Основной рост интернет-трафика в мире будет связан с видео – на данный момент на него приходится три четверти всего объема, а к 2022 доля видеотрафика увеличится до 82%. Основная доля трафика видео будет приходится на интернет-видео – она увеличится с 55% до 71%. К интернет-видео относится видео по требованию, «живое» видео и видеонаблюдение (доля последнего не превышает 2%). Трафик видео-конференций называется в числе драйверов роста видеотрафика, однако его доля равным образом не выделяется. Как утверждается, точность предыдущих прогнозов составляет 10-40%.
Помимо общемировых тенденций в Visual Networking Index (VNI) компании Cisco содержатся прогнозы по разным странам, в том число относительно российского сегмента интернет, в частности за пять лет, с 2017 по 2022, ежегодный объем российского трафика вырастет в три раза до 140 Эбайт. В 2022 году в России будет насчитываться 867 млн подключенных устройств, из них свыше 500 млн – это IoT-устройств. Скорость ШПД в России вырастет в 1,3 раза. Это гораздо более медленный рост, чем общемировой – если сейчас средняя скорость широкополосного доступа близка к среднемировой (33,9 против 39 Мбит/с), то к 2022 отставание заметно усугубится (43,7 против 75,4 Мбит/с). Это означает, что Россия дополнительно не досчитается нескольких если не процентов, то десятых процентов ВВП (как показывает ряд исследований, распространение и ускорение ШПД способствует росту экономики.
Мировой трафик IoT (M2M в терминологии Cisco) составляет лишь 4% от всего объема (увеличится до 7% в 2022 году), но это если они работают в штатном режиме. Число IoT-устройств уже превышает 34% от числа всех подключенных устройств (к 2022 году оно должно превысить 50% рубеж), при этом они плохо защищены. Сети ботов из взломанных устройств IoT могут генерировать трафик свыше 1 Тбит/с и блокировать даже крупные сайты и сервисы на многие часы, как это случилось с Paypal, Twitter и Reddit во время атаки Mirai.
«Ситуация будет становиться только хуже – с развитием интернета вещей плацдарм для проведения атак значительно расширится, – уверен Михаил Кадар, заслуженный инженер компании Cisco. – Разработчики устройств заботятся в первую очередь о расширении функциональности, а безопасность остается на втором плане.»
Производственные предприятия в целом осознает риски нарушения информационной безопасности, в частности, в результате атаки на систему управления производства, но находятся и те – таковых, по данным Cisco, около 10%, – кто их игнорирует, считая, что эти риски их не затрагивают.
Возможно, их системы управления производством действительно полностью изолированы от интернет (хотя зачастую руководители предприятий пребывают в блаженном неведении на сей счет). Но общая тенденция такова, что все большее число систем подключается к IP-сетям и интернет, так как это позволяет оптимизировать управление, быстрее адаптировать производство к изменением, обеспечить его взаимодействие с аналитическими системами и т. п.
Однако на оставшихся 92% предприятий ситуация с управлением безопасностью ненамного лучше. Почти половина событий ИБ даже не анализируется из-за нехватки специалистов. Из 56% изученных событий треть оказываются реальными инцидентами, а не ложными тревогами. Однако, только в случае половины от этой трети были приняты какие-то меры противодействия! Иногда штатным сотрудникам не хватает для этого времени и ресурсов, иногда они просто не знают, что делать. Все в точности по пословице: видит око, да зуб неймет.
С учетом катастрофической нехватки квалифицированных кадров (необходимых специалистов не могут привлечь даже те компании, которые занимаются предоставлением услуг в области управления и мониторинга событий безопасности) и многократного роста числа самих событий безопасности, единственным выходом является автоматизация управления безопасностью. И здесь в дополнении к традиционным методам (обнаружение по сигнатурам, статистическим методам, белым спискам и т.п.) на помощь может прийти машинное обучение.
По утверждению Cisco компания располагает самой масштабной системой аналитики угроз в мире среди коммерческих компаний – Cisco Tallos анализирует ежедневно 1,5 млн образцов вредоносного программного обеспечения, сотни миллиардов почтовых сообщений и десятки миллиардов Web-запросов. Накопленная аналитика используется в качестве исходных данных для обучения систем МО.
Одно из возможных применений машинного обучения, о которых рассказал Михаил Кадар, – автоматическое обнаружение и блокирование вредоносной активности. Задача усложняется тем, что все больше трафика шифруется (в 2017 года шифрованию подвергалось 50% трафика, теперь эта цифра приближается к 60-70%). В частности, злоумышленники шифруют трафик между инфицированными устройствами и центрами управлениям ими. Это позволяет им оставаться незамеченными даже для современных средств безопасности, в том числе МСЭ последнего поколения.
Cisco перепроектирует свое сетевое оборудование таким образом, чтобы оно могло реализовать функции датчиков для систем аналитики и ИБ. Так, новая линейка коммутаторов Catalist 9000 способна анализировать весь проходящий через них трафик, в том числе зашифрованный трафик. В последнем случае используется Cisco ETA. Путем анализа общей картины потоков она позволяет выявить подозрительный трафик (сами пакеты при этом не рассшифровываются). Как утверждается, точность обнаружения вредоносной активности внутри зашифрованного трафика превышает 99,5%. Правда, такая точность достигается при использовании дополнительных средства аналитики DNS, репутации, цифрового сертификата и т.п.
Злоумышленники начали активно пользоваться легитимными ресурсами – например, они могут приобрести ВМ на AWS для хостинга центра управления зараженными компьютерами. Если вы не Роскомнадзор, то вряд ли сможете заблокировать эти публичные облачные платформы, в связи с чем возникает вопрос – как идентифицировать и блокировать злонамеренные активности, которые связаны с публичными облачными платформами? Даже чтобы подать жалобу провайдеру, необходимо собрать доказательную базу.
Система аналитика Cisco Cognitive Analytics защищает свыше 5 млн сайтов. Она отслеживает более 600 дополнительных признаков – информация о запросе, адресуемые сайты, дата создания домена и его местонахождения, транзитные автономные системы и т. п. С использованием методов машинного обучения производится классификация конкретных событий – какую угрозу они представляют. Собираемая информация используется и другими продуктами Cisco в области обеспечения информационной безопасности.