12.08.2015 12:22
Новости.
Просмотров всего: 2877; сегодня: 1.

Информационная безопасность: игра на опережение

Блог Тома Хоуга (Tom Hogue), менеджера подразделения компании Cisco по разработке решений для ИБ

Независимое исследовательское агентство Ponemon Institute охарактеризовало 2014 год как период «сверхкрупных кибератак», который надолго запомнится благодаря целому ряду масштабных инцидентов в области информационной безопасности (ИБ) и случаев компрометации данных. Эти кибератаки служат хорошим примером так называемых устойчивых угроз повышенной сложности (Advanced Persistent Threats, APTs). В рамках своих исследований агентство Ponemon Institute провело опрос, который, помимо всего прочего, дал возможность выяснить время, обычно затрачиваемое на обнаружение атак. Результаты оказались неожиданными и устрашающими: лишь 6% опрошенных организаций смогли обнаружить взом своих систем безопасности незамедлительно или в течение одной недели после начала атаки. 80% организаций либо вообще не смогли обнаружить факт взлома, либо затратили на это не менее шести месяцев.

Почему же устойчивые угрозы повышенной сложности представляют такую проблему для информационной безопасности организаций? Перво-наперво, давайте определим модель для анализа. В приведенной ниже «Упрощенной модели угроз» началом кибератаки считается тот момент, когда злоумышленник пытается скомпрометировать один из элементов корпоративной сети, находящийся в группе «Векторы атаки». Хотя в данной модели каждый вектор атаки представлен лишь одной стрелкой, в действительности киберпреступник может одновременно задействовать любое количество векторов в зависимости от того, сколько уязвимых точек ему удастся обнаружить. Каждый раз, когда киберпреступник переходит к следующей группе, умозрительная система ИБ, функционирующая в рамках данной модели, фиксирует очередной инцидент. Повторю: любой злоумышленник может атаковать любой элемент в соседней группе, в данном случае — в группе «ИТ-инфраструктура». Этот процесс продолжается до тех пор, пока киберпреступник не получит доступ к своей цели, т.е. к информационным активам организации.

Очевидно, не все киберпреступники в состоянии обнаружить векторы атаки данной организации. Очевидно и то, что не каждый киберпреступник сможет преодолеть системы защиты. Следовательно, нужно учитывать фактор вероятности. Данная модель позволяет установить формулу определения количества инцидентов ИБ, вероятных для рассматриваемой ситуации. Если не вдаваться в математические расчеты, то итоговую формулу можно упрощенно представить так:

События кибератаки = (Киберпреступники) * (Векторы атаки * Вероятность атаки на организацию) * (Объекты инфраструктуры * Вероятность компрометации) * (Информационные активы * Вероятность успешной атаки на актив).

Допустим, что рассматриваемая организация находится в следующих условиях:

• 500 киберпреступников по всему миру в данное время атакуют ее системы ИБ

• имеется 60 000 векторов атаки (например, компьютеры сотрудников), защищенных на 80%

• имеется 100 объектов ИТ-инфраструктуры (например, сетевые устройства и межсетевые экраны)

• имеется 50 информационных активов, представляющих интерес для злоумышленников (например, торговые терминалы и серверы, содержащие персональную информацию заказчиков)

• меры ИБ эффективны на 98% (оставшиеся 2% как раз и будут использоваться в наших расчетах).

Если подставить данные числа в вышеприведенную формулу, то получим 1,2 миллиона кибератак в произвольный момент времени. Конкретизировать это число можно при помощи следующего соображения: известно, что временной интервал используется в качестве коэффициента наращения при расчете процентной ставки денежного займа. Аналогичным образом временной интервал можно рассматривать как коэффициент наращения при определении вероятности кибератаки. Предположим, что временной интервал для вышеприведенных расчетов составляет 1 час. Тогда, чтобы рассчитать количество атак за 24 часа, надо умножить результат формулы на 24. Получится 28,8 миллиона кибератак в сутки.

Если теперь вспомнить вышеупомянутые результаты исследования агентства Ponemon Institute, выявившего, что 94% опрошенных компаний затратили на обнаружение взлома систем ИБ больше недели, то можно представить себе, сколь значительным может оказаться общее количество кибератак и насколько высокими могут быть шансы на то, что часть этих кибератак достигнет своей цели.

Гипотетическая организация, чьи показатели были использованы в вышеуказанной модели, каждую неделю станут мишенью для 201 миллиона кибератак. И тут самое время спросить, как сотрудники, обеспечивающие ИБ, смогут противодействовать такому количеству кибератак?

