Информационная безопасность превращается в важнейшую индустрию, услугами которой пользуются бизнес, государство и обычные граждане. О последних тенденциях в этой сфере мы поговорили с профессором кафедры информационной безопасности банковских систем НИЯУ МИФИ, доктором технических наук Натальей Милославской.
– Наталья, как бы вы охарактеризовали последние тенденции в сфере ИБ?
– Отдавая дань моде, нельзя не сказать про применение искусственного интеллекта при построении средств защиты информации. ИИ используется для аналитики событий в сетевой среде с целью выявления инцидентов информационной безопасности. Для разных организаций характерны разные инциденты, поэтому единую универсальную среду для всех настроить невозможно. Обучение ИИ происходит на данных той организации, на базе которой ему предстоит функционировать. Как и у любого нового явления, у искусственного интеллекта есть не только плюсы, но и минусы. Уже сейчас известны порядка четырнадцати типов различных атак на системы искусственного интеллекта. Один из распространенных примеров – когда злоумышленник, внедрившись в процессы обучения системы, может пометить нужные ему типы инцидентов как нормальный профиль поведения, чтобы аналитика не распознала их как критичные.
– Но ведь для этого злоумышленник должен быть сотрудником организации.
– Порядка 80% проблем создают инсайдеры и только 20% – внешние хакеры, которые смогли прорваться через защитные барьеры.
– Огромные объемы информации – это проблема?
– Да. Хотя эта проблема не нова. Сначала появились большие данные, потом стали говорить о быстрых данных, а сейчас говорят об озерах данных. В озере находятся не только сырые данные, взятые из внешней среды, но и обработанная промежуточная информация, которая может понадобиться другим системам, а также окончательные результаты различных информационных процессов.
В таком озере действует множество факторов, поэтому приходится продумывать массу различных обстоятельств: какую информацию помещать на носители быстрого доступа; что хранить дольше; как чистить озеро; кто будет заниматься удалением неактуальных данных; как отличить небольшой инцидент от начала серьезной атаки с разрушительными последствиями. Это все повод для применения большой аналитики. Отдельной проблемой является не только огромный объем данных, но и требуемая скорость их обработки.
В вопросах организации информационной безопасности нужно стремиться опережать злоумышленника. В России это называется упреждающей безопасностью, а за рубежом – проактивной защитой.
Что касается других тенденций, нельзя игнорировать и маркетинговую составляющую, когда уже существующие средства появляются под другими названиями, чтобы освоить новые бюджеты. Я с 70-х годов веду историю эволюции различных технологий и средств обеспечения безопасности и рассказываю студентам, как из одного термина появляется следующий – одну и ту же идею оборачивают в разные обертки.
– NGFW можно отнести к последним новациям?
– Нет. Идея межсетевых экранов возникла еще в конце 80-х годов прошлого столетия, а первые из них появились на рынке во второй половине 90-х. Это были продукты Check Point Firewall-1, Cisco PIX и др. Решения компании Check Point до сих пор занимают значительную нишу на российском рынке. В 2007 г. появился первый экран нового поколения, так называемый Next-Generation Firewall, – разработка американской компании Palo Alto Networks. Что интересно, невзирая на все происходящие в мире события, Palo Alto не ограничила возможность нашим студентам изучать ее продукт на виртуальных стендах. Как раз сейчас мы преподаем дисциплину "Технологии обеспечения информационной безопасности объектов", в рамках которой даем студентам возможность "пощупать" этот экран нового поколения. Кроме того, следуя пути импортозамещения, появились отечественные продукты. Многие компании попробовали себя на поприще создания межсетевых экранов нового поколения. Не все дошли до финиша, некоторые в процессе конкурентной борьбы сошли с дистанции, но есть и явные лидеры.
Надо отдать должное компании UserGate, которая создала не только межсетевой экран, но и много других решений – целую экосистему. В 2025 г. МИФИ и UserGate открыли совместную лабораторию межсетевых экранов нового поколения, а помимо этого у нас подписано соглашение и с российской компанией Ideco.
– Конкуренция межсетевых экранов будет не только на рынке, но и в учебной аудитории?
– У студентов должен быть выбор, чтобы они могли сравнить возможности всех продуктов. Я всегда считала преподавателя неангажированным лицом. Его задача – показать весь спектр решений, чтобы студенты сформировали навыки работы с различными устройствами, понимали функционал разных средств защиты и могли делать осознанный выбор. Понимание принципов обнаружения компьютерных атак в этих продуктах – очень важно.
– Произошла ли за последние годы эволюция атак?
– Атаки стали более изощренными. Начиналось все с простейших методов, нацеленных на то, чтобы узнать пароль. Теперь же средств для перехватывания пароля очень много. Но и сами сети становятся все сложнее. Существует огромное количество протоколов и сервисов, которые усложняют понимание тонкостей настройки, а также использование с точки зрения обеспечения требований безопасности. Кроме того, эти требования не всегда осознаются администраторами, поэтому системы настраиваются не очень качественно. Ошибки конфигурирования из-за человеческого фактора – уязвимость, которая возникает довольно часто. К тому же сейчас не существует замкнутых систем. На внешнем периметре сети всегда есть какие-либо смотрящие во внешний мир приложения, открытые порты – знание уязвимостей всех этих протоколов на руку злоумышленнику.
