Тема будущего ИБ в текущих условиях стала ключевой в ходе дискуссии «Веселые старты», которая открыла конференцию Positive Security Day. По мнению ее участников, оно заключается в расширении использования искусственного интеллекта (ИИ), машинного обучения (ML) и сервисного подхода.
- Введение
- Эволюция отрасли: от антивирусов к шеринговой экономике
- Метрики эффективности без формальностей и без хайпа
- Кому надо бояться ИИ, а кому нет
- Облака и аутсорсинг как новая норма в ИБ
- Выводы
Введение
Ситуация с защищенностью лучше не становится. Как отметил бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий, открывая Positive Security Day, это связано с целым комплексом причин. Это и рост атак, и тяжелая ситуация с кадрами, дефицит которых никак не удается устранить, и разрозненность средств защиты.
Появляются и новые факторы — в частности, ограничение бюджетов во многих компаниях. Начинает появляться конкуренция внутри ИБ-подразделений за то, какие средства защиты необходимо устанавливать, а их количество, как сказал Алексей Лукацкий, может достигать пяти, и их все сразу инсталлировать на одну систему никто не позволит.
Как правило, ИБ реагирует на инцидент уже постфактум. Вендоры тут стремятся к тому, чтобы сторона защиты вмешалась раньше, чем злоумышленники чего-то достигнут, но не всегда преуспевают в этом. Однако задача, как подчеркнул Алексей Лукацкий, состоит в том, чтобы предотвратить действия нарушителя, неважно, внутреннего или внешнего. Другим направлением работы стало создание изначально безопасных приложений с помощью технологий DevSecOps.
В ходе дискуссии «Веселые старты» (рис. 1) ее участники обсудили то, как отрасль сможет ответить на стоящие перед ней вызовы. Прежде всего, переход к проактивному подходу и расширению использования сервисной модели.
Рисунок 1. Участники круглого стола «Веселые старты»
Эволюция отрасли: от антивирусов к шеринговой экономике
По мнению Алексея Лукацкого, эволюция ИБ заключается в расширении использования аналитических инструментов. Однако тут есть два препятствия: сбор данных и построение платформ для их анализа.
Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies
Раньше вендоры пытались решить задачу сбора данных за счет все новых и новых сенсоров, но это не работало. Просто потому, что разнородные системы, среди которых не только ПК и серверы, но и, например, весьма маломощные промышленные устройства, тратили непозволительно много ресурсов на их сбор. Раньше причиной конфликтов между ИТ и ИБ, как вспоминал Алексей Лукацкий, могло быть отключение антивируса или логирования в СУБД, которые резко снижали быстродействие, что вызывало нарекания пользователей. Однако появились легкие сенсоры, и проблема сбора данных была решена.
Также системы прошлого поколения, например комплексы управления событиями (SIEM), не умеют работать с данными, полученными в ходе пентестов, кибериспытаний, программ поиска уязвимостей за вознаграждение (bug bounty), сбора данных об атаках на другие компании. Однако их могут использовать аналитические системы нового поколения, за которыми будущее. Среди таких можно назвать российскую платформу Dataplan.
Однако для работы аналитики нужна консолидация данных в недорогих и эффективных хранилищах. По мнению участников дискуссии, для этого хорошо подходят облачные ресурсы, особенно в нынешних условиях дефицита и долгих сроков поставки оборудования.
Для компаний с ограниченными ресурсами Алексей Лукацкий рекомендовал использовать услуги внешних поставщиков ИБ-сервисов. Это частный случай активно развивающейся на наших глазах шеринговой экономики с оплатой по подписке и с понятными метриками.
Метрики эффективности без формальностей и без хайпа
Однако именно то, каким образом измерять эффективность ИБ в компании, вызывает множество вопросов. Как отметил управляющий директор Positive Technologies Алексей Новиков, раньше было распространено мнение, что верным признаком хорошо поставленной информационной безопасности в компании является то, что генеральный директор не знает, как зовут руководителя ИБ-службы. Однако оказалось, что это правило не работает. Многие столкнулись с тем, что в таких компаниях, наоборот, всё плохо. Как правило, это означало, что компания просто не замечала инциденты, в том числе из-за того, что за ИБ просто никто не отвечал или речь шла исключительно о формальном соответствии регуляторным требованиям.
