Security TRENDs 2017 – сольная конференция Trend Micro

Имя одного из крупнейших игроков в сегменте кибербезопасности компании Trend Micro, равно как и ее продукты, хорошо известны на рынке Украины. Ее решения неоднократно представлялись в рамках совместных мероприятий с лидерами ИТ-индустрии. Так было вплоть до недавнего времени, когда в конце сентября компания самостоятельно организовала в Киеве конференцию, посвященную актуальным проблемам информационной безопасности.

Это говорит о повышении интереса к украинскому рынку. И хотя представительство в Украине пока не открыто, но уже приступил к своим обязанностям региональный менеджер в Украине и Молдове Роман Чорненький. В своем выступлении он кратко представил Trend Micro.

Компания, штаб-квартира которой находится в Токио, была создана в 1988 г. и уже 28 лет сконцентрирована исключительно на решениях по информационной безопасности (ИБ). Сегодня она насчитывает более 5,5 тыс. сотрудников в 53 странах мира, ее ежегодные продажи превышают 1 млрд. долл. В числе ее клиентов – 45 из крупнейших компаний мира. Занимая 30% доли рынка в области защиты серверов, Trend Micro, по версии IDC, является лидером рынка 7 лет подряд. Продукты компании сертифицированы для ключевых платформ, в частности, VMware, SAP, Amazon, MS Azure. В 2017 г. аналитическая компания Gartner поместила ее на наивысшие позиции в своем магическом квадранте в сегментах платформы для защиты конечных точек и IDS/IPS. 

Роман Чорненький: «Продукты компании защищают не пользователей, а сервисы, которые они получают»

При выборе продуктов для защиты своей инфраструктуры, нужно доверять лидерам, подчеркнул Роман Чорненький. Компания Trend Micro предлагает решения, которые позволяют видеть, что делается в сети не по отдельному инциденту, а по совокупности событий. Для них характерным является не защита пользователей, а защита сервисов, которые они получают, не зависимо от того, на каком устройстве они работают и где они находятся.

О внимании, которое уделяет Trend Micro развитию своего бизнеса в Украине, говорит весьма представительный состав докладчиков конференции. Так, с ключевым докладом перед участниками Security TRENDs выступил управляющий директор компании в Тихоокеанском регионе, Ближнем Востоке и Африке Даня Таккар (Dhanya Thakkar). Вначале он привел цитату Руперта Мердока, смысл которой заключался в том, что мир меняется очень быстро, и выигрывает уже не тот, кто больше, а тот, кто быстрее. В подтверждение этого были приведены следующие цифры. В период с конца 2014 г. по начало 2016 г. 11 из 18 крупных банков, регулируемых OCC, основным регулятором розничных банков США, сменили лидера информационной безопасности. Аналогичные изменения внесли все, кроме двух ведущих мировых инвестиционных банков. Из 11 крупных розничных банков с новыми лидерами по безопасности шесть были внешними сотрудниками. Другими словами, более 50% банков считали, что у собственных сотрудников не было навыков, позволяющих обеспечить кибер- и информационную безопасность в сложившихся условиях.

Сегодня данные играют все большую роль в обеспечении эффективности бизнеса. Если увеличивается количество заказчиков, то увеличивается и объем данных, с которыми приходится иметь дело бизнесу. Эти данные нужно защищать.

Для этого прежде всего необходимо разработать стратегию информационной безопасности. Она должна охватывать политики и процедуры безопасности данных, стратегию обеспечения объектов, на которых размещаются данные, политики в отношении проверки сотрудников, обращающихся к конфиденциальным данным, и обеспечение осведомленности сотрудников об информационной безопасности и передовой практике в этой области.

Анализируя ландшафт угроз, можно прийти к выводу, что сегодня одной из самых опасных категорий вредоносного кода являются программы-вымогатели. Исследовательская группа по анализу угроз Trend Micro не только зафиксировала быстрый рост отдельных программ-вымогателей, но и быстрый рост семейств таких программ. По данным TrendLabs, за последние 18 месяцев было выявлено 1,2 млрд. угроз.

