Ежегодная конференция RSA собрала 1–5 марта в Сан-Франциско известных специалистов в области информационной безопасности, которые обсудили основные тенденции развития ИТ-сегмента и связанные с ними проблемы защиты. Как показал опыт прошлого года, киберпреступность не стала прибегать к более хитроумным технологиям, зато она лучше организовалась, успешнее использует средства автоматизации, вызывая хаос в корпоративных сетях, располагает большим массивом данных и активнее задействует методы социальной инженерии и целевые атаки.
|
Пожалуй, заглавной темой нынешней конференции стали облачные вычисления, которые меняют сами способы ведения бизнеса. По мнению экспертов, эта технология наиболее перспективна и в последующие несколько лет будет определять развитие всей индустрии. Но невзирая на значительный рост числа поставщиков соответствующих услуг, облачные решения внедряются не слишком быстро – интеграция серверов, сетевых хранилищ и управляющего ПО неизбежно усложняет систему, а непрозрачность работы облачных сред повышает риски безопасности. Согласно данным опроса Enterprise Management Associates, охватившего 850 ИТ-директоров, несмотря на то что как минимум две трети ИТ-бюджетов тратятся не на инновации, а на поддержку имеющихся инфраструктуры и приложений, только 11% компаний планируют в ближайший год внедрять облачные сервисы.
|
Арт Ковьелло: «В 1997 г. основатель медиалаборатории МТИ Николас Негропонте (Nicholas Negroponte) утверждал, что Интернет – чрезмерно разрекламированный, но недостаточно оцененный феномен. Сейчас, почти 15 лет спустя, благодаря облачным вычислениям появляется реальная возможность полностью раскрыть его потенциал, преобразовав традиционные ИТ-инфраструктуры» |
Как подчеркнул в своем докладе президент и исполнительный директор RSA Арт Ковьелло (Art Coviello), реализации мощного потенциала облачных вычислений мешает недостаток доверия к их безопасности. Это ставит перед индустрией задачу создания таких систем защиты, которые позволят сделать облачные вычисления надежнее существующих физических решений, гарантировать безопасность и данных, и их передачи на всех уровнях и для всех заказчиков. По мнению г-на Ковьелло, начальным этапом станут внедрение в облаках политик информационной безопасности и средств идентификации, традиционных в реальном мире, использование полностью виртуализованных и автоматизированных ЦОД, где рабочие потоки и приложения управляются исключительно на уровне предопределенных правил и сервисов. Кроме того, важными аспектами являются разделение ответственности за безопасность данных между провайдером и потребителем сервисов, прозрачность в вопросе обеспечения изоляции рабочих потоков разных заказчиков вплоть до размещения виртуальных сред на выделенных физических серверах. Для реализации таких качественно новых «многопользовательских» систем необходимо радикально пересмотреть нынешние подходы к построению связей между реальным и виртуальным мирами. Проблеме обеспечения целостности данных в облаках и проектированию надежных с точки зрения безопасности облачных инфраструктур был посвящен доклад Джима Ривиса (Jim Reavis) из некоммерческой организации Cloud Security Alliance и Стива Райли (Steve Riley) из Amazon Web Services LLC.
Эксперты сходятся во мнении, что обнаружение вредоносного ПО все усложняется – киберпреступность оперативно адаптируется к новым технологиям защиты и методам построения корпоративных сетей, в результате, по оценке соучредителя компании InGuardians Эда Скодиса (Ed Skoudis), современные популярные антивирусные пакеты обнаруживают примерно 70–90% вирусов. Более широкое использование эвристических анализаторов и поведенческих блокираторов может немного улучшить ситуацию, но общие тенденции не внушают оптимизма. Традиционные подходы к защите информации оказываются неэффективными, утверждает Йоханнес Улрих (Johannes Ullrich), директор по технологиям Internet Storm Center SANS. С его точки зрения, лучший способ защитить ИТ-инфраструктуру – отслеживать избыточную активность и подозрительные соединения, разбивать сеть на сегменты внутренними брандмауэрами, не возлагать больших надежд на шифрование (в частности, SSL), да и вообще стараться не подключать компьютеры к Интернету, если без этого можно обойтись.
