Информационная безопасность: игра на опережение

Блог Тома Хоуга (Tom Hogue), менеджера подразделения компании Cisco по разработке решений для ИБ

Независимое исследовательское агентство Ponemon Institute охарактеризовало 2014 год как период «сверхкрупных кибератак», который надолго запомнится благодаря целому ряду масштабных инцидентов в области информационной безопасности (ИБ) и случаев компрометации данных. Эти кибератаки служат хорошим примером так называемых устойчивых угроз повышенной сложности (Advanced Persistent Threats, APTs). В рамках своих исследований агентство Ponemon Institute провело опрос, который, помимо всего прочего, дал возможность выяснить время, обычно затрачиваемое на обнаружение атак. Результаты оказались неожиданными и устрашающими: лишь 6% опрошенных организаций смогли обнаружить взом своих систем безопасности незамедлительно или в течение одной недели после начала атаки. 80% организаций либо вообще не смогли обнаружить факт взлома, либо затратили на это не менее шести месяцев.

Почему же устойчивые угрозы повышенной сложности представляют такую проблему для информационной безопасности организаций? Перво-наперво, давайте определим модель для анализа. В приведенной ниже «Упрощенной модели угроз» началом кибератаки считается тот момент, когда злоумышленник пытается скомпрометировать один из элементов корпоративной сети, находящийся в группе «Векторы атаки». Хотя в данной модели каждый вектор атаки представлен лишь одной стрелкой, в действительности киберпреступник может одновременно задействовать любое количество векторов в зависимости от того, сколько уязвимых точек ему удастся обнаружить. Каждый раз, когда киберпреступник переходит к следующей группе, умозрительная система ИБ, функционирующая в рамках данной модели, фиксирует очередной инцидент. Повторю: любой злоумышленник может атаковать любой элемент в соседней группе, в данном случае — в группе «ИТ-инфраструктура». Этот процесс продолжается до тех пор, пока киберпреступник не получит доступ к своей цели, т.е. к информационным активам организации.

Очевидно, не все киберпреступники в состоянии обнаружить векторы атаки данной организации. Очевидно и то, что не каждый киберпреступник сможет преодолеть системы защиты. Следовательно, нужно учитывать фактор вероятности. Данная модель позволяет установить формулу определения количества инцидентов ИБ, вероятных для рассматриваемой ситуации. Если не вдаваться в математические расчеты, то итоговую формулу можно упрощенно представить так:

События кибератаки = (Киберпреступники) * (Векторы атаки * Вероятность атаки на организацию) * (Объекты инфраструктуры * Вероятность компрометации) * (Информационные активы * Вероятность успешной атаки на актив).

Допустим, что рассматриваемая организация находится в следующих условиях:

• 500 киберпреступников по всему миру в данное время атакуют ее системы ИБ

• имеется 60 000 векторов атаки (например, компьютеры сотрудников), защищенных на 80%

• имеется 100 объектов ИТ-инфраструктуры (например, сетевые устройства и межсетевые экраны)

• имеется 50 информационных активов, представляющих интерес для злоумышленников (например, торговые терминалы и серверы, содержащие персональную информацию заказчиков)

• меры ИБ эффективны на 98% (оставшиеся 2% как раз и будут использоваться в наших расчетах).

Если подставить данные числа в вышеприведенную формулу, то получим 1,2 миллиона кибератак в произвольный момент времени. Конкретизировать это число можно при помощи следующего соображения: известно, что временной интервал используется в качестве коэффициента наращения при расчете процентной ставки денежного займа. Аналогичным образом временной интервал можно рассматривать как коэффициент наращения при определении вероятности кибератаки. Предположим, что временной интервал для вышеприведенных расчетов составляет 1 час. Тогда, чтобы рассчитать количество атак за 24 часа, надо умножить результат формулы на 24. Получится 28,8 миллиона кибератак в сутки.

Если теперь вспомнить вышеупомянутые результаты исследования агентства Ponemon Institute, выявившего, что 94% опрошенных компаний затратили на обнаружение взлома систем ИБ больше недели, то можно представить себе, сколь значительным может оказаться общее количество кибератак и насколько высокими могут быть шансы на то, что часть этих кибератак достигнет своей цели.

Гипотетическая организация, чьи показатели были использованы в вышеуказанной модели, каждую неделю станут мишенью для 201 миллиона кибератак. И тут самое время спросить, как сотрудники, обеспечивающие ИБ, смогут противодействовать такому количеству кибератак?

Рассматриваемая модель помогает понять, что существуют два ключевых фактора, которые необходимо брать в расчет при проектировании архитектуры ИБ: вероятность атак и время их обнаружения. Как правило, внедрение новых технологий ИБ призвано снизить вероятность успешной кибератаки. Тем не менее сотрудники отделов ИБ до тех пор не смогут организовывать по-настоящему эффективную защиту сетей, пока не будут уделять должное внимание и фактору времени.

Решение Cisco Cyber Threat Defense позволяет контролировать оба аспекта: и вероятность, и время

Благодаря сочетанию уникальных возможностей интеграции с лучшими в своем классе продуктами и технологиями, решение Cisco Cyber Threat Defense предоставляет специалистам по информационной безопасности непревзойденные возможности своевременного обнаружения атак и максимально быстрого противодействия им — как в автоматическом, так и в ручном режиме.

В качестве фундамента, предназначенного обеспечить подробный анализ пакетов и масштабируемый мониторинг, система Cyber Threat Defense использует систему предотвращения вторжений нового поколения FirePOWER, а также решение Lancope StealthWatch. Таким образом достигается полный контроль за содержимым и поведением всех потоков данных на всем протяжении сети.

Следующий уровень — система Cisco Identity Services Engine (ISE), обеспечивающая масштабируемую сегментацию и динамическую перенастройку матрицы коммутации. Помимо надежного фундамента для управления потоками данных, решение Cyber Threat Defense использует широкие возможности системы Cisco Advanced Malware Protection (AMP), которая может контролировать корпоративную сеть, оконечные устройства, интернет-трафик, почтовые шлюзы и даже персональные устройства сотрудников. В то же время решение Cisco AMP ThreatGrid обеспечивает непрерывный анализ, а также наблюдение за тем, чтобы все подсистемы, работающие с вредоносным ПО, обновлялись в режиме реального времени. Таким образом, достигается полноценный мониторинг и контроль за всеми, даже самыми скрытыми областями вычислительной сети организации.