12.08.2015 12:22
Новости.
Просмотров всего: 2879; сегодня: 2.

Информационная безопасность: игра на опережение

Блог Тома Хоуга (Tom Hogue), менеджера подразделения компании Cisco по разработке решений для ИБ

Независимое исследовательское агентство Ponemon Institute охарактеризовало 2014 год как период «сверхкрупных кибератак», который надолго запомнится благодаря целому ряду масштабных инцидентов в области информационной безопасности (ИБ) и случаев компрометации данных. Эти кибератаки служат хорошим примером так называемых устойчивых угроз повышенной сложности (Advanced Persistent Threats, APTs). В рамках своих исследований агентство Ponemon Institute провело опрос, который, помимо всего прочего, дал возможность выяснить время, обычно затрачиваемое на обнаружение атак. Результаты оказались неожиданными и устрашающими: лишь 6% опрошенных организаций смогли обнаружить взом своих систем безопасности незамедлительно или в течение одной недели после начала атаки. 80% организаций либо вообще не смогли обнаружить факт взлома, либо затратили на это не менее шести месяцев.

Почему же устойчивые угрозы повышенной сложности представляют такую проблему для информационной безопасности организаций? Перво-наперво, давайте определим модель для анализа. В приведенной ниже «Упрощенной модели угроз» началом кибератаки считается тот момент, когда злоумышленник пытается скомпрометировать один из элементов корпоративной сети, находящийся в группе «Векторы атаки». Хотя в данной модели каждый вектор атаки представлен лишь одной стрелкой, в действительности киберпреступник может одновременно задействовать любое количество векторов в зависимости от того, сколько уязвимых точек ему удастся обнаружить. Каждый раз, когда киберпреступник переходит к следующей группе, умозрительная система ИБ, функционирующая в рамках данной модели, фиксирует очередной инцидент. Повторю: любой злоумышленник может атаковать любой элемент в соседней группе, в данном случае — в группе «ИТ-инфраструктура». Этот процесс продолжается до тех пор, пока киберпреступник не получит доступ к своей цели, т.е. к информационным активам организации.

Очевидно, не все киберпреступники в состоянии обнаружить векторы атаки данной организации. Очевидно и то, что не каждый киберпреступник сможет преодолеть системы защиты. Следовательно, нужно учитывать фактор вероятности. Данная модель позволяет установить формулу определения количества инцидентов ИБ, вероятных для рассматриваемой ситуации. Если не вдаваться в математические расчеты, то итоговую формулу можно упрощенно представить так:

События кибератаки = (Киберпреступники) * (Векторы атаки * Вероятность атаки на организацию) * (Объекты инфраструктуры * Вероятность компрометации) * (Информационные активы * Вероятность успешной атаки на актив).

Допустим, что рассматриваемая организация находится в следующих условиях:

• 500 киберпреступников по всему миру в данное время атакуют ее системы ИБ

• имеется 60 000 векторов атаки (например, компьютеры сотрудников), защищенных на 80%

• имеется 100 объектов ИТ-инфраструктуры (например, сетевые устройства и межсетевые экраны)

• имеется 50 информационных активов, представляющих интерес для злоумышленников (например, торговые терминалы и серверы, содержащие персональную информацию заказчиков)

• меры ИБ эффективны на 98% (оставшиеся 2% как раз и будут использоваться в наших расчетах).

Если подставить данные числа в вышеприведенную формулу, то получим 1,2 миллиона кибератак в произвольный момент времени. Конкретизировать это число можно при помощи следующего соображения: известно, что временной интервал используется в качестве коэффициента наращения при расчете процентной ставки денежного займа. Аналогичным образом временной интервал можно рассматривать как коэффициент наращения при определении вероятности кибератаки. Предположим, что временной интервал для вышеприведенных расчетов составляет 1 час. Тогда, чтобы рассчитать количество атак за 24 часа, надо умножить результат формулы на 24. Получится 28,8 миллиона кибератак в сутки.

Если теперь вспомнить вышеупомянутые результаты исследования агентства Ponemon Institute, выявившего, что 94% опрошенных компаний затратили на обнаружение взлома систем ИБ больше недели, то можно представить себе, сколь значительным может оказаться общее количество кибератак и насколько высокими могут быть шансы на то, что часть этих кибератак достигнет своей цели.

