Наталья Милославская: кибератаки становятся все более изощренными

Человек против ИИ

– Прежде всего, отдавая дань моде, надо сказать про применение искусственного интеллекта при построении средств защиты информации. ИИ используется как отдельный блок, который берет на себя аналитику, прежде всего аналитику данных о событиях в сетевой среде, выявляющую те из них, которые организация определяет как инциденты информационной безопасности. Дело в том, что инциденты для одной организации совершенно не равны инцидентам для другой. Единую универсальную систему для всех настроить очень сложно. Надо обучать такие системы на вещах, специфических именно для каждой организации. Как у любого нового явления, у ИИ как много как плюсов, так и минусов.

– Сейчас известно порядка 14 типов различных атак на системы искусственного интеллекта. Например, можно в процессе обучения не так обучать систему, чтобы она выявляла не те события. Если на этапе обучения присутствует злоумышленник, то он делает так, что, обучая систему, она его не распознает как злоумышленника, а помечает нужные ему типы инцидентов как нормальный профиль поведения.

– Как известно порядка 80% проблем создают инсайдеры, и только 20% внешние хакеры, те кто смогли прорваться через защитные барьеры.

Что ловят в озерах

– Да, хотя эта проблема, в общем, не нова. Сначала появились большие данные, потом стали говорить о быстрых данных, а сейчас говорят об озерах данных.

 – Не только. В озере данных находится не только «сырые» данные, которые мы взяли из внешняя среды, но и обработанная промежуточная информация, которая может понадобиться другим системам, и окончательные результаты каких-то информационных процессов. В этом озере «зашито» много всего, и надо продумывать – какую информацию помещать на носители быстрого доступа, что надо хранить немножко дольше, как чистить это озеро, кто будет заниматься удалением оттуда совсем неактуальной информации, как понять, что информация, характеризующая одну маленькую ступень проведения атаки, может потом вылиться во что-то большее и будет связана с какими-то другими событиями. Тут возникает повод для применения большой аналитики. И отдельной проблемой является огромный объём данных в озере и требуемая скорость, с которой нужно их обрабатывать.

Плюс, система, когда мы реагируем на атаку уже после того, как попробовали ее на себе – это уже прошлый век. Нам нужно пытаться оказываться впереди злоумышленника, то есть применять какие-то прогнозы. В России это называется «упреждающая безопасность», за рубежом – «проактивная защита». Это отдельная интересная тема, которая требует изучения и решений.

– С виду их даже больше, чем на самом деле, потому что есть еще маркетинговая составляющая, когда уже существующие средства начинают появляться под другими названиями – для того, чтобы освоить новые деньги. Я с 70-х годов начала вести историю эволюции различных технологий и средств обеспечения безопасности. Я и студентам рассказываю на лекциях, как из одного термина появляется следующий, хотя по сути идея абсолютно та же самая, только «заворачивают» ее в новую оболочку.

По ту сторону экрана

–  Нет, идея межсетевых экранов - это 90-е годы прошлого столетия, когда они появились на рынке . Первый из них с удобным пользовательским интерфейсом - это Firewall-1 израильской компании Checkpoint. Она и сейчас имеет очень хорошую нишу на российском рынке, уходить не собирается. В 1997 году появился первый экран нового поколения, так называемый Next-Generation Firewall, это разработка американской компании Palo Alto Networks. Что интересно, мы в МИФИ - обученные инструкторы этой компании, и даже не взирая на все происходящие сейчас в мире события, компания ни на год не приостанавливала возможность предоставлять нашим студентам изучать ее продукт на виртуальных стендах. Сейчас у меня как раз идет дисциплина «Технологии обеспечения информационной безопасности объектов» и в рамках нее мы даем студентам возможность «пощупать» этот экран нового поколения.  Плюс появился теперь уже наш отечественный продукт, потому что мы идём по пути импортозамещения, и очень многие компании попробовали себя на поприще создания межсетевых экранов нового поколения. Не все доходят до финиша, некоторые фирмы в процессе конкурентной борьбы немножко сдулись, но есть явные лидеры. Надо отдать должное компании UserGate, которая создала не только межсетевой экран, но много других решений - целую экосистему. МИФИ открыл с UserGate совместную лабораторию, но у нас еще подписано соглашение также с российской компанией Ideco. И у них тоже есть свой межсетевой экран нового поколения.

– Хотелось бы, чтобы у студента был выбор, и он мог сравнить возможности всех продуктов. Я всегда считала преподавателя неангажированным лицом, наша задача — показать весь спектр решений, чтобы ребята имели навыки, работая с любым устройством, понимали функционал разных средств, а потом уже могли осознанно выбирать. Но тут уже получается так, что студенты выучивают, где находятся “синие” и “зеленые” кнопки в одном продукте, а в другом это может быть совершенно иначе. Но осознание того, как это работает изнутри, понимание функционала и принципов обнаружения компьютерных атак в этих продуктах тоже очень важно.

«Злоумышленники на шаг впереди»

– Они становятся более изощренными. Все начиналось с самых простейших методов, связанных с тем, чтобы узнать пароль. Теперь средств для перехватывания пароля уже очень много. Но и сами сети становятся очень сложными. Существует огромное количество протоколов и сервисов, что требует понимания тонкостей их настройки и использования с точки зрения обеспечения требований безопасности. Между тем администраторами эти требования не всегда осознаются и эти системы настраиваются не очень хорошо. Ошибки конфигурирования из-за человеческого фактора - это уязвимость, которая возникает довольно часто. Плюс сейчас не существует замкнутых систем. Все они открытые, на внешнем периметре сети всегда есть какие-то «смотрящие» во внешний мир приложения, открытые порты, и знание уязвимостей всех этих протоколов на руку злоумышленнику.

