Спикерами сессии «Технологии современных угроз и тенденции развития решения по кибербезопасности» стали легенды ИБ-рынка: Джон Мейнард (вице-президент по безопасности, Cisco), Алексей Лукацкий (бизнес-консультант по безопасности, Cisco) и Михаил Кадер (заслуженный инженер-консультант по безопасности, Cisco).

По словам Джона Мейнарда, киберпреступники, не имея недостатка ни в финансировании, ни в кадрах, активно используют самые современные методы для реализации своих криминальных действий: от социального инжиниринга и создания инфраструктур из сотен тысяч зараженных узлов до применения искусственного интеллекта (ИИ) и кибероружия спецслужбами.

По мнению спикера, очень плохо то, что мы все далеко не всегда адекватно представляем, как именно развивается мир киберпреступности и какие ключевые тренды наблюдаются по ту сторону баррикад. Это происходит потому, что самый дефицитный ресурс — квалифицированные ИБ-специалисты — уже не в состоянии обрабатывать огромные массивы данных вручную. А главное — это то, что сложность IT- и ИБ-систем растет быстрее, чем возможности этих систем. Это приводит к тому, что сложность становится главным врагом безопасности. Единственное решение этой проблемы — ориентация разработчиков на платформенный подход, а также организация интегрированной и динамичной с точки зрения ИБ работы сетей передачи данных и провайдеров облачных сервисов исключительно на базе принципа Security by Design. Все перечисленное невозможно без использования элементов искусственного интеллекта, в частности машинного обучения. В качестве реального примера пользы ИИ спикер продемонстрировал снижение времени выявления сложных угроз со 100 дней до четырех часов.

Получив в руки микрофоны и надев шляпы «плохих парней», Алексей Лукацкий и Михаил Кадер перешли к детальному обсуждению того, что говорил Джон Мейнард: например, какими технологиями пользуются злоумышленники, а главное — насколько хорошо они умеют ими пользоваться.

Кроме патч-менеджмента были обозначены два ключевых фактора снижения уровня ИБ:

• часто нет возможность контролировать IT-системы с точки зрения их безопасности, к ним попросту нет доступа. В результате мы имеем эпидемии зловредного ПО, которое теперь не просто вымогает деньги, а наносит максимально возможный ущерб инфраструктуре;

• искусство маскировки под легальную рекламу и т.д. вредоносного ПО достигло совершенства, атаки становятся молниеносными, что усложняет реагирование на них, либо это планомерные марафонские многоходовки, что, опять же, усложняет их выявление.

К сожалению, злоумышленники эволюционируют и здорово прибавили в технических навыках, поэтому эксперты вынуждены сегодня обсуждать их техники атак без закрепления вирусов в файлах на машинах пользователей, которых они атакуют. Зловреды распространяются не только по каналам привычной электронной почты, но и с помощью мессенджеров, а сами злоумышленники пытаются работать максимально быстро и разрабатывают программные среды, которые генерируют буквально за секунды максимально возможное количество модификаций исходного зловредного ПО, для обхода антивирусного ПО и т.д. IoT тоже вносит свой вклад в общую картину и становится все чаще не только мишенью для атак, но и плацдармом для наступления на пользователей обычного Интернета. Виден явный тренд интеграции злоумышленниками систем управления предприятием, IoT и классических сетей передачи данных.

Не срабатывают и такие хайповые технологии, как центры мониторинга событий ИБ (SOC/SIEM). Статистика показывает, что, несмотря на их наличие, огромнейшее количество реальных инцидентов остается нерасследованным по множеству причин. Поэтому необходимо уже сегодня говорить не о традиционном статическом и статистическом мире ИБ. Надо признать, что большинство средств защиты «живут» по сигнатурам, написанным антивирусными вендорами и компаниями, которые опираются на то, что знают. А если они чего-то не знают, то и сигнатур, естественно, нет. Статистические методы, например, при анти-DDoS или настройке межсетевых экранов, SIEM и SOC далеко не всегда срабатывают, а еще есть масса ручного труда, а значит, в процесс вмешивается человеческий фактор.

Может ли в деле борьбы за безопасность помочь ИИ? Прикладная математика, заложенная в него, позволяет легко уйти от статистических правил и моделей в сторону динамических алгоритмов, которые начинают принимать решения, основанные на данных о том, что происходит по ту сторону баррикад. В качестве реальных примеров докладчики привели несколько кейсов.

Первый пример был связан ростом объемов зашифрованного злоумышленниками трафика. До сих пор часто используется крайне ресурсоемкая расшифровка трафика с протоколами защитыTLS (Transport Layer Security) или SSL (Secure Sockets Layer) на промежуточных сетевых узлах. С переходом на новые протоколы, например TLS 1.3, это становится или крайне затруднительно, или попросту невозможно. Но на наших глазах рождается новый подход — использование машинного обучения для анализа трафика без его расшифровки благодаря обработке его метаданных. Точность технологии превысила примерно четыре девятки после запятой.

Вторая сфера применения элементов ИИ — противостояние использованию хакерами публично доступных легитимных сайтов и ресурсов, которые они применяют как центры управления зараженными узлами. Анализ содержимого HTTP-запросов, веб-логов и т.д. позволяет избежать массы проблем. Да, это анализ постфактум, но временной лаг между заражением сайта и обнаружением этого факта в зависимости от глубины анализа составляет от нескольких секунд до минут против 200 дней в среднем по рынку. За этими данными кроется серьезная работа математиков и data scientists.

Алексей Лукацкий, бизнес-консультант по безопасности. Фото: Сбербанк

Нельзя забывать о том, что многие типы ИБ-угроз рождаются внутри, от действий инсайдеров. Причем чаще всего речь идет уже не о внутренней корпоративной сети, а о внешнем облаке, где обрабатываются корпоративные данные. Как обеспечить на чужой облачной платформе должный уровень защищенности своих IT-систем, размещенных там по модели SaaS? Тем не менее в решении CloudLock удалось настроить ИИ так, что благодаря огромной базе накопленных логов можно делать выводы об аномалиях в SaaS-решениях.

Итак, что Cisco научилась делать в области ИБ? Эксперты утверждают, что, во-первых, они могут «видеть» людей, которые пытаются вести себя не так, как это положено. Во-вторых, можно вычислить тех, кто проводит разведку информационных ресурсов, чтобы найти пути проникновения в них, в том числе минуя периметр вообще. В-третьих, сети-сенсоры сами могут находить аномалии в трафике без использования внешних IDS и IPS.

Все это помогает избавиться от ложного чувства защищенности, смотреть на реальное положение вещей и предпринимать адекватные шаги без воздействия маркетинговой компоненты.