01.10.14

Алексей Лукацкий: "Халатность пользователей становится самым слабым звеном"

Источник фото: http://www.astera.ru

Cisco, Бизнес-консультант по безопасности

Интервью с Алексеем Лукацким, бизнес-консультантом по безопасности компании Cisco.

— Информационная безопасность. Какие новые угрозы вы могли бы назвать? Как им противостоять?

— Я бы не сказал, что сейчас появляются кардинально новые угрозы, которых не было раньше. Никакой революции не происходит, скорее всего, это эволюционное развитие. Меняется зачастую поведение как пользователей, которые становятся все более беспечными ввиду массового развития информационных технологий, так и поведение злоумышленников, которые ориентируются уже не на массовое распространение вредоносных программ или каких-то угроз, а фокусируются на одну компанию или группу компаний, объединенных по каким-то принципам. Это позволяет злоумышленникам оставаться гораздо дольше незамеченными и получать больший результат от действий своих вредоносных программ, несмотря на то, что они не такие массовые, при этом показатель заражения измеряется не долями, а может доходить до нескольких десятков процентов. И еще одна тенденция, скорее всего, не революционная, а эволюционная — это использование злоумышленниками в целях проникновения в те или иные системы не одного вектора, а сразу нескольких уязвимостей, векторов, каналов проникновения. Все это является тенденцией на сегодняшний день с точки зрения злоумышленников, и, как следствие, компании, которые занимаются защитой как собственной организации, так и других компаний, должны учитывать эти тенденции. Уже, к сожалению, нельзя использовать одно точечное решение, как это было раньше — поставили межсетевой экран на периметре, установили антивирус на рабочей станции или на сервере, и как бы они решают все проблемы ИБ. Не решают! В корпоративную сеть или сеть оператора связи можно попасть разными способами: и через межсетевой экран (традиционный вариант), и через флешку, и с помощью компакт-диска, и по электронной почте, и через 3G- или 4G-модем, который сотрудник подключил к своему компьютеру, и через левую точку беспроводного доступа, и через синхронизацию ActiveSync, и т.д. Вариантов огромное количество. И, как следствие, одно средство защиты уже не спасает. Оно обходится элементарно, необходимо использовать комплексную систему, как бы старо это не звучало, это должен быть некий комплекс из различных технологий, продуктов, установленных в разных местах, которые позволяют, с одной стороны, выстроить некую эшелонированную «стену» вокруг защищаемой системы, т.е. бороться с атаками до их появления на периметре организации. С другой стороны, мы должны быть готовы, что атаки все-таки могут использовать слабые места системы защиты, таким образом, мы должны обнаруживать несанкционированные действия в процессе их реализации. И, наконец, третье, самое важное, что отличает текущий день от прежних — мы должны быть готовы, что какие-то угрозы все-таки заразят или скомпрометируют отдельные узлы, может произойти компрометация узлов, утечка информации. И задача специалиста по безопасности — не закрывать на это глаза, а признать такую проблему и как можно скорее локализовать ее, не давая распространяться по организации, т.е. провести расследование, изучить сетевой трафик, увидеть индикатор, говорящий о компрометации и, тем самым, своевременно идентифицировать источник проблемы, ограничить его и затем привести систему в предатакованное состояние. То, что сейчас происходит, эпизодически происходило и ранее, но сейчас стало носить все более массовый характер, потому что со старыми методами борьбы эффективно построить систему защиты невозможно.

— Подход к информационной безопасности в России и в мире. Есть ли существенные отличия? На какие нюансы информационной безопасности обращают внимание российские компании?

— Отличия есть, они касаются, в первую очередь, подходов к регуляторике. Практически в каждой стране мира есть свои обязательные требования по обеспечению ИБ, но у нас их количество завышено. Как следствие, реальное обеспечение безопасности подменяется необходимостью выполнения бумажных требований регуляторов. И многие компании ищут не решения своих реальных проблем, а способ успешно пройти проверку со стороны регулятора. Вот в этом, наверное, ключевое отличие России от западных и ряда восточных стран, потому что там акцент делается на реальной безопасности, влияние регуляторов существенно ниже, чем в России, а если оно и есть, то касается либо критических отраслей, критически важных объектов, либо государственного сектора, причем тоже не всего (обработка специфической информации, гостайна либо некоторые промежуточные уровни до общедоступной информации). У нас, к сожалению, регуляторы больше контролируют, чем во всем мире. И индивидуальный предприниматель, и монополист вроде Газпрома или РЖД попадают под прицел регулятора, что не всегда, на мой взгляд, является правильным подходом. И второе отличие, как следствие первого, заключается в том, что российский рынок разработчиков средств защиты информации также ориентирован на регуляторику. Если на западе продукты разрабатываются исходя из потребностей заказчика, рынка, то у нас — из потребностей регулятора. Именно поэтому продуктов российской разработки у нас немного, а те, что есть на сегодняшний день, как правило, реализуют устаревшие требования нормативных документов регуляторов, которые не всегда помогают решать бизнес-задачи. Но ситуация потихоньку меняется, сейчас стали появляться стартапы. В частности, наше сотрудничество с фондом «Сколково», участие в организуемых фондом мероприятиях показывают, что там за последние 2-3 года было создано несколько десятков стартапов по ИБ. Это очень хороший показатель, это значит, что у российских средств защиты есть будущее, есть перспектива занять свою нишу как внутри страны, так и за ее пределами. В остальном же серьезных отличий на сегодняшний день я не вижу.

