Периметр переместился в облако

Испокон веков стратегия обороны основывалась на понятии периметра, им мог быть ров с водой, крепостная стена, граница лагеря войска, граница княжества или государства - не так важно. Первая и особенно Вторая мировая война сделали понятие периметра гораздо более размытым: противоборствующие стороны наносили удары не только вдоль линии фронта, но и в глубоком тылу - боевая авиация обладала достаточными возможностями для нанесения таких ударов.

Так или иначе, при организации охраны объектов и по сей день защита, как правило, расставляется по периметру здания или территории: колючая проволока, видеокамеры, часовые, дежурные, вахтеры, проходные, КПП, вышки...

До относительно недавнего времени защита информационных объектов также велась по принципу периметра: в первую очередь средства ИБ устанавливались на те участки и компоненты инфраструктуры, которые контактировали с внешним миром: каналы, связывающие корпоративную сеть с публичными сетями (в первую очередь с Интернетом) и оконечные устройства, доступные пользователям (рабочие станции). Каналы связи с внешними сетями оборудовались шлюзами безопасности (сетевыми экранами), пользовательские устройства - системами контроля доступа и подключения внешних носителей (дискет, USB-устройств и пр.). Также особо защищались наиболее важные объекты информационного пространства - серверы, хранилища данных, коммутационные узлы.

Лет десять с небольшим назад специалисты ИБ осознали, что понятие периметра информационных систем стало гораздо более размытым, чем раньше (см. статью "Мир - это твой периметр"): "Проблемы, связанные с «защитой по периметру», не являются ни новыми, ни туманными, они становятся неактуальными. Корпоративные информационные системы все более зависят от компонентов, находящихся за пределами защитных «объятий» традиционного межсетевого экрана. Беспроводной, мобильный, удаленный, адаптивный — вот ключевые слова сегодняшнего бизнеса, где сотрудники, партнеры и клиенты предприятия часто используют по нескольку различных устройств — ноутбук, мобильный телефон или компьютер в местном Internet-кафе — для доступа к корпоративным данным. Дополнительные средства доступа в корпоративную сеть могут проделать больше дыр на некогда весьма защищенных границах компании".

В эпоху массового распространения мобильных вычислений традиционный метод защиты по периметру утратил свою эффективность. Следующим ударом по нему стал массовый переход к облачным вычислениям.

Впрочем, как отмечается в отчете Cisco 2014 Annual Security Report, периметр информационной безопасности переместился в облако. В частности, по мнению Майкла Фьюрмана (Michael Fuhrman), вице-президента Cisco по инжинирингу, облака качественно меняют подход к вычислениям: бизнес не только размещает в облаках наиболее важные свои приложения, ни и использует облака для получения и анализа важной для него информации.

По мнению аналитиков Cisco, начиная с нынешнего года, следует ожидать, что корпоративные периметры ИБ перейдут в облачные среды: поскольку в них будет перенесено так много всего, что прежде находилось в привычных границах традиционных информационных систем, что предприятия не смогут проконтролировать все, что пересекало корпоративные ИТ-границы, а также действия пользователей, которые при этом совершались. Ну а поскольку ослабевает контроль со стороны тех, кто призван обеспечивать ИБ, перед злоумышленниками открываются широкие горизонты.

Ситуация усугубляется тем, что многие поставщики облачных продуктов и услуг предоставляют слишком скудную информацию о том, насколько защищены их технологии и много ли в них имеется брешей ИБ, какие регламенты ИБ (в том числе технологические) используют провайдеры облаков, насколько четко они соблюдаются и пр. Впрочем, корпоративные пользователи облаков также способствуют слабой защищенности своей информации и систем, поскольку недостаточно тщательно изучают договоры об уровне обслуживания (SLA) и не уточняют, каким образом провайдеры реализуют отдельные пункты соглашений.

