Обращали ли вы внимание на то, как незаметно, но кардинально изменился окружающий нас мир? Всего 20 лет назад появилась моя первая книга «Обнаружение атак», а сегодня описанные в ней технологии почти не используются, а реализующие их системы неоднократно называли мертвыми. Всего 10 лет назад мы считали, что есть небезопасный Интернет, а есть доверенная корпоративная сеть, и их разделяет периметр. Но сегодня понятие «периметр» размылось — его просто нет, что особенно хорошо продемонстрировала самоизоляция, когда большая часть сотрудников работала не внутри корпоративной сети, а из дома, зачастую даже с личных устройств. Всего пять лет назад мы строили собственные центры обработки данных, где хранились все корпоративные секреты, а их защитой занимались свои сотрудники, использующие купленные и поставленные на баланс средства защиты. Сегодня мы активно применяем облачные вычисления, специалистов по ИБ не хватает, а защитные технологии уже перешли на сервисную модель. Мир стремительно меняется, и информационная безопасность вместе с ним.
На прошедшей в мае конференции RSA Conference — одно из самых главных мероприятий по ИБ в мире, где представляют все самые последние новинки и технологии, — подтвердились тенденции, о которых пару лет назад еще никто и думать не смел. Но сегодня это будущее уже воплотилось в три технологии, и о них мне хотелось бы поговорить. Речь пойдет о XDR, Zero Trust и SASE!
XDR — от обнаружения атак к обнаружению угроз
Выше я упомянул про технологии обнаружения атак или вторжений, которые появились в 80-х годах прошлого века и долгое время наряду с антивирусами оставались единственными инструментами, способными выявлять атаки на корпоративные или ведомственные ресурсы. Обычно эти технологии работали на уровне сети и опирались на сигнатурные методы обнаружения вредоносной активности. Со временем она перекочевала на оконечные устройства, но поиск совпадений с сигнатурами обеспечивался за счет анализа журналов регистрации операционных систем. Позже к анализу логов добавился мониторинг процессов и поведения приложений на ключевых узлах инфраструктуры. Сетевой уровень, в свою очередь, обогатился механизмами поиска аномалий в «сыром» сетевом трафике или в его телеметрии, снимаемой с помощью flow-протоколов (Netflow, sFlow, jFlow и т. п.).
Однако долгое время технологии обнаружения атак, реализуемые на уровне сети и на уровне хостов, существовали в параллельных мирах. Да, они развивались. Да, они пополнялись новыми возможностями по корпоративному управлению и новыми методами обнаружения техник и тактик хакеров. Но при этом они никак между собой не обменивались информацией и не позволяли выявлять сложные атаки, реализуемые сразу на нескольких уровнях — сетевом, транспортном, прикладном и т. п. Но самым неприятным моментом в работе NIDS (Network-based Intrusion Detection System) и HIDS (Host-based IDS) было то, что они по-прежнему строились по принципу обнаружения чего-то плохого, описанного сигнатурой, — правилом, шаблоном или алгоритмом. Но мир «по ту сторону баррикад» изменился гораздо быстрее, чем мир информационной безопасности. Оказалось, что средства защиты не успевают увидеть множество атак в процессе их реализации и их пропускают, приводя к нанесению ущерба для корпоративных активов. Концепция обнаружения и предотвращения стала давать сбой, и производители сначала потихоньку, а потом все активнее начали менять парадигму в сторону «обнаружения и реагирования». Отрасль ИБ признала, что не в состоянии в реальном времени обнаружить 100% всех угроз, поэтому эффективной будет считаться не та система защиты, которая обнаруживает больше в момент совершения атаки, а та, что позволяет оперативно купировать последствия успешной компрометации или иного инцидента. Компания Gartner, как законодатель мод в области аббревиатур, предложила две новых — EDR (Endpoint Detection & Response) и NTA (Network Traffic Analysis), которые, по сути, пришли на смену технологиям HIDS и NIDS соответственно. Позже аббревиатура NTA плавно сменилась на NDR (Network Detection & Response). А по мере того как компании стали активно использовать облачные среды, в которых также необходимо выявлять и блокировать атаки и их последствия, рынку были представлены решения класса CDR (Cloud Detection & Response), более известные по ранее используемой аббревиатуре CASB (Cloud Access Security Broker).
