Первую часть материала, посвященного отчету Cisco, см. здесь.
Старыми методами — утверждает Cisco - эффективно бороться с киберпреступностью невозможно. Если раньше каждая компания могла в одиночку справляться с одиночными хакерами или группировками, то сегодня ей приходится иметь дело с целой индустрией, которая обменивается информацией, продает ее, предоставляет партнерские программы, создает специальные системы поддержки для купленного вредоносного кода. К сожалению, не все компании в области ИБ осознают, что надо обмениваться информацией между собой, причем информацией реальной, а не сфальсифицированной.
По словам Алексея Лукацкого, компаниям в первую очередь надо научиться писать единые стандарты, по которым их продукты будут взаимодействовать между собой, — то, к чему давно пришли на традиционном рынке ПО. «В 90-х годах мы разработали специальный протокол, который был предназначен для обмена информацией об атаках, и внедрили его в нашу систему предотвращения вторжений, предложив всем желающим сделать то же самое. К сожалению, за исключением двух компаний, никто этого не сделал. Сейчас ситуация аналогичная. Многие думают, что если они начнут отдавать информацию другим игрокам рынка, это ослабит их рыночные позиции, а если они смогут открыть какие-то интерфейсы к своим решениям, то другие их продукты не будут покупать. Типичный взгляд любого бизнесмена, который прежде всего думает о личной выгоде и только потом о какой-то социальной ответственности – до определенного момента. Сейчас этот момент настает: в одиночку справляться невозможно», - заявил спикер.
Главным призывом Cisco можно считать создание решения из компонентов,
связанных между собой и с внешней средой едиными стандартами
Сегодня активно развивается рост сегмента Threat Intelligence – обмена информацией об угрозах. С этим связана покупка Cisco компании Threat Grid, которая занимается аналитикой в области угроз и отдает эту информацию многим другим игрокам рынка, которые пользуются ее данными для анализа вредоносного кода.
Однако усилия компаний в области ИБ могут быть тщетными, если не получат поддержку государства. С точки зрения регулирования вопросов ИБ, регуляторы в разных странах могут практиковать три способа законодательных активностей: ужесточение контроля, разделяемый доступ (например, Евросоюз, который в рамках всех своих государств использует единый подход), установка лишь общих «правил игры». К сожалению, на уровне глобальных соглашений пока ничего конкретного не было создано. Нет даже общепринятых определений кибертерроризма, киберпреступности, кибервойны и т. д.
Более того, политики могут принимать решения, которые мешают деятельности компаний, занимающихся ИБ. Так, Вассенаарские соглашения, принятые в 1996 году для контроля экспорта технологий двойного назначения в военной сфере, в 2013 году пополнились пунктом о контроле технологий, используемых для обхода средств защиты. Под этим в том числе стали понимать и информационные ресурсы – например, данные об уязвимостях и методах злоумышленников. Сейчас в США идет активная дискуссия на эту тему: если будет принята последняя версия Вассенаарских соглашений, американским компаниям будет запрещено без специального разрешения (экспортной лицензии) распространять за пределы страны информацию о методах злоумышленников. Разумеется, злоумышленники при этом по-прежнему будут использовать анонимные сети, а вот компании, которые занимаются исследованиями в области ИБ, не смогут без разрешения, например, приехать на европейскую конференцию или даже разместить данные на своем сайте. Аналогичные правила уже были приняты в Евросоюзе (правда, ограничения коснулись только продуктов) и в России.
Потребителям ИТ-решений по ИБ приходится делать выбор: полностью полагаться на вендорские решения или строить собственные, при этом все время отслеживая тенденции рынка. Та же проблема коснулась и самих разработчиков средств защиты, а именно нишевых игроков, которые выпускают только несколько продуктов для конкретных потребностей, но не видят картину в целом. Крупные игроки, в свою очередь, могут предлагать широкое портфолио по ИБ, но далеко не всегда их решения интегрируются между собой. Это происходит, когда вендор приобретает компании с набором разрозненных продуктов и просто объединяет их под общей торговой маркой. В итоге потребитель вынужден работать с «зоопарком» средств защиты. По статистике Cisco, у среднего корпоративного заказчика может быть около 50 средств защиты от различных производителей: антивирусы, системы предотвращения вторжения, межсетевые экраны, средства защиты мобильных устройств и т. д.
Требования от производителя высокого качества продукта на всех стадиях — необходимое условие безопасности
К тому же, по словам представителя Cisco, даже лучшие продукты на рынке зачастую решают лишь свою узкую задачу - например, широко разрекламированная технология Next Generation Firewall - только одно из звеньев в общей системе защиты. Компаниям необходимо уметь интегрировать различные продукты между собой. В Cisco этому уделяется много внимания: здесь уже давно разрабатываются специальные средства для обмена данными как с внешними решениями, так и внутри одной системы, есть специальная инфраструктура. Средства защиты обмениваются данными самостоятельно, без участия человека. Разумеется, при этом продукты разных производителей должны поддерживать единые стандарты, что происходит далеко не всегда.
Алексей Лукацкий отметил также, что сегодня существенно возросли требования к гарантиям производителя средств защиты. Заказчикам необходимо проявлять большую осмотрительность при выборе партнеров, а те должны гарантировать работоспособность, поддержку и обновления программно-аппаратного комплекса. Для этого идет освоение определенной схемы взаимоотношений с производителями, основанной на долгосрочном сотрудничестве: Vendor relationship management (VRM).
Поскольку ИТ-специалистов на рынке не хватает, активно развивается рынок аутсорсинга ИБ. По оценке Cisco, к 2020 в мире нехватка ИТ-специалистов по ИБ достигнет 1 млн, в России - около 55-60 тыс. Такой дефицит обусловлен развитием Интернета вещей и, соответственно, увеличением числа устройств, которые должны иметь некие механизмы защиты.
Наряду с другими функциями в ИТ, информационная безопасность тоже может быть отдана на аутсорсинг
«Бороться с киберпреступностью при помощи одиночных решений невозможно: злоумышленники найдут способы обхода каждого из них по отдельности. «Лоскутное одеяло» из продуктов не добавляет защищенности заказчику. Необходимо, чтобы все средства защиты интегрировались между собой, обменивались информацией и получали данные извне. В этом случае мы сможем сократить время обнаружения вредоносной активности от средних по рынку 200 дней до нескольких дней или даже часов. Пора думать о смене стратегии, попытаться поставить себя на место злоумышленника и предугадать, что он может сделать. А внедренный продукт должен бороться с угрозами до их появления на периметре защищаемого объекта, во время реализации угрозы и после заражения узла или сети», - подвел итог Алексей Лукацкий.
Cisco практически каждый квартал анонсирует разработки в области ИБ. Так, на последнем мероприятии Cisco Live в США компания предложила целый ряд новых технологий и продуктов: индустриальные системы защиты для защиты АСУТП, расширение функциональности по защите на своем сетевом оборудовании (маршрутизаторах), новое устройство Firepower 9300 — мультитерабитную систему защиты для операторов связи, новый облачный сервис для идентификации и аутентификации пользователей, развитие системы защиты филиалов. В октябре 2015 года Cisco планирует рассказать об очередных новинках в области ИБ.
Конечно, сейчас важнейшим фактором успеха в отражении кибератак является согласованность работы всех систем защиты и аналитики. На практике это означает, что в компании должна быть интегрированная система ИБ. Об этом говорится довольно давно, но, к сожалению, это остается недостижимым идеалом для многих организаций. Куда проще поставить отдельные продукты и просто мониторить их работу.