Паскаль Гиненс, Radware: «Нужен баланс между затратами на кибербезопасность и ценностью защищаемых ресурсов»

8 июль, 2019 - 19:16Леонид Бараш

Евангелист по кибербезопасности из компании Radware Паскаль Гиненс (Paskal Geenens), как следует из его должности, несет в массы знания про информационную безопасность. Его доклад открывал прошедший недавно форум Cisco Cyber 19. Во время нашей встречи мы попросили его ответить на ряд актуальных вопросов о сложившейся ситуации в области ИБ, и первый из них был о том, какова общая картина на этом рынке, другими словами, каков ландшафт угроз, с одной стороны, и методы противостояния атакам, с другой.

Описать глобальный ландшафт угроз довольно проблематично, поскольку он зависит от того, где вы располагаетесь и чем вы занимаетесь. Я попробую просто изложить свою точку зрения на этот вопрос.

Размышляя о ситуации в области киберугроз, нужно принять во внимание, с какими тенденциями в мире информатики она сопряжена. Все больше пользователей мигрируют в облако, и угрозы следуют за ними. Прежде всего может сложиться впечатление, что возникает все больше и больше мишеней, на которые нацеливаются злоумышленники. В самом деле, ведь переход в облако означает, что туда переносятся данные, и если раньше для того чтобы как-то их получить злоумышленнику нужно было взламывать средства защиты корпораций, то теперь первое впечатление такое, что ему достаточно зарегистрироваться в облаке. 
 
Почему я говорю, что облако создает больше возможностей для нападающих? Первое, что приходит в голову, это атака типа отказа в обслуживании. В самом деле, теперь почта реализуется с помощью соединения с Интернетом, и электронные письма, адресная книжка и документы, которыми нужно работать, находятся в облаке. Если при атаке «отказ в обслуживании» будет перегружен канал связи с Интернетом, сотрудник фирмы теряет все.
 
Раньше все было совершенно по-другому. Предположим, прервалась связь с Интернетом. Но у сотрудника все, с чем он работает, остается внутри фирмы: сервер электронной почты стоит внутри фирмы, документы, если компьютер выключится, есть на бумаге, или в виде факсов, или в виде распечаток. Все это изменилось радикальным образом. 

Паскаль Гиненс, Radware: «Нужен баланс между затратами на кибербезопасность и ценностью защищаемых ресурсов»

Что же происходит дальше? Приложения переместились в облако, и люди, которые не привычны к такой организации работы, не отдают себе отчет в том, что эти приложения могут раскрыть всему внешнему миру огромное количество данных. В самом деле, раньше приложения базировались внутри периметра, и единственная опасность состояла в том, что сотрудник располагал слишком обширными правами и получал доступ к тем данным, к которым он по долгу службы никакого доступа иметь не должен. Это была так называемая внутренняя угроза. Теперь все переместилось в облако, и любые избыточные права пользователя приводят к тому, что данные в общедоступном облаке становятся открытыми для любого, кто подключился к этому облаку и имеет соответствующие права. Внутренняя угроза стала общедоступной. 
 
Те утечки частных данных через Интернет, которые имели место, были связаны в первую очередь с хранением данных на серверах Amazon. Далее, СУБД Mongo, предоставляемая как сервис. Это СУБД, куда можно выложить любые данные и получить как сервис весь комплекс функций по их управлению. Но опасность здесь состоит в том, что если оставить пароль по умолчанию, пусть даже на 5 мин., это может привести к утечке, а возможно, и к уничтожению всех загруженных данных. Нужно также иметь в виду, что хакеры воруют эти данные, удаляют БД, а тому, кто отвечает за эти данные, присылают сообщение, что за выкуп все эти данные они вернут. Однако будут ли хакеры хранить где-то резервные копии многих терабайтов данных на случай, чтобы их вернуть, когда кто-то захочет заплатить? Я лично сомневаюсь. 
 