Впрочем, и эта смена парадигмы не принесла ощутимого результата, так как в отличие от производителей ИБ, не желающих интегрировать свои продукты напрямую и заставляющих покупателей приобретать для этого либо дорогостоящие решения класса SIEM (Security Information Event Management), либо решения класса SOAR (Security Orchestration, Automation and Response), хакеры спокойно реализовывали свои атаки на разных уровнях, по разным векторам, на разных точках входа и для разных компонентов инфраструктуры. В итоге всего пару лет назад был представлен новый термин — XDR (Extended Detection & Response), который означает технологию обнаружения и реагирования на угрозы, реализуемые на уровне сети, оконечных устройств и облачных сред.
В отличие от ранее существовавших разрозненных решений, технология XDR подразумевает, что различные агенты, осуществляющие мониторинг угроз, не только обмениваются между собой получаемыми событиями безопасности, не только используют разные подходы к обнаружению угроз (сигнатурные, аномальные, поведенческие и т. п.), могут не только коррелировать эту информацию, но и реагировать на выявленные несанкционированные действия, где бы они ни происходили — внутри сети, на удаленных устройствах или в облачных средах. При правильной реализации XDR компании, их использующие, получают возможность сэкономить на приобретении решений класса SIEM и SOAR, а также на интеграции всех компонентов в единый комплекс, что в итоге сокращает время обнаружения и реагирования на инциденты, а именно это и является конечной целью современных технологий ИБ.
Правда, XDR — это еще совсем молодая концепция, и есть на рынке производители, которые некорректно ведут себя, выдавая свои или только сетевые, или только хостовые решения за XDR. Поэтому как никогда важно трезво оценивать предлагаемые решения, тестируя их в своей инфраструктуре и не ведясь на недобросовестную рекламу. Кроме того, следует отметить, что ввиду новизны этой концепции даже на Западе, в России игроков, которые бы предлагали ее в своем портфолио, пока нет. Кроме того, учитывая требования по сертификации средств защиты, которые могут быть обязательными для отдельных категорий заказчиков (например, для государственных органов), вероятность найти решение, еще и прошедшее оценку соответствия ФСТЭК, и вовсе стремится к нулю. Если же компании повезло и она не попала ни под каток импортозамещения, ни под требования об обязательной сертификации, то это хороший вариант для улучшения своих возможностей по обнаружению и реагированию на все больше усложняющиеся и становящиеся незаметными методы хакеров.
Zero Trust, когда никому нельзя доверять
Большинство из нас училось информационной безопасности на концепции доверия. Есть сеть внутренняя, а есть внешняя. Есть пользователи доверенные, а есть не очень. Есть зона контролируемая, а есть бесконтрольная. Есть доверительные отношения между доменами, а есть обычные. Есть соединения доверенные, а есть небезопасные. У некоторых средств сетевой безопасности интерфейсы даже так и назывались trusted и untrusted. Знакомая концепция, не правда ли?
И вот пришел… нет, не Новый год. И не регулятор. Обычный американский парень — Эдвард Сноуден. А до него был другой Эдвард — Бредли Эдвард Меннинг, который относительно недавно стал Челси Элизабет Меннинг. Они ярко продемонстрировали, что даже в святая святых американских органов обороны и нацбезопасности поговорка «чужие здесь не ходят» не работает. Скорее наоборот. Не совсем понятно, откуда вообще взялась идея, что в безопасности можно кому-то или чему-то доверять? Это ведь корень всех провалов. Стоит скомпрометировать доверенного пользователя, узел, приложение… и безопасности приходит конец; надо все перестраивать с нуля. И так каждый раз, когда проявляется новый Сноуден, Меннинг, Филби, Рейли, Розенберг, Фишер, Коэн, Пеньковский, Скрипаль. Я не берусь сейчас оценивать действия данных лиц с моральной или какой-либо иной точки зрения. Разведчики они или предатели… Не так уж и важно. Я хотел бы оценить эти события только с точки зрения информационной безопасности. Выше я перечислил несколько имен, которые на протяжении последних ста лет показывали порочность практики «доверительных отношений» в ИБ. Не пора ли от нее отказываться? Об этом не первый год говорят как в англоязычной среде, продвигая концепцию Zero Trust, так и у нас, ругая концепцию «контролируемой зоны» от ФСТЭК.
