Индустрия безопасности развивается быстрее, чем когда-либо. Мероприятие Fortinet Accelerate высветило несколько основных тенденций, пишет учредитель и главный аналитик ZK Research Зиус Керравала на портале eWeek.
С 2000 г. кибербезопасность остается заботой № 1 руководителей подразделений ИТ и бизнеса. Ни одна другая тема не объединяла их на столь долгий срок.
На протяжении последних лет в отрасли безопасности происходят изменения. Конференция помогла систематизировать многие мысли по поводу эволюции данного рынка. Специалистам по безопасности необходимо понимать, какие это изменения, и соответствующим образом уточнять свою стратегию.
Ниже приводятся основные уроки конференции.
1. Безопасность должна быть встроена в планы цифровой трансформации
В разговорах с представителями бизнеса неизменно всплывает тема цифровой трансформации. В своем докладе исполнительный вице-президент Fortinet по продуктам и решениям Джон Мэддисон назвал ее применением новых технологий для изменения процессов или создания новых. Большинство специалистов по ИТ согласятся с таким определением. Но главное для понимания цифровой трансформации — тот факт, что новые технологии, такие как Интернет вещей, облака, программно-определяемые сети и мобильность, создают новые риски для безопасности. Компаниям необходимо перестать рассматривать безопасность как нечто второстепенное и встраивать ее в свои цифровые инициативы, что ускорит их осуществление при условии, что все будет сделано правильно. Если же оставить безопасность на потом, это способно существенно замедлить предоставление новых сервисов.
2. Для обеспечения безопасности необходимо машинное обучение
Если перефразировать Дороти из книги «Волшебник из страны Оз», специалисты по безопасности должны заниматься «и устройствами, и пользователями, и облаками, о Боже!». У Дороти было решение, позволявшее избавиться от окружавшего ее хаоса. Ей достаточно было щелкнуть каблуками, чтобы вернуться в безопасное место. Специалисты по безопасности, к сожалению, лишены такой возможности. У них имеются огромные массивы данных, которые необходимо проанализировать, чтобы выявить аномалии, свидетельствующие о проникновении в сеть. Сегодня данных стало слишком много. Здесь могут помочь машинное обучение (МО) и искусственный интеллект (ИИ).
Следует перестать бояться МО и понять, что это вспомогательная технология, которая способна оказать реальную помощь. Врачи применяют МО для обнаружения аномалий на МРТ-снимках, что позволяет им тратить меньше времени на изучение снимков и больше — на лечение пациентов. Точно так же эта технология дает возможность уделять меньше времени просеиванию данных и больше действительно важным проблемам.
Fortinet продемонстрировала на конференции ряд своих продуктов, использующих теперь МО и ИИ. Среди них брандмауэр веб-приложений, SIEM, инструменты управления и аналитическая платформа. Следует ожидать, что МО и ИИ будут внедрены во все обеспечивающие безопасность продукты.
3. Открытая платформа укрепляет безопасность
Дебаты о том, что предпочтительнее — все продукты от одного производителям или лучшие в своем классе продукты разных производителей — идут с тех пор, как появилось понятие кибербезопасности. На деле оба подхода не работали и никогда не будут работать.
Большинство компаний склоняется к использованию лучших в своем классе продуктов, из-за чего в среднем они применяют средства защиты от 32 производителей. Но CISO начинают понимать, что для обеспечения адекватной защиты нет необходимости приобретать только все лучшее. Напротив, это может привести к ослаблению защиты, поскольку будет трудно поддерживать актуальность политик для разнородной среды.
Лучший результат дает открытая платформа безопасности, к которой могут подключать свои продукты различные производители. Многие из них придерживаются такого подхода. Одним из примеров может служить Fortinet Security Fabric. Партнеры подключают к ней свои продукты через API. Сейчас в программе Fabric-Ready API участвуют 57 компаний. Это самый эффективный подход к обеспечению безопасности в цифровую эру.
4. Сеть и безопасность должны быть неразлучны
Исторически сложилось так, что специалисты по сетям и по безопасности были изолированы друг от друга. Система защиты создавалась поверх уже готовой сети. На конференции Мэддисон продемонстрировал слайд, на котором поверхность атаки складывалась из Интернета вещей (IoT), оконечных точек, сети, периферийных устройств, облака и т. д. Это самостоятельные технологии, но все они объединены сетью. А это означает, что устройство IoT можно атаковать через облако, а с конечной точки пользователя заразить ЦОД. Модель наложения защиты больше не работает.
От сети поступает огромный объем данных, позволяющий видеть то, чего не может видеть система безопасности, и быстрее реагировать на инциденты. Например, трафик большинства устройств IoT хорошо предсказуем. Кондиционер, вероятно, будет лишь несколько раз в день направлять производителю обновленную информацию. Если он попытается связаться с сервером бухгалтерии, это будет свидетельствовать о проникновении в сеть. В таком случае технологии сетей и безопасности должны совместно идентифицировать аномалию, поместить устройство в карантин и приступить к восстановлению его работоспособности. Это возможно только тогда, когда технологии сетей и безопасности тесно интегрированы. Именно поэтому Arista, Cisco, Aruba, VMware и другие производители сетевых продуктов являются партнерами Fortinet по программе Fabric-Ready.
5. Периферийные и облачные вычисления взаимодополняют друг друга и нуждаются в защите
Несколько лет назад, когда шумиха вокруг облаков достигла пика, многие считали, что облака «съедят» все и на частных серверах будет выполняться очень мало задач. Не так давно в центре внимания оказались периферийные вычисления, т. е. те, которые производятся вне ЦОДа. И сразу пошли разговоры о том, что они «съедят» облака. В действительности же периферийные и облачные вычисления дополняют друг друга. И те, и другие будут расти в связи с расширением объема данных.
Данные непрерывно анализируются с целью извлечения важных знаний. Где их анализировать, зависит от результатов анализа. Например, решение, следует ли автомобилю без водителя остановиться, должно приниматься в машине. Но те же самые данные можно агрегировать и использовать при планировании дорожного движения, и это делается в облаке.
Следует учитывать также, что периферия имеется у подразделения, кампуса, сети мобильной связи, IoT и т. д. Где подключены оконечные точки, там и периферия.
На конференции состоялась дискуссия представителей Intel и Fortinet о роли периферийных вычислений, сопровождавшаяся демонстрацией слайда, который показывает всю сложность задач, стоящих перед ИТ-подразделениями, которые должны управлять всем и вся.
Безопасность и анализ данных требуют, чтобы вычислительные мощности и средства защиты размещались везде. Иначе говоря, требуют платформенной архитектуры.
На Accelerate 2019 многие выступления были посвящены изменениям в области безопасности, архитектуры и технологий. ИТ-среда меняется, и для ее защиты необходимы новые методологии.