Для защиты информационной инфраструктуры, по опыту «Лаборатории Касперского», необходимы многоуровневые решения. Причем под «многими уровнями» мы подразумеваем не только одновременное применение нескольких технологий, которые страхуют друг друга. Это еще и средства, помогающие оперативно подстроить защиту под беспрестанно меняющийся мир компьютерных угроз.
Почему мы считаем такой подход наиболее разумным? Дело в том, что хочешь не хочешь, а нам приходится участвовать в гонке вооружений. Постоянно совершенствуя защитные технологии, мы стараемся сделать их более эффективными, чем изобретения киберпреступников. Важно только, чтобы противостояние им не свелось к принятию контрмер. Это все равно что уйти в глухую оборону, а значит, уступить противнику инициативу. Чтобы отражать атаки самого разного сорта наилучшим образом, нужна гибкость — с возможностью оптимизировать защиту своевременно, а не постфактум и желательно еще до того, как очередная угроза начнет распространяться.
Кроме того, с нашей точки зрения, одна-единственная технология, гарантированно уберегающая от всех киберопасностей, — недостижимая мечта. Даже если какой-то метод вскоре после начала использования показал впечатляющие результаты, так будет не всегда. Ровно до тех пор, пока злоумышленники не примут ответные меры.
Эффективная защита как цикл
На наш взгляд, наиболее жизнеспособная модель архитектуры безопасности была предложена компанией Gartner. В ее основе цикл действий, условно разделенный на четыре сегмента: Prevent, Detect, Respond и Predict. Если совсем вкратце, она подразумевает, что системы обнаружения угроз и отражения атак сочетаются с мощной аналитикой. В идеале следование стратегии позволяет создать «живую» систему кибербезопасности, которая постоянно адаптируется под изменчивый цифровой мир.
Вот как мы видим практическое применение модели адаптивной безопасности.
Prevent
Сегмент Prevent — это, упрощенно говоря, технологии, которые могут на основании «железных улик» определить, чист объект или вредоносен, и во втором случае блокировать его функционирование. Сюда относятся и межсетевой экран, и сигнатурный движок, и проактивные технологии с применением машинного обучения. А фактически все, что работает в продуктах для защиты конечных устройств: Kaspersky Security для бизнеса, Kaspersky Security для виртуальных сред и других.
Это решения, для управления которыми не обязателен специалист по информационной безопасности. Чаще всего такие системы администрируются IT-специалистами общего профиля — такими, которые, бывает, и внутреннюю сеть поддерживают, и базу 1С настраивают. Для них особенно важно, чтобы главные защитные средства были надежны и не требовали лишнего внимания.
Такие технологии блокируют до 99% угроз — не только давно известные (70%), но и доселе неведомые (29%). А что с оставшимся 1%, куда входят продвинутые угрозы, наиболее опасные и коварные? Те самые угрозы, которые наносят наибольший урон бизнесу.
Detect
Некоторые объекты и события можно классифицировать как заведомо плохие, некоторые — как безусловно хорошие. Однако не все удается сразу разложить по полочкам. Часть попадает в серую зону. В первую очередь таковы продвинутые угрозы, например средства для осуществления целевых атак, всячески стремящиеся спрятаться от защитных систем и сбить их с толку.
Для контроля серой зоны и предназначен уровень защиты Detect. Находящиеся на нем технологии сами по себе не блокируют угрозы. Они призваны выделять подозрительные события и сигнализировать о них сотрудникам службы безопасности. Соответствующие решения должны управляться профессионалами в сфере информационной безопасности.