В 2014 г. была такая история с Code Spaces. Это служба для разработчиков, где весь программный код, который они писали на планшетах, хранился в Интернете. Code Spaces взломали, было удалено все, что там хранилось, и потребован выкуп, чтобы все это вернуть. Компания не согласилась, и вся среда разработчиков была уничтожена. Поскольку резервная копия также хранилась в Интернете, то восстановить данные не удалось. В результате фирма стала банкротом буквально на следующий день.
 
Еще один пример - IoT. Это дешевые устройства, поскольку основная конкуренция здесь – в цене. Поэтому при их проектировании никто особо не задумывается о защите. Хакеры могут их использовать, например, для организации DDoS-атак. Что гораздо хуже, эти DDoS-атаки могут быть лишь средством маскировки более сложных атак. 
 
Если отвлечься от двух категорий хакеров, так называемых хактивистов, у которых есть некие идеологические соображения для взлома чужих компьютеров, и государственных хакерских служб, куда вкладываются огромные деньги, то все остальные хакеры преследуют очень простую цель – как можно более легким путем заполучить шальные деньги. Что для этого делается? Ну например, используются программы-вымогатели. Эти хакеры обнаружили, что им приходится заниматься несвойственными для них делами – писать развернутые инструкции для жертв, каким образом купить криптовалюту и перевести ее на их счет. Поэтому они решили, что проще вместо программ-вымогателей использовать компьютеры жертв для криптомайнинга. 
 
Далее они задействовали для криптомайнинга устройства IoT. К примеру, камеры видеонаблюдения, у которых есть процессор и ОЗУ. При этом пользователи ничего не заметят. Но устройства IoT маломощные, и злоумышленники сделали следующий шаг – перешли в облака. Здесь на руку злоумышленникам сыграло то, что компьютеры в облаке работают под управлением той же ОС, что и устройства IoT – Linux. Весь ее код в открытом доступе, есть обширный инструментарий, причем для процессоров любой архитектуры: ARM, RISC или х86. И что произошло совсем недавно? Через «Теслу» злоумышленники-криптомайнеры подключились к системе Jenkins. Это платфорома для разработчиков с очень мощной средой разработки и тестирования. Они смогли воспользоваться этой системой и встроили в нее средства майнинга криптовалюты Monero. Jenkins является системой облачного базирования, она наращивает ресурсы по мере необходимости, и за две недели было добыто криптовалюты на 2 млн. долл. Самым ужасным для «Теслы» было не то, что им облачные провайдеры выставили большой счет, а репутационные потери. Трудно вообразить, что будет, если злоумышленники перехватят управление тысяч электромобилей. 
 
Это нас приводит к представлению о подключенном мире, в котором все подключено к Интернету и, косвенным образом, друг к другу. Вообразите себе комплекс Alexa, который распознает вашу речь и делает еще много вещей по вашей команде. Ведь обработка не осуществляется в маленькой коробочке, которая стоит у вас дома, она делается в облаке. В облаке же базируется и соответствующие API, и Alexa хороша тем, что может взаимодействовать с их помощью с любыми программами в облаке. Эти программы, в свою очередь, имеют интерфейсы для взаимодействия между собой. Что получается? Раньше в Интернете были только веб-сайты, теперь там еще живет множество API. Когда человек заходит на веб-сайт, то там есть средства, которые определяют, человек это или робот, если робот, то допустимый он или недопустимый, там более или менее все защищено. Но API в Интернете не так хорошо защищены, там нет необходимости отличать человека от машины – там между собой общаются только машины и программы. 
 
В чем тут сложность? Когда речь идет о том, чтобы отличить человека от программы, примерно понятно, как это сделать. Можно использовать CAPCHA, какие-то картинки или средства анализа поведения пользователя. Но даже если мы отличаем человека от программного робота, то это еще не все. Есть полезные роботы, которые, допустим, помогают вашему сайту развиваться. Их нужно пускать, есть вредные роботы, которые нужно отсекать. В мире API, которые базируются в Интернете, все гораздо сложнее – отличить хорошего бота от плохого довольно трудно. 
 
