Чтобы строить современные системы безопасности, следует хорошо понимать источники угроз, с которыми следует бороться, а также предъявляемые к этим системам требования, которым необходимо удовлетворять.
Рам Лакшмирайанан (Ram Lakshminarayanan) из Intel назвал четыре тренда, которые оказывают первостепенное влияние на выбор корпоративных систем ИТ-безопасности.
1. У хакеров появилось больше возможностей для проведения атак
На первых порах основными мотивами для фильтрации корпоративных информационных ресурсов и организации защиты ИТ-инфраструктуры выступали либо идея необходимости защиты бизнес-системы, либо ответ на «происки вражеских сил». Чтобы второй вариант был более предметным, часто назывались угрозы, исходящие от хакеров, которые ради личной славы были готовы заниматься взломом корпоративных ресурсов.
По мере накопления значимой информации в корпоративных системах параллельно развивались и криминальные структуры. Они научились извлекать выгоду из продажи украденных данных. Их покупателями стали выступать конкуренты «взломанных» компаний, а также посторонние лица, заинтересованные в незаконном использовании украденной информации (например, данных банковских карт). Уровень оснащения криминальных структур существенно возрос, качество интеллектуальной проработки их атак стало значительно выше. Сегодня факты проведения ими целенаправленных атак, прежде всего против финансовых учреждений, уже не вызывает ни у кого сомнений.
По мере разрастания корпоративных ИТ-ресурсов и появления доступа к ним через Интернет кибератаки перестали быть простым внедрением вредоносного кода. Теперь они строятся на комплексе мер, используемых для проникновения внутрь корпоративной среды. С появлением облачных технологий их возможности стали еще шире. Если не предпринимать специальных мер противодействия, то облако позволяет лучше маскировать факт вторжения и помогает избегать обнаружения. Технологичность современных угроз стала значительно выше.
2. Широкое вовлечение потребительских устройств в корпоративные ИТ
На фоне наращивания количества мобильных устройств, находящихся в обращении, и появления технологий, сделавших доступными мобильные операции, которые раньше можно было выполнять только со стационарных ПК, сильно изменился настрой сотрудников компаний. Они все настойчивей предлагают использовать персональные гаджеты для доступа к корпоративным приложениям и информационным ресурсам облачных служб. В результате растет популярность внедрения концепции BYOD на предприятиях. Этот процесс идет с одобрения руководства компаний, которое видит в возникшем тренде эффективную возможность для наращивания трудовой отдачи сотрудников без привлечения дополнительных средств.
Однако с точки зрения безопасности BYOD влечет нарастание риска потери или кражи корпоративных данных, особенно когда подключаемые мобильные устройства сотрудников не оснащены защитными средствами.
Очевидные угрозы может таить в себе любая сомнительная программа, установленная на смартфон. Она может получить доступ к данным, сохраненным в памяти устройства, и сделать это без разрешения со стороны владельца. Мобильное устройство может быть также потеряно или украдено, к нему могут получить доступ посторонние лица.
С развитием облачной инфраструктуры появляются новые варианты угроз, связанных с неавторизованным доступом или нарушением политик безопасности компании.
3. Развитие архитектуры и технологий
Развитие технологии виртуализации и интеграция с инфраструктурой публичных облаков ведет к размытию периметра безопасности предприятия. Задача физической изоляции и защиты данных теперь выглядит не так однозначно, как раньше.
Особое значение приобретает задача управления интерфейсами между системами при масштабировании корпоративных систем для подключения к облачным услугам.
В этих условиях появляются новые угрозы, которые должны быть тщательно проработаны, а механизмы соответствующей защиты внедрены в сервисные модели облачного присутствия компаний. Если у компаний нет уверенности в защищенности применяемых интерфейсов к облачным службам, то ей приходится предпринимать множество дополнительных мер для нейтрализации угроз. Это приводит к дополнительным затратам и требует высокой квалификации персонала на этапе проработки и эксплуатации.
Корпоративные системы должны обеспечивать сохранение своей целостности и соответствующую доступность, а компания должна уметь контролировать, что и как используется в ее ИТ-системах.
4. Соответствие требованиям регулирующих органов
Компании работают в условиях, требующих соблюдения законодательных норм и требований регулятора, под юрисдикцию которого они попадают. Со стороны регулирующих организаций идет постоянный поток новых инструкций, они повышают меру ответственности за несоответствие их требованиям или выявленные нарушения в отчетностях и учете. В результате стоимость эксплуатации ИТ-систем растет, а их реализация в полном соответствии текущим законам становится все более сложной для исполнения.
Подключение облачной среды неминуемо становится причиной появления географически распределенных ИТ-инфраструктур. Она возникает как для публичных облаков, так и при перемещении корпоративных аппаратных ресурсов в облачный хостинг.
Территориальная распределенность ресурсов делает корпоративные системы ИТ-безопасности более сложными, чем раньше. Особое внимание вызывают системы, где подключаемая облачная инфраструктура находится за пределами территориальных границ государства, к которой относится сама компания. В этом случае приходится принимать дополнительные меры для соответствия местным законам.
Проблема территориальной распределенности проявляется также в тех случаях, когда речь идет об иностранных компаниях, размещающих свою ИТ-инфраструктуру на территории других государств. (Аналогичная ситуация возникает, если на территории компании размещает свои ИТ-ресурсы внешняя компания). Такое развертывание требует дополнительного внимания со стороны регулятора.
Своды требований регулятора сводятся к наборам правил. Если говорить о США, то обычно рассматривают Sarbanes-Oxley Act (SOX), Payment Card Industry Security Standards Council (PCI SSC), Health Insurance Portability and Accountability Act (HIPAA). В Великобритании и Евросоюзе применяются собственные правила использования персональных данных и распространения информации; они накладываются через директивы Data Protection Act и Data Protection Directive, соответственно.