Человеческий фактор как ключевая тема RSA Conference 2020

В конце февраля в Сан-Франциско прошла ежегодная конференция RSA, на которой специалисты по информационной безопасности традиционно очерчивают отраслевые тренды на ближайший год. Учитывая значимость и масштабность события, мы подготовили обзор наиболее интересных новинок, анонсированных на RSAC, и провели краткий анализ тенденций, о которых говорили спикеры конференции (и к которым стоит готовиться уже сейчас).

 

 

 

1. Введение
2. Основные тренды RSA Conference 2020
3. Обзор решений, представленных в рамках RSA Conference 2020
1. 3.1. Anitian
2. 3.2. Armorblox
3. 3.3. CrowdStrike
4. 3.4. DFLabs
5. 3.5. Elastic
6. 3.6. F5 Networks
7. 3.7. GreatHorn
8. 3.8. Nullafi
9. 3.9. Qualys
10. 3.10. VMware
4. Выводы

 

Введение

Каждый год организаторы RSAC называют главную тему мероприятия основываясь на тенденциях и событиях, оказывающих наибольшее влияние на индустрию в настоящий момент. В 2020 году ключевой темой форума выбрали человеческий фактор как главный объект внимания ИБ-сообщества. Решения более чем 600 экспонентов, представленные в рамках выставки, и доклады 704 спикеров конгресса так или иначе были связаны с темой человеческого воздействия на информационные системы и обратного влияния технологий на пользователя.

Представленные в обзоре новинки также демонстрируют эту тенденцию. Создатели ИБ-продуктов обращаются к вопросам обработки естественного языка (Armorblox, Nullafi) для выявления значимой информации в письмах и документах, анализируют закономерности работы с клавиатурой, чтобы обнаруживать подозрительную активность (GreatHorn), упрощают создание нормативной документации для соответствия требованиям законов (Anitian). Человеческий фактор является основой, связующим звеном, стержнем, вокруг которого строится сегодня создание новых решений в сфере кибербезопасности.

 

Основные тренды RSA Conference 2020

Внимание к конечным точкам. Среди представленных на конференции продуктов доминировали решения класса Endpoint Security. Порядка 120 вендоров представили свои разработки для защиты от угроз, связанных с атаками через конечные устройства. Как показал опрос участников конференции, интерес к этой теме в корпоративном секторе очень высок. Большая часть представителей компаний заявила, что их предприятия применяют системы для защиты конечных точек, внедряют многофакторную аутентификацию и обучают сотрудников методам безопасной работы в Сети.

Миграция SIEM-решений в облако. Большинство систем анализа и управления киберинцидентами поддерживает интеграцию с публичными облачными платформами или предоставляет заказчикам инструментарий для внедрения SIEM-функциональности в индивидуализированные облачные решения. В рамках конференции корпорация Microsoft продемонстрировала работу технологии Fusion, которая в режиме реального времени способна выбирать из большого массива информации косвенные сигналы и формировать по их совокупности значимые события. По заявлению вендора, в декабре 2019 года система Azure Sentinel, использующая Fusion AI, оценила почти 50 миллиардов подозрительных сигналов и сформировала из них всего 25 инцидентов для расследования командами SecOps.

Беспарольная аутентификация. Десятки поставщиков сертифицировали свои решения на соответствие стандарту FIDO2 — актуальному набору спецификаций FIDO Alliance для беспарольной аутентификации. Соответствующая функциональность появилась в продуктах Centrify, MobileIron, Thales, Entrust Datacard, HID Global, Idaptive, ImageWare и других разработчиков, представленных на RSA Conference.

Принцип нулевого доверия (Zero Trust). В противоборстве между традиционными методами защиты, предполагающими заведомую надёжность объектов внутри периметра безопасности, и подходами, призванными исключить «доверие по умолчанию», наметился очевидный перевес в сторону последних. Количество экспонентов, отказывающихся от точек разграничения в пользу гибкого управления доступом, в сравнении с прошлым годом увеличилось на 50% — с 60-ти до 91-го.