— Место информационной безопасности в стратегии Cisco? Почему компания уделяет информационной безопасности все больше внимания?

— Компания Cisco всегда уделяла внимание этому направлению. Первое выделенное решение по безопасности — я говорю не о встроенных функционалах в наши маршрутизаторы, коммутаторы, которые были всегда, а именно о выделенном решении — у нас появилось в 1996 году. С тех пор это направление активно развивается. Буквально недавно у нас произошло достаточно знаменательное событие: мы выделили ИБ в отдельную вертикаль, чего у нас раньше не было, дав этой вертикали действительно очень серьезные ресурсы, возможности, поменяв многие процессы, чтобы еще больше закрепить свое лидерство в области ИБ, а также выйти в новые для нас сегменты этого рынка. Сейчас для нас это действительно уникальная возможность существенно изменить расклад сил, хотя он и так в нашу пользу. По оценкам международных компаний, доля Cisco на мировом рынке ИБ составляет порядка 34-38%. Для отдельных ниш эта доля колеблется от 15 до 80%. По данным IDC, в России на рынке сетевой безопасности мы также являемся лидерами среди всех российских и западных игроков, поэтому наша задача — укрепить наше первенство и увеличить занимаемую долю рынка, предложив заказчикам все необходимые для решения их задач технологии и продукты. Что же касается стратегии Cisco, то она довольно простая — стать доверенным советником наших заказчиков в области ИБ. Клиентов интересуют не «железки» или какие-то продукты, а решение их конкретных задач: выход в интернет, обеспечение мобильного доступа, оперативные коммуникации с партнерами или заказчиками, снижение времени на логистику своих продуктов, географическая экспансия на новые рынки, повышение производительности труда и снижение себестоимости продукции. Почти все эти задачи могут быть решены с помощью информационных технологий, и при любой из них возникают вопросы, связанные с ИБ. Если мы взаимодействуем с клиентами, партнерами, проводим переговоры, разумеется, мы хотим защитить эти переговоры от утечки, если мы выходим в интернет, то хотим защитить себя от заражения вредоносными программами, если мы запускаем какую-то новую площадку, то хотим защитить ее от атак, отказов обслуживания, чтобы площадка работала бесперебойно, не снижалась лояльность ее клиентов, компания не теряла деньги. Во всех случаях возникает потребность в обеспечении ИБ, поэтому Cisco уделяет большое внимание этой теме. И, в отличие от многих других направлений нашей деятельности, как дата-центры, облачные решения, унифицированные коммуникации, безопасность пронизывает все, потому что безопасность — не только отдельные решения, продукты, это функциональность в продуктах по виртуализации, в области облачных технологий, унифицированных коммуникаций, сетевого оборудования. Безопасность — это то, без чего немыслимо все остальное, что производит Cisco.

— Какое место займет информационная безопасность в эру «всеобъемлющего интернета»?

— Как следствие, когда мы говорим об «интернете вещей», «всеобъемлющем интернете» как следующей стадии развития «интернета вещей», возникают вопросы: как защитить информацию, исходящую, например, с кардиостимулятора к домашнему доктору; как защитить информацию, получаемую автомобилем в режиме реального времени от датчиков, которые сигнализируют о пробках, мокром дорожном покрытии? Получается, что если злоумышленники вмешаются в этот процесс, то я попаду либо в пробку, либо меня занесет, потому что я не учту скоростной режим. Либо мой кардиостимулятор, не дай Бог, выдаст мне заряд тока, посчитав, что следует запустить встроенный дефибриллятор, приняв действия злоумышленника за сбой в ритме работы сердца. И такие примеры уже были. Все это кажется фантастикой, но элементы «всеобъемлющего интернета» стали появляться в нашей жизни уже сейчас. Недавно был прецедент, когда злоумышленники вывели из строя мультиварку и кофеварку путем их дистанционного включения через интернет. В кофеварке не было воды, а в мультиварке — продуктов. Все это привело к возгоранию. Вот вам пример недооценки обеспечения ИБ. Другой пример — Smart ТВ со встроенной видеокамерой, которая позволяет злоумышленникам наблюдать, что происходит в частной квартире. Соответственно, возникает необходимость защитить это межмашинное взаимодействие, которое составляет основу «всеобъемлющего интернета».