Если в случае военных действий необходимо думать об артиллерии, танках и другом вооружении, то в случае необходимости защитить данные единственным оружием, которым вы обладаете, это знание о том, что должна делать ваша система ИБ. И здесь нужно сфокусироваться на вопросе, как быстро ваша система может обнаружить атаку. Компания делает крупные инвестиции в технологии блокирования и предотвращения атак. Но большая часть инвестиций сегодня идет на разработку методов обнаружения атаки и ответа.

В то же время компания Gartner предложила эталонную архитектуру адаптивной защиты, состоящую из четырех высокоуровневых категорий (предсказание, предотвращение, обнаружение и ответ), каждая из которых, в свою очередь, содержит три возможности для дальнейшей детализации, к примеру, приоритезация рисков, изоляция систем, обнаружение инцидентов, восстановление.

Даня Таккар: «Trend Micro предоставляет полный спектр методов защиты, каждый из которых имеет свои сильные стороны и специализацию»

Архитектура адаптивной защиты является полезной основой, позволяющей предприятиям классифицировать существующие и потенциальные инвестиции в обеспечение безопасности, чтобы обеспечить сбалансированный подход к инвестициям в этой области. Архитектура адаптивной защиты также полезна для классификации и оценки поставщиков. Те, которые предоставляют возможности в нескольких категориях, стратегически более привлекательны, чем поставщики, которые ограничиваются только одной категорией.

Сегодня ряд методов обнаружения вредоносного кода основывается на ИИ и машинном обучении. С их помощью осуществляется контроль приложений, анализ в «песочнице», защита от уязвимостей и поведенческий анализ. Машинное обучение является очень полезным, но не совершенным. Существует ряд методов, чтобы заставит ИИ ошибиться, что и делают разработчики вредоносного кода. Если компании используют для защиты только методы машинного обучения, то атака будет успешной.

В наше время сети становятся все более сложными и постоянно изменяются. WAN, LAN, Wi-Fi, удаленный доступ, филиалы, большие объемы трафика, поступающего в ЦОДы – все это размывает границы сети. Защита периметра обеспечивает некоторый уровень безопасности, но пользователи и системы покидают сеть. В то же время данные продолжают поступать в сеть.

В такой среде одним из фундаментальных средств защиты периметра являются IPS, которая для обнаружения и блокирования злонамеренного трафика «север – юг» может размещаться в разных сегментах сети. Однако защита должна работать на каждом этапе жизненного цикла угрозы. При записи на жесткий диск необходимо использовать прогнозирование на основе машинного обучения, контроль приложений и анализ файловой сигнатуры, во время исполнения – машинное обучение времени исполнения, анализ отклонения поведения операций ввода-вывода, защиту от эксплойтов, контроль внешних коммуникаций.

Поэтому учитывая, что ни одна методика не эффективна на 100%, Trend Micro предоставляет полный спектр методов защиты, каждый из которых имеет свои сильные стороны и специализацию.

Обзор современного ландшафта угроз и методов противодействия им сделал технический директор Trend Micro Михаил Кондрашин.

В индустрии ИБ есть свои победы и потери, отметил он. Так, в 2017 г. сотрудничестве с альянсом Zero Day Initiative (ZDI) было выявлено 382 уязвимости, и информация о них была передана разработчикам, что позволило вовремя разработать заплатки. В то же время потери от атаки WannaCry составили 5 млрд. долл., а от атак класса Business Email Compromise (BEC) – около 5,3 млрд. долл. Было отмечено, что в 2016 г. рост количества программ-вымогателей замедлился по сравнению с 2015 г. Но в 2017 г. среднее число появления новых семейств таких программ оставалось постоянным, хотя интенсивность атак продолжала расти. Можно утверждать, что массовые эпидемии вирусов уже в далеком прошлом, вместо них увеличивается количество точечных уникальных атак. И здесь WannaCry и Petya являются в некотором смысле исключением.