 

Обзор решений, представленных в рамках RSA Conference 2020

 

 

Anitian

Компания Anitian показала на RSAC 2020 своё решение для автоматизации создания документов, соответствующих требованиям законодательства. В состав облачной системы Cloud Security Platform, предназначенной для обеспечения безопасности SaaS-продуктов, теперь входит новый модуль Anitian Vision Portal. По заявлению производителя, он автоматизирует создание обязательной документации, обеспечивающей соответствие FedRAMP, PCI, SOC2, ISO/GDPR и другим нормативным актам. Разработчики применили принцип «вводите один раз, распространяйте повсюду», что позволило уменьшить время разработки документации на 80%. Сейчас процесс создания обязательных документов для SaaS-продуктов занимает от 12 до 18 месяцев; специалисты Anitian считают, что в ряде случаев использование Vision Portal сократит этот срок до нескольких дней.

 

 

Armorblox

Стартап Armorblox, сумевший привлечь в начале 2019 года инвестиции на 16,5 млн долларов США, продемонстрировал на RSAC первую в мире ИБ-платформу, основанную на методах обработки естественного языка. Разработанное Armorblox решение использует их в совокупности с машинным обучением, анализируя тексты электронных писем и пересылаемых документов с целью выявления криминального контекста. Создатели платформы утверждают, что с её помощью можно обнаруживать фишинговые сообщения, направленные на компрометацию бизнес-аккаунтов и кражу данных.

Примечательно, что на той же конференции эксперты выразили беспокойство по поводу недостаточного законодательного регулирования в области технологий машинного обучения и искусственного интеллекта.

Решение Armorblox состоит из трёх модулей:

• механизма обработки естественного языка, который извлекает подозрительное содержимое из массива корпоративных коммуникаций,
• блока автоматического создания рекомендаций по политике безопасности,
• службы контекстных предупреждений, которая отправляет сообщения пользователям в случае выявления аномальной активности.

По словам разработчиков, существующие в данный момент ИБ-решения не могут эффективно противостоять атакам, основанным на методах социальной инженерии. Платформа Armorblox заполняет эту нишу, обеспечивая безопасность на уровне реальных коммуникаций между людьми.

 

 

CrowdStrike

Компания CrowdStrike анонсировала на RSAC 2020 запуск службы Endpoint Recovery Services, предназначенной для сокращения периода времени, за который восстанавливается работоспособность инфраструктуры организации после киберинцидентов. Сервис включает три базовых компонента:

• облачную платформу CrowdStrike Falcon для защиты серверов и рабочих станций,
• решение Threat Intelligence для выявления и анализа угроз,
• услуги команды высококвалифицированных специалистов, подключающихся к работе в том случае, если инцидента избежать не удалось.

Эксперты CrowdStrike будут удалённо участвовать в восстановлении работоспособности серверов и рабочих станций по готовым шаблонам, разработанным для уже известных киберинцидентов. По замыслу авторов, такая услуга минимизирует время простоя оборудования и позволит пострадавшей организации сконцентрироваться на других бизнес-компонентах, затронутых атакой. Для заказчиков, желающих перейти от модели реагирования на инциденты к комплексному проактивному обслуживанию в сфере информационной безопасности, CrowdStrike предлагает годовую подписку Falcon Complete.

 

 

DFLabs

Компания DFLabs показала на RSA Conference 2020 новую версию своего SOAR-решения IncMan 5.0. Свежий релиз содержит ряд важных обновлений:

• Возможность устанавливать систему на нескольких узлах, MSSP-функциональность и высокопроизводительная кластерная архитектура.
• Новый удобный интерфейс с возможностью гибкой настройки под конкретного пользователя.
• Существенное (до 70%) увеличение скорости обнаружения киберинцидентов и автоматического реагирования на них.
• Улучшенная функциональность поиска: теперь пользователи могут сохранять свои поисковые запросы и определять список релевантных ключевых слов.
• В алгоритм машинного обучения добавлена функция дедупликации, что позволяет группировать схожие инциденты и создавать новый кейс только в случае возникновения ранее неизвестной угрозы.
• Адаптивная панель управления, оптимизированный раздел Runbook, новая система аварийного восстановления и другие улучшения.

