26 июня 2014 г.
Gartner очертил десять главных технологий информационной безопасности и их влияние на ИБ-подразделения в 2014 году на конференции «Security & Risk Management», проходящей сейчас в Нэшнл-Харборе, шт. Мэриленд, США.
«Организации направляют всё больше ресурсов на безопасность и управление риском. Тем не менее, растет частота атак и их сложность. Усложненные целевые атаки и уязвимости в ПО лишь добавляют забот, создаваемых революционным воздействием Сплетения сил (Nexus of Forces), которое сводит воедино мобильные, облачные, соцсетевые технологии и аналитику „больших данных“, открывая новые деловые возможности, — отметил Нил Макдональд, вице-президент и почетный сотрудник (Fellow) Gartner. — Но с новыми возможностями приходят и риски. Руководителям служб ИБ и управления риском необходимо идти в русле последних тенденций в ИТ, поскольку им предстоит сформулировать, реализовать и поддерживать эффективные программы управления безопасностью и рисками, которые одновременно открывают деловые возможности и снижают риск».
Главными технологиями обеспечения информационной безопасности являются следующие:
Брокеры безопасности доступа к облаку
Это точки реализации политики безопасности, внутри организации или в облаке, размещенные между потребителями и поставщиками облачных услуг и предназначенные осуществлять корпоративные политики безопасности при доступе к облачным ресурсам. Во многих случаях первичное принятие облачных услуг произошло вне контроля ИТ-служб, и брокеры безопасности доступа к облаку позволяют организациям обеспечить прозрачность и контроль за тем, как пользователи обращаются к облачным ресурсам.
Адаптивное управление доступом
Это форма управления доступом с учетом контекста, которая предназначена обеспечить баланс уровня доверия и риска в момент доступа, используя ту или иную комбинацию повышения уровня доверия и других методов динамического смягчения риска. Учет контекста означает, что решения о доступе отражают текущие условия, а динамическое смягчение риска — что доступ может быть безопасно разрешен, тогда как в иных случаях он будет блокирован. Использование архитектуры адаптивного управления доступом позволяет организации разрешить доступ с любого устройства откуда угодно и предоставить доступ по номеру соцобеспечения к ряду корпоративных ресурсов с теми или иными профилями риска.
Превентивное изолирование («проба» контента) и подтверждение признаков взлома
Некоторые атаки неизбежно смогут обойти традиционные механизмы блокирования и предотвращения вторжений, и в таких случаях важно обнаружить это вторжение как можно быстрее, чтобы свести к минимуму способность хакера нанести ущерб или выудить конфиденциальную информацию. Многие платформы безопасности включают теперь встроенные функции, позволяющие прогнать (detonate — «вскрыть») исполнимые файлы и контент в виртуальной машине (ВМ) и наблюдать за последствиями на предмет признаков взлома (indicators of compromise, IOC). Эта функциональность быстро становится частью более обширной платформы, а не отдельным продуктом. После того как обнаружен потенциальный инцидент, нужно его подтвердить коррелирующими признаками взлома на разных уровнях — к примеру, сравнив то, что видит сетевая система обнаружения угроз в изолированной (sandboxed) среде, с тем, что наблюдается на конкретных подключенных устройствах в плане процессов, поведения, элементов реестра и т. д.
Средства обнаружения и реагирования на подключенных устройствах (EDR)
EDR-решения — это новый рынок, созданный необходимостью ответить на потребность непрерывной защиты от сложно построенных атак на подключенные устройства (десктопы, серверы, планшеты и ноутбуки). Прежде всего, это значительно улучшенный мониторинг безопасности, обнаружение угроз и способность реагирования на инциденты. Эти средства регистрируют множество событий на подключенных устройствах и в сети и хранят эту информацию в централизованной базе данных. Затем используются средства аналитики, чтобы проводить непрерывный поиск по этой базе данных, выявляя, какие действия могут улучшить состояние безопасности, чтобы отклонять типичные атаки, обеспечить раннее уведомление об уже осуществляемых атаках (в том числе об угрозах от инсайдеров) и быстро реагировать на них. Эти инструменты помогают также быстро определить масштаб атаки и представляют средства восстановления.