Здесь нужно поговорить о сетях 5G. Вообразите, что в нашем подключенном мире все устройства получают публичные IP-адреса и полноценный канал доступа к Интернету. Что происходит с устройствами IoT? Представьте себе, что кому-то пришла в голову идея, подсоединить тостер к вычислительной сети. Сегодня он подсоединяется через брандмауэр, а завтра он получит полноценный IP-адрес и прямой скоростной доступ к Интернету. Однако тостер никак не защищен. Я прогнозирую, что при повсеместном появлении сетей 5G, будет просто взрывное распространение IoT.  
 
Чем характерны современные атаки с точки зрения используемых технологий?
 
Я упоминал о том, что подавляющее количество злоумышленников просто хотят заполучить деньги быстро и без усилий. И для этого сейчас масса возможностей. Есть какие-то простые средства уровня скриптов, которые находятся в открытом доступе. В 2016 г., например, появилась в открытом доступе система Mirai, и ею может воспользоваться кто угодно. Есть огромное сообщество, которое обменивается информацией. Ну и исследователи публикуют сведения об уязвимостях. Как только такие сведения будут опубликованы, хакеры всей гурьбой набрасываются, быстро встраивают их в общедоступные средства и запускают в надежде поживиться. 
 
Но это масса, которая действует примитивно. Есть другая группа, значительно более изощренная. Это хакеры, за которыми стоит либо государство, либо организованная преступность. Эти злоумышленники располагаю практически неисчерпаемыми финансовыми ресурсами, и вот они действуют очень сложными методами. Они сами осуществляют исследования на предмет обнаружения уязвимостей, в том числе и уязвимостей нулевого дня. Они проникают в чужие системы и могут там находиться годами, не предпринимая никаких активных действий. Деятельность этих хакеров по сути превратилась в мощное оружие, которое используется государствами для усиления своей обороноспособности и атак на своих противников. 
 
Здесь происходит следующее. Сейчас технические средства защиты данных довольно мощные, и слабым звеном в этой системе остается человек. Поэтому злоумышленники пытаются этим воспользоваться. Самым распространенным способом воздействия на людей является фишинг, в том числе целенаправленный фишинг с предварительным сбором информации о потенциальной жертве. И вот как только кто-то в корпорации или в госоргане открывает присоединение к письму, на его компьютере устанавливается программа, которая собирает информацию. И дальше, злоумышленник, проникший в компьютер, прилагает все усилия для того, чтобы повысить свои права. 
 
Еще один метод – это перехват учетных записей, вернее, учетных данных пользователей. Что здесь происходит? Похищаются чьи-то имена пользователей и пароли для подключения к тем или иным ресурсам. Огромные базы таких имен и паролей продаются через Интернет. Для чего это нужно? Вот, например, есть чье-то имя пользователя и пароль учетной записи в Facebook. Сама по себе эта учетная запись никому не нужна, но не исключено, что тот же пользователь под тем же именем и паролем заходит еще куда-то и, в том числе, подключается к облачной службе. Это уже для злоумышленников интересно.
 
Злоумышленники все больше пользуются средствами автоматизации. Например, целенаправленный фишинг, или spear phishing. Раньше это была кропотливая и довольно трудоемкая работа. Сейчас же, используя средства ИИ, в частности, обработки естественного языка, этот процесс может быть автоматизирован. Появились автоматизированные системы, сканирующие сеть в поиске известных уязвимостей. Это еще одна тенденция, которая появилась сравнительно недавно. 
 