 

 

Elastic

Разработчик поискового движка Elasticsearch и аналитической системы Elastic Stack представил на RSA Conference 2020 новую версию интегрированного решения для реагирования на киберугрозы. Elastic Security 7.6.0 теперь состоит из Elastic Endpoint Security и Elastic SIEM, объединённых общим интерфейсом. Система позволяет обрабатывать миллионы журналов в режиме реального времени и выделять из них события, представляющие угрозу для безопасности.

За поисковые функции по-прежнему отвечает Elasticsearch, в то время как SIEM-функциональность базируется на более чем сотне политик, основанных на данных матрицы MITRE ATT&CK. Такой подход позволяет детектировать как уже известные, так и новые угрозы, сужая пространство «ручного» анализа инцидентов до приемлемого объёма. Пользователи решения могут не только создавать свои собственные политики безопасности, но и обмениваться ими, повышая эффективность системы за счёт «коллективного разума».

 

 

F5 Networks

Компания F5 Networks представила обновлённый пакет решений для защиты приложений, который теперь включает разработки поглощённой ею фирмы Shape Security. Портфель продуктов вендора сгруппирован по четырём ключевым направлениям:

• безопасность на уровне приложений (Application Layer Security),
• доверенный доступ к приложениям (Trusted Application Access),
• защита инфраструктуры приложений (Application Infrastructure Security),
• интеллектуальные службы обнаружения киберугроз (Intelligent Threat Services).

Обновлённая линейка продуктов F5 содержит следующие элементы.

Essential App Protect — SaaS-решение, защищающее приложения от известных веб-эксплойтов, координированных атак, запросов с ненадёжных IP-адресов. Служба может быть активирована через пользовательский интерфейс или API. Продукт легко интегрируется в DevOps-инструментарий для добавления элементов управления безопасностью в любое приложение.

Behavioral App Protect — облачное решение для поведенческого анализа нетиповых угроз. Сервис использует методы машинного обучения и анализа информации для выявления вредоносного поведения в режиме реального времени.

NGINX App Protect — реализация технологии Web Application Firewall (WAF) для серверов на базе NGINX. Ранее F5 Networks приобрела NGINX за 670 млн долларов США.

Aspen Mesh Secure Ingress — специализированное решение для защиты входящего трафика в кластерах Kubernetes.

Silverline DDoS Protection — управляемая облачная служба защиты от DDoS-интервенций, которая способна обнаруживать и смягчать в режиме реального времени SSL-атаки мощностью в сотни гигабит в секунду.

Shape Enterprise Defense дополняет возможности всей линейки функциями постоянной защиты от мошеннических запросов.

 

 

GreatHorn

Разработчик систем безопасности для электронной почты представил на RSA Conference уникальное программное ядро для выявления скомпрометированных аккаунтов. GreatHorn Email Security теперь имеет функцию Account Takeover Protection, которая анализирует паттерны использования клавиатуры, свойственные конкретному пользователю, и автоматически выявляет отклонения от «нормальных» показателей. Система не фиксирует вводимые данные, но оценивает скорость набора, время между нажатием и отпусканием клавиш и т.п.

При помощи методов машинного обучения Account Takeover Protection создаёт шаблон работы владельца почтового ящика с реальной и экранной клавиатурами. Если пользователь учётной записи отходит от установленных паттернов, программа может предложить дополнительную авторизацию, отправить уведомление администратору или временно заблокировать аккаунт. Реакции на события можно гибко настраивать в соответствии с политиками безопасности компании. По мнению специалистов GreatHorn, их решение способно выявлять большинство попыток компрометации почтовых ящиков, поскольку динамика работы с клавиатурой так же уникальна и сложно воспроизводима, как отпечаток пальца.

 

 

Nullafi

Чикагский стартап Nullafi рассказал на RSA Conference о новой технологии, обесценивающей информацию, полученную в результате атак. Компания разработала веб-сервис, который предлагает хранение важных сведений в зашифрованном виде и оперативный обмен данными с источником через API. По замыслу разработчиков Nullafi, на серверах компании-клиента хранятся только псевдонимы-идентификаторы, которые сами по себе не представляют ценности. Если исходную информацию нужно извлечь, приложение обращается к API, который декодирует хранящийся у поставщика услуги набор сведений и передаёт его клиенту.

