Дарвинизм в IT-безопасности и Светлое будущее сегодня.

«Выживает не самый сильный, а самый восприимчивый к переменам».
Ч. Дарвин

Что-то давно мы не беседовали о будущем IT-безопасности (голосом Н.Н.Дроздова, ведущего программы «В мире животных» :) Поэтому приготовьтесь к «много букв» о технологиях, бизнесе и тенденциях под гарниром из фактов и размышлений. Запаситесь вниманием и попкорном.

Речь пойдёт об идеальной IT-безопасности, каким путём секюрити-индустрия эволюционирует в этом направлении, что происходит по дороге и как это можно объяснить согласно теории эволюции. Где и как происходит естественный отбор, какие виды становятся доминирующими, а какие материалом для палеонтологов, что такое симбиоз и паразиты?

Начну с определения.

Идеальное в несовершенном мире.

Строго говоря, «идеальной» IT-безопасности не бывает. Можно к ней бесконечно стремиться, создавая максимально защищённую систему, но каждое приближение к 100% будет стоить всё больших и больших, экспоненциально растущих расходов, которые рано или поздно превысят стоимость потенциального ущерба от самого жёсткого сценария успешной атаки. Не говоря уже о том, что 100% защитой обладает только сферический конь в вакууме, полностью оторванный от реалий практического использования.

Посему логично дать следующее определение «идеальной безопасности»: взлом системы должен стоить дороже потенциального ущерба (плюс, естественно, стоимость самой защиты). Или, если посмотреть с другой стороны баррикады, стоимость атаки должна быть выше получаемой выгоды.

Разумеется, будут случаи, когда атакующий пойдёт на любые расходы для достижения результата (например, кибер-военщина), но это не причина накрыться простынёй и ползти на кладбище.

А как именно строить максимально защищённую систему безопасности?

Начало координат.

Один из ключевых принципов дарвинизма – изменчивость. Из-за рекомбинации генов, мутаций и других неведомых причин живые организмы приобретают новые признаки. А дальше – кому с признаками повезло, те заполняют среду обитания и вытесняют других, менее везучих особей. Потому-то мишки в Арктике белые, а на Камчатке бурые.

Похожее происходит в IT-безопасности: кибер-негодяи постоянно находят новые уязвимости в системах, изобретают новые методы атак и совершенствуют «четыреста сравнительно честных способов отъёма денег у населения» ©. Кто преуспел – тот подминает под себя андеграунд и захватывает денежные потоки. Только в отличие от биологической эволюции скорость изменений здесь зашкаливает: за год может смениться несколько поколений угроз.

Создание успешной секюрити-системы требует ориентации на самый адский из самых адских сценариев. Вероятность его реализации мала, но построение защиты на таком допущении позволяет избавиться от опасного оптимизма, розовых очков и «авосей». Размышления из этой отправной точки помогают не просто признать проблему, но понять её масштаб и разработать оптимальную стратегию решения. Вы знаете свою уязвимость, вы больше не жертва, вы – охотник.

Но что конкретно делать дальше? Как быть на шаг впереди этих упырей, предугадывать их следующий шаг?

Modern defenders vs traditional: think about adversaries not incidents, by @johnlatwc #TheSAS2016 pic.twitter.com/gss5MITuO1

— Eugene Kaspersky (@e_kaspersky) February 8, 2016

Адаптируйся или умри.

Разумный выход в условиях высокой энтропии – адаптивная модель поведения. Мы начинаем действовать, исходя из анализа ситуации на основе ограниченного объёма подтверждённых данных (часто в отсутствии оных) и большого числа гипотез. Каждая итерация цикла «анализ – действие – результат» снижает неопределённость, повышает рациональность поведения, производительность и другие значимые для бизнеса параметры.

В 2013г. мы начали реализовывать такую адаптивную модель в области IT-секюрити, а в 2014г. Gartner опубликовал своё видение. Адаптация системы безопасности основана на цикличном применении инструментов из четырёх основных доменов: предотвращение атаки, обнаружение атаки, реакция на атаку, прогнозирование атаки. Внедрение такой модели позволяет создать оптимальную защиту, соответствующую жизненному циклу кибер-атаки и способную быстро подстраиваться под изменяющиеся внутренние и внешние условия.

