Как и обещали, продолжаем свои размышления, связанные с атакой на «Аэрофлот» (пост). История Аэрофлота не уникальна. Недавно похожие атаки обрушились на сеть социальных аптек «Столички» и сеть розничных магазинов «ВинЛаб», где хакеры применили вымогательство за возврат зашифрованных данных. Все эти компании наверняка уделяли серьезное внимание своим системам безопасности, но это не спасло их от катастрофы.
Проблема не в отсутствии средств, а в распространенном, но опасном заблуждении: многие, развернув дорогостоящую систему защиты, почему-то начинают верить, что они «в домике», и никакие хакеры им больше не страшны.
Но, как показывает практика, это не так. В своей работе мы постоянно сталкиваемся с одной и той же критической проблемой: оборудование и сервисы для ИБ часто подбираются по параметрам, указанным в технических документах поставщика. Эти цифры, как правило, отражают производительность в «идеальных условиях» или оптимизированы для маркетинга, а не для уникального профиля трафика вашей сети.
Мы живем в эпоху тотальной виртуализации, повсеместного внедрения нейросетей и невероятного разнообразия пользовательских нагрузок, которые в каждой организации абсолютно индивидуальны. Сетевой трафик уже давно не ограничивается стандартным TCP/IP, электронной почтой и видеоконференциями. Почти весь современный трафик зашифрован, и чтобы системы информационной безопасности могли выполнять свою основную задачу, этот трафик должен быть расшифрован и проанализирован в режиме реального времени.
Чтобы системы ИБ могли выполнять свои функции, им необходимо расшифровывать и анализировать этот трафик «на лету», что является очень ресурсоемкой работой для любого оборудования. Если приобретенное оборудование не было проверено на способность справляться с такой нагрузкой без деградации производительности, оно становится слабым звеном. В результате компания получает систему, которая либо пропускает атаки из-за недостатка вычислительных ресурсов, либо настолько замедляет работу легитимных бизнес-процессов, что пользователи начинают искать способы ее обойти.
Убедиться, что ваше оборудование способно обрабатывать зашифрованный трафик без снижения производительности легитимных сервисов, можно только с помощью специальных решений для нагрузочного тестирования. В противном случае вы действуете вслепую, не зная, эффективна ли ваша защита на самом деле. Мы в своей практике для таких задач используем решение IXIA BreakingPoint, которое проверяет, работает ли система безопасности вообще, и как она ведет себя под реальной нагрузкой, в том числе при эмуляции сетевых атак тысяч различных типов.