Поэтому, как подчеркнул Алексей Новиков, нужны механизмы, которые позволяют оценить то, насколько велика вероятность взлома или иного критического инцидента в компании, возможный ущерб и каким будет период времени между инцидентами.
Алексей Новиков, управляющий директор Positive Technologies
По мнению директора по продуктам Positive Technologies Романа Родякина, вероятность взлома хорошо коррелируется с результатом кибериспытаний. Причем это в равной степени касается не только компаний и госучреждений, но и поставщиков ИБ-продуктов и сервисов, будь то вендоры, провайдеры услуг аутсорсинга или облачных сервисов.
Алексей Новиков при этом подчеркнул, что в ходе них чем меньше ограничений для «белых» хакеров, тем лучше. Только так можно выявить максимальное количество потенциально узких мест. Причем именно вендоры и поставщики ИБ-сервисов должны показывать пример рынку, тем более что переход к сервисным моделям будет приводить к тому, что именно они будут нести ответственность за инциденты.
ML-директор Positive Technologies Андрей Кузнецов назвал хорошей метрикой соглашения об уровне сервиса (SLA), которые используют поставщики услуг, в том числе облачных. По его оценке, SLA легко адаптировать под специфику ИБ и в данном механизме заложены механизмы ответственности перед клиентами за некачественные услуги.
Однако, по мнению Андрея Кузнецова, есть попытки использовать в качестве метрики уровень проникновения различных технологий, в частности систем с использованием искусственного интеллекта (ИИ). Это способствует внедрению технологий, но создает много ненужного хайпа.
Кому надо бояться ИИ, а кому нет
Участники дискуссии назвали использование ИИ одной из тенденций развития ИБ. Сервисов, которые его используют, уже немало: как минимум 6 российских и 5 от зарубежных вендоров. Как напомнил Алексей Новиков, противоположная сторона тоже использует ИИ, причем весьма активно.
Однако с применением ИИ для защиты не все гладко. Так, директор центра информационной безопасности интегратора «Инфосистемы Джет» Андрей Янкин в ходе одного из круглых столов на конференции IT Elements назвал использование ИИ для автоматизации задач сотрудников центра ИБ-мониторинга (SOC) экономически нерентабельным в текущих условиях. Люди, несмотря на дефицит кадров и «зарплатную гонку», пока ещё обходятся дешевле.
Участники дискуссии на открытии Positive Security Day были настроены более оптимистично. Андрей Кузнецов назвал техническую поддержку той областью, где использование ИИ дает наиболее заметный эффект. В ней очень много рутины, с которой ИИ очень хорошо справляется.
Однако, по оценке Андрея Кузнецова, ИИ очень сильно сокращает потребность в сотрудниках с небольшим уровнем квалификации и опыта, или, на сленге, в «джунах». Им как раз доверяют те задачи, которые не интересны и при этом трудоёмки. К точно такому же выводу пришли участники круглого стола «Безопасность операционных систем в контексте искусственного интеллекта», который прошел в рамках конференции OS Day. И эта ситуация серьезно меняет подход к подготовке кадров, поскольку ИИ делегируют те задачи, решая которые начинающие специалисты набирались опыта и профессионально росли.
Андрей Кузнецов, ML-директор Positive Technologies
Также Андрей Кузнецов подчеркнул то обстоятельство, что ИИ является мультипликатором, если уровень квалификации сотрудника превышает определённый уровень. Однако если он ниже определённого порога, то эффект будет прямо противоположный.
Поэтому, как отметил Роман Родякин, сотрудникам ИБ необходимо развивать свои умения и навыки. Только так можно гарантировать то, что ИИ их не заменит. Даже тогда, когда его способности вырастут, а этот процесс идёт, причём с очень высокой скоростью.
