Ежегодная конференция корпорации RSA Security — это возможность прощупать пульс бизнеса по обеспечению корпоративной безопасности. Если популярность других технологий у потребителей подвержена взлетам и падениям, то корпоративная безопасность — это то, чем ни одно предприятие не может пренебречь. Тем не менее бизнес в этой сфере, еще в прошлом году казавшийся несокрушимым, в нынешнем напоминает швейцарский сыр.
Конференция RSA '2014 дала немало пищи для размышлений после прошлогодних широкомасштабных вторжений в сети и откровений по поводу организованной правительством США слежки за гражданами.
Прослушав доклады, поприсутствовав на брифингах и ознакомившись с экспозицией, я составил список десяти основных тенденций, наметившихся на конференции RSA '2014.
1. Призраки в выставочном центре
Главные причины интереса к выставке в этом году находились за территорией конгресс-центра Moscone. Эдвард Сноуден укрывается в России, но влияние похищенных им документов Агентства национальной безопасности и его откровений по этому поводу ощущалось далеко за пределами происходившего на подиуме выставки. Между производителями средств безопасности, учеными, разрабатывающими стандарты комиссиями и государственными органами безопасности давно установились перекрестные связи. Эти отношения основывались на доверии или, во всяком случае, на понимании того, что правила движения подразумевают некие границы, в которых осуществляются защита национальных интересов и охрана частной жизни граждан. Вызванный Сноуденом скандал привел к разладу в отрасли и появлению трещины в отношениях отрасли и общества, что потребовало восстановления разрушенного доверия. В этом году компания RSA и организованная ею конференция пытаются восстановить прежние позиции после того, как некоторые приглашенные специалисты отказались от выступления, а на расстоянии всего нескольких кварталов проводятся альтернативные мероприятия.
2. Оценка состояния безопасности
Одна из непременных тем конференции RSA — попытка определить, кто побеждает, “хорошие” или “плохие”. Прошлый год не был отмечен успехами в обеспечении корпоративной безопасности. Главным событием стало хищение из компании Target (название, прямо скажем, пророческое — “Цель” или “Мишень”) данных о кредитных картах 110 млн. человек. Хотя на безопасность затрачены миллиарды долларов, вторжения в электронные системы, использование чужих идентификационных данных и корпоративный электронный шпионаж ежедневно напоминают нам, что сегодня корпоративная техническая инфраструктура похожа на дырявый корабль. Инновации быстрее всего появляются у “плохих парней”.
3. Пора прекратить выпуск новых продуктов для решения очередной проблемы безопасности
С тех времен, когда стали появляться корпоративные брандмауэры, и вплоть до возникновения сервисов аутентификации бизнес производителей средств безопасности сводится к тому, что при возникновении очередной проблемы выпускается новый продукт. Это имело некоторый смысл, когда защита электронных систем подразумевала, что корпоративные офисы необходимо окружить рвом и направить людей и ресурсы на его углубление и расширение. Ныне представление о корпорации-крепости утратило значение, поскольку нормой стало использование мобильных устройств, а мобильные сотрудники желают пользоваться новейшими облачными сервисами. И хотя на выставке по-прежнему демонстрировалось множество новых продуктов, дни, когда CIO и руководители служб информационной безопасности (chief information security officer, CISO) готовы управлять множеством систем от различных поставщиков, явно заканчиваются.
4. Поддержание безопасности в эпоху облачных вычислений
Облака — последнее веяние моды в корпоративном компьютинге. Многие предприятия намереваются строить гибридные среды, в которых унаследованные приложения будут сохраняться в корпоративных ЦОДах, а новое ПО — размещаться в публичных облаках. Подобное сочетание частных, гибридных и публичных облаков не облегчает обеспечение безопасности и защиту персональных сведений. Производители традиционных средств защиты стремятся распространить их действие на такую смешанную облачную модель. Я посетил несколько брифингов и думаю, что Trend Micro с ее идеей “свертывания консоли” и охватывающей все среды облачной моделью корпоративной безопасности представляет хороший пример компании, понимающей необходимость сочетания старого с новым. Победителями станут те производители средств защиты, которые сумеют распространить свои нынешние сервисы на облака.
