В данном обзоре мы выясняли, под воздействием каких факторов и как преобразуются подходы к обеспечению сетевой безопасности в нынешних условиях, когда, с одной стороны, происходят быстрые изменения в корпоративной ИКТ-инфраструктуре, а с другой — столь же быстро меняется и усложняется ландшафт киберугроз. Нашими экспертами стали представители компаний, работающих в области информационной безопасности.
Современные факторы влияния на сетевую архитектуру и ее безопасность
Виртуализация. Руководитель системных инженеров компании Fortinet Алексей Андрияшин называет два основных подхода к контролю трафика в виртуализированных инфраструктурах — контроль трафика виртуальных сервисов на уровне шлюза безопасности и анализ данных на уровне гипервизора платформы виртуализации.
Вслед за виртуализацией серверов приложений настала пора отделить от «железа» и другие компоненты ИКТ-инфраструктуры, в том числе и сетевую ее часть. Широкую популярность как среди операторов связи и сервис-провайдеров, так и в крупных компаниях, обладающих разветвленной и постоянно меняющейся сетевой инфраструктурой, завоевывают, по наблюдениям г-на Андрияшина, технологии программно-определяемых сетей (SDN, SD-WAN), которые, на взгляд ряда экспертов, стали определяющим свойством так называемых сетей нового поколения (NGN).
Программно-определяемые сети позволяют разделить процессы передачи данных и управления сетями и используют независимые от производителей интерфейсы между контроллером сети и сетевыми решениями, обеспечивающими передачу и обработку данных. Технология программно-определяемых сетей позволяет централизованно управлять решениями разных производителей, динамически перераспределять ресурсы и строить сетевую архитектуру с учетом требований к безопасности, надежности и производительности.
Все активнее применяются технологии сетевой виртуализации, такие как Virtual Extensible LAN (VXLAN), позволяющие решать задачи масштабируемости в больших системах облачных вычислений.
Облака. Распространение облачных технологий, как отмечает директор по развитию бизнеса компании Web Control Дарья Орешкина, породило ряд задач по обеспечению безопасности: контроль и учет данных, передаваемых в облако; защиту от вредоносной деятельности инсайдеров в облачном аккаунте; управление учетными данными, которые множатся в геометрической прогрессии при увеличении числа сущностей в ИТ-среде.
Руководитель направления сетевой безопасности компании «Код безопасности» Олег Минаков напоминает, что с развитием облачных технологий актуальными становятся задачи резервного копирования данных, а также вопросы, связанные с доверием к облачным провайдерам.
Требования бизнеса к оперативному изменению ИКТ-инфраструктуры. Олег Минаков обращает внимание на то, что корпоративным ИТ-службам все сложнее реагировать на изменения, которые происходят в бизнесе компаний в силу требований бизнес-подразделений. По его мнению, оставляет желать лучшего прозрачность и предсказуемость процессов, происходящих в ИТ-инфраструктуре и приложениях. Доступные сегодня технологии оценки состояния сети, считает он, являются эффективным способом сбора данных, но не обладают встроенными средствами анализа и прогнозирования.
Дарья Орешкина отмечает, что упомянутая выше парадигма программного конфигурирования сетевых архитектур помогает бизнесу быть динамичнее, быстрее реализовывать инновации и развиваться. Это в свою очередь, по ее наблюдениям, определило новую тенденцию у поставщиков средств защиты: они стремятся «доставлять» безопасность со скоростью изменения бизнеса, чтобы защита не становилось камнем преткновения в развитии систем, приносящих доход. Она усматривает это в таких явлениях, как развитие интеграции систем безопасности между собой, новые технологии, направленные на «облегчение» решений при должной эффективности продуктов, оптимизация алгоритмов работы систем.