Интернет является многоуровневым. Проще всего выделить три из них. Первый – это общедоступный Интернет, или все устройства, имеющие IP-адреса. Второй – это Deep Web, или глубинный Web. Там базируются устройства, каждое из которых имеет IP-адрес, но этот адрес нигде не объявляется. Это могут быть как видеокамеры наблюдения, так и серверы. Каждый из этих серверов имеет IP-адрес, и не исключено, что он не имеет никакой защиты. Другое дело, что этот IP-адрес никому не сообщается. Наконец, третий уровень – Dark Web, темный Web. Здесь трафик зашифрован, здесь располагаются злоумышленники. Раньше этот глубинный Интернет, который не индексируется, но содержит устройства с IP-адресами, использовали для скрытого обмена информацией, Это был, можно сказать, Интернет для своих. Но сейчас появились средства автоматического сканирования. Они базируются в облаке и при наличии достаточных вычислительных ресурсов способны обнаружить все IP-адреса версии IPv4 за какие-нибудь 15 мин. Более того, не нужно самому сканировать весь Интернет, это уже давно сделано. В Интернете есть такие службы, как Shodan, Zoomi, Sensus, которые постоянно сканируют Интернет, собирают информацию, строят профили устройств, подключенных к определенным IP-адресам, и хранят эту информацию в БД. Если нужно, например, узнать, где есть модемы D-Link с определенной версией ПО, можно дать запрос в одну из этих служб и за считанные секунды получить полный перечень этих устройств во всем мире. Когда хакер узнает о какой-то уязвимости, он запрашивает Shodan и получает данные о тысячах устройствах, в которых эта уязвимость в данный момент не устранена. Хорошим примером является Hadoop. Там есть диспетчер ресурсов, который называется YARN. Он позволяет любому из этих ресурсов ставить задачи Hadoop. Ну, а Hadoop – это мощная система для масштабируемых и распределенных вычислений. Как ни странно, YARN работает через веб-сайт по протоколу http, без идентификации. В результате некоторые «светлые головы» из корпораций и университетов додумались до того, чтобы опубликовать YARN в Интернете и предоставить доступ своим партнерам или коллегам, для того чтобы они тоже могли что-то находить с помощью Hadoop. В результате оказалось, что от 2 до 3 тыс. серверов в Интернете стали открыты всему миру. Ясно, что хакеры тоже это очень быстро обнаружили. Но мы начали с того, что Hadoop можно поставить любую задачу. Так почему не поставить ему задачу добывать криптовалюту? 
 
Таким образом, нужно помнить, что взломщики ищут простые решения, что люди, которые выкладывают что-то в Интернет, наивны и не подозревают, что пароль, установленный по умолчанию, это не секрет для окружающего мира.

Каковы сегодня основные объекты атак и цели, преследуемые киберпреступниками? 

Собственно, мы уже успели об этом поговорить. В первую очередь, это доступ к большому количеству простых ресурсов, таким как устройства IoT, которые используются для массированных DDoS-атак. Следующий объект – это информация частного характера. Ее можно использовать для вымогательства или продавать через Dark Web. Информация о кредитных карточках тоже подпадает под это разряд. Подобно тому, как на банковских терминалах устанавливали скиммеры для считывания информации с карточки, сейчас подобное делается в Интернете. На веб-сайте, на котором что-то продают, и рассчитываться нужно с помощью карточки, устанавливается маленький Java-скрипт, который перехватывает данные для платежа и отправляет ее злоумышленнику. Дальше составляются длинные списки данных таких карт и продаются через Dark Web. Плохие парни, которые покупают такие списки, отдают себе отчет, что не все кредитные карточки действуют. Где-то уже обнаружили мошенничество и заблокировали карточки. Поэтому нужно пересмотреть весь список и отделить функционирующие карточки от заблокированных. Для этого берется бот и запускается на каком-нибудь веб-сайте, где что-то продают. Что именно продают, не имеет значения. Делаются попытки что-то там купить и выяснить, какие карточки заблокированы. А хозяин сайта, на котором что-то продают, видит неслыханную активность – тысячи новых пользователей регистрируются у него на сайте, множество новых пользователей что-то заказывают, но через день отменяют свои заказы. 

Паскаль Гиненс, Radware: «Нужен баланс между затратами на кибербезопасность и ценностью защищаемых ресурсов»

Многие, наверное, слышали об организации OWASP (Open Web Application Security Project). Это общественная организация, занимающаяся безопасностью приложений. Она исследует угрозы и обычно публикует рейтинги этих угроз. Раньше высокие места в рейтингах занимал так называемый кардинг, то есть использование краденых или поддельных карточек. Но совсем недавно в OWASP появилась новая категория киберугроз для приложений, базирующихся в Интернете, - это автоматизированные угрозы. Вот сейчас появился новый рейтинг, скажем, 20 самых мощных угроз, сопряженных с автоматизацией. Такая же идеология задействования ботов может быть исапользована и применительно к корпорациям. 
 
