Василий Дягилев: "Надежная защита ИT-систем сегодня требует нового, целостного подхода к понятию безопасности: необходима объединенная, унифицированная инфраструктура, которая будет предупреждать любые атаки в режиме реального времени"
Василий Дягилев,
глава представительства Check Point Software Technologies
© ComNews
25.06.2018

За последние 30 лет кардинально изменились как кибератаки, так и инструменты, обеспечивающие защиту от них. Оглядываясь назад, довольно легко определить, когда темпы развития хакерских атак стали превышать уровень защиты, которую внедряет большинство компаний.

Одним из главных рисков развития цифровой экономики в 2018 году эксперты Всемирного экономического форума назвали кибератаки: за последние пять лет количество кибератак на бизнес увеличилось в пять раз. Сегодняшние кибератаки на организации как никогда прогрессивны и в большинстве случаев разрушительны. Однако защита компаний чаще всего не соответствует уровню современных атак, поэтому не способна противостоять им.

Почему кибератаки опережают темпы развития защиты, необходимой для их предотвращения?

Сегодня у хакеров нет никаких ограничений в развитии новых продвинутых технологий: угрозы прогрессируют с нарастающей скоростью и уже появились кибератаки "Пятого поколения". При этом средний уровень киберзащиты организаций сегодня находится на границе Второго и Третьего поколений: бюджетный контроль, длительные процедуры внедрения новых продуктов, ограничения совместимости и ряд других эксплуатационных ограничений тормозят прогресс.

Другой фактор — это традиционный check-box метод построения безопасной инфраструктуры, в котором применяются заданные технологии для противостояния определенному типу атаки или защиты отдельного сервера. Такой точечный подход был эффективен в борьбе с более ранними поколениями кибератак. Однако сегодня мы уже сталкиваемся с новым поколением многомерных, многоступенчатых, многовекторных и самомоделируемых атак, которые могут уловить любой пробел, оставленный системой безопасности.

Надежная защита ИT-систем сегодня требует нового, целостного подхода к понятию безопасности: необходима объединенная, унифицированная инфраструктура, которая будет предупреждать любые атаки в режиме реального времени.

Как изменились кибератаки и защита от них?

Поколения атак и защиты

С развитием сетей в 1970-х и 1980-х, а после с большим скачком Интернет-технологий в 1990-х предприниматели, государственные органы, а также недобросовестные пользователи получили огромные возможности. Углубляясь в историю, можно четко проследить, как преуспевали атаки в своем развитии, и уровень соответствующей им защиты, которая с каждым разом становилась все более сложной по сравнению с предшествующими ей.

Первое поколение (Gen I) атак

Атаки Gen I появились в 1980-х вместе с возможностью массового распространения персональных компьютеров. Вскоре возникли и вирусные программы, которые распространялись путем копирования самих себя, такие как Brain virus в 1986. Несомненно, это затронуло все предприятия и пользователей персональных компьютеров. Последствия были достаточно разрушительными, чтобы стимулировать разработку коммерческого антивирусного программного обеспечения.

Второе поколение (Gen II) атак

Gen II атаки возникли в 1990-х вместе с появлением сетей и Интернета. Этот взрыв в коммуникациях открыл двери для распространения вирусного программного обеспечения и попыток вторжений, как, например, кража 10 миллионов долларов из Citibank в 1994 году, что привело к разработке межсетевого экрана.

Комбинация межсетевой защиты и антивирусных программ стала необходима для защиты бизнеса, поскольку при подключении внутренних сетей к всемирной паутине число пользователей росло; эти продукты легли в основу систем безопасности предприятий. Они также стали началом развития модели специализированных продуктов (точечных решений) по защите от киберугроз.

Третье поколение (Gen III) атак

Следующее поколение появилось в начале нулевых, когда хакеры научились использовать уязвимости всех компонентов IT-инфраструктуры. Таких уязвимостей было много: в операционных системах, аппаратных средствах и приложениях. Примером атак того времени стал сетевой червь SQLSlammer, который использовал уязвимости Microsoft SQL Server и MSDE и до сих пор занимает первое место по скорости распространения.

Взрывное развитие технологий стало хорошей почвой для появления различных поставщиков и продуктов для обеспечения безопасности. В результате модель точечных решений для обеспечения безопасности стала громоздкой и сложной в управлении: каждый новый продукт безопасности имел свой собственный пользовательский интерфейс и консоль управления, что усложняло работу с системами безопасности и, как следствие, увеличивало нагрузку на ИТ-отделы. Более того, киберзащита постепенно стала отставать от кибератак по скорости. 

Четвертое поколение (Gen IV) атак

В 2010 году в СМИ все чаще стали мелькать новости о крупных атаках и уязвимостях. Методы хакеров достигли нового уровня сложности, а их атаки стали влиять на общество и обсуждаться на государственном уровне. Так, из-за уязвимости системы безопасности, в 2013 году злоумышленники получили доступ к данным 40 миллионов владельцев карт, выпущенных торговой сетью Target. 