Сегодня наступило время, когда надо в корне менять подходы к обеспечению ИБ на предприятии (что на коммерческом, что на государственном). Сегодня не должно быть ничего доверенного. Вокруг одни враги! Даже внутри сети. И речь идет не столько о рядовых пользователях, которые по ошибке совершают несанкционированные действия, сколько о реальных злоумышленниках, которые могут сидеть в вашей сети месяцами и тащить из нее все, что плохо лежит. А в локальных сетях обычно лежит плохо все. Ну, непринято у нас (и у них тоже) защищать внутреннюю сеть. Максимум — поставить антивирусы на внутренние ПК. Ну и огородить локальную сеть стеной из межсетевых экранов, систем предотвращения вторжений, систем контентной фильтрации и других не менее ценных, но ограниченных только периметром средств защиты. Все, что пойдет через них, будет просвечиваться тремя-пятью лупами; зато внутри у нас раздолье. Пользователи ходят куда хотят, и на уровне сети их никто не ограничивает. На уровне серверов приложений им, может быть, и создаются препятствия, но внутри трафик никто не шифрует, и поэтому, даже не имея доступа к серверам с ценной информацией, ее можно перехватывать обычным сниффером. Принцип минимума привилегий, часто реализуемый на уровне ОС или СУБД, почти никогда не внедряется на уровне сети. Отсюда постоянные утечки и бесполезные попытки с ними бороться. Бороться ведь надо не с утечкой, а с ее причиной. Ограничьте доступ внутри и снимете львиную долю проблем.
Кстати, об уровне сети. Какие самые популярные средства сетевой безопасности у нас обычно ставятся? МСЭ и IPS. И те и другие на периметре сети. Иногда еще и на отдельных участках внутренней сети, но современная коммутируемая сеть (да еще и с виртуализацией или SDN) ставит крест на попытках найти отдельные точки контроля, в которые стекается весь трафик. Но даже если представить, что мы смогли пропустить весь трафик через несколько точек контроля и они не превратились в узкие бутылочные горлышки, что дальше? А если на доверенном узле, чей трафик разрешен на МСЭ, незаметно работает фрагмент APT или бот? Он будет работать от имени доверенного пользователя или узла, которому разрешено многое. Сетевой трафик не может быть доверенным в принципе. Именно поэтому появляются такие технологии, как 802.1x, NAC, NTA/NDR, разрабатываемые из расчета, что одной аутентификации пользователя недостаточно и нужно более пристально всматриваться в сетевой трафик, идущий между устройствами (особенно если пользователь за устройством вообще не присутствует и никакой аутентификации не проходит).
Именно в таких условиях и родилась концепция «нулевого доверия», или Zero Trust, появившаяся в 2010 году у компании Forrester. Первоначально она развивала идеи термина «депериметризация», родившегося ранее на Jericho Forum, и касалась только сетевой составляющей. В оригинальную модель Zero Trust входило три компонента, которые позволяли повысить уровень сетевой безопасности, не доверяя статическим правилам на МСЭ, коммутаторах и точках доступа. Позже к ней добавили еще ряд компонентов, направленных на более высокий уровень, — приложения, пользователей и данные. Этот вариант получил название ZTX (Extended Zero Trust), но в последнее время между ZT и ZTX уже разницы не делают (хотя некоторые производители таким образом обманывают своих потребителей, предлагая им только часть концепции «нулевого доверия»).