Источник: Designing an Adaptive Security Architecture for Protection From Advanced Attacks, Gartner (February 2014)

Уже несколько лет адаптивная модель безопасности является основой нашей сервисно-продуктовой стратегии развития. Несмотря на то, что в начале у нас было много белых пятен на схеме модели, мы поняли — это правильный подход для защиты корпоративных сетей, это то, к чему нужно стремиться, чтобы решить актуальные проблемы заказчиков. Прошло полтора года, немного воды утекло, зато мы сильно продвинулись в реализации планов.

Хьюстон, у нас проблема.

Как же сейчас обстоят дела с реализацией адаптивной модели безопасности?

Пока, мягко говоря, фигово. Образно говоря, «верхи не могут, низы не хотят».

С одной стороны, очень мало вендоров, способных предоставить все инструменты для создания непрерывного цикла адаптивной безопасности. Отдельные куски пазла не сильно совместимы между собой и их тем более сложно объединить в единой системе управления.

С другой стороны, заказчики сконцентрированы на отдельных доменах цикла (в основном в области предотвращения атаки), недооценивая важность остальных и всего комплекса в целом. Увы, такое пагубное увлечение усугубляет и поведение некоторых вендоров, заявляющих о создании волшебной панацеи против всех кибер-бед.

В итоге, ага — иллюзия безопасности, недоумение после очередного инцидента, порочный круг экстренного пожаротушения и постоянная угроза бизнесу, которая вызывает рост расходов (без повышения эффективности защиты) и девальвирует ценность защитных IT-систем.

В дарвинизме изменение — одна из движущих сил биологического развития. В IT-безопасности на эволюции висит груз интеллекта и поэтому пинок к изменениям даёт признание проблемы, оно же — первый шаг к её решению. И я вижу, что и секюрити-индустрия и заказчики находятся на правильном пути.

Тачка на прокачку.

Прежде всего, мы запустили широкий спектр сервисов для усиления позиций во всех доменах модели. Сейчас в нашем портфолио тренинги для персонала любого уровня, «сводки с полей» о кибер-атаках, тестирование на проникновение, аудит корпоративных приложений, анализ инцидентов, рекомендации по устранению их последствий и много других полезных вещей для реализации полного цикла «предотвращение, обнаружение, реакция, прогнозирование».

C продуктовой точки зрения, мы дополнили нашу традиционно сильную позицию в домене «Предотвращение» решением в домене «Обнаружение» для защиты от целевых атак (Kaspersky Anti Targeted Attack Platform) и его интеграцией в SIEM-системы. В ближайших планах – выпуск полнофункционального EDR (Endpoint Detection and Response) решения, которое позволит связать в единую картину разные события на всех машинах сети.

Так что уже в краткосрочной перспективе мы будем поставлять полный спектр продуктов и услуг для создания и поддержки адаптивной модели безопасности. Её главная «фишка» — «суперчувствительные» системы в области анализа угроз: с помощью сенсоров по всей сети и на всех узлах мы предоставляем заказчику кратно больше информации для принятия осведомлённого решения. Скрестив эту информацию с нашей человеческой и машинной экспертизой эффективность борьбы со сложными целевыми атаками будет на порядок выше.

Важно: внедрение такой стратегии не потребует революционных крайностей в духе «весь мир … мы разрушим до основанья, а затем…» с выносом тел и бубнами. Внедрение может идти этапами, эволюционно, в соответствии с теорией Дарвина особенностями бизнеса, IT-инфраструктуры и другими специфическими деталями. Опыт показывает, что заказчики предпочитают начинать с сервисов (тренинги и «сводки с полей»), постепенно устанавливая новые части большого адаптивного секюрити-пазла.

Продолжение следует.

Не скрою – мы не единственные, кто системно разрабатывает новое поколение адаптивной IT-безопасности. Однако, очень приятно, что мы в авангарде и, без ложной скромности, в лидерах. А это, надо сказать, здорово мотивирует.

Заказчику все равно, как называется продукт, как красиво он смотрится на YouTube или в маркетинговых материалах — «вам шашечки или ехать?». Важно, чтобы при прочих равных у организации был максимальный шанс избежать инцидента и сопутствующих потерь. А значит, мы и дальше будем расшибаться в лепёшку, чтобы дать рынку даже больше, чем он ожидает.

Время нашей передачи подошло к концу (опять голосом Н.Н.Дроздова). В следующей части мы поговорим про издержки мутации, естественный отбор и борьбу за существование.

Как @e_kaspersky_ru видит будущее IT-безопасностиTweet