На июньской конференции Gartner Security & Risk Management Summit компания Gartner назвала главные направления технологического развития, которые будут иметь наиболее важное значение для развития систем информационной безопасности в 2017 г. и их применения в будущем.
Платформы для защиты облачных вычислений
Обработка данных в современных дата-центрах может выполняться в различных местах: на физических серверах в ЦОДе, в виртуальных машинах, контейнерах, частном облаке. Очень часто часть вычислительной нагрузки «приземляется» в публичных облаках, используемые для получения конкретных услуг.
Рост популярности гибридной модели облачных вычислений ведет к совершенствованию платформ, которые предоставляют единые средства защиты безопасности, распространяющие свой контроль на все подключаемые ресурсы. Контроль ведется с общей консоли управления, единые требования по безопасности накладываются на всю систему вне зависимости от места фактического размещения нагрузки, но с учетом местных особенностей.
Изоляция работы браузера
Практически все атаки последнего времени, которые пришлись на корпоративные системы и сумели достичь поставленной задачи, были проведены через общедоступный Интернет. Основной точкой для проникновения были браузеры.
Как показывает практика, применяемая сегодня архитектура ИТ-систем не позволяет эффективно воспрепятствовать возникновения подобного рода атак. Но рост проводимых атак можно сдерживать, если индивидуальные сеансы доступа к Интернету со стороны пользователей будут изолированы от возможности входа в корпоративные системы и сети. В этом случае вредоносное ПО не может «дотянуться» до корпоративных систем, и благодаря этому значительно снижаются риски проведения атак на корпоративные серверы.
В работе пользователя необходимо сделать так, чтобы после любого выхода в открытый Интернет через браузер, открытии вкладки или обращения к внешнему URL-адресу его сеанс работы с корпоративными ресурсами ограничивался до заведомо безопасного состояния, а полный доступ восстанавливался, когда работа с открытым Интернетом будет прекращена.
Дезорганизация атаки
В последнее время получили активное развитие технологии защиты, связанные с использованием приемов, вводящих в заблуждение, играющих роль фальшивой приманки к несуществующим элементам ИТ-инфраструктуры, вызывающие ложные манипуляции. Главная цель этих средств защиты — создать для атакующей стороны противоречивую картину, дезорганизовать сбор ею информации, предоставить противоречивые ответы на запросы атакующих систем, работающих в автоматическом режиме, сдерживать активность атакующей стороны, добиться выявления всех элементов обнаруженной атаки.
Данные методы защиты начинают работать уже за периметром выстроенной корпоративной обороны. В этом случае компаниям требуется узнать как можно больше деталей относительно надвигающейся угрозы. При этом для них важно, чтобы информация о регистрируемых в своей сети событиях была достоверной.
Методы защиты этого типа применяются сегодня на нескольких уровнях ИТ-инфраструктуры компании: оконечных устройствах, в рамках локальной сети, на прикладном и информационном уровнях OSI-модели.
Обнаружение и отработка инцидентов на оконечных устройствах
Эти комплексные решения служат для организации упреждающей защиты на оконечных устройствах и являются дополнением к давно и активно используемым средствам превентивной защиты (например, антивирусам).
Благодаря этим новым решениям происходит целенаправленный переход от модели защиты «реагирование на инциденты» к парадигме «непрерывный мониторинг», которая связана с поиском необычных симптомов в работе ИТ-систем и выявлении нехарактерной сетевой активности, которые могли быть вызваны проникновением вредоносных программ.
Согласно прогнозу Gartner, к 2020 г. до 80% крупных корпораций, до 25% предприятий среднего бизнеса и до 10% компаний СМБ внедрят системы, отвечающие новой парадигме защиты.
Анализ сетевого трафика
Системы анализа сетевого трафика предназначены для ведения мониторинга, сбора данных о вычислительных потоках, соединениях и объектах, появляющихся в системе, выявления различного рода признаков, характерных для присутствия вредоносного ПО. Внедрение таких систем помогает выявлять опасности, которым удалось проникнуть из открытой сети за выстроенный периметр безопасности.
Благодаря этим новым средствам сегодня уже можно распознавать многие серьезные угрозы, обеспечивая сохранение управляемости сети. Они также помогают подбирать инструменты, помогающие устранять возникшие проблемы.
Управляемое обнаружение угроз и реагирование на них
В последнее время также явно наблюдается тенденция перехода от концепции управляемых сервисов безопасности (Managed Security Service, MSS) к модели управляемых сервисов обнаружения угроз и реагирования (Managed Detection and Response, MDR). Первые отвечали только за мониторинг сетевой инфраструктуры, вторые позволяют решать задачи, связанные с обнаружением и расследованием инцидентов.
Преимущество MDR состоит в том, что они охватывают полный цикл обеспечения ИБ компании. Они не просто помогают обнаруживать опасности и реагировать на них, но и позволяют проводить расследования причин возникновения угроз.
Обозначившийся переход от MSS к MDR стал ответом на недавнюю практику, когда компаниям не удавалось выстроить у себя эффективную оборону, используя весь арсенал доступных средств безопасности. Причиной таких ситуаций была недостаточная собственная экспертиза внутри компании в области безопасности или отсутствие возможности приобретения полного комплекта необходимых ресурсов для организации обороны.
Сегодня интерес к MDR-решениям проявляют в первую очередь компании СМБ, у которых не хватает средств на выстраивание собственной полноценной системы обнаружения угроз прежними методами.