Концепция Zero Trust исходит из того, что мы предполагаем, что угроза может появиться откуда угодно и все их заранее мы никогда не опишем и не приоритезируем. А следовательно, надо выстраивать принцип минимума привилегий на уровне сети, приложений и пользователей, при этом обеспечивая не статическую, а динамическую политику безопасности, стремясь к непрерывной верификации тех же сетей, приложений, пользователей и данных. При этом концепция Zero Trust не означает новой серебряной пули или очередной революции на рынке средств ИБ. Это просто смена парадигмы, которая может быть реализована за счет существующих решений и технологий. Надо поменять свое сознание и строить систему ИБ на предприятии, исходя из того, что никому и ничего доверять нельзя. Нельзя «доверять, но проверять» — можно только «проверять и никогда не доверять»! Проверять ПО перед установкой и после нее (а иначе повторится история с NotPetya и SolarWinds). Проверять все сетевые соединения снаружи и внутри. Проверять все попытки доступа любых пользователей независимо от их роли. Проверять все устройства, подключаемые к сети. Проверять трафик на всех TCP-портах, а не только на тех, которые, как мы считаем, доступны в сети. Проверять прикладной трафик, включая и возможную инкапсуляцию в него чего-то вредоносного или просто нарушающего политику ИБ.
Эксперты выделяют три составляющие концепции «нулевого доверия», с которыми я склонен согласиться:
Контролируйте и защищайте все. Неважно, кто, откуда, когда, как и зачем осуществляет подключение. Важно проверять все, тогда уровень безопасности сети повысится, а число неприятных сюрпризов существенно уменьшится. Для специалистов по ИБ не должно быть разницы между защитой внутренних активов от внутренних нарушителей и защитой внешних активов от внешних злоумышленников. Для этого достаточно будет пересмотреть правила и настройки существующих средств защиты.
Минимум привилегий и контроль доступа на всех уровнях. Этот принцип должен быть реализован не только на уровне ОС, приложений или периметра. Важно реализовать его и во внутренней сети с помошью встроенных в сетевое оборудование или наложенных средств защиты (первые предпочтительнее). Для этого необходимо использовать средства контроля сетевого доступа (NAC) и производные от него (например, TrustSec), а также механизмы многофакторной аутентификации пользователей и приложений.
Инспекция и регистрация сетевого трафика. Нарушитель сегодня в состоянии выдать себя за легального субъекта доступа — пользователя, узел, приложение, процесс. В конце концов, злоумышленник может и вовсе оставаться невидимым для средств защиты навесных или установленных не в том месте сети (такое часто бывает, когда в сети появляются несанкционированные 3G/4G-модемы или беспроводные точки доступа). Поэтому необходимо фиксировать весь сетевой трафик и проводить его инспекцию на предмет нарушений политики безопасности (ее, кстати, тоже надо пересмотреть в контексте «нулевого доверия»). Для этого необходимо использовать упомянутые выше решения класса XDR или их предшественников — NDR, CASB, SIEM и т. п.
Разумеется, отказ от идеи «доверяй, но проверяй» в пользу «проверяй, никогда не доверяй» — это не сиюминутная задача и не одноразовый проект. Это, в первую очередь, смена классической парадигмы, которой до сих пор учат выпускников вузов по ИБ. Главное, поменять сознание. А уж затем планомерно и последовательно внедрять эту идею на существующих средствах защиты, возможно, приобретая и что-то новое, чего раньше не было (обычно это средства или встроенные механизмы защиты внутренней сети). При этом не всегда требуются серьезные финансовые затраты — очень часто все необходимые компоненты уже присутствуют и их просто надо правильно настроить.
SASE — безопасность из облака по сервисной модели
С какой основной проблемой сегодня сталкиваются многие компании в области информационной безопасности? Нет, не с хакерами. И не с регуляторами. И не с множеством непонятных аббревиатур от Gartner, которые еще и меняются, не успев стать привычными. Нам не хватает квалифицированного персонала и денег на то, чтобы реализовать все, что мы задумали в области кибербезопасности. Особенно в условиях размытия периметра, ухода на удаленку и внедрения корпоративной мобильности. Мы не в состоянии поставить каждому сотруднику домой по полноценному межсетевому экрану нового поколения с десятком других технологий ИБ, которые мы используем на корпоративном периметре. И даже если бы мы нашли на это все бюджет, то кто будет внедрять и настраивать сотни и тысячи подобных устройств? Да, сегодня есть решения, которые позволяют «накатить» политики ИБ на удаленное устройство «в один клик», или даже оно само скачает себе актуальную конфигурацию с сервера управления из облака. Да и вообще, сегодня нет устройства, которое бы имело все необходимые защитные технологии. А что делать с устройствами «Интернета вещей», которые подключаются сразу к Интернету, минуя какие-либо защитные шлюзы?