Гипотетическая организация, чьи показатели были использованы в вышеуказанной модели, каждую неделю станут мишенью для 201 миллиона кибератак. И тут самое время спросить, как сотрудники, обеспечивающие ИБ, смогут противодействовать такому количеству кибератак?

Рассматриваемая модель помогает понять, что существуют два ключевых фактора, которые необходимо брать в расчет при проектировании архитектуры ИБ: вероятность атак и время их обнаружения. Как правило, внедрение новых технологий ИБ призвано снизить вероятность успешной кибератаки. Тем не менее сотрудники отделов ИБ до тех пор не смогут организовывать по-настоящему эффективную защиту сетей, пока не будут уделять должное внимание и фактору времени.

Решение Cisco Cyber Threat Defense позволяет контролировать оба аспекта: и вероятность, и время

Благодаря сочетанию уникальных возможностей интеграции с лучшими в своем классе продуктами и технологиями, решение Cisco Cyber Threat Defense предоставляет специалистам по информационной безопасности непревзойденные возможности своевременного обнаружения атак и максимально быстрого противодействия им — как в автоматическом, так и в ручном режиме.

В качестве фундамента, предназначенного обеспечить подробный анализ пакетов и масштабируемый мониторинг, система Cyber Threat Defense использует систему предотвращения вторжений нового поколения FirePOWER, а также решение Lancope StealthWatch. Таким образом достигается полный контроль за содержимым и поведением всех потоков данных на всем протяжении сети.

Следующий уровень — система Cisco Identity Services Engine (ISE), обеспечивающая масштабируемую сегментацию и динамическую перенастройку матрицы коммутации. Помимо надежного фундамента для управления потоками данных, решение Cyber Threat Defense использует широкие возможности системы Cisco Advanced Malware Protection (AMP), которая может контролировать корпоративную сеть, оконечные устройства, интернет-трафик, почтовые шлюзы и даже персональные устройства сотрудников. В то же время решение Cisco AMP ThreatGrid обеспечивает непрерывный анализ, а также наблюдение за тем, чтобы все подсистемы, работающие с вредоносным ПО, обновлялись в режиме реального времени. Таким образом, достигается полноценный мониторинг и контроль за всеми, даже самыми скрытыми областями вычислительной сети организации.


Ньюсмейкер: cisco — 3787 публикаций
Поделиться:

Интересно:

О введении в России бумажных денег (ассигнаций) в XVIII веке
29.12.2024 10:05 Аналитика
О введении в России бумажных денег (ассигнаций) в XVIII веке
29 декабря 1768 г. (9 января 1769 г.) Императрица Екатерина II издала Манифест об основании двух ассигнационных банков и выпуске ассигнаций. На учреждённые в Санкт-Петербурге и Москве банки был возложен обмен медных денег на государственные ассигнации четырёх достоинств:...
316 лет назад Россия была разделена на восемь губерний
29.12.2024 09:03 Аналитика
316 лет назад Россия была разделена на восемь губерний
29 декабря 1708 года Указом Петра I территория Российской Империи была разделена на 8 губерний. В Московской Руси основной административной единицей был уезд, то есть город с прилегающими к нему землями. Уезды заметно отличались друг от друга по своему размеру и численности населения: одни включали...
География фольклора: место действия мифов и сказок
28.12.2024 17:52 Аналитика
География фольклора: место действия мифов и сказок
В славянских мифах и сказках встречались реальные географические точки: богатыри охраняли заставы крупных городов, герои отправлялись в плавание по Волге-матушке, а князья царствовали в своих землях — Новгороде, Суздале и Москве...
В метро Москвы курсирует поезд, посвященный 100-летию Театра сатиры
28.12.2024 17:20 Новости
В метро Москвы курсирует поезд, посвященный 100-летию Театра сатиры
В московском метро появился новый тематический поезд. Он посвящен вековому юбилею Московского академического театра сатиры и будет курсировать в течение полугода. Каждый из пяти вагонов состава рассказывает об одном из 20-летних периодов жизни коллектива. Кроме того...
Как праздновали Новый год и Рождество в XIX веке
28.12.2024 13:31 Аналитика
Как праздновали Новый год и Рождество в XIX веке
Свечи вместо гирлянд, колядки вместо телевизора и письма вместо звонков: как отмечали новогодние праздники в XIX веке. В гости 1 января Традиция длинных новогодних праздников в России зародилась давно. В XIX веке торжества затевали с приходом Святок, целой череды...