Мобильность и удаленность доступа. Обязательным требованием становится доступность корпоративных ИКТ-ресурсов в любом месте и с любого устройства, т. е. удаленный доступ для пользователей и приложений, в том числе и с мобильных устройств, что зачастую оказывается возможным только для облачных ИКТ-сервисов. Требование «в любом месте и с любого устройства» означает, что интеграция с публичными и/или частными облачными ИКТ-сервисами, а также доступность ИКТ-ресурсов на получивших широкое распространение мобильных платформах являются обязательными характеристиками инфраструктуры современных компаний.
Большие данные. По оценкам г-на Минакова, основной объем хранимых современными компаниями данных является неструктурированным, что затрудняет организацию корректного доступа к ним: даже при идеально настроенной системе прав доступа к ресурсам, считает он, нельзя гарантировать, что в отдельно взятой файловой папке находится действительно то содержимое, которое мы ожидаем там увидеть. Для выявления и предотвращения таких ситуаций как раз и необходима классификация данных. Без нее нельзя быть уверенным, что данные располагаются именно там, где должны.
Рост объемов неструктурированных данных и необходимость оценки устойчивых взаимосвязей в них находит выражение, по мнению г-на Андрияшина, в развитии таких решений, как системы управления информационной безопасностью (SIEM).
Востребованы, но пока еще довольно дороги системы записи и анализа «сырого» трафика, позволяющие расследовать многие инциденты, связанные с целевыми атаками, отмечает г-жа Орешкина.
Прозрачность ИКТ-инфраструктуры. Обеспечение безопасности ИТ предполагает обеспечение прозрачности ИКТ-инфраструктуры, в связи с чем высокий приоритет получает деятельность по обнаружению в корпоративной среде так называемых «теневых ИТ» (shadow IT) и аудит пользовательской активности в облачных сервисах.
Шифрование трафика. Шифрованный трафик, по словам г-жи Орешкиной, уже достиг гигантских объемов, а это требует от систем анализа сетевого трафика высокой производительности.
С учетом ожиданий роста к 2018 г. совокупного объема трафика SSL до 60% наибольшее предпочтение, по наблюдениям г-на Андрияшина, на рынке в данное время заказчики отдают решениям, которые для анализа шифрованных данных используют аппаратные модули.
Конечные точки. Постепенная миграция в облака и распространение технологий программного конфигурирования, отмечает технический директор компании Trend Micro в СНГ, Грузии и Монголии Михаил Кондрашин, существенно меняют топологию корпоративной сети, радикально отражаясь на тех возможностях, которыми корпоративные ИБ-подразделения располагают для обеспечения безопасности сетевых подключений. Все больше внимания уделяется защите данных внутри отдельных машин, так как в условиях размытия периметра сети шлюзовые средства защиты теряют свою эффективность.
Конечные точки, считает г-жа Орешкина, были и остаются слабым звеном в системе корпоративной ИБ, что ясно демонстрируют атаки на клиентов банков, и, по ее оценкам, не похоже, что ситуация кардинально улучшится в ближайшие пять лет. Хотя, как прогнозируют аналитики из Gartner, в корпоративном секторе защищенность конечных точек усилится за счет решений, реализующих технологии обнаружения, реагирования и восстановления (endpoint detection and response, EDR).
Влияние бизнес-вертикалей. По мнению г-на Андрияшина, в зависимости от специфики бизнеса каким-то из триады основополагающих требований ИБ — целостность, доступность, конфиденциальность — в разных компаниях может уделяться большее или меньшее внимание. Например, в телекоме основными задачами оператора по отношению к клиентам могут быть обеспечение доступности ключевых сервисов и гарантия целостности передаваемых данных без возможности их компрометации. В государственных же, особенно военных структурах ключевую роль играет обеспечение конфиденциальности и целостности.
Несмотря на то что общие подходы к обеспечению безопасности справедливы для всех бизнес-вертикалей, в зависимости от масштаба компании существенным образом могут различаться принципы контроля ИТ-инфраструктуры — реализация ролевых моделей, многодоменного управления, делегирования прав и полномочий администраторов и контроля за ними.