Однако киберпреступники осваивают новые методы атак. Например, в семействе программ-вымогателей Cerber включены возможности ускользать от обнаружения с помощью машинного обучения и техника против проверки в «песочнице» и антивирусных программ.

Программы-вымогатели составляют всего 4% общего объема вредоносных программ. При этом 67% из них распространяются с помощью электронной почты, а 29% связаны с вредоносными сайтами. Благодаря множеству точек входа для программ-вымогателей корпорациям для защиты своих сетей и данных требуется хорошая политика резервирования и многоуровневый подход к построению системы защиты. Последний должен включать защиту почты и веб-приложений, защиту сетей, серверов и конечных точек.

Здесь Trend Micro может предложить компаниям ряд продуктов для защиты от программ-вымогателей. Так Trend Micro Deep Discovery Email Inspector обнаруживает, анализирует и блокирует вредоносные вложения электронной почты. Он также проверяет и блокирует доступ к вредоносным URL-адресам, встроенным в электронные письма. Его специальная технология «песочницы» может обнаруживать и блокировать программы-вымогатели, которые приходят под видом макросов.

Предприятия также могут использовать продукт Trend Micro InterScan Web Security, который блокирует такие программы, поступающие на шлюзы. Среди других функций – антивирусное сканирование для обнаружения вредоносного контента в интернет-трафике, технология проверки веб-репутации в режиме реального времени, сканирование эксплойтов нулевого дня.

Trend Micro Smart Protection Suites обеспечивает комплексную защиту для всех устройств, включая мобильные устройства и другие конечные точки, от передовых угроз, которые традиционные решения не могут обнаружить. Он оснащен XGen Endpoint Security, имеющим высоконадежную функцию машинного обучения, которая проводит предварительное исполнение и анализ времени исполнения вместе с анализом поведения, чтобы обеспечить лучшую защиту от программ-вымогателей.

Обычно программы-вымогатели взаимодействует с командными серверами управления для получения ключей шифрования, необходимых для блокировки файлов. Они также могут распространяться через сетевые ресурсы и подключенные сетевые диски. Инспектор Trend Micro Deep Discovery  предотвращает эти сценарии, отслеживая сетевой трафик, связь с командным сервером, поведение в режиме шифрования и угрозы нулевого дня. Для защиты от известных эксплойтов может быть использован Trend Micro Deep Security.

Скорость изменений ЦОД беспрецедентно высока, одновременно изменяются и модели использования приложений. Таким образом, идея использования традиционных методов защиты данных в виртуализированных ЦОД и в облачных средах просто не работает. О том, как защищать современный ЦОД, рассказал архитектор систем Николай Романов.

Основные проблемы, которые возникают, относятся к распределенным ресурсам. В гибридных облаках контроль зон ответственности клиента и провайдера совершенно разный. Если клиент знает, что происходит в частном облаке, то что делается за его границей не всегда понятно. Как обеспечить достаточный уровень защищенности в публичном облаке, и отрабатывает ли провайдер правильно все необходимые процедуры, остается для клиента неясным. Провайдер должен обеспечить защиту от сетевых атак и атак на приложения, защиту от вредоносного кода и целевых атак, защиту уязвимостей, блокировку подозрительных изменений. При этом необходимо избежать чрезмерного расхода ресурсов и сложности управления.

Михаил Кондрашин: «Можно утверждать, что массовые эпидемии вирусов уже в далеком прошлом, вместо них увеличивается количество точечных уникальных атак»

Компания Trend Micro учитывает специфику облачной среды и старается разрабатывать дружественные к потребителям продукты. Проблемы защиты современных ЦОД, по словам докладчика, решает Deep Security Manager (DSM), который сам по себе не осуществляет защиту, а обеспечивает управление политиками защиты.

