Для противодействия современным угрозам информационной безопасности требуются актуальные методы защиты. Одним из них является применение технологий искусственного интеллекта (AI) для обнаружения неизвестных видов угроз и минимизации последствий от реализованных атак. Такие интеллектуальные технологии и связанная с ними архитектура DaVinci применяются в межсетевых экранах Huawei серии USG6000E.
- Введение
- Технологии Huawei в области интеллектуального обнаружения неизвестных угроз
- Архитектура интеллектуального обнаружения DaVinci
- Технологии интеллектуального обнаружения угроз в Huawei USG6000E
- 4.1. Общие сведения о Huawei серии USG6000E
- 4.2. Внутренняя обработка пакетов в Huawei серии USG6000E
- 4.3. Защита от DDoS в Huawei серии USG6000E
- 4.4. APT атака и защита от нее в МСЭ Huawei серии USG6000E
- 4.5. Реализация протокола IPsec в Huawei серии USG6000E
- 4.6. Шаблонное сопоставление в Huawei серии USG6000Е
- Выводы
Введение
Если сравнить межсетевые экраны — какими они были на заре своего становления и какими они являются на сегодняшний день, — то мы вряд ли найдем между ними много общего, кроме самой концепции межсетевого экранирования. И это не удивительно, так как рынок сетевой безопасности, да и рынок IT в целом, на сегодняшний день является одним из самых быстрорастущих рынков в мире.
Если рост IT-рынка можно объяснить необходимостью удовлетворения ежедневно растущих потребностей конечных пользователей, то рост рынка информационной безопасности (в том числе сетевой) можно связать с потребностью противостоять ежедневно умножающимся информационным угрозам и необходимостью выполнения требований регуляторов в области информационной безопасности. Угрозы с каждым днем становятся все более изощренными, и на передний план выходит их своевременное обнаружение.
Стандартные решения, используемые на сегодняшний день в сетевой безопасности, а именно в межсетевом экранировании, основаны в первую очередь на анализе существующих угроз и определении ответной активности, которая направлена либо на их блокирование, либо на минимизацию последствий атаки. И, как показывает практика, применение стандартных решений уже становится недостаточным. Злоумышленники комбинируют различные методы атак для успешной их реализации. В таких случаях для эффективной защиты необходима многослойная система безопасности.
Специалисты Huawei в последних версиях своих решений межсетевого экранирования для наиболее эффективной защиты и повышения вероятности своевременного обнаружения атак применяют интеллектуальные технологии, или, иначе говоря, возможности искусственного интеллекта (Artificial Intelligence — AI). В этом случае интеллектуальная составляющая системы будет анализировать все полученные атаки и, помимо уже заложенных сценариев ответных действий, будет предоставлять свой собственный алгоритм. Также возможно построение наиболее эффективного сценария противодействия неизвестным угрозам и минимизации последствий атак. В AI-технологию можно заложить способность к самообучению; в этом случае система сможет самосовершенствоваться и исправлять свои же допущенные ранее ошибки.
В 2017 году компания Huawei представила сервисную платформу искусственного интеллекта Huawei Cloud EI для предприятий и государственных органов, а в 2018 году опубликовала стратегию развития искусственного интеллекта во всех своих продуктах. Согласно ее прогнозам, к 2025 году в мире будет насчитываться свыше 40 млрд личных умных устройств, а у 90% пользователей будут умные цифровые помощники.
Рассмотрим более подробно технологию интеллектуального обнаружения неизвестных угроз, реализованную в межсетевых экранах компании Huawei, и архитектуру DaVinci, на которой она построена, а также взглянем на интеллектуальные межсетевые экраны Huawei серии USG6000E с практической точки зрения.
Технологии Huawei в области интеллектуального обнаружения неизвестных угроз
Технология интеллектуального обнаружения неизвестных угроз, реализованная в межсетевых экранах Huawei, состоит из четырех уровней: Ascend, CANN, MindSpore и Application Enablement. Для достижения положительного результата необходимо, чтобы все уровни согласованно взаимодействовали друг с другом.