|
Скотт Чарни: «Первоочередная задача индустрии – вернуть доверие к Интернету. Сделать это можно, пересмотрев глобальную политику безопасности и практику правового преследования киберкриминала» |
Тенденция к самоорганизации и разрастанию сообщества киберпреступников отмечалась еще на предыдущей конференции RSA, однако за последний год она приобрела еще больший размах, так что нынешние координация действий и технологическая оснащенность киберкриминала дают основание говорить о формировании нового вида организованной преступности. Кибервойны стали реальностью. Широко обсуждаемая в кулуарах конференции операция «Аврора», поразившая Google, Adobe и десяток других крупных компаний (ko.com.ua/47356), – не просто аномальная атака, а первая масштабная организованная кампания по проникновению в корпоративные системы с целью завладения интеллектуальной собственностью. Данный инцидент поднял целый ряд проблем, связанных с самой возможностью противостоять массированным атакам из таких регионов, как Китай и Россия. В этот раз на конференции были широко представлены правительственные структуры США, призванные обеспечивать национальную безопасность, в том числе информационную. Министр национальной безопасности США Джанет Наполитано (Janet Napolitano) в своем докладе подчеркнула, что с точки зрения ее ведомства первостепенной задачей становится защита информационных структур стратегических объектов (систем водо- и энергоснабжения, атомных электростанций, нефтеперерабатывающих предприятий). Для координации усилий в данном направлении министерством разработана Comprehensive National Cybersecurity Initiative.
Актуальность данной программы подтверждает и опрос Center for Strategic and International Studies (CSIS), охвативший 600 ИТ-директоров и ведущих специалистов по защите ИТ-инфраструктур станций водоочистки, нефтеперерабатывающих заводов, электрораспределительных сетей и показавший отсутствие у них уверенности в возможности обезопасить свои предприятия от кибератак. При этом около 40% руководителей ожидают крупных инцидентов уже в нынешнем году, а 80% не сомневаются в том, что столкнутся с массированными попытками вторжений в ближайшие пять лет.
|
Джанет Наполитано: «Наша задача – обеспечить информационную защиту стратегических объектов, не ущемляя при этом прав и свобод граждан» |
Еще одна программа обеспечения информационной безопасности США, National Cyber Investigative Joint Task Force, была разработана в недрах ЦРУ и объединяет 17 органов юстиции. Директор ЦРУ Роберт Меллер (Robert Mueller) рассказал о первых ее успехах: группе по борьбе с ботнетами удалось нейтрализовать сеть Mariposa, инфицировавшую около 12,7 млн ПК в 190 странах, а группе, изучающей атаки на финансовые компании, – выявить уязвимость в одном из широко распространенных финансовых приложений, которая позволила злоумышленникам взломать систему шифрования, получить доступ к номерам счетов и PIN-кодам и в течение суток по поддельным картам обналичить около 9 млн долл. через тысячу банкоматов по всему миру. Все официальные лица сходятся во мнении, что для эффективной борьбы с киберпреступностью необходимо объединить усилия правительственных организаций и частного бизнеса.
Скотт Чарни (Scott Charney), корпоративный вице-президент Microsoft Trustworthy Computing Group, сообщил о намерении Microsoft объявить войну операторам ботнетов по всем фронтам – за счет как социальной и правовой помощи компаниям, так и прямого судебного преследования злоумышленников. Он напомнил, что по инициативе корпорации удалось ликвидировать ботнет Waledac – в конце февраля федеральный суд штата Виргиния выдал ордер на закрытие около 300 доменов, вовлеченных в его деятельность. При этом Скотт Чарни отметил, что подобные меры, конечно, не станут панацеей от худших сценариев кибервойн, но являются реальным шагом к повышению защиты всей индустрии.
|
Роберт Меллер: «Противодействие киберпреступности не ограничивается блокированием разного рода атак. Правоохранительные органы и частный бизнес должны объединить усилия и создать систему коллективной безопасности – только она позволит защитить нашу экономику и наше государство» |
Одним из наиболее обсуждаемых на конференции был вопрос активизации фишинговых атак: в январе нынешнего года зафиксирован их рекордный рост – на 21%, при этом доля атак через сети Fast Flux достигла 24% (в декабре – 4%). Как правило, более всего от таких махинаций страдают финансовые учреждения, но в последние месяцы под прицел злоумышленников попали колледжи и университеты. По мнению вице-президента Bank of America Тодда Инскипа (Todd Inskeep), для противодействия фишингу необходимо кардинально изменить методы и протоколы аутентификации в почтовых системах. В связи с этим он сообщил, что в прошлом году было опубликовано руководство по внедрению DKIM (позволяет организациям добавлять криптографические подписи на исходящую корреспонденцию) и Sender Policy Framework (обеспечивает выявление поддельных адресов отправителей на уровне DNS-серверов). Согласно последним данным, это дало возможность увеличить долю корреспонденции с SPF-удостоверениями до 51% и сообщений с DKIM – до 16%.
