаки, которые направлены на ту или иную компанию для получения коммерческой, финансовой и конфиденциальной информации, такой как разработки, хранение данных за рубежом. Кроме этого, обнаружены целевые и прямые атаки на облачные хранилища, которыми пользуются украинские компании.

К сожалению, как отметил докладчик, в большинстве отечественных компаний профессионально выполняется администрирование вычислительных систем, а активная прямая защита – в единицах. Нужно четко представлять, что в обязанности сисадмина входит обеспечение бесперебойной работы информационной системы, поэтому у него должен быть помощник – офицер  кибербезопасности, который бы активно осуществлял поиск уязвимостей, поиск информации о возможных атаках с тем, чтобы не стать их жертвой. Как правило, эти функции в большинстве компаний выполняет сисадмин, однако он просто физически не в состоянии выполнить эти задачи. Без сотрудничества со специалистом по кибербезопасности подразделение не сможет успешно противостоять атакам и сохранить цифровые данные, которые предоставили бы возможность их расследовать.

Наибольшей кибератакой, которая состоялась за историю Украины, это распространение программы-вымогателя Petya. Этот пример показывает, что сегодня киберпреступники отходят от локальных атак. Они атакуют прикладные программы, с помощью которых распространяют вредоносный код. Украина первой столкнулась с такой атакой, и подразделение на основе приобретенного опыта готово предоставить консультации любой компании и правоохранительным органам, в том числе и зарубежным.

Недавно киберполиция подписала меморандум с одним из операторов связи о предоставлении бесплатного канала для доставки важной информации объектам, которые в ней нуждаются. Это не будет системой общегосударственного оповещения, она предназначена для тех компаний, которые подвергаются атакам или могут им подвергнуться. Меморандум намного ускорит доставку оперативной информации целевым объектам. Компании могут предоставить свои статические IP-адреса, чтобы получать информацию напрямую.

В заключение выступающий обратился к аудитории с призывом активно сотрудничать с киберполицией Украины для своевременного обнаружения и эффективного противодействия будущим атакам.

О расследовании нескольких кибератак, в которых принимала участие команда Cisco Talos, рассказал системный инженер Павел Родионов.

Павел Родионов: «Те компании, у которых была выстроена архитектура системы безопасности и процессы, связанные с ИБ, не либо пострадали, либо понесли минимальный урон»

Сейчас компании, которые занимаются кибербезопасностью, уже не могут обойтись некоторым набором точечных продуктов. Для того чтобы обеспечить приемлемый уровень защиты, требуется тесное взаимодействие с другими компаниями, необходим детальный сбор информации из Интернета, и этот сбор должен выполняться неким специализированным подразделением. У Cisco таким является Talos.

В качестве первого примера докладчик выбрал WannaCry. Это червь-вымогатель, который начал распространяться в мае этого года и по различным оценкам заразил от десятков до сотен миллионов компьютеров.

Черви – далеко не новое явление. Что же вызвало появление WannaCry? Ему способствовала, в частности, демократизация общества – возможность доступа к ранее засекреченным объектам и информации. Именно она, по словам докладчика, вызвала увеличение разработок вредоносного кода и программ-вымогателей. Другая проблема – подключение к Интернету всего что угодно. Разработчики этого «всего» совершенно не заботятся о безопасности своих продуктов, да и смысла нет – через месяц выйдет новый. Кроме этого, в Интернет часто выкладывается вредоносный код, как это сделала группа Shadow Brokers. Именно он способствовал появлению и распространению WannaCry. Червь для распространения использовал уязвимость в ОС Windows. Через эту дверь можно было попасть в систему с правами администратора.

Успешное заражение WannaCry огромного числа компьютеров заставляет сделать ряд выводов. Прежде всего, нужно своевременно устанавливать заплатки по безопасности. Список уязвимостей, в который входила и упомянутая выше, был опубликован в марте. В конце марта уже  появились заплатки для этих уязвимостей. И если бы они были вовремя установлены, столь массового заражения не произошло бы.

Вторым примером послужило семейство вирусов Petya. Украина подверглась атаке этим вирусом в конце июня. По оценкам последствий для экономики, это была самая массированная атака в мире. Уже в тот же день Cisco начала получать информацию о заражении. Были подключены аналитики, создана координационная рабочая группа, в которую вошли несколько ведомств и несколько украинских компаний, связанных с кибербезопасностью. По оценкам Cisco, сама атака завершилась около 16 часов того же дня. Уже вечером киберполиция опубликовала первые выводы о кибератаке и ее возможном источнике. Анализ поступивших образцов вредоносного кода показал, что это было совершенно новое вредоносное ПО, которое для своего распространения использовало уже несколько технологий, в частности, в него было интегрировано несколько механизмов распространения – WannaCry и стандартных инструментов Windows. При попадании в компьютер с правами администратора запускалась утилита шифрования данных. Оно выполнялось в двух фазах. В первой шифровались отдельные файлы в компьютере, а во второй – делалась попытка перезаписать загрузочный сектор, чтобы при следующем запуске зашифровать весь жесткий диск.

Метод распространения программы был разработан с целью захватить как можно больше компьютеров. Она могла проникнуть в несколько тысяч компьютеров примерно за 30 мин.

Когда начало поступать множество сообщений о заражении, возник вопрос об источнике червя. Первое, что было обнаружено с помощью анализа кода, что дешифрование не предполагалось. По данным телеметрии, одним из источников распространения было украинское ПО для документооборота М.Е.Doc. Группа реагирования получила доступ к исходному коду продукта и северам обновлений.

Результаты анализа показали, что сервер обновлений был взломан достаточно давно, и в код программы М.Е.Doc были внесены соответствующие изменения. Изменения позволяли, с одной стороны, передачу данных на любой сервер, а с другой – выполнение любого кода с помощью взломанной программы. Непосредственно в день атаки злоумышленник подключился к серверу обновлений и изменил его конфигурацию таким образом, чтобы все запросы на обновление кэшировались на один из серверов во Франции. Это сервер был обнаружен и данные на нем были впоследствии забиты 0.

Наиболее неприятный вывод из этого тот, что преступники решили пожертвовать таким уникальным каналом управления 80% компьютеров украинских предприятий. Это может быть чисто случайным, либо у них есть другой канал управления.

Есть вероятность того, что атаковать должны были несколько крупных украинских предприятий, но просто не оценили масштаб.

Еще одно событие в области кибербезопасности – это взлом популярной утилиты CCleaner. Она выполняла некий вредоносный код, но еще подключалась к неким серверам для загрузки другого вредоносного кода. Своевременное обнаружение взлома предотвратило действия CCleaner. Аналитики предполагают, что CCleaner был направлен против примерно двадцати высокотехнологичных компаний США. Разработчики вредоносной версии оказались очень дисциплинированы. Учитывая, что под их контролем оказалось около 2 млн. компьютеров, они не тронули ни один из них. Это заставляет думать, что это не обычные злоумышленники, а тщательно подготовленная одним из фрилансеров программа для шпионажа.

Что можно вынести из описанных выше трех атак? Те компании, у которых была выстроена архитектура системы безопасности и процессы, связанные с ИБ, не либо пострадали, либо понесли минимальный урон. Компании, у которых был лишь набор точечных решений, понесли максимальный урон.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365