Мир меняется, и все чаще пользователи, а также приложения, устройства и данные находятся за пределами корпоративного периметра. При этом потребность в обеспечении их защиты меньше не становится, а даже возрастает. Мобильных пользователей не заставишь таскать с собой межсетевой экран. Конечно, есть сценарии, когда весь внешний трафик заворачивается на корпоративный периметр, где и контролируется традиционными средствами ИБ — МСЭ, IPS, DLP и т. п. Но работает он далеко не всегда и в какой-то момент начинает мешать бизнес-процессам, которые не могут мириться со сложностью и задержками, вносимыми ИБ-решениями, не способными подстроиться под дивный чудный мир без границ. Возникает идея объединить средства сетевой безопасности с сетевыми решениями и вынести их в облако, объединив концепции Network-as-a-Service («сеть как сервис») и Network Security-as-a-Service («безопасность как сервис»).
Это и есть концепция SASE (Secure Access Service Edge), которая объединяет сразу множество полезных технологий построения сети и ИБ — SD-WAN и МСЭ, оптимизацию WAN и CASB, CDN (Content Delivery Network) и мониторинг DNS, управление полосой пропускания и SWG (Secure Web Gateway), маршрутизатор и VPN, Zero Trust и удаленную изоляцию браузеров. По сути, речь идет о решении класса Secure Internet Gateway, или SIG (да-да, еще одна аббревиатура), но наделенного расширенными сетевыми возможностями. Иногда можно встретить и термин Firewall-as-a-Service, который применялся до очередного творческого порыва Gartner. Но все-таки аббревиатура FWaaS неполно отражает суть SASE — в последней гораздо больше разных защитных функций, чем даже в самых навороченных NGFW или UTM. И все это из облака и прозрачно для пользователя. Удобно.
Чтобы эта схема заработала в полную силу, точки присутствия SASE должны быть размещены по всему миру, ну или, в случае с нашей страной, по всей России. Тогда можно будет говорить о низких задержках и повсеместном защищенном доступе. Учитывая наш телекоммуникационный рынок такое можно развернуть только на площадках нескольких операторов — «Ростелекома», Orange и, может быть, у «большой тройки» мобильных операторов. Либо надо строить решение самостоятельно на базе различных IaaS-провайдеров, что будет непросто. Поэтому Gartner дает сдержанные прогнозы по применению SASE: в 2018 году только 1% предприятий использовал подход SASE, а спустя пять лет таких должно стать около 40%, что немного на фоне остальных прогнозов Gartner.
Заключение или когда ИБ уйдет в облака
В заключение мне хотелось бы упомянуть еще одну тенденцию, о которой говорят в последнее время многие аналитики, сходящиеся во мнении, что будущее информационной безопасности — это облака, по сравнению с традиционной моделью предоставляющие ИБ много преимуществ, а именно:
снижение сложности и затрат;
улучшение производительности и сокращение задержек;
прозрачность для пользователей;
улучшенную безопасность;
снижение операционных издержек;
уменьшение зависимости от компетенций персонала;
централизованное управление;
легкость и незаметность обновления;
возможности запуска новых цифровых сервисов.
Правда, в России последняя тенденция пока не находит своего отражения. Многие компании предпочитают строить безопасность (пусть и с применением новомодных концепций XDR и Zero Trust) пока своими силами и внутри своей инфраструктуры, не доверяя облакам, которые у нас, в пылу борьбы за цифровой суверенитет, иногда ограничивают веерными блокировками. Но думаю, что со временем это недоверие уступит место тем выгодам, которые дает облачная безопасность. Правда, с учетом того, что я писал, рассказывая о концепции «нулевого доверия».
Смотреть все статьи по теме “Информационная безопасность”