Производители стремятся быть на шаг впереди злоумышленников, говорит президент компании RSA
По словам президента компании RSA Security Арта Ковиелло, бизнес, связанный с обеспечением безопасности данных, находится в процессе непрерывной эволюции. “Те, кто пытается выкрасть данные, постоянно применяют новые методы, поэтому производителям средств безопасности необходимо изыскивать способы, чтобы быть на шаг впереди”, — отметил он в интервью еженедельнику eWeek.
“В настоящее время мы защищаем больше 100 млн. онлайновых пользователей, — сказал он. — А следующий шаг заключается в том, чтобы обеспечить безопасность на уровне самой информации и научиться выявлять в потоке информации и данных устойчивые структуры. Наши инструменты достаточно совершенны, чтобы не просто анализировать контент с помощью словаря, а действительно обнаруживать большие и малые потоки различных данных”.
Программное обеспечение RSA, являющейся подразделением производителя систем хранения EMC, используют свыше 90% компаний, входящих в список Fortune 500. В апреле RSA проводила в Сан-Франциско ежегодную конференцию для своих клиентов.
“В ходе этого мероприятия мы говорили об инновациях, в том числе о динамическом ПО. Кроме того, мы обсудили вопрос о том, можно ли считать безопасность элементом самой инфраструктуры ИТ. Имеется в виду встраивание шифрования в платформы хранения и т. п., — сказал Ковиелло. — Были продемонстрированы некоторые инновации, касающиеся статической безопасности: брандмауэры, стандартные средства защиты от вирусов. Но сегодня такие вещи уже не могут нас удовлетворить”.
В настоящее время главным оружием в арсенале производителей средств безопасности всё больше становятся бизнес-анализ (за минувшее время они накопили большие базы данных) и превращение выпускаемых ими продуктов в “движущиеся мишени” для охотников за чужими сведениями — в них не просто попасть. Тем не менее весь бизнес, связанный с защитой информации, остается хотя и продвигающимся (правда, медленно), но незавершенным делом.
Аналитик из компании Enterprise Strategy Group Джон Олтсик считает, что вся работа по обеспечению безопасности корпоративных данных затронула лишь верхний слой проблемы, а основной труд еще впереди.
“Прогресс в области информационной безопасности идёт по принципу шаг вперед, два шага назад, — написал Олтсик в своем блоге. — Самое скверное, что это не техническая проблема. В действительности она сводится к халатности, невежеству ИТ-специалистов, плохой организации процессов и всеобщей лени. Перефразируя высказывание гуру в области безопасности Брюса Шнейдера, можно сказать: «Люди остаются самым слабым звеном в цепочке безопасности»”.
Олтсик считает, что значение проблемы безопасности данных постоянно возрастает. “Пять из десяти крупнейших краж информации за все время использования компьютеров произошли в 2007 г., в том числе одна рекордная по масштабам”, — написал он, имея в виду случай с компанией TJX, у которой было похищено 94 млн. записей.
RSA и другие фирмы, специализирующиеся на обеспечении безопасности, полагают, что для успешной борьбы с преступниками необходимо, чтобы деятельность отрасли и впредь носила инновационный характер. Между тем при использовании онлайновых сервисов рядовые пользователи и компании по-прежнему придерживаются процедуры ввода статичных имен и паролей.
Главные проблемы безопасности данных связаны с человеческими ошибками и хищениями, а не с технологией, считает Ковиелло.
“Надежная безопасность требует высоких расходов и может вызвать у пользователей немалое разочарование, поскольку процедуры ее соблюдения слишком жестки”,— отметил Ковиелло, рассказывая о состоянии проблемы в текущем году.
“Если заниматься безопасностью только после выявления рисков, ее можно обеспечить без применения различных навязчивых мер, — утверждает он. — В своих онлайновых решениях для идентификации мы сейчас выявляем модели поведения пользователей примерно так же, как это делается при использовании кредитных карт для оплаты покупок в магазинах. Мы отслеживаем, не появятся ли какие-то аномальные платежи по кредитной карте, и если это случается, мы их приостанавливаем”.
Такое наблюдение за повседневным использованием данных и поведением пользователей с целью выявления подозрительных действий именуется “динамической безопасностью”. Например, сказал Ковиелло, если сегодня человек воспользуется кредитной картой в Калифорнии, а через пять минут та же кредитная карта будет использована для оплаты покупки с IP-адреса в Москве, программное обеспечение RSA пометит данную транзакцию и немедленно заблокирует ее.
“Когда вы покупаете через Интернет пару кроссовок Nike, это не имеет большого значения, — говорит он. — Но если вы вдруг приобретаете пятьсот пар с доставкой на другой континент, мы, вероятно, приостановим перевод денег до выяснения ситуации”.
Системы безопасности первого поколения скорее всего не смогли бы обнаружить подобную транзакцию. RSA распространила такую динамическую проверку моделей поведения на онлайновые банковские операции, отметил Ковиелло.
“Мы смотрим на ваш IP-адрес и некоторые индивидуальные особенности вашего компьютера, затем на типичные транзакции с вашим участием, — сказал он. — Потом используем выявленные в процессе этих транзакций особенности для идентификации вас в качестве именно того, за кого вы себя выдаете”.
Это бизнес-аналитика или что-то другое? “Она самая и есть, — убежден Ковиелло. — Это не то, что я называл бы искусственным интеллектом, но это способ позаимствовать достижения данного направления и применить их для защиты людей”.
Он отметил, что RSA использует информационно-центрический подход во всех своих новых продуктах и что никакой брандмауэр и никакая система ввода паролей никогда не обеспечат абсолютной защиты от вторжений. Информационно-центрический подход напрямую связывает между собой безопасность, информацию и имеющих к ней доступ людей. Они могут воспользоваться только положенной им информацией в положенное время независимо от того, когда и где у них возникнет такая необходимость.
Анализ моделей, по мнению Ковиелло, тоже важен. Например, выявление характерных особенностей самих данных может использоваться для обеспечения безопасности электронной почты.
“Наши инструменты, -- рассказывает он, -- способны обнаружить строку с номерами кредитных карт. При сканировании электронной почты мы, разумеется, зададимся вопросом: почему компания пересылает номера кредитных карт по электронной почте? Любопытно, что мы развернули такую систему в самой EMC. Группа инженеров отправила электронной почтой одному из наших технических директоров в Европе набор цифр. Это были тестовые данные, похожие на номера кредитных карт. Система пометила и заблокировала сообщение”.