`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

UASC’19: помочь бизнесу защитить ИТ

+33
голоса

В четвертый раз состоялась конференция UASC, организованная компанией Integrity Vision. Она предоставила платформу, на которой эксперты поделились опытом и решениями для построения комплексной корпоративной системы IT-безопасности.

 помочь бизнесу защитить ИТ

Конференция открылась вступительным словом руководителя направления ИБ Integrity Vision Олега Половинко. Он напомнил теорию Нассима Талеба о редких и труднопрогнозируемых событиях типа «черный лебедь», которым, по его мнению, соответствует Zero Day. Однако во второй своей книге автор заявил, что в том времени, в котором мы живем, «черный лебедь» — это уже норма. Но возникает вопрос, что с этим делать? Идея следующей его книги «Антихрупкость» заключается в том, что мы должны становиться лучше и сильнее благодаря тем трудностям, которые нам необходимо преодолеть. И если посмотреть на мир ИБ, то путь, который она прошла за последние 10 лет, коррелирует с этой идеей.

 помочь бизнесу защитить ИТ

Олег Половинко: «Обороты синдикатов киберпреступников уже сегодня исчисляются в триллионах долларов»

Отрасль ИБ настолько разрослась, что увидеть какие-то основные тенденции уже очень трудно. Но все же можно выделить направления, которые определяют повестку дня. И первое из них — это синдикаты киберпреступников, где уже сегодня обороты исчисляются в триллионах долларов. В то же время весь мировой бюджет компаний, используемый для противодействия кибератакам, в разы меньше.

Синдикаты киберпреступников работают очень слажено. У них есть все инструменты для автоматизации, они управляемы, и они могут производить новые продукты с очень большой скоростью. Им не нужны согласования с кем бы то ни было, им не нужна разрешительная документация, проверяющие и контролирующие органы. Их продукты представляют своеобразный пресс, под которым находятся компании.

Следующая тенденция — это дезинформация, другими словами, информационное мошенничество. Первая из них — политическая дезинформация. Казалось бы, к ИБ это имеет мало отношения, однако это не так. Вторая — экономическая. Манипуляции с какими-то биржевыми отчетами, статистикой и прогнозами требует большого объема ресурсов для проверки источников. И еще одна, которая сегодня воспринимается как веселая шутка, — это deepfake, замена голоса или видео.

Что касается целей кибератак, то выступающий выделил три основных, с которыми сталкиваются почти все. Это атаки на финансовую отрасль, критическую инфраструктуру и на умные города, волна атак на которые прошла по США. Еще одна мишень — персональные данные. С этими атаками вскоре соприкоснутся все. И Facebook, и Google, все меняют взаимодействие с персональными данными, смещая точку ответственности на пользователя. Этим четыре волны и будут определять тенденции в ИБ.

Далее конференция проходила в трех потоках: защита IoT, решения против мошенничества и построение Security Operations Center (SOC). Для освещения в данном репортаже был выбран последний.

Технический директор Check Point в Украине, Грузии и СНГ Александр Чубарук представил масштабируемую платформу кибербезопасности Maestro для SOC, на базе которой можно обрабатывать трафик, возрастающий со временем. В этом контексте он привел пример Google, которая в свой движок индексации заложила возможность квазилинейного масштабирования системы с возрастанием трафика. Это весьма предусмотрительно, поскольку, по прогнозам Cisco, глобальный IP-трафик в мире с 2017 г. по 2022 г. утроится.

 помочь бизнесу защитить ИТ

Александр Чубарук: «Технологии Check Point способны обрабатывать растущий со временем трафик просто добавлением нужных аппаратных компонентов в уже существующую архитектуру ИБ»

Сталкивались ли компании с такой задачей, что купленное какое-то аппаратное решение для защиты сетевого трафика уже через два—три года оказывается загруженным на 70% и более и нужно приобретать новое устройство, задал докладчик вопрос аудитории. Более того, есть производители, которые сознательно завышают возможности предлагаемого устройства по обработке трафика. В то же время технологии Check Point способны обрабатывать растущий со временем трафик без необходимости замены всего устройства, а просто добавлением нужных аппаратных компонентов в уже существующую архитектуру ИБ. С другой стороны, функциональность безопасности, которая имеется в этих устройствах, позволяет с каждым годом с увеличением сложности кибератак добавлять соответствующие модули защиты, которые, собственно, способны эти атаки отразить. Фактически, такие устройства решают две задачи: масштабирования и отражения все более усложняющихся атак.