Рассматриваемая модель помогает понять, что существуют два ключевых фактора, которые необходимо брать в расчет при проектировании архитектуры ИБ: вероятность атак и время их обнаружения. Как правило, внедрение новых технологий ИБ призвано снизить вероятность успешной кибератаки. Тем не менее сотрудники отделов ИБ до тех пор не смогут организовывать по-настоящему эффективную защиту сетей, пока не будут уделять должное внимание и фактору времени.

Решение Cisco Cyber Threat Defense позволяет контролировать оба аспекта: и вероятность, и время

Благодаря сочетанию уникальных возможностей интеграции с лучшими в своем классе продуктами и технологиями, решение Cisco Cyber Threat Defense предоставляет специалистам по информационной безопасности непревзойденные возможности своевременного обнаружения атак и максимально быстрого противодействия им — как в автоматическом, так и в ручном режиме.

В качестве фундамента, предназначенного обеспечить подробный анализ пакетов и масштабируемый мониторинг, система Cyber Threat Defense использует систему предотвращения вторжений нового поколения FirePOWER, а также решение Lancope StealthWatch. Таким образом достигается полный контроль за содержимым и поведением всех потоков данных на всем протяжении сети.

Следующий уровень — система Cisco Identity Services Engine (ISE), обеспечивающая масштабируемую сегментацию и динамическую перенастройку матрицы коммутации. Помимо надежного фундамента для управления потоками данных, решение Cyber Threat Defense использует широкие возможности системы Cisco Advanced Malware Protection (AMP), которая может контролировать корпоративную сеть, оконечные устройства, интернет-трафик, почтовые шлюзы и даже персональные устройства сотрудников. В то же время решение Cisco AMP ThreatGrid обеспечивает непрерывный анализ, а также наблюдение за тем, чтобы все подсистемы, работающие с вредоносным ПО, обновлялись в режиме реального времени. Таким образом, достигается полноценный мониторинг и контроль за всеми, даже самыми скрытыми областями вычислительной сети организации.


Ньюсмейкер: cisco — 3787 публикаций
Поделиться:

Интересно:

Саморазвитие в фокусе: что читали российские менеджеры в 2024 году?
26.12.2024 02:04 Аналитика
Саморазвитие в фокусе: что читали российские менеджеры в 2024 году?
Российские управленцы сегодня активно инвестируют в собственное образование и профессиональный рост. Корпоративная библиотека Alpina Digital помогает им быть в курсе трендов и получать знания от ведущих мировых экспертов. Ежегодно в декабре мы публикуем рейтинг материалов, которые были наиболее...
«Будь Здоров» оценили проекты студентов ГУУ
26.12.2024 00:04 Мероприятия
«Будь Здоров» оценили проекты студентов ГУУ
В декабре в бизнес-центре Государственного университета управления при поддержке АНО «Платформа Национальной технологической инициативы» прошел Демо-день акселерационной программы «Технологии здоровой жизни 2.0», в рамках которого участники представили свои проекты, в числе которых – мобильные...
В странах СНГ свято чтят подвиг народов СССР, ковавших победу в ВОВ
25.12.2024 15:29 Новости
В странах СНГ свято чтят подвиг народов СССР, ковавших победу в ВОВ
В странах Содружества помнят и свято чтят бессмертный подвиг наших народов, народов всего Советского Союза, которые, сражаясь плечом к плечу, ковали победу в Великой Отечественной войне. Об этом заявил Президент России Владимимр Путин на неформальной встрече глав государств...
Юные москвичи рассказали об участии в первой антарктической экспедиции
25.12.2024 11:20 Новости
Юные москвичи рассказали об участии в первой антарктической экспедиции
Разбить палатку на краю света и изучить многолетние льды — для столичных школьников и студентов нет ничего невозможного. В конце ноября они отправились в Московскую молодежную антарктическую экспедицию, которая длилась 21 день. Как ребята провели время...
День взятия турецкой крепости Измаил Александром Суворовым
24.12.2024 16:27 Аналитика
День взятия турецкой крепости Измаил Александром Суворовым
24 декабря отмечается День воинской славы России - День взятия турецкой крепости Измаил русскими войсками под командованием А.В. Суворова (1790 год). Это произошло в ходе русско-турецкой войны 1787-1791 года.  Накануне штурма Измаила генерал-аншеф граф А.В. Суворов-Рымкинский, который был...