Существует проблема рассогласованности средств разных производителей, они не очень хорошо настраиваются на совместную работу. Их совместимость изначально не предполагалась, из-за чего организуется зоопарк из устройств в сети, которые зачастую некорректно увязаны между собой.
Злоумышленники научились создавать так называемые бесфайловые атаки, которые не оставляют характерных следов на жестком диске, поэтому их очень трудно выявить. Атаки осуществляются непосредственно в оперативной памяти компьютера, есть приемы по запутыванию и отвлечению внимания. Не зря была создана база знаний MIТRE ATT&CK, которая последовательно расписывает стадии осуществления атак и средства их реализации на каждом этапе.
Атаки становятся все более изощренными, к тому же сопровождаются попытками вовлечь человека с помощью социальной инженерии. Часто у злоумышленников есть пособники внутри той организации, сеть которой они хотят взломать. Это ни для кого не секрет, потому что для воздействия всегда выбирается самое слабое звено, а это человек.
– Кто ведет статистику и аналитику атак?
– Любая статистика существует для того, чтобы показать и доказать какую-либо конкретную тенденцию. Независимого органа, который бы подсвечивал реальную ситуацию, не существует.
Есть огромное количество совершенно разных по цифрам отчетов, но собрать всю статистику воедино – дело практически нереальное, потому что информация о взломах намеренно скрывается. Ведь если рассказывать о взломах, реноме организации пострадает очень серьезно.
Некоторые общие тенденции проследить можно, но я всегда говорю студентам: вы на цифры не смотрите, 20% или 30% – величина условная. Смотрите динамику по годам, какие появились новые факторы, что пошло на спад. А самим по себе цифрам я не доверяю.
– В соревновании между злоумышленниками и специалистами по ИБ кто побеждает?
– Злоумышленники, как это ни грустно говорить, будут всегда на шаг впереди. Они прекрасно знают, как устроены средства защиты. Существует много техник для обхода системы защиты или перенаправления трафика так, чтобы его нельзя было отфильтровать. В любом случае, атака на организацию будет осуществлена только если она представляет интерес для злоумышленников и "овчинка стоит выделки". Затраты на взлом должны быть гораздо меньше, чем профит, который злоумышленник получит.
– На вашей кафедре ведутся какие-либо исследования или разработки?
– Лично я уже достаточно давно занимаюсь центрами управления сетевой безопасности, что является логическим развитием SOC (Security Operations Center). Сама идея таких центров была предложена компанией Cisco в 2005 г. Но если речь идет о мониторинге, значит мы только наблюдаем, собираем информацию. Когда появилась необходимость активного реагирования, речь зашла о SIC (Security Intelligence Center). Я к идее SIC предложила добавить еще сетевой операционный центр (Netowrk Operation Center, NOC), поскольку айтишники и ибэшники должны работать в этих случаях плечом к плечу. На этом была построена моя диссертация. Я это все назвала просто центром интеллектуального управления сетевой безопасностью. То есть в моем понимании центр мониторинга – это нижняя ступень. А когда мы говорим об осознанном управлении сетевой безопасностью – это уже следующий уровень.
– Какие-либо российские организации выстраивают полноценные центры управления сетевой безопасностью?
– Впереди всех всегда был СберБанк, они сразу стали воплощать эту идею. Крупные корпорации умеют реализовывать такие проекты. Многие наши студенты, совмещающие учебу с работой, часто находятся либо на первой линии такого центра, либо работают аналитиками. В России проводится SOC Forum, который я стараюсь регулярно посещать. Интересный факт: все говорят об оторванности образования от практики, но при этом мне всегда стоило больших усилий попадать на это мероприятие. И только в этом году наконец-то при регистрации участников на SOC Forum появилась такая строчка как "Наука и образование". Раньше ее не было. Я5объясняла организаторам, что нас, активных преподавателей, не так уж много, – так дайте возможность прорваться в профессиональную среду, вариться в ней, понимать, что происходит! В этом году наконец-то мой голос был услышан.
– Действительно ли для того, чтобы стать квалифицированным специалистом по информационной безопасности, нужно высшее образование?
– Ну, во-первых, отдельный вопрос: какое высшее образование – специалитет или по болонской системе? Мы всегда относились к бакалаврам как к "недоделанным" специалистам, хотя так оно и было. Их уровень – это первая линия того самого SOC, они годятся для более рутинной работы. Я всегда считала и на всех международных конференциях продвигала идею, что фундаментальное российское образование – самое лучшее, как скелет, на который можно нарастить любое мясо. Нас же, преподавателей по информационной безопасности, никто не учил. Не было тогда таких наук. Я заканчивала кафедру кибернетики МИФИ. И образование, которое я получила, позволяет сейчас двигаться в любом направлении самостоятельно. Нужны способности к логическому и критическому мышлению, тогда все получается хорошо.
Беседу вел Константин Фрумкин, пресс-служба МИФИ