Проблема безопасности социальных сетей не только не сошла с повестки дня, а напротив, стала еще более актуальной – такие интернациональные сообщества, как Facebook, LinkedIn и пр. значительно упрощают задачи социальной инженерии и целевые атаки, популярность которых только растет. При этом, например, обычное увеличение потока корреспонденции в LinkedIn иногда позволяет собрать потенциально чувствительные корпоративные данные. По сути, большинство экспертов видят всего один, причем довольно простой способ решения проблем безопасности в социальных сетях – для этого управляющим компаниям достаточно расширить штат профильными специалистами и проверять все массовые ссылки, как это делает, например, Google.
Традиционно, помимо обсуждения тенденций в индустрии безопасности, на конференции RSA также анонсируются передовые разработки в данном сегменте. Не было недостатка в них и на этот раз.
Компания AirPatrol объявила о выпуске Rapid Deployment Sensor (RDS), первого беспроводного продукта, используемого в системах обнаружения. Этот компактный оснащенный элементом питания сенсор поддерживает стандарт 802.11, идентифицирует мобильные аппараты, работающие в диапазонах 824–849 и 1850–1910 МГц, устройства iDEN диапазона 806–824 MГц и обеспечивает оперативное развертывание беспроводной системы защиты.
Netronome продемонстрировала программно-аппаратный комплекс Netronome SSL Inspector, предназначенный для работы в высокоскоростных сетях (10G). Этот продукт, соответствуя регуляторным нормам PCI, SOX и HIPPA, позволяет проверять шифрованные пакеты, при этом не оказывая негативного влияния на пропускную способность и время отклика сети.
Net Optics представила Director Pro Fabric Access Switch, который оптимизирует работу сетевого мониторинга, направляя подлежащий анализу трафик на подходящее устройство. Продукт предназначен для крупных ЦОД и операторов связи, поддерживает сети 1G и 10G, в нем реализована технология Deep Packet Inspection (DPI), а функции предварительной фильтрации помогают быстро диагностировать проблемы, ускоряют работу приложений и повышают эффективность и безопасность инфраструктуры.
|
Дэвид Деуолт: «Мы живем в мире организованной киберпреступности, сложного вредоносного ПО, целевых атак, многоуровневых вторжений. Времена, когда информационную защиту могло обеспечить правильно подобранное ПО, безвозвратно прошли – сегодня нужны совершенно иные подходы» |
Поставщик отраслевых решений для здравоохранения компания Aventyn показала технологию healthKrypt защиты персональных данных пациента путем шифрования с помощью динамических алгоритмов, учитывающих его индивидуальный номер, устройство, контент и пр.
Microsoft анонсировала Forefront Identity Manager 2010, новый продукт линейки Forefront, призванный существенно упростить управление идентификационной информацией и доступом в гетерогенных корпоративных средах. Это решение обеспечивает сервисы самообслуживания конечных пользователей и делегирование полномочий, предоставляет гибкий инструментарий для автоматизации рутинных операций управления учетными записями, паролями, сертификатами и смарткартами на основе единых политик.
А Gemalto тут же объявила об интеграции своей системы Protiva Strong Authentication Server с Microsoft Forefront Identity Manager 2010, благодаря чему последний можно применять для администрирования устройств OTP.
Компания Lieberman Software дополнила решение Enterprise Random Password Manager (ERPM) новыми функциями мониторинга и управления в облачных средах – теперь продукт способен обеспечить защиту и физических, и виртуальных серверов, сетевых устройств, гипервизоров, БД SQL Server и Oracle 11g, ПО промежуточного слоя, различных приложений. Он отслеживает увеличение времени ожидания в проводных и беспроводных сетях, разграничивает доступ к ресурсам в соответствии с заданными ролями, позволяет провайдерам облачных сервисов гибко делегировать привилегии, включает функции аудита и формирования отчетности.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365