Преимущества такого подхода — в том, что ни одна из сторон не обладает полным массивом значимой информации. У клиента хранятся псевдонимы, а на сервере поставщика — только зашифрованные данные. Особенностью этого решения является способность работать с любыми источниками, включая устаревшие базы данных. Как заявляют представители Nullafi, их ядро автоматически обнаруживает важную информацию посредством методов машинного обучения и инструментов анализа естественного языка, а универсальный SDK обеспечивает быструю интеграцию с API.

 

 

Qualys

Американская компания Qualys — один из ведущих поставщиков облачных продуктов в сфере информационной безопасности — представила на RSAC 2020 новую разработку VMDR (Vulnerability Management, Detection, and Response). Это — универсальное облачное решение, которое охватывает весь цикл управления уязвимостями в организации.

Система способна выявлять и устранять проблемы на рабочих станциях, в облачных инфраструктурах, на мобильных устройствах, в контейнерах и IoT-средах. Ключевой особенностью VMDR является умение самостоятельно находить свежие патчи для уязвимых ИТ-активов и автоматически устанавливать их. Это обеспечивает максимальную скорость реагирования на угрозы и позволяет оперативно предотвращать утечки данных. Вендор использует для этого приложения гибкую систему ценообразования (в зависимости от защищаемых активов), что положительно сказывается на экономической эффективности решения.

 

 

VMware

Ведущий производитель средств виртуализации представил на конференции ряд новых разработок и обновлений существующих ИБ-продуктов. Список новинок включает:

• технологию VMware Advanced Security для гибридного облака Cloud Foundation,
• ряд улучшений для недавно приобретённой аналитической системы Carbon Black Cloud,
• функцию автоматического исправления для облачного решения VMware Secure State.

VMware Advanced Security состоит из службы обнаружения угроз Carbon Black, компонента NSX Advanced Load Balancer с функциями брандмауэра для веб-приложений, а также системы предупреждения вторжений NSX Distributed. Все продукты тесно связаны с системой виртуализации vSphere, что позволяет решать вопросы безопасности всех элементов облака. Разработчик отмечает, что интеграция антивирусных решений Carbon Black с другими продуктами VMware избавляет от необходимости встраивать монитор безопасности в клиентские агенты. Вместо этого данные о работе конечных точек будут собираться встроенными датчиками, находящимися под защитой гипервизора.

Тем временем Intel рассказала на RSAC 2020 о планах внедрения аппаратной изоляции виртуальных машин, приложений и контейнеров.

Решение Carbon Black Cloud получило механизм взаимодействия с фреймворком MITRE ATT&CK, который позволяет проводить автоматический аудит известных уязвимостей в облачной системе. Кроме того, аналитическая функциональность теперь интегрирована с Microsoft Windows Anti-Malware Scanning Interface (AMSI) для проверки обфусцированных сценариев, выполняемых в среде PowerShell и других интерпретаторов. Наконец, разработчики Carbon Black Cloud добавили поддержку Linux, что позволяет обеспечивать защиту в рамках трёх основных операционных систем.

В состав VMware Secure State будет включён комплекс функций для обнаружения и автоматического исправления уязвимостей в мультиоблачной среде. Новый инструментарий, находящийся сейчас на стадии бета-тестирования, позволит ИБ-специалистам вместе с DevOps-командами разворачивать необходимые исправления безопасности на нескольких площадках одновременно. Сервис предоставляет возможность создавать собственные команды для поиска и исправления изъянов или использовать уже готовые политики. Область применения таких правил можно гибко настраивать, устанавливая фильтры по региону, определённому тегу или конкретному аккаунту.

Подробные спецификации продуктов доступны на сайте VMware.

 

Выводы

Очередная конференция RSA подчеркнула ключевые движущие силы и тенденции рынка ИБ: человеческий фактор, защита конечных точек, реагирование на угрозы в облачных системах. Тренды, ставшие предметом наибольшего внимания в докладах спикеров конференции, уже сегодня находят отражение в тиражных продуктах ведущих разработчиков и в перспективных решениях инновационных стартапов. Завтра они перешагнут рамки тестовых внедрений и станут стандартом отрасли. Отечественный рынок не останется в стороне от этого процесса. Чтобы не оказаться в роли догоняющих, специалисты должны уже сейчас не только изучать функциональность новых разработок, но и понимать векторы их развития.