Предположим у вас есть интернет-магазин, который продает что-то, неважно что, скажем, билеты на какие-то мероприятия.  С одной стороны нужно, чтобы его находили, а с другой – чтобы он работал эффективно. И здесь возникает дилемма. Есть допустимые боты, например те, что запускает Google для индексирования. Без них ваш сайт никто не найдет. Есть вредные боты, которые ваш электронный магазин повалят. Этим могут воспользоваться конкуренты. Они могут написать бот, который будет регистрироваться на вашем сайте как потенциальный покупатель, выбирать какую-то продукцию, класть ее в корзину, но не завершать покупку, она зависнет. А теперь представьте, что таких ботов тысячи, каждый заходит на сайт вашего магазина, выбирает что-то, кладет в корзину, это что-то зависает в корзине. Потом приходят нормальные покупатели и видят, что все распродано. И они переходят на сайт другого магазина. 
 
Возникает вопрос, а как отличить, когда на сайт заходит человек, а когда бот? Причем боты совершенствуются не по дням, а по часам. С помощью алгоритмов глубинного обучения разработана программа, которая дает правильный ответ на CAPCHA в 92% случаев, что, примерно, вдвое выше, чем в среднем у обычного человека. Тогда получается, что для того чтобы обнаружить автоматизированную атаку и ее пресечь, нужно использовать средства защиты такого же уровня, то есть основанные на автоматизации, на МО, и только так можно противодействовать злоумышленникам. 
 
Как упоминалось выше, при переходе в облако возникает много объектов для атак, и есть автоматизированные средства, которые перебирают все эти возможные объекты атак. Таким образом, в облаке нужно применить аналогичный подход к защите.  
 
Какие виды атак наиболее опасны для корпораций сегодня?
 
Это зависит от бизнеса. Если у вас есть магазин или фирма, оказывающая услуги через Интернет, то тогда опасна DDoS-атака. В результате нее услуга или товар становятся недоступными. На каких-то веб сайтах, к примеру, госорганов или электронного магазина, могут храниться частные данные. Такой веб-сайт должен быть защищен, чтобы эта информация не оказалась у злоумышленника. 
 
Трудно представить веб-сайт, где для доступа не нужно было бы зарегистрироваться, то есть, получить учетную запись с именем пользователя и паролем. Ну (с сарказмом), ясное дело, сегодня все пользуются диспетчерами паролей, чтобы устанавливать разные пароли для разных сайтов. На самом деле, все совсем не так, и пользователь заводит пароль на каком-нибудь сайте, где безопасностью и не пахнет. В результате, пароль оттуда скачали, а он использовался еще в 10 других местах.
 
Есть большие корпорации, в которых с защитой все в порядке, но, как уже упоминалось раньше, хакеры ориентируются на слабое звено. И таким слабым звеном могут оказаться контрагенты этой компании. Сейчас наблюдается такая тенденция, что компании, которые оказывают услуги или продают товары как другим компаниям, так и частным потребителям, все больше обращают внимание на организацию работы с ботами. Они используют средства, которые позволяют понять, где хорошие боты, а где плохие. Естественно, организациям, которые переносят свои данные в облако, нужно отдавать себе отчет в том, что к этой информации осуществляется удаленный доступ через учетные записи, и если кто-то взломает эту учетную запись, то он получит доступ ко всей информации фирмы. 
 
Сегодня компании могут строить локальную систему безопасности или воспользоваться облачными сервисами безопасности. Какие преимущества и недостатки каждого из этих подходов?
 
Главное достоинство служб безопасности облачного базирования заключается в том, что управлять этими средствами приходится не вам. Вам нужно только перенаправить трафик в облако, так чтобы эти средства могли работать. 
 