Микросегментация корпоративной сети
Во многих случаях главной целью организации безопасности для корпоративных систем считалось выстраивание надежной системы сетевой защиты на периметре ИТ-инфраструктуры компании. Как оказалось, такие системы сегодня не соответствуют уровню возникающих угроз. Многие современные виды атак базируются на модели первоначального проникновения за выстроенный периметр за счет использования лазеек, оставленных для авторизованных пользователей. Если атакующим удается достичь намеченного, то предотвратить дальнейшее распространение атаки часто оказывается невозможно.
С учетом сложившейся практики была разработана новая стратегия защиты. Она связана с дроблением корпоративной сети на участки, каждый из которых выстраивается на принципе изоляции и сегментации, работая в едином виртуальном пространстве корпоративного дата-центра.
Новая модель микросегментации напоминает установку перегородок на подводных лодках. Они делят ее внутреннее пространство на отсеки, что позволяет сохранить плавучесть корабля даже в случае поражения одного или нескольких отсеков. Точно также микросегментация позволяет сузить ущерб, который может возникнуть в случае проникновения опасности за периметр корпоративной сети.
Сегодня микросегментация сказывается в первую очередь на горизонтальных коммуникациях (трафик «East-West») между серверами одного уровня или группы. По мере развития этой методики новый принцип защиты будет применяться к любому трафику внутри виртуального ЦОДа.
Защита периметра на базе программно-определяемых решений
Под программно-определяемым периметром (software-defined perimeter, SDP) понимается набор программных и аппаратных сетевых устройств и систем, объединенных в единый вычислительный контур. Используемые внутри него ИТ-ресурсы скрыты от прямого доступа извне, подключение возможно только через доверенный брокер, пропускающий запросы только для определенного списка участников.
Благодаря такой системе удается исключить появление неавторизованного доступа к внутрикорпоративным ресурсам и сузить тем самым поле для возможного проведения атак.
Согласно прогнозу Gartner, к концу 2017 г. программно-определяемые решения для защиты периметра и изоляции важных элементов ИТ-инфраструктуры будут установлены уже как минимум у 10% крупных корпораций.
Системы управления доступом к облачным сервисам
Стремительное развитие облачных услуг и экосистемы мобильных устройств привело к тому, что работа с облаком стала причиной для возникновения рисков компрометации корпоративных систем. Для устранения изъянов ведется разработка специальных систем управления доступом к облачным сервисам (Cloud access security brokers, CASBs).
Цель этих систем — стать единой точкой входа для работы служб контроля безопасности. Они позволяют собирать необходимую информацию о любом подключающемся к облаку пользователе или устройстве, одновременно управляя выделяемыми им облачными услугами.
Задачи управляемости и подконтрольности облачных служб требуют сегодня безотлагательных решений. Это связано с тем, что несмотря на нарастающую популярность SaaS, все еще сохраняется озабоченность со стороны бизнес-пользователей относительно безопасности, защиты персональных данных и соблюдения требований законодательства при работе с облаком.
Сканирование на уязвимости и анализ сборки компонентов в рамках DevSecOps
При разработке программных средств безопасности сегодня используется единый свод правил, получивший название DevOps. Речь идет об единой системы по организации рабочих процессов при разработке ПО. Он охватывает непрерывный цикл, затрагивающий стадии кодирования, тестирования, автоматизации, контроля качества, проверки надежности кода. Эти правила позволяют объединить работу различных департаментов компании, совместно занятых над подготовкой, кодированием, сборкой, тестированием, развертыванием, эксплуатацией и мониторингом кода.
Следующим этапом на пути повышения качества создаваемого кода для систем безопасности стало создания набора методик, получивших название DevSecOps. Они направлены на автоматизацию внедрения создаваемых инструментов защиты, их цель — избавить этот процесс от настройки вручную. Разработка новой методики также помогает обеспечению совместимости с существующим законодательством и требованиям регуляторов, сохраняя при этом контроль над рисками.
Новая методика предусматривает возможность автоматического подключения проектных модулей, создаваемых в рамках DevOps. Новые средства сборки осуществляют анализ исходного кода, подключаемых модулей, фреймворков, библиотек. Они делают это так, чтобы у разработчиков сохранялась возможность для их дальнейшего распознавания в случае возникновения уязвимостей, а также для контроля лицензионной чистоты.
Безопасность контейнеров
Программные контейнеры служат для виртуализации приложений, запускаемых в общей для всех операционной среде. Особенность их работы состоит в том, что при установке они создают копии необходимых для своей работы компонентов ОС и в дальнейшем эмулируют эти данные внутри своего контейнера. Созданная виртуальная среда работает как прослойка между приложением и ОС, что позволяет избегать возникновения конфликтов между приложениями.
Однако такое решение таит в себе и скрытые опасности. Например, если до установки контейнера произошла компрометация хоста, то риску попадания под вредоносную атаку будут подвержены уже все контейнеры, созданные позднее.
Другая опасность может исходить, если при развертывании контейнеров были допущены ошибки или их рабочая конфигурация была создана без участия специалистов по безопасности.
Возможные риски для безопасности могут также исходить от традиционных сетей и применяемых решений защиты хост-конфигураций. Причина таких рисков — разработка систем без учета особенностей применения контейнеров, которые появились позднее, чем эти решения.
Используемые сегодня решения по защите контейнеров связаны в первую очередь с обеспечением их безопасности на протяжении всего жизненного цикла. Это предусматривает проведение сканирования от угроз на подготовительной стадии установки контейнера и мониторинг их работы и защиту в реальном времени на стадии эксплуатации.