Корпоративным пользователям облаков следует убедиться в том, что их провайдеры надежно защищают себя и своих клиентов от различного рода атак и используют для этого правильные, эффективные стратегии. Также желательно поинтересоваться, какие провайдер предоставляет клиентам возможности для того, чтобы они смогли убедиться в надежности защиты данных и приложений. Важно понимать, как у облачного провайдера выстроены процессы информационной безопасности и какие методы защиты он использует. В частности, желательно, чтобы мониторинг ИБ и принятие решений в области ИБ обеспечивалось в режиме, близком к реальному времени.

Благодарим компанию Cisco за ценную информацию и партнерскую поддержку!

www.osp.ru

"Клиент заказан", или DDoS-атаки - живее всех живых

Распределенная атака типа "отказ в обслуживании" (Distributed Denial of Service, DDoS) недорого обойдется ее заказчику - в Сети несложно найти множество "молодых дарований", которые за нее возьмутся. DDoS-атаки нередко заказываются, чтобы навредить конкурентам: отказ сайта в обслуживании в лучшем случае слегка снизит доверие и лояльность клиентов, а в худшем приведет к потере немалого количества заказов и оттоку заказчиков. Все больше атак реализуется как форма протеста - политического, социального, протеста сотрудника против "несправедливости" работодателя, как правило бывшего, или по иным мотивам - мало ли против чего взбредет протестовать буйному мозгу современного пользователя Интернета?

Видимо, легкостью и эффективностью DDoS-атак следует объяснить их стремительный рост, который отмечается, в частности, и в исследовании Cisco 2014 Annual Security Report. По данным этого отчета, растут и масштабы таких атак, и жесткость, с которой они проводятся.

Поскольку DDoS-атаки, как угроза, известны давно, вполне изучены и вроде бы понятны, многие предприятия уверены, что смогут им противостоять. Однако, как известно всем, кто занимается безопасностью, иллюзия защищенности - самая страшная из иллюзий для этого круга профессионалов. Как следствие - целый ряд известных компаний и брендов во всем мире (причем Россия - не исключение) подверглись мощным атакам, в результате которых их сайты оставались недоступными до нескольких часов. Особенно резонансными остаются атаки на банки: клиенты не могут снять наличные, оплатить своей картой покупки в магазинах. Также много шумихи поднимается после атак на государственные учреждения - и не столько из-за собственно недоступности сайтов, сколько из-за самого протестного акта, а это как раз то, чего в первую очередь и добиваются заказчики DDoS-атак на госсектор.

Примечательная новость: DDoS-атаки стали применяться в качестве "операций прикрытия" в ходе масштабных афер кибермошенничества: персонал банков, подвергшихся DDoS-атакам, не сможет оперативно оповестить через сайт своих клиентов о начале атаки кибермошенников. Сама мошенническая атака может при этом реализовываться с применением различных фишинговых схем. Одна из подобных атак с использованием  DDoS-атаки в качестве "операций прикрытия" нанесла ущерб одному из калифорнийских банков в размере более чем 900 млн долл. Разумеется, подобным образом DDoS-атаки могут применяться в "операциях прикрытия" атак других разновидностей (ну или для усиления их разрушительной силы): антиправительственных политических, спамерских и пр.

Еще одна новость: организаторы DDoS-атак все чаще используют средства, которые "требуют" выкуп от пораженных систем - это способствует увеличению доходности атак. В частности, средство CryptoLocker шифрует пораженные файлы, затем требует от их владельцев заплатить выкуп, причем если те отказываются платить в отведенный период, ключ шифрования уничтожается.

Таким образом, DDoS-атаки становятся далеко не такими "безобидными", нанося ущерб в результате не только блокирования работы сайтов, но также производя различные "побочные" эффекты либо используя DDoS-атаки для подкрепления иных вредоносных действий.

Благодарим компанию Cisco за ценную информацию и партнерскую поддержку!

www.osp.ru

Требуются аналитики данных ИБ

Подразделениям информационной безопасности для более эффективной работы нужно заняться поиском специалистов по анализу данных, относящихся к сфере ИБ, - на это прозрачно намекают результаты исследования Cisco 2014 Annual Security Report. Всё бы хорошо, если бы не одно обстоятельство: грамотные специалисты по анализу данных вообще в дефиците, причем и у нас, и за рубежом, а уж тех, кто еще и разбирается в информационной безопасности, днем с огнем не сыскать. Значит, придется их готовить - взращивать или переучивать. Впрочем, обо всем по порядку.

Зачем службам ИБ нужны специалисты по анализу данных?

Не секрет, что службы ИБ накапливают несметное количество данных, которые так или иначе можно изучать с точки зрения информационной безопасности: входящий и исходящий трафик представляет собой огромные массивы и потоки данных, которые разумно фильтровать на лету, а наиболее, скажем так, интересные подвергать более серьезному анализу. Также богатый материал для исследований содержится во всевозможных системных журналах (logs). Ну а самые интересные результаты могло бы дать сопоставление данных из различных источников: оно позволило бы выявлять атаки, определять злоумышленников, находить слабые узлы в защите информационных активов компании, оценивать эффективность защиты тех или иных объектов и субъектов ИБ.

(Замечу, что речь идет именно об анализе данных с точки зрения ИБ. В принципе ничего не мешает исследовать их с точки зрения общей или экономической безопасности: выявлять злоупотреблений служебным положением (в том числе "откаты"), попытки мошеннических операций инсайдеров по предварительному сговору с внешними лицами и пр., информационная поддержка служб экономической безопасности - тема, требующая отдельного обсуждения.)

Еще одна причина потребности в квалифицированных кадрах специалистов по анализу данных ИБ в том, что по мере роста их объемов и усложнения задач, связанных с ИБ, доля "шаблонных" подходом к решению задач с использованием заранее подготовленных отчетных форм будет уменьшаться, а доля произвольных запросов, напротив, расти - об этом также говорится в исследовании. 

Средства анализа данных ИБ

По мнению экспертов из Cisco, для анализа данных ИБ вполне сгодятся некоторые из доступных бесплатно программных средств. В частности, трафик можно исследовать, применяя для этого инструментарий Wireshark и Scapy. В частности, Scapy, базирующийся на известном языке Python, можно использовать для "тонкого" ручного анализа или проверки трафика. Wireshark поможет, например, разделить файл, содержащий множество потоков TCP, на файлы поменьше, каждый из которых содержит пакеты. относящиеся к одному потоку TCP.

Для анализа данных из текстовых файлов с разделителями-запятыми (Comma-separated values, CSV), который поддерживает множество самых разных систем, многие специалисты ИБ используют такие распространенные средства, как, например, электронные таблицы (Excel и подобные). Нередко также применяются средства командной строки, такие как grep, cut, sed, awk, uniq и sort. В качестве альтернативы им можно использовать, например, csvkit - с его помощью можно обрабатывать данные, передаваемые последством командной строки.

Также имеется множество "питоновых" средств (Matplotlib, Pandas, IPython и др.), способных обеспечить анализ и визуализацию данных. В частности, Matplotlib представляет собой гибкое и функциональное средство визуализации, Pandas позволяет исследовать "сырые" данные, а IPython предоставляет возможности для интерактивного анализа данных.

Итак, вопрос: где взять аналитиков, которые способны исследовать данные ИБ? На мой взгляд, проще всего их вырастить, причем из специалистов ИБ, имеющих основательную математическую или программистскую подготовку: эти люди достаточно хорошо разбираются в ИБ и при этом знакомы с методиками анализа данных. Конечно, пройдя курс "молодого бойца", эти спецы наверняка будут рассчитывать на более высокие зарплаты, но если вы осознаете ценность таких бойцов, почему бы им не увеличить жалование? ;)

Благодарим компанию Cisco за ценную информацию и партнерскую поддержку!

www.osp.ru