По мнению Алексея Новикова, использование ИИ позволяет сотрудникам первого уровня технической поддержки решать те задачи, с которыми 10 лет назад могли справиться только высокоуровневые специалисты. И в целом при оснащении ИИ-ассистентами сотрудники первой линии технической поддержки или SOC будут способны решать больше задач. Алексей Новиков согласился с тем, что ИИ развивается очень быстро, и выразил надежду на то, что уже в скором будущем ассистенты смогут взять на себя многие задачи, связанные с реагированием на те или иные ситуации. Но даже и в этом случае без специалистов-людей все равно обойтись не удастся. Задача по выстраиванию процессов никуда не исчезнет, а ее могут решать люди и только люди.
Облака и аутсорсинг как новая норма в ИБ
Другим направлением развития ИБ-отрасли участники дискуссии назвали использование сервисного подхода, в том числе из облака. При такой модели эксплуатация средств защиты находится в ведении поставщика. Однако, как отметил Алексей Лукацкий, в России ИБ-специалисты компаний традиционно не доверяют внешним поставщикам, и преодоление этого недоверия часто требует больших усилий. Согласно данным опроса зрителей эфира AM Live «Безопасность в облаке: угрозы, инструменты и выбор провайдера», почти четверть из них опасается использовать облачные ресурсы для любых целей (рис. 2).
Рисунок 2. Результаты опроса зрителей AM Live о том, что они перенесли в облако
По мнению Романа Родякина, облачные провайдеры, как правило, защищены лучше, чем ИТ-инфраструктура средней компании. Часто этот факт подтвержден регуляторами. Зато переход к облачной модели снимает головную боль ИТ и ИБ. А вот если облако «падает» и не восстанавливается в течение трех дней, то это, если речь не идет о каких-то экстраординарных обстоятельствах, плохое облако.
Также, как обратил внимание Роман Родякин, облачные и локальные (on-premise) инфраструктуры вполне можно сочетать. Первое время в облако можно переносить менее важные сервисы. А когда со временем появится доверие после того, как ничего страшного не произошло, можно начать миграцию и ключевых элементов корпоративной инфраструктуры.
В конце концов, можно создавать и частные облака, однако, как напомнил Роман Родякин, это обходится довольно дорого. Однако на уровне очень крупных территориально распределенных компаний, государственных ведомств или целых отраслей такой подход также вполне жизнеспособен.
Андрей Кузнецов назвал важным драйвером перехода в облако резкий рост цен на серверное оборудование, который произошёл в текущем году. Многие системы, например, использующие ускорители для систем, обеспечивающих работу ИИ на основе графических процессоров, приобрести и вовсе практически невозможно. Зато их можно арендовать у поставщиков облачных услуг. Так что перенос многих функций становится нормой, и вендорам тоже приходится к данному процессу адаптироваться. Хотя для полного доверия провайдеру приходится показывать свою внутреннюю кухню, к чему тоже далеко не все готовы.
Роман Родякин, директор по продуктам Positive Technologies
Алексей Новиков выразил уверенность в том, что повышению доверия к облачным инфраструктурам будут способствовать результаты тестов безопасности. Таким образом определятся лидеры в каждой функциональной области. Это, помимо прочего, должно усилить конкуренцию.
Также, как подчеркнул Алексей Новиков, локально сложно и дорого консолидировать все данные, необходимые для работы аналитических систем. В облаке это проще и дешевле. Тем более, что основные игроки на этом рынке решили задачи по обеспечению безопасности данных. В любом случае, к облачным провайдерам необходимо предъявлять требования, установленные регуляторами применительно к процедурам, связанных с обезличиванием, хранением и просто проверкам защищенности в рамках мероприятий по проверке подрядчиков для защиты от атак на цепочки поставок.
Выводы
В нынешних условиях ИИ поможет стать ИБ по-настоящему результативной. Тем более что сторона нападения эти инструменты активно использует. Так что не исключено, что уже в самом скором будущем средства защиты, которые не используют передовую аналитику, рискуют оказаться полностью бесполезными.
Облака и аутсорсинг станут выходом для бизнеса любых размеров. Наилучшим выходом применение сервисов ИБ станет для небольших компаний и всех, кто стеснен в средствах. Также использование облачных сервисов стало безальтернативным вариантом для получения доступа к некоторым видам оборудования, необходимого для работы того же ИИ. Плюс ко всему, инфраструктура облачных провайдеров лучше защищена, чем типичная ИТ-инфраструктура компаний, что подтверждено регуляторами.