Учитывая, что интернет действительно всеобъемлющ, и то, что мы до сих пор до конца не можем предположить, куда еще встроят поддержку интернет-функций, мы должны думать о безопасности как самих элементов «всеобъемлющего интернета», так и их взаимодействия. Компания Cisco не всегда может повлиять на включение в стандарты межмашинного взаимодействия, «всеобъемлющего интернета» вопросов безопасности, не может повлиять на производителей различных устройств (кофеварок, холодильников, подгузников, которые тоже есть с подключением к интернету), поэтому наша задача хотя бы обеспечить защищенное взаимодействие между этими элементами. Поэтому мы наши технологии безопасности, которые очень хорошо восприняты на корпоративном рынке, модифицируем для того, чтобы их можно было применять во «всеобъемлющем интернете». Задачи примерно те же, но немного различаются способы их реализации. Но нам как компании, занимающейся разработкой сетевых технологий, протоколов, способов коммуникаций и сетевого оборудования, на которых строится «всеобъемлющий интернет», гораздо проще реализовывать многие вопросы, связанные с информационной безопасностью и интернетом вещей, чем другим игрокам этого рынка.

— Какие решения Cisco для информационной безопасности отражают приоритеты компании? Какие решения для обнаружения и отражения различных угроз компания предложит (предложила) заказчикам в 2014 году?

— С точки зрения ИБ все решения, будь то межсетевые экраны, системы предотвращения вторжений, мониторинга аномальной активности, контроля доступа, контентной фильтрации, защиты беспроводного доступа, защиты виртуализации и облаков — все это для нас в приоритете. Мы не занимаемся неприоритетными направлениями. И в 2014 году мы выпустили сразу много как обновлений уже существующих продуктов, так и просто новых продуктов. Наверное, самым важным для нас анонсом является интеграция решений приобретенной нами в прошлом году компании Sourcefire с нашей «родной» линейкой продуктов. Хочу отметить, что за все время моей работы в компании, а это уже более 10 лет, впервые подобная интеграция была проведена за столь короткий срок. 16 сентября мы анонсировали продукт под названием FirePower for ASA. Это интегрированная система предотвращения вторжений, межсетевой экран нового поколения, система URL-фильтрации, защиты от вредоносного кода, сетевой антивирус, VPN-система. И все это встроено в нашу платформу Cisco ASA, которая на сегодняшний день является самым популярным межсетевым экраном в мире, в том числе в России. Компания делает большую ставку на развитие этого интеграционного решения, позволяющего объединить традиционные продукты Cisco с решениями приобретенной компании Sourcefire. FirePower for ASA позволит нашим заказчикам бороться с новыми угрозами на базе уже существующей у них платформы, они смогут расширить функционал инфраструктуры, существующей на базе Cisco ASA. Иными словами, они смогут защитить сделанные когда-то инвестиции в систему обеспечения сетевой безопасности Cisco, подняв ее на новый уровень и существенно расширив ее функционал.

Еще одно решение, которое мы выпустили в этом году — Advanced Malware Protection (AMP). С выходом этого продукта Cisco заявила о себе на рынке борьбы с вредоносным кодом, антивирусов и защиты оконечных устройств. Раньше компания практически не была представлена на этом рынке, использовались в основном решения наших партнеров: мы встраивали их антивирусные движки в продукты Cisco. Отличие AMP в том, что он может быть установлен на сетевое оборудование, в межсетевые экраны, системы предотвращения вторжений, системы контроля доступа в интернет и защиты электронной почты и, разумеется, на оконечные устройства — мобильные устройства, серверы, рабочие станции, ноутбуки и т.д. Это действительно такая всеобъемлющая система, которая не ограничивается одной точкой контроля, а ставится там, где это необходимо в конкретный момент времени в зависимости от задач заказчика. Еще одно отличие AMP в том, что заказчику не требуется приобретать новые устройств и менять дизайн своей сети — AMP интегрируется со многими нашими продуктами, тем самым защищая уже сделанные инвестиции.