Технология VSX VSLS (Virtual System Extension, Virtual System Load Sharing), которой уже много лет, обеспечивает, практически, горизонтальное масштабирование. Фактически, в ней реализуются виртуально все сетевые устройства. Эти аппаратные средства могут объединяться в кластеры с балансировкой трафика между узлами. Горизонтальное масштабирование осуществляется путем добавления узлов в кластер.

Однако у такой системы есть недостаток: количество узлов кластера все же ограничено. Еще одним ограничением является то, что мощность одного виртуального брандмауэра не может превышать мощности одного физического устройства, поскольку ВМ не может работать на нескольких узлах. Этот недостаток можно преодолеть предлагаемой Check Point системой шасси, в котором лезвия управляются как единое устройство. Масштабирование обеспечивается объединением такого шасси в систему VSLS.

Для того чтобы снять ограничения по масштабируемости для одного брандмауэра, в Check Point придумали единственное на сегодняшний день решение Maestro. Ключевым его элементом является балансировщик. За балансировщиком размещаются обычные устройства. При этом единый управляемый объект среднего масштаба может состоять из 52 устройств. Отказоустойчивость обеспечивается архитектурой N+1.

Темой доклада Олега Стародубова, исследователя из Cisco Talos Incident Response, была охота за угрозами при реагировании на инциденты ИБ. Однако сначала он напомнил о самых громких инцидентах, обнаруженных за последние два года в Украине, в частности, о Petya, Bad Rabbit и различных модификациях вируса Conficker. Последний являлся модульной программой, нацеленной на маршрутизаторы для малого бизнеса и персональных пользователей. Его основной задачей была компрометация этих маршрутизаторов с целью их дальнейшего использования или выведения из строя. О возможных его целях также говорит плагин, который позволял осуществлять атаки на протокол SCADA.

 помочь бизнесу защитить ИТ

Олег Стародубов: «Для обеспечения безопасности электронной почты компания предлагает продукты Cisco Email Security и Cisco Web Security»

Затем докладчик проинформировал о целях объединения Cisco Talos и Incident Response. Оно позволит повысить эффективность реагирования на инциденты ИБ и расширить спектр услуг. В частности, добавилось экстренное реагирование на инциденты, составление планов и сценариев для компаний по реагированию на них, охота за угрозами (Threat Hunting). Основным инструментом здесь является Cisco AMP (Advanced Malware Protection). В него планируется добавить судебный модуль (forensic).

Вторым инструментом охоты является Cisco Umbrella. Продукт позволяет выполнять мониторинг DNS-запросов и определять подозрительные, а также, кто может стоять за данным инцидентом.

Одним из привлекательных объектов атак является электронная почта. Для обеспечения ее безопасности компания предлагает продукты Cisco Email Security и Cisco Web Security (IronPort).

Выступающий также обратил внимание аудитории на то, что у Cisco имеется огромное количество партнеров по всему миру, включая крупные компании, такие как IBM, а также и из организации из госсектора. В Украине Cisco сотрудничает с киберполицией и СБУ, а в США — с ФБР. Это позволяет эффективнее реагировать на инциденты, в том числе и международного масштаба.

Фишинг представляет собой опасную угрозу, особенно для малоопытных пользователей. Более 50% писем несут фишинговую составляющую. Об актуальных методах борьбы с ним, инструментах и их реализации рассказал региональный менеджер Trend Micro в Украине, Беларуси и Молдове Роман Черненький. Компания, по его словам, предлагает уникальную для рынка технологию по борьбе с атаками на почтовый трафик.

 помочь бизнесу защитить ИТ

Роман Черненький: «Продукты Trend Micro характерны тем, что включают экспертные знания»

Взлом электронной почты выполняется в основном методами социальной инженерии. При этом так называемая целевая атака производится на конкретного человека. Обычно злоумышленник отправляет письмо, которое пользователь ожидает. Далее с помощью этого письма злоумышленник попадает в сеть и разворачивает атаку на ресурсы компании. Примечательно, что он может очень долго оставаться в сети необнаруженным.

Вредоносному коду в письме достаточно 45 с, чтобы зашифровать жестки диск. Это значит, что система защиты должна работать в автоматическом режиме, понимать, что приходит, делиться данными агентами, установленными на компьютерах. Решения, предлагаемые Trend Micro, настроены на полную автоматизацию работы системы безопасности.