К технологиям сегмента Detect относятся системы поведенческого анализа и инструменты динамического анализа кода. Пример такого решения — недавно выпущенная Kaspersky Anti Targeted Attack Platform. В ней, помимо всего прочего, реализована система Targeted Attack Analyzer — «анализатор целевых атак», контролирующий события в сети. Его работа основана на подходе, который мы называем HuMachine. По сути, это органичный сплав информационных потоков о новых угрозах, основанный на принципе больших данных, технологий машинного обучения и экспертных знаний человека. Такой подход высокоэффективен, поскольку искусственный и человеческий интеллект лучше всего работают, дополняя друг друга и опираясь на самые актуальные данные о ландшафте угроз. Подозрительные события он выявляет на основании отклонений от статистической модели, которая характеризует работу компании в штатном режиме. Когда какая-либо активность выбивается из обыденной картины, система поднимает тревогу. Для формирования «моделей нормы» применяются алгоритмы машинного обучения, работающие как на серверах «Лаборатории Касперского», так и на конечных устройствах, благодаря чему система учится определять, что в конкретной инфраструктуре норма, а что нет.
Возьмем в качестве примера компанию средней руки. Допустим, торговую. Она не ведет дел с какой-то страной — пусть это будет Вьетнам. И среди сотрудников вьетнамцев нет. Вдруг компьютер из ее внутренней сети обращается к серверу в доменной зоне .vn. Причем в три часа ночи. Но Targeted Attack Analyzer знает, что никто из организации раньше не ходил на вьетнамские сайты. Вдобавок, согласно статистике Kaspersky Security Network, к тому серверу вообще почти никто и никогда не обращался. Вот и повод для более глубокого анализа. Разумеется, не исключено, что охраннику прислали рекламное письмо из Богом забытого отеля в Муйне, где тот три года назад останавливался в отпуске, и он проверял почту на дежурстве и со скуки прошел по ссылке. Но это статистическая аномалия, а значит, следует перестраховаться и разобраться с ней.
Respond
Respond — это следующий логический шаг, с реакцией на угрозы, выявленные на стадии Detect. В нашем случае достойно ответить на угрозу помогают не только технологии, но и сервисы, а именно труд экспертов по сбору и изучению деталей атаки и предоставлению отчетов о ней.
«Лаборатория Касперского» предоставляет целый ряд подобных сервисов, включая расследование инцидентов и анализ вредоносного ПО. Также сейчас мы готовим технологический инструментарий, который сделает эти процессы эффективнее, обеспечивая автоматический сбор улик, поиск «давших слабину» рабочих станций, удаленное изменение конфигурации машин и многое другое.
Тем временем дальнейшее развитие платформы Kaspersky Anti Targeted Attack подразумевает внедрение системы Endpoint Detection and Response, которая позволит не просто получить дополнительную контекстную информацию, но также дополнить арсенал средств для реагирования в масштабе разветвленной корпоративной сети.
Собранная информация позволяет лучше понимать современный мир компьютерных угроз, а значит, создавать инструменты для более надежной защиты от них. Про это в описании четвертого сегмента схемы.
Predict
Информационные потоки, как автоматически генерируемые пополнения коллекций вредоносных ссылок и файлов, так и APT-исследования от аналитиков, незаменимы для прогнозирования будущих атак и для определения вектора, в соответствии с которым следует дорабатывать защитные решения. Все эти данные, непрерывно поступающие во внутренние экспертные системы «Лаборатории Касперского» из множества источников, подвергаются тщательному анализу. Его результаты служат для совершенствования защитных механизмов, в том числе с использованием машинного обучения.
Кроме того, для улучшения технологий служат данные, получаемые в ходе таких процедур, как тесты на проникновение в корпоративные сети и анализ безопасности приложений (см. раздел Predict). После обработки всей добытой информации наши технологии могут блокировать больше новых угроз автоматически, и здесь мы возвращаемся к сегменту Prevent, с которого начали рассказ.
Так замыкается цикл адаптивной архитектуры безопасности. В идеале благодаря ему мы получаем возможность опережать киберпреступников, создавая и изменяя защитные системы в соответствии с новыми веяниями в мире цифровых угроз и предотвращая ущерб для бизнеса.