Предположим, что у предприятия есть филиалы и есть какие-то ресурсы в Интернете, а сейчас других, наверное, и не бывает, тогда нужно обеспечить полную защиту всех компонентов как облачного, так и не облачного базирования. И тут возникает новый уровень сложности. Лучше всего защищать ресурсы в облаке с помощью средств, которые базируются там же. Дело в том, что программные агенты или средства IDS/IPS работают локально, на облако их защита не распространяется. 
 
С какими проблемами наиболее часто сталкиваются организации при построении систем защиты?
 
Общая проблема – это проблема сложности. Пожалуй, самое сложное вот что. Никто не ограничивается сейчас одним облаком – используются многооблачные системы. События происходят как локально, так и в нескольких облаках. И тут задача состоит в том, чтобы собрать и проанализировать всю информацию, для того чтобы понять, происходит ли атака или это нормальная деятельность. 
 
Пару лет назад было такое движение у специалистов по безопасности: надо, чтобы все просматривалось, чего не видишь, о том не знаешь, и защитить это, соответственно, нельзя. Пару лет прошло, все всё видят, собирают гору информации, умнее они от этого не стали, как этой всей информацией распорядиться - неизвестно, как искать иголку в стоге сена - непонятно.
 
Проблемы вызывает и шифрование данных, скажем, в канале обмена между клиентом и сервером. Дело в том, что посередине может стоять устройство, осуществляющее анализ информации на предмет обнаружения вредного кода. Если трафик зашифрован, то как это сделать? Хуже того, после появления нового стандарта шифрования TLS 1.3, исчезла возможность отвода трафика на сторонний ресурс для его расшифровки. Теперь шифратор/дешифратор должен стоять во врезке. И мало того, появился новый протокол для DNS – DOH (DNS over HTTPS). Это, естественно, никому не нравится. Все же отдают себе отчет в том, что владелец DNS видит, кто заходит и на какие IP-адреса. Тогда умные люди сказали, давайте мы DNS-запросы зашифруем, так что даже не будет видно, что идет обращение к DNS. Но ведь есть огромное количество программ для защиты от вредоносного кода, которые работают по принципу черных списков. Это самый простой способ защиты. Но он перестает работать, как только запросы передаются по протоколу https. Есть еще такая штука, как QUIC. Этот протокол обеспечивает более высокий уровень защиты данных в процессе передачи. Но для тех, кто занят защитой, это создает дополнительные сложности. Вы наверняка слышали такую англоязычную поговорку - «выстрелить самому себе в ногу». Конечно, хорошо, когда все шифруется, и мы думаем, что в результате никто не поймет, что мы там пересылаем. Да, это так, конечно, но когда этим начинает заниматься весь мир, то весь этот мир превращается в сплошную темную зону, где никто ничего не видит.  
 
Что предлагает сегодня Radware для построения комплексной системы защиты?
 
Мы предоставляем компоненты для комплекса защиты: защиты против DDoS-атак, защиты программных интерфейсов и веб-приложений, а также для организации работы с ботами. Средства защиты против DDoS-атак устанавливаются на Cisco FirePower. Помимо этого у нас есть службы облачного базирования, которые также обеспечивают защиту от DDoS-атак, защиты программных интерфейсов и работу с ботами. И, кроме того, то, над чем мы сейчас работаем, наш перспективный продукт – комплексная защита рабочей нагрузки в облаке. 
 
Есть ли какие-нибудь особенности продуктов, предлагаемых компанией, по сравнению с аналогичными продуктами других производителей?
 
Понятно, что у нас есть конкуренты. Наша сильная сторона – это уровень автоматизации. Вот, например, как традиционно осуществляется защита от DDoS-атаки. Приходит сигнал, что слишком большой трафик, этот трафик анализируется, строится сигнатура, потом по этой сигнатуре пресекается DDoS-атака. Это все делается вручную. У нас этот процесс целиком автоматизирован. Такие виды автоматизации очень востребованы. Мы же упоминали о том, что злоумышленники активно пользуются средствами автоматизации. 
 