5. Инструменты безопасности становятся открытыми
Во время мероприятия RSA я побывал на пресс-конференции корпорации Cisco, где расхваливались возможности OpenAppID. Как разъясняется в блоге Cisco, это “открытый, ориентированный на обнаружение приложений язык и модуль обработки для системы обнаружения вторжений Snort, позволяющий пользователям создавать, предоставлять другим и реализовывать самим системы обнаружения приложений”. Это означает, что приобретение корпорацией Cisco компании Sourcefire (и приход в корпорацию создателя Snort Мартина Рёша) позволит превратить недавно проявившуюся любовь Cisco к продуктам с открытым исходным кодом из риторики в реальность. Открытая модель пользуется большой популярностью у производителей других компонентов корпоративных вычислительных систем — аппаратуры, сетевого оборудования и ПО. Производство средств защиты, которое традиционно носит закрытый характер, сопротивлялось использованию открытого исходного кода, но ситуация меняется.
6. Создайте хакерскую лабораторию
“Плохие парни” умны, хорошо организованны и готовы разрабатывать новые способы проникновения в ваши сети. Вы по-прежнему ограничиваетесь обслуживанием имеющихся средств безопасности и в случае необходимости обращаетесь к внешним ресурсам. Может быть, лучший совет из тех, что мне доводилось когда-либо слышать, касается компаний, размышляющих о переходе к облачным вычислениям: поручите одному из ваших сотрудников создать испытательный стенд для новых сервисов. Практически невозможно добиться, чтобы ваш персонал изучал новые технологии в те редкие минуты, когда он не занят выполнением своих прямых обязанностей. Иметь в штате хакера — совсем не то же самое, что иметь своего облачного разработчика. Но если вы сформулируете несколько базовых правил и очертите зону действий хакера, нацеленных на ваши внутренние системы, то вскоре будете узнавать обо всех новых хакерских приемах и обо всех уязвимостях, о которых вы даже не подозревали.
7. Вкладывайтесь в людей и процессы
Один из лучших докладов сделал старший вице-президент Hewlett-Packard Арт Джилиланд, который рассказал, как лучше инвестировать безопасность, чтобы получить наибольшую отдачу. Не нужно добавлять к уже перегруженной инфраструктуре новые компьютеры. Вместо этого следует вкладывать средства в обучение сотрудников мерам безопасности и в процессы, что обеспечит широкий подход к корпоративной защите. Я много раз слышал от участников конференции, что важно добавлять новые компьютеры и управлять обновлениями защитного ПО. Но это отвлекает от разработки всеобъемлющего подхода и заставляет метаться, пытаясь тушить возникающие то тут, то там пожары.
8. Научитесь формулировать проблемы электронной безопасности в терминах бизнеса
На брифинге AccessData для CISO наибольший интерес для меня представляло обсуждение вопроса, как общаться с генеральным директором или членами правления, если они захотят узнать о положении с безопасностью в вашей компании. Генеральные директора желают знать об уровне риска и затратах, связанных со снижением этих рисков, желают напрямую участвовать в рассмотрении состояния корпоративной безопасности. Если CISO используют аббревиатуры и жаргонные словечки, если они не могут представить технологию обеспечения безопасности в терминах бизнеса, то они лишаются шансов занять более высокую должность.
9. Облако как решение, а не как проблема
Чем больше я присутствовал на мероприятиях, посвященных новейшим угрозам, изощренным атакам, новым эксплойтам “нулевого дня” и разбросанным по миру опытным киберпреступникам, тем глубже я осознавал, что стоящие сегодня перед CISO задачи вряд ли выполнимы. Выделяемые на безопасность средства не безграничны, и количество специалистов по обеспечению безопасности, которых можно взять на работу, тоже лимитировано. Хотя перенесение основной части вашей инфраструктуры в публичное облако не решает всех проблем с защитой, у облачных провайдеров больше ресурсов для ее создания, чем вы можете себе позволить. Использование публичных облачных платформ для усиления своей кибербезопасности, позволяющее вам сосредоточиться на защите “брильянтов корпоративной короны”, представляет новую тенденцию.
10. Обратите внимание на конференцию TrustyCon
Конференция TrustyCon проходила на расстоянии одного квартала от выставки RSA. Её докладчики — компетентные люди — страстно говорили о необходимости доверия в цифровом мире, а присутствовавшие выражали им свою поддержку. Выступления напомнили мне о первых конференциях RSA, пока участие производителей не придало этим мероприятиям более коммерческий характер. Вместо того чтобы принижать значение TrustyCon, организаторам конференции RSA следовало бы посмотреть на YouTube прозвучавшие там выступления и позаимствовать у них для следующего форума стремления к такому доверию. Все билеты на TrustyCon были распроданы, и организаторы выделили 20 тыс. долл. фонду Electronic Frontier Foundation — очень приятный штрих в мире, где главную роль на конференциях играют производители.