В бесконечной борьбе щита и меча снова побеждает атакующая сторона. «Прошлый год стал ещё одним напоминанием о том, что мы проигрываем в поединке, – заявил Амит Йоран в своём выступлении. – Противник продолжает переигрывать индустрию… и выигрывать на всех уровнях».
Амит Йоран на конференции RSA 2015 (фото: emc.com).
Мы до сих пор уповаем на сигнатурный анализ файлов, жёсткие правила фильтрации трафика, старые доменные политики и принципы аудита. В корпоративной сети этот отработанный комплекс мер теперь сравнивается с образом средневековой крепости, только штурмует её уже не орда варваров, как это было в нулевые, а десант спецназа под прикрытием авиации. Возводить более высокие стены и глубже копать рвы стало бесполезно.
«За последние годы характер угроз кардинально изменился, – соглашается руководитель группы Windows Security & Identity компании Microsoft Дастин Ингаллс (Dustin Ingalls). – Сетевые атаки, спонсируемые правительствами, в настоящее время стали самой большой проблемой».
Йоран отметил, что многие руководители до сих пор пребывают в плену предубеждений. Например, они верят, что «умные» и дорогие технологии защитят их уже сами фактом своего внедрения. Между тем, они вовсе не самодостаточны. За последний год менее чем один процент угроз был обнаружен с помощью традиционных инструментов анализа, вроде SEIM (систем управления событиями и информацией о безопасности).
Выступление Амита Йорана (фото: rsaconference.com).
Многолетний опыт позволяет Йорану видеть, как развивалась отрасль информационной безопасности, и какие пути в ней оказались ошибочными. Он начинал свою карьеру в Министерстве обороны США (подразделение DoD CERT), затем перешёл в Министерство внутренней безопасности, был вице-президентом Symantec, членом правления в Guidance Software, Invincea и Guardium (дочерней компании IBM). Своё видение дальнейшего курса на смену парадигмы защиты он обрисовал так:
Всё это справедливо и для самой RSA Security, ставшей в 2006 году подразделением EMC– одной из крупнейших корпораций, специализирующихся на управлении данными. Йоран отметил, что его компания также постоянно перестраивается для того, чтобы соответствовать новым реалиям. «Как представители индустрии, мы тоже идем по новому пути, понимая, что направление будет меняться».
Секретарь Министерства внутренней безопасности США Джех Джонсон на RSA 2015 (фото: rsaconference.com).
Новые угрозы появляются в том числе из-за необдуманной интеграции систем разного назначения и стремления подключить всё к интернету. Официальные лица и правительственные ведомства часто не знают, как им реагировать в такой ситуации. «Компьютерра» уже писала о задержании эксперта по безопасности Криса Робертса, который как раз направлялся на конференцию RSA 2015, чтобы рассказать о методах атаки на авионику через мультимедийные средства для развлечения пассажиров.
В прошлом году схожее исследование представил консультант по безопасности компании IOActive Рубен Сантамарта на конференции Black Hat. Другой консультант этой же компании – Эйрианн Леверетт – обнаружил свыше десяти тысяч систем мониторинга управления технологическими процессами с удаленным доступом, атака на которые может привести к техногенной катастрофе.
В заключении Йоран подчеркнул, что на рынке нет дефицита в современных средствах предупреждения угроз и адекватного сбора информации об них. Также достаточно много систем управления цифровыми и деловыми рисками. «Проблема не в отсутствии технологий, а в наших устаревших установках», – подытожил он.
Ежегодные конференции по безопасности устраиваются RSA Security в Сан-Франциско с 1991 года. Став подразделением EMC, компания увеличила охват аудитории и расширила географию конференций. В этом году она продолжится в Лондоне (RSAC Unplugged, 4 июня), Сингапуре (RSA Conference Asia Pacific & Japan, 22 – 24 июля) и в Абу-Даби (4 – 5 ноября).