Стоит упомянуть и решение Cyber Threat Defense — систему мониторинга аномальной активности. Дело в том, что мы не всегда можем описать какую-либо вредоносную активность в виде сигнатуры, конкретного шаблона, и далеко не всегда мы можем сказать, что все угрозы пойдут через ту точку, в которую мы поставим систему предотвращения вторжений, поэтому возникает задача мониторинга практически любого устройства, который есть в сети: маршрутизатора, коммутатора, точки доступа, рабочей станции, мобильного устройства, принтера, сканера, системы видеонаблюдения, датчика АСУ ТП, датчика телемедицины и т.д. Со всего, что имеет IP-адрес, со всех вышеперечисленных устройств может исходить какая-то угроза или они сами могут стать мишенью для злоумышленников. Соответственно, наша задача — мониторить не только то, что происходит на периметре, но и то, что происходит внутри сети. Было бы идеально, если бы к каждому устройству мы поставили по системе вторжений, но это невозможно в связи с финансовыми причинами, а иногда и из-за технологических ограничений. Дизайн многих сетей не позволяет проследить аномальную активность. Что же в этом случае делать? Можно попробовать решить задачу двумя путями. Первый вариант: установить систему защиты на каждое устройство. Но этот путь зачастую тупиковый, учитывая то многообразие устройств, которые представляет тот же «всеобъемлющий интернет». Второй вариант: мониторить сетевой трафик, исходящий от этих устройств либо идущий на них. Иными словами, заниматься анализом и мониторингом сетевой активности, но не путем установки сенсоров в каждом месте, где есть такого рода устройства, потому что это слишком дорого, а задействовать существующую сетевую инфраструктуру, т.е. коммутаторы, маршрутизаторы, точки доступа, и получать от них информацию, а затем анализировать ее на предмет обнаружения аномальной активности, что собственно и делает наше решение под названием Cisco Сyber Threat Defense.

Наконец, еще одно решение, которое появилось у нас в этом году — Cisco ASAv, виртуальный межсетевой экран, заявка на сертификацию которого подана в ФСТЭК России. Это то же решение, что и Cisco ASA: традиционный межсетевой экран, но реализованный для поддержки любой среды виртуализации, которая сейчас существует, будь то VMware, Hyper-V, XEN, KVM и другие. В отличие от физических устройств, ASAv запускается на виртуальной машине и контролирует трафик между виртуальными машинами в центре обработки данных, частном или публичном облаке.

В этом году мы обновили и наше решение по облачной безопасности Cloud Web Security. В 2012 и в 2014 гг. мы приобрели две компании, которые занимались обнаружением и исследованием новых угроз — ThreatGRID и Cognitive Security. Технологиями этих компаний мы оснастили в том числе и решения по облачной безопасности, поэтому к решению Cisco Cloud Web Security проявляют интерес и российские операторы связи, и небольшие компании, которые не могут позволить себе ставить на периметры своей организации мощные, дорогостоящие защитные устройства, но задача по борьбе с угрозами у них такая же, как и у крупных корпоративных заказчиков.

— Безопасность облака. Последние месяцы ознаменованы несколькими крупными утечками из облака (в том числе утечки личных фотографий знаменитостей). С чем, на ваш взгляд, это связано? С появлением новых киберугроз или с низкой цифровой грамотностью пользователей?

— Мы еще до конца не знаем, откуда утекли те самые фото знаменитостей, но, на мой взгляд, это связано с невысокой грамотностью в области ИБ рядовых интернет-пользователей. Они зачастую выбирают для своих интернет-ресурсов банальные, легко угадываемые пароли, а если пароли более или менее надежны, то они едины для всех аккаунтов и устройств пользователя, будь то электронная почта, облако, социальная сеть, домашний компьютер, и меняются очень-очень редко. Бывает, что эти пароли не меняются годами. Как следствие, именно эта халатность пользователей, а не системы защиты облачных платформ, которые атакуют и из которых осуществляются утечки, становится самым слабым звеном. Разумеется, бороться с этими угрозами нужно. Помимо необходимости повышения грамотности пользователей, существуют технологии анализа аномальной активности, обнаружения мошенничества в интернете, в том числе на облачных платформах, но эти технологии пока не получили широкого распространения ввиду недооценки этой проблематики. Зачастую сами владельцы облачных платформ пытаются переложить многие проблемы на пользователей вместо того, чтобы заниматься защитой своей инфраструктуры, поэтому это задача двусторонняя. Пользователи должны заниматься своей ИБ, а облачные платформы должны уходить от набора традиционных механизмов защиты в сторону существующих на рынке инновационных технологий.

— Изменения в регуляторных требованиях к защите информации. Каким требованиям должны соответствовать решения для информационной безопасности будущего?

— Наверное, ни в одной стране мира эта работа на опережение не реализована, и, пожалуй, она не нужна, потому что технологии настолько многообразны, что попытаться предвидеть их на уровне не просто «такое может быть», а на уровне конкретных требований, предъявляемых к этой технологии, довольно бесперспективно, поэтому за эту работу никто не берется, в том числе и в России. Единственное, что хотелось бы, чтобы сами регуляторы не запрещали применения инновационных технологий безопасности, для которых у них еще нет своих требований. Если этот баланс будет соблюден — когда возможно применение такого рода технологий, а со временем регулятор выработает для них свои требования, то это позволит эффективнее развиваться рынку ИБ.

Источник: http://www.astera.ru