Еще одной атакой является компрометация деловой переписки (Busyness Email Compromise). Это некий нацеленный фишинг. К счастью, пока в Украине с этим сталкиваются мало. Такие письма очень тяжело обнаружить, поскольку в них нет присоединений и ссылок на внешние ресурсы, а пользователь, скорее всего, его откроет.

Продукты Trend Micro характерны тем, что включают экспертные знания. Письмо в заголовке пакета несет информацию о маршрутизации, похожий на почту отправителя домен, а в теле письма написано, что нужно сделать. Соответственно, используя математические модели, можно с высокой долей вероятности определить, где фишинговое письмо, а где безопасное. К тому же, технологии Trend Micro умеют распознавать стиль написания письма, который может быть уникальным для конкретного человека. Пока поддерживается только английский язык.

Следующим отслеживаемым элементом является давность создания домена, с которого пришло письмо. Если с домена, который был создан, условно, пять минут назад, идет рассылка, скажем, пяти тысяч писем, то с большой вероятностью это плохие письма. При необходимости письма направляются в песочницу. Если письмо содержит ссылку, то при ее нажатии пользователем в облаке выполняется проверка ее репутации.

Решения Trend Micro делятся на два класса: решения для защиты облачной почты и решения для локального развертывания. В последнем случае это может быть Email Gateway в виде виртуального продукта, аппаратного устройства или агенты, которые устанавливаются на MS Exchange либо Lotus Domino.

По словам выступающего, аналитики очень хорошо оценивают решения Trend Micro с точки зрения их функциональности, эксплуатации и продаж. По оценкам Forrester, решения компании по защите почты постоянно располагаются на лидирующих позициях.

Менеджер по развитию бизнеса в области безопасности в регионе СНГ Андрей Кузьменко рассказал о направлении, в котором движется IBM, преследуя цель укрепления безопасности как внутри, так и развития рынка безопасности в целом.

 помочь бизнесу защитить ИТ

Андрей Кузьменко: «Одна из самых больших проблем в безопасности — это культура пользователей и отношение организаций к безопасности»

Он отметил, что клиенты привыкли получать сервисы моментально. И этому способствуют облачные технологии. В облаке IBM установлено множество правил безопасности, контролей, везде устанавливаются агенты, прокси, сегментируется сеть. Все это повышает уровень безопасности. Но если посмотреть, с какой скоростью запускается какой-нибудь сервис для бизнеса и как на это реагирует безопасность, то можно увидеть некоторое несоответствие. И проблема здесь не в людях, а в множестве разных технологий, которые существуют в корпоративной сети. По статистике IBM, каждая организация при выборе продуктов сталкивается, примерно, с 40 производителями и еще большим количеством продуктов. Однако одной из самых больших проблем в безопасности — это культура пользователей и отношение организаций к безопасности, это те контроли, которые они применяют, и хаос, порождаемый обилием производителей и продуктов. Еще одной проблемой является разные языки, на которых говорят офицеры безопасности и бизнес. Согласно опросу среди своих клиентов, проведенному в III квартале этого года, безопасность сегодня нуждается в большей степени в маркетинге, чтобы решить проблему культуры пользователей, чтобы они понимали, что и зачем нужно защищать, чтобы лидеры бизнеса понимали, что безопасность нуждается в финансировании и поддержке.

В самой IBM было полностью изменено отношение к безопасности. Отдел является единственным в компании, которое функционирует, с одной стороны, как отдельное подразделение, а с другой — является, наверное, самым популярным. В отделе имеется SOC, который перемещается по Европе и проводит симуляцию кибератак. Была также построена платформа IBM X-Force Exchange для взаимодействий между организациями.

Докладчик обратил внимание на то, что Gartner выделила абсолютно новое направление в развитии безопасности — это SOAR (Security, Orchestration, Automation, Response) — интеграция множества решений и оркестрация. Оно привело к появлению нового поколения специалистов со знанием API, логики работы приложений и интеграции множества сервисов. Сегодня комплексные системы безопасности строятся на платформе SOAR. И своей задачей IBM считает создание направлений и лидерство в этих направлениях.

На панельной дискуссии, организованной в рамках конференции, обсуждалась, в частности, такая тема, как выбор производителя продуктов и какие при этом используются подходы и критерии.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+33
голоса

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT