Существующие проблемы во многом обусловлены тем, что традиционный подход к обеспечению сетевой безопасности, построенный на стратегиях защиты периметра корпоративной сети, не работает. Согласно отчету 2014 Cyberthreat Defense Report, более 60% организаций в прошлом году стали жертвами одной или нескольких успешных кибератак. Статистика свидетельствует о неэффективности защиты периметра. Исследования показали, что от 66 до 90% всех выявленных брешей были обнаружены не организациями, в которых присутствуют эти бреши, а независимыми компаниями.
Одним из альтернативных вариантов, способных улучшить ситуацию с безопасностью, является модель нулевого доверия (Zero-Trust Model, ZTM). Этот агрессивный подход к обеспечению сетевой безопасности предполагает установление контроля за всеми имеющимися данными исходя из предположения, что каждый файл таит в себе потенциальную угрозу. К выдвигаемым требованиям относятся обеспечение безопасного доступа ко всем ресурсам, предоставление доступа только тем сотрудникам, кому это действительно положено, обязательная проверка систем и исключение какого-либо доверия к ним, инспектирование всего трафика, ведение журналов, наблюдение за функционированием систем, проектирование систем изнутри наружу, а не снаружи внутрь. Это упрощает построение концепции информационной безопасности. Предполагается, что никаких «доверенных» интерфейсов, приложений, трафика, сетей и пользователей больше нет и не будет. Старую модель («доверяй, но проверяй») следует инвертировать, поскольку последние бреши показывают, что если в организации принято доверять, то никаких проверок там не совершается. Первоначально новая модель была разработана Джоном Киндервагом из компании Forrester Research и продвигалась как необходимая эволюция традиционных перекрывающихся моделей безопасности.
Модель ZTM требует от компаний контроля за получением доступа сотрудниками и анализа внутреннего сетевого трафика. Привилегии доступа должны быть минимальными. Особую важность приобретает анализ журналов и использование инструментов, проверяющих реальное содержимое пакетов с данными.
Исследование, проведенное Forrester по заказу IBM, показало, что многие организации уже сейчас находятся на пути к внедрению ZTM. Поступающие от них отклики свидетельствуют о том, что основные концепции этой модели принимаются, даже если в организации не знают о ее существовании. И это обнадеживает – мы видим, что реализация ZTM в полном объеме уже не за горами. Конкретные действия респондентов (ведение журналов, проверка всего сетевого трафика и т. д.) подтверждают, что от 58 до 83% из них уже находятся на пути к поддержке концепции ZTM.
ZTM поддерживает Большие Данные
Использование модели ZTM приведет к генерации огромных объемов данных в реальном времени. Их анализ потребует от ИТ-администраторов погружения в файлы журналов, результаты сканирования уязвимостей, предупреждения, отчеты и т. д. Анализ Больших Данных позволит получить исчерпывающую картину состояния системы безопасности, поможет выявлять риски, определять степень их серьезности, оценивать важность активов, подвергаемых риску, и находить пути устранения брешей в системе безопасности.
Объединение ZTM с Большими Данными сулит и дополнительные преимущества. Весьма многообещающим представляется применение к данным, которые уже находятся в сети, методов поведенческого анализа. Это позволит предотвратить широкий спектр подозрительных действий.
По оценкам Gartner, анализ Больших Данных сыграет ключевую роль в выявлении кибератак. Если сейчас лишь 8% глобальных организаций применяют анализ Больших Данных для выявления угроз безопасности и мошеннических действий, то к 2016 году их доля вырастет до 25%. Большие Данные изменят многие продукты обеспечения безопасности компьютерных сетей, включая средства сетевого мониторинга, аутентификации и авторизации пользователей, выявления мошеннических действий. Они окажут заметное влияние на системы управления, оценку рисков и обеспечение соблюдения нормативных требований. Большие Данные изменят природу управления безопасностью, в том числе межсетевые экраны, антивирусы и системы предотвращения потерь данных. В ближайшие годы развитие инструментов анализа данных поможет повысить эффективность профилактических средств и автоматизированного управления в реальном времени.
И наконец, использование анализа Больших Данных в интересах сетевой безопасности будет способствовать эффективному сбору данных и полномасштабной оценке состояния всей инфраструктуры. Пока же процесс обнаружения источников брешей и оценка последствий их появления с изучением огромных объемов данных самого разного характера может растянуться на несколько месяцев.
Сегодня перед компаниями открывается широкий простор для создания новых продуктов и услуг, которые помогут им извлекать дополнительную прибыль.
Ахмед Банафа – профессор школы информационных технологий при Университете Каплана (шт. Айова, США).