DSM интегрируется с VMware vCenter на уровне виртуальной инфраструктуры и с Microsoft Active Directory для аутентификации администраторов и поиска устройств в службе каталогов. Deep Security Manager включает в себя возможности интеграции на уровне API на базе Simple Object Access Protocol (SOAP) и Representational State Transfer (REST).

Для обеспечения отказоустойчивости и балансировки возможна работа нескольких DSM, подключенных к единой БД, которая и представляет всю ценность продукта. DSM может работать с БД Microsoft SQL Server, Oracle или PostgreSQL Поддерживается также развертывание на 64-битных ОС Windows и Linux Red Hat.

Работа DSM может выполняться в двух режимах: с агентом и без агента. Deep Security Agent (DSA) устанавливается на защищаемые физические системы и обеспечивает работу таких защитных модулей, как Anti-Malware, Web Reputation, Firewall, Intrusion Prevention, Integrity Monitoring, Log Inspection и Application Control. Поддерживаются ОС Windows, Linux, Solaris, HP-UX, и AIX. Кроме физических систем, DSA устанавливается и на ВМ Hyper-V, VMware и на другие гипервизоры. Поддерживаются облачные системы на базе AWS, Azure и vCloud Air. Безагентная защита ВМ на VMware vSphere реализуется с помощью сервисной виртуальной машины Deep Security Virtual Appliance.

Облака сделали неактуальной традиционную модель защиты периметра. Отсутствие периметра требует иного подхода – защита должна следовать за сервисом. Такой подход позволит автоматически отследить изменение окружения и избежать проблем, связанных с масштабированием ЦОД.

Trend Micro подошла к этой проблеме неординарным образом. Долгие годы использовалась защита с резидентным агентом. С выходом у VMware гипервизорной защиты появилась возможность использовать защиту без агента. Однако и у этого метода есть свои недостатки. Компания решила использовать комбинированный подход. Была разработана система, в которой одновременно используется защита с агентом и без агента. Такая система особенно эффективна при использовании гибридной облачной модели.

В целом Deep Security является единым высокопроизводительным решением с широким спектром функций безопасности, обеспечивающее защиту физических и виртуальных серверов, облачных и контейнерных систем от новейших угроз.

Участники конференции прослушали еще ряд докладов, которые конспективно представлены ниже. Михаил Кондрашин в своем выступлении, в частности, остановился на механизмах машинного обучения для защиты конечных точек. Он отметил, что точность всех алгоритмов машинного обучения определяется качеством и объемом входных данных. И здесь у Trend Micro имеется ряд преимуществ перед конкурентами благодаря наличию Smart Protection Network. С ее помощью информация об угрозах собирается по всему миру с помощью более 100 млн. сенсоров. Защита облачных приложений обеспечивается новым продуктом Cloud App Security. Он предоставляется как облачный сервис для защиты таких приложений, как Exchange Online, SharePoint Online, OneDrive for Business, и непосредственно интегрируется с Office 365 посредством API.

Михаил Кондрашин также рассказал о построении высокопроизводительного шлюза безопасности для сетей любого масштаба на базе IPS нового поколения Tipping Point. Это специализированная аппаратная платформа, которая работает «из коробки». Она характеризуется высокой доступностью, высокой плотностью портов и может обеспечить практически любую пропускную способность.

Вторая презентация Николая Романова касалась продукта Deep Discovery, рекомендуемого для защиты государственных учреждений и крупного бизнеса от целенаправленных атак. Линейка включает ряд компонентов. Так, Deep Discovery Inspector выявляет целевые атаки и атаки нулевого дня внутри легитимного трафика, выполняет анализ по всем портам и более чем 100 протоколам, интегрируется с настраиваемой «песочницей». Deep Discovery Email Inspector является специальным решением против целевых атак в почте и целевого фишинга. Deep Discovery Analyzer по сути представляет собой работающую лабораторию по анализу. Продукт поддерживает большое количество «песочниц» и интегрируется с решениями Trend Micro.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365