Аналитика «больших данных» ИБ как ядро ИБ-платформ следующего поколения
В перспективе все платформы эффективной защиты от угроз будут включать в качестве необходимого компонента встроенную аналитику с учетом конкретной области применения. Непрерывный мониторинг всех вычислительных ресурсов и уровней в организации будет генерировать потоки данных большего объема, более разнообразных и поступающих с большей скоростью, чем способны эффективно анализировать традиционные системы SIEM (управления информацией о безопасности и событиями безопасности). Gartner прогнозирует, что к 2020 году 40% организаций будут иметь созданное «хранилище ИБ-данных» для хранения этой информации мониторинга как источника ретроспективного анализа. Храня и анализируя эти данные с течением времени, вводя в них контекст и внешнюю аналитику угроз и сообщества, можно вывести закономерности «нормального» и применять аналитику данных, чтобы выявить, когда имели место значимые отклонения от нормы.
Машинно-считываемая аналитика угроз, включая репутационные службы
Способность интегрироваться с внешним непрерывным вводом контекста и аналитики угроз будет важным отличием ИБ-платформ следующего поколения. Количество сторонних источников машинно-считываемой аналитики угроз растет; имеется также ряд источников данных репутации. Репутационные службы предлагают род динамического рейтинга «доверительности» (trustability) в реальном времени, который может учитываться в принятии решений по ИБ. К примеру, репутация пользователя и устройства, а также репутационный рейтинг URL и IP-адреса могут быть учтены в решениях о предоставлении доступа.
Сдерживание и изолирование как основополагающая стратегия безопасности
В мире, где сигнатуры становятся всё менее эффективны в предотвращении атак, альтернативной стратегией будет — рассматривать всё неизвестное как сомнительное и изолировать его обработку и выполнение, чтобы оно не могло нанести непоправимый ущерб системе, на которой выполняется, и не могло быть использовано как переносчик для атак на другие корпоративные системы. Для создания такого сдерживания могут быть использованы виртуализация, изолирование, методы отведения и дистанционного вывода информации, так чтобы, в идеале, конечный результат был подобен использованию отдельной системы «с воздушным зазором» для обработки сомнительного контента и приложений. Методы виртуализации и сдерживания станут обычным элементом стратегии глубокоэшелонированной обороны для корпоративных систем и достигнут 20% принятия рынком к 2016 году на фоне почти отсутствия сколь-нибудь широкого использования в 2014 году.
Программируемая инфраструктура безопасности
«Программируемая инфраструктура» (software-defined) означает возможности, даваемые тем, что мы отделяем и абстрагируем элементы инфраструктуры, которые ранее были тесно сцеплены в наших ЦОДах — в серверах, СХД, сетевом оборудовании, средствах ИБ и т. д. Как и в случае сетевой, вычислительной инфраструктуры и хранения, влияние на ИБ будет преобразующим. Программируемая инфраструктура безопасности не означает, что уже не нужно никакого выделенного ИБ-оборудования, — оно требуется. Но, как и в случае SDN, вся ценность и «разум» решения переходят в ПО.
Интерактивное тестирование безопасности приложений (IAST)
IAST сочетает в себе методы статического и динамического тестирования безопасности приложений (SAST и DAST соответственно). Оно имеет целью обеспечить повышенную точность тестирования защищенности прикладного ПО на основе взаимодействия методов SAST и DAST. IAST — это единое решение, объединяющее в себе лучшее из SAST и DAST. Такой подход позволяет подтвердить или отвергнуть возможность использования обнаруженной уязвимости и определить точку ее происхождения в программном коде.
Шлюзы/брокеры безопасности и межсетевые экраны для Интернета вещей
Организации, особенно работающие в отраслях с обширными техническими ресурсами, например производственные предприятия или поставщики коммунальных услуг, имеют системы эксплуатационной технологии (OT), выпущенные производителями оборудования, переходящими от проприетарных протоколов связи и сетей к стандартным технологиям на базе IP. Всё больше ресурсов организаций автоматизируются с использованием OT-систем, построенных на коммерческих программных продуктах. Конечный результат тот, что эти ресурсы встроенного ПО должны администрироваться, быть защищены и надлежащим образом предоставляться — на уровне корпоративного класса. OT рассматривается как подмножество Интернета вещей для производственной сферы. Он будет включать миллиарды взаимно подключенных датчиков, устройств и систем, многие из которых будут взаимодействовать без участия человека и которые должны быть надежно защищены.
Источник: Gartner