– Тут же начинается сканирование системы, определение слабых мест для того, чтобы можно было через эту новую дырочку войти в систему. Плюс есть проблема рассогласованности средств разных производителей, которые не очень хорошо настраиваются на совместную работу. Их совместимость, может быть, изначально и не предполагалась, а мы организуем такой большой «зверинец» в сети, в который пытаемся поместить все, что можно, и не всегда это корректно увязано между собой.

Злоумышленники научились создавать так называемые бесфайловые атаки, которые не оставляют характерных для атак следов на жёстком диске. Без таких типичных сигнатур эти атаки очень трудно выявлять. Атаки работают непосредственно в памяти. Плюс, есть приемы по запутыванию и отвлечению внимания. Не зря была создана база знаний MITRE ATT&CK, которая последовательно расписывает стадии осуществления атак и какие средства на каждом этапе реализации этой атаки могут использоваться злоумышленникам. Короче говоря, атаки становятся все более изощренными, к тому же часто сопровождаются попытками вовлечь человека с помощью социальной инженерии. Ну и часто у злоумышленников есть пособники внутри той организации, сеть которой они хотят взломать. Это тоже ни для кого не секрет, потому что выбирается всегда самое слабое звено, а это всегда человек.

– Ведут многие организации, но любая статистика — штука заказанная для того, чтобы доказать и показать какую-то конкретную тенденцию. А независимого органа, который бы реально все подсвечивал, не существует.

Есть огромное количество совершенно разных по цифрам американских отчетов, но собрать такую статистику –это дело практически нереальное, потому что информация о взломах намеренно скрывается, ведь если будешь рассказывать, что тебя взламывают, реноме твоей организации пострадает очень серьезно.

Какие-то общие тенденции проследить можно, но я всегда говорю студентам: вы на эти цифры не смотрите, 20% или 30% – это величина условная. Вы просто посмотрите, что изменяется по годам, какие появились новые вещи, что пошло на спад. А цифрам я не доверяю.

– Злоумышленники, как это ни грустно говорить, будут всегда на шаг впереди. Они прекрасно знают, как устроены средства защиты, они понимаются, как их обходить. Есть много техник для обхода системы защиты или перенаправления трафика так, чтобы его нельзя было отфильтровать, посмотреть, что в нем нехорошего. Но в любом случае атака на какую-то организацию будет организована только в том случае, если вы представляете интерес для злоумышленника и «овчинка стоит выделки», то есть затраты на взлом будут гораздо меньше, чем профит, который злоумышленник получит.

Управлять безопасностью из единого центра

– Лично я уже достаточно давно занимаюсь Центрами Управления Сетевой Безопасности, что является логическим развитием SOC (Security Operations Center). Сама идея таких центров была задумана 20 лет назад компанией Cisco, в 2005 году она опубликовала идею вот этого «сока» как центра мониторинга безопасности. «Мониторинг» означает, что мы только наблюдаем, собираем информацию, а вот когда появилась необходимость активного реагирования, то стали уже там говорить о SIC’ах (Security Intelligence Center), то есть центрах интеллектуальной безопасности. А я к идее SIC’ов предложила добавить еще сетевой операционный центр (Netowrk Operation Center, NOC), поскольку и айтишники, и ИБэшники должны работать рука об руку, ведь даже обновление системы безопасности устанавливает айтишник, а не ИБэшник. Но ИБэшник должен указывать, что конкретно, куда и как. На этом, собственно говоря, была построена моя диссертация. Я это все назвала просто «центр интеллектуального управления сетевой безопасностью». То есть, для меня центр мониторинга — это нижняя ступень. А когда мы говорим об осознанном управлении сетевой безопасностью, то это уже следующая ступень.

– Впереди планеты всей всегда был Сбербанк, они сразу стали воплощать эту идею, ну и сейчас крупные корпорации конечно уже это умеют, и у нас многие студенты, те кто совмещает учебу и работу, часто либо находятся на первой линии такого центра, либо работают даже аналитиками в таких центрах. То есть процесс пошёл и осознан. И в России уже давно есть такой SOC-форум, который я пытаюсь регулярно посещать. Интересная вещь: при том, что все говорят об оторванности образования от практики, мне стоило больших усилий попадать на этот форум. Только в этом году, наконец, при регистрации участников на SOC-форум появилась такая строчка, как «Наука и образование». Раньше ее не было. Я организаторам объясняла: то, что я сегодня у вас послушала, завтра студенты услышат от меня на занятиях. В этом году наконец-то мой голос был услышан. Нас, активных преподавателей, не так уж много – так дайте этим преподавателям возможность «прорваться» в профессиональную среду, вариться в ней и понимать, что происходит!

– Ну, во-первых, отдельный вопрос какое высшее образование - специалитет или по болонской системе? Мы всегда относились к бакалаврам как к «недоделанному» специалисту, оно так и было. Их уровень — это первая линия того самого SOCа, они годятся для более рутинной работы, а я всегда считала и на всех международных конференциях продвигала идею, что фундаментальное российское образование - это самая лучшая вещь, как тот скелет, на который можно нарастить любое «мясо». Нас же, преподавателе информационной безопасности, никто не учил. Не было тогда таких наук. Я заканчивала кафедру кибернетики МИФИ. И то образование, которое было заложено, позволяет сейчас двигаться в любом направлении самостоятельно. Нужна способность к мышлению, логическое мышление, и тогда получается все хорошо.

Беседовал Константин Фрумкин, пресс-служба МИФИ