Несмотря на то, что Второе и Третье поколения систем безопасности обеспечивали контроль и слежение за трафиком, они не позволяли проверять содержимое файлов, полученных по почте, во время скачивания. Вредоносное содержимое могло скрываться абсолютно во всем, начиная с резюме и заканчивая обычными картинками. Пользователю нужно было всего лишь открыть ссылку, скачать файл из интернета или подключить USB-накопитель к ноутбуку, — и атака уже началась.

Четвертое поколение обнажило новые проблемы безопасности: решения обнаруживали атаки только на основе известных сигнатур, которые создаются уже после того, как атака обнаруживается, анализируется и широко передается. Ожидание может длиться несколько дней или месяцев, пока обновление не станет доступным. И поскольку новое и более сложное вредоносное программное обеспечение выходило за рамки сигнатурного метода, для защиты от атак нулевого дня были разработаны новые технологии, такие как песочница. Компании получили новые точечные решения для корпоративных сред, что еще более усложнило их инфраструктуру безопасности.

Пятое поколение (Gen V) атак

В 2017 году мир столкнулся с крупномасштабными разнонаправленными атаками, которые вызывали крупные финансовые потери, — Пятым поколением атак. Киберпреступники стали использовали продвинутые методы, которые окупались благодаря крупному доходу. Так, хакеры на заказ разрабатывают сложные вредоносные программы, которые могут проникать в любые IT-инфраструктуры, включая социальные сети, облачные серверы, отдаленные офисы и мобильные устройства. К примерам можно отнести атаку WannaCry, которая затронула 300 000 компьютеров в 150 странах, и NotPetya, которая привела к потери 300 миллионов долларов.

Атаки Gen V развиваются с беспрецедентной скоростью и наносят огромные повреждения и убытки. Угрозы предыдущих поколений быстро преодолевались, но, чтобы противостоять современным атакам, необходима новая модель построения информационной безопасности. Пятое поколение IT-защиты, которое бы объединило, унифицировало и смогло обеспечивать безопасность в режиме реального времени для немедленного предотвращения уже самых первых попыток угрозы.

Сколько поколений мы уже имеем?

Исследователи Check Point опросили 450 специалистов информационной безопасности по всему миру, чтобы установить разрыв между поколениями угроз и защиты инфраструктур. Результаты показывают, что системы безопасности организаций значительно отстают от уровня хакерских атак. Сегодня большинство компаний могут противостоять лишь Второму и Третьему поколениям атак.

С более ранними поколениями кибератак было достаточно просто добавить новую технологию, подстроенную под каждый тип атаки. Однако этот подход к решению проблемы больше не работает. Компании останавливают свою работу на 15-20 продуктах безопасности, работая лишь с моделью, способной выявить угрозу: это не может предотвратить атаки и, кроме того, требует большое количество времени.

Результат заключается в том, что просто выявление проблемы не может защитить от современного поколения кибератак. Как было выявлено в ключевых исследованиях, 31% выборки с использованием консолидированных систем безопасности идентифицирует и устраняет атаки в 20 раз быстрее и составляют 1% стоимости по сравнению с теми, которые используют лучшие в своем классе продукты безопасности.

Gen V защита необходима

Компании должны разрабатывать стратегию перехода от Gen II или Gen III к Gen V информационной безопасности. Gen V – продвинутая система, которая равномерно предотвращает атаки на IT-инфраструктуру бизнеса, с одним центром управления для администрирования, мониторинга и реагирования. Такая защита не просто защитит от атак Пятого поколения, она также построена с использованием инфраструктуры, где компания может быстро добавить продукт по обеспечению безопасности, как только появится угроза для IT-среду.

Эта полноценная система защищает компании и их IT-инфраструктуры от Gen V атак. Она справляется со сложностями нарастающих связей и неэффективной защиты, предоставляет возможность предотвращения известных и неизвестных угроз в режиме реального времени, справляясь с наиболее современными и сложными из них. Угроза для информации существует во всей сети: социальных сетях, облачных и мобильных сервера. Это требует постоянной защиты и избавления от пробелов по всей сети.

Заключение

Эволюция кибератак и кибербезопасности за последние 30 лет прошла долгий, но стремительный путь развития, данная среда изменяется и по сей день. Сегодня технологии по обеспечению безопасности, использующиеся в бизнесе, часто являются неэффективными, так как большинство из них находятся только на второй и третьей стадиях, что не позволяет справляться с Gen V атаками.

Чтобы решить проблему, необходимо наносить встречный удар Gen V атакам с помощью Gen V защиты: высокотехнологичных методов предотвращения информационных угроз, которые защищают информационные структуры компаний. Данный подход поможет избавиться от существующей пропасти и предотвратить возможность ее появления.