Второй важный фактор, это встроенный в защиту интеллект. Это средства машинного обучения, глубинного МО, которые используются для того, чтобы всю эту массу информации о возможных атаках сократить, свести к небольшому количеству событий, на которые нужно будет отреагировать человеку. И теперь у нас средства разведки угроз базируются в облаке. Если раньше они устанавливались на объектах потребителей и анализировали, что происходит у этого одного потребителя, то сегодня этого явно не достаточно. Базирование в облаке позволяет собирать информацию от многих наших заказчиков, и это делает разведку угроз гораздо более эффективной.
 
Каковы современные подходы в защите ЦОД и филиалов?
 
Нужно сделать оговорку, что ЦОД становится все меньше, поскольку компании мигрируют в облака. Для тех же, что есть, нужно защищать от всех атак, о которых мы говорили. DDoS-атаки являются исключением – защита от них не реализуется без облачных услуг. Ну, а почему нужна облачная служба. Вообразите ЦОД, у него канал в Интернет, скажем, 2 Гб/с. И вот идет распределенная атака, которая этот канал забивает, потому что там 5 Гб/с. Поэтому такие атаки нужно ловить у источника, не давать ей прийти к вам. Это же относится и к филиалам. 
 
Как ИИ и МО изменяют подходы в IT Security?
 
В первую очередь, появились совершенно новые возможности анализа больших массивов данных. Сейчас появились системы SIEM, которые ищут корреляции между событиями. Но SIEM-системы работают на основе правил, которые должен написать человек. То есть, человек должен раньше видеть атаку, обнаружить корреляцию между событиями и потом в виде правила вписать это в SIEM. Раньше уже упоминалось о сложных атаках, когда злоумышленник проникает в сеть и не проявляет активности год или два. То есть, два года назад было что-то не совсем очевидное, и потом – тишина. Затем полтора года назад что-то куда-то скопировали, что тоже странно, и все. Потом год назад кто-то что-то скопировал из БД, но это никакого продолжения не имело. Человеческий мозг устроен так, что он не может видеть столь длительную ретроспективу. Другое дело ИИ и система глубинного МО. Им все равно, насколько далеко простирается ретроспектива, они найдут и поставят в взаимозависимость все эти события и обнаружат корреляцию. 
 
Какова роль информационной безопасности, с вашей точки зрения, каково ее значение сегодня для бизнеса? 
 
Какой же это бизнес, если там нет безопасности? Если у предприятия есть веб-сайт, то оно не должно допустить, чтобы хакеры его взломали, потому что потеряет репутацию. Нужно также разбираться с ботами, чтобы они этот сайт не повалили. 
 
Вообразите на минуту, что бизнес такой крошечный, что его даже нет в on-line. Даже такая фирма подключится к Интернету и подпишется на какие-нибудь облачные службы, скажем, CRM. Все равно нужно думать об ИБ, потому что может прийти фишинговое письмо, кто-то что-то не то откроет, у него украдут данные учетной записи, потом украдут данные клиентов, и что тогда будет с репутацией этой фирмы?
 
Можно ли построить идеальную систему защиты? 
 
Да, построить можно, существует ли она – нет. У нас уже есть такая техника, которая позволяет расширять границы систем безопасности. Но нужно понимать, что защита прогрессирует, но злоумышленники тоже на месте не стоят. И даже если придумать какую-то идеальную систему защиты, рано или поздно эту технику освоят злоумышленники и построят столь же идеальную систему нападения. Это поединок, который никогда не прекращается. 
 
Какие короткие рекомендации вы могли бы дать компаниям при построении комплексной системы защиты?
 
Нужен хороший баланс между затратами на безопасность и ценностью ресурсов, которые нужно защищать. Лично я не позволяю себе думать, будто на меня не покушается злоумышленник. Вопрос не в том, нападут ли на меня, вопрос в том, когда это случится, потому что у злоумышленников есть средства автоматизации. Ну а автоматизированной системе все равно, кого атаковать.