Целенаправленность кибератак. Михаил Кондрашин выделяет несколько тенденций, которые влияют на изменение подходов к обеспечению безопасности сетей в настоящее время. В первую очередь это, несомненно, целенаправленность современных атак. Корпоративным безопасникам при этом все больше внимания приходится уделять использованию механизмов блокировки неизвестных (нулевого дня) угроз и выявлению признаков того, что корпоративная сеть уже взломана.
Развитие бытовых устройств, подключенных к Интернету вещей (IoT), продемонстрировало потенциал для наращивания арсенала злоумышленников, когда с захваченных в бот-сети IoT-устройств производились мощные (свыше 1 Тбит/с) DDoS-атаки. В этой ситуации важно понимать, что необходимо одновременно защищаться и от DDoS-, и от целенаправленных атак, в ходе которых атаки DDoS могут служить просто отвлекающим прикрытием.
Ожидаемые изменения в сетевой безопасности
Как одно из ключевых изменений, которое можно наблюдать сегодня и которое будет набирать обороты в дальнейшем, г-н Кондрашин отмечает переход от отдельных самодостаточных ИБ-решений к интеграции инструментов защиты друг с другом с целью обмена индикаторами компрометации корпоративной ИКТ-среды. В течение ближайших лет, по его мнению, существенно возрастут возможности ИБ-продуктов, предназначенные для такого обмена, увеличится скорость, с которой одни устройства будут передавать и получать от других устройств информацию, необходимую для сдерживания новых угроз.
Упомянутые факторы влияния на сетевую инфраструктуру, по мнению г-на Андрияшина, ведут к тому, что решения и сервисы ИБ все больше будут предоставляться специализированными провайдерами по схеме «безопасность как услуга» (Security as a Service, SECaaS).
Как полагает г-н Минаков, нынешняя ситуация развивается таким образом, что локальная ИКТ-инфраструктура будет наличествовать только в крупных компаниях и государственных структурах. Что же касается малых и средних предприятий, то они будут стремиться снижать затраты на содержание вычислительных сетей, ЦОДов, серверных и т. п. за счет использования ИКТ- и ИБ-сервисов. Частные ИКТ-инфраструктуры в основном будут переводиться в частные и публичные облака, несмотря на наблюдаемое сегодня отсутствие грамотных архитекторов (что составляет существенную проблему).
Государственная ИКТ-инфраструктура, по мнению г-на Минакова, останется, как он выразился, архаичной в течение еще по меньшей мере десяти-пятнадцати лет ввиду того, что роль ИТ-архитекторов на госпредприятиях в настоящее время недостаточно понятна и понятной станет нескоро. С учетом этого, думает он, для крупного бизнеса и госсектора будут приоритетны защита облачной инфраструктуры; защита локальной инфраструктуры крупных офисов; обеспечение защищённых каналов между облачной, локальной и мобильной инфраструктурами.
Для малых предприятий, тяготеющих к сервисной модели потребления ИКТ-ресурсов, приоритетными станут такие требования к сервисам, как низкая стоимость, поддержка мобильности и защищённость.
С большой долей вероятности г-н Минаков предвидит также переход в процедурах идентификации и аутентификации от распространенных сегодня совместно используемых ключей шифрования (PSK) на инфраструктуру управления открытыми ключами (PKI). В связи с этим возможно развитие сферы услуг, связанных с удостоверяющими центрами PKI.
Пользователей по-прежнему будет интересовать развитие точек доступа к инфраструктуре (облачной и/или локальной). В большей степени это касается мобильных устройств типа планшетов и смартфонов.
Крупные бизнес-структуры и госорганизации испытывают потребность в платформе, которая позволяла бы безопасно управлять мобильными клиентами — начиная от централизованных настроек и заканчивая отслеживанием конкретных устройств.
Они также заявят о своей потребности в продвинутой платформе, обеспечивающей контроль трафика только на узлах доступа в облака и локальную сеть. Это свое предположение г-н Минаков основывает на том, что по мере развития современные системы предотвращения утечек (DLP и NetworkDLP) играют всё более существенную роль в сетевой безопасности внутри периметра локальной сети.