Рисунок 1. Основные уровни технологии интеллектуального обнаружения неизвестных угроз
Разберем первым уровень Ascend. Ascend является базовым физическим уровнем, основанным на унифицированной и масштабируемой архитектуре. Ascend представляет собой линейку микропроцессоров: Max, Mini, Lite, Tiny и Nano. Каждый тип микроконтроллера оснащен технологиями искусственного интеллекта и глубокого обучения, способен выполнять определенный набор команд и имеет свое предназначение.
Уровень Ascend является основным для построения интеллектуального обнаружения неизвестных угроз в межсетевых экранах Huawei. На этом уровне главной задачей является обеспечение максимальной производительности при минимальных затратах. Для того чтобы этого добиться, необходимо учесть абсолютно все выполняемые задачи в организации, смоделировать их и провести подробные расчеты. Исходя из этого и представлен ассортимент микроконтроллеров, начиная от Nano для простых и рутинных сетевых операций и заканчивая микроконтроллерами Max для выполнения трудоемких операций и громоздких корпоративных сетевых приложений.
Процессоры Ascend можно считать первыми в мире процессорами на базе технологии искусственного интеллекта, ориентированными на использование в различных областях IT-индустрии с оптимальным показателем вычислительной способности в расчете на потраченную мощность. Пока что в линейке Ascend анонсировано два процессора: Ascend 310, разработанный по технологии 12 нм, и Ascend 910, разработанный по технологии 7 нм.
Следующим уровнем технологии интеллектуального обнаружения неизвестных угроз является уровень CANN (Compute Architecture for Neural Networks). CANN представляет набор сценариев поведения микроконтроллера, а также содержит в себе ключевой элемент — автоматизированный и унифицированный инструментарий для разработки сценариев Tensor Engine.
Предполагается использование любого сценария, как созданного специалистами Huawei, так и разработанного сторонними специалистами. Все сценарии, разработанные компанией Huawei, сосредоточены в библиотеке CCE. CANN также полностью поддерживает использование TVM для разработки сценариев. Кратко можно сказать, что TVM — это комплексный оптимизирующий компилятор для задач глубокого обучения. Таким образом, использование библиотек и инструментария Tensor Engine позволяет CANN поддерживать все основные механизмы машинного обучения.
Следующий уровень — MindSpore. MindSpore является унифицированной инфраструктурой искусственного интеллекта или, как еще можно сказать, средой обучения и логическим выводом для устройств. Разработан он в первую очередь для удобства проектирования, работы и адаптации к любым сценариям. MindSpore поддерживает модели, обученные на других платформах, таких как TensorFlow, PyTorch, PaddlePaddle и др., а также предоставляет гибкие API‑интерфейсы.
Размер MindSpore — величина непостоянная и зависит от среды использования. Например, небольшая версия шаблона для обучения искусственного интеллекта, реализованная на устройстве, может занимать менее 2 МБ на диске и требовать менее 50 МБ оперативной памяти, что по современным меркам ничтожно мало. Также стоит отметить, что платформа MindSpore доступна уже с первого квартала 2019 года.
Последний рассматриваемый уровень — Application Enablement. Если излагать вкратце, то на этом уровне клиенту предоставляется готовая программная среда с машинным обучением. В первую очередь этот уровень необходим для разработчиков и для облегчения принятия решения искусственным интеллектом.
Уровень Application Enablement нужен для максимального упрощения тех частей приложений, которые связаны с искусственным интеллектом, путем предоставления конвейерных сервисов, многоуровневых API и предварительно интегрированных решений. Набор этих сервисов называется ModelArts. При помощи ModelArts у разработчиков искусственного интеллекта есть возможность быстро создавать модели и контролировать все циклы разработки.
Архитектура интеллектуального обнаружения DaVinci
При разработке множества однотипных решений, которые имеют небольшие функциональные отличия, возможно применение единой архитектуры ко всем разрабатываемым решениям.
Такой подход имеет как свои преимущества, так и недостатки. К преимуществам можно отнести повышение эффективности и максимальный уровень согласованности между специалистами‑разработчиками различных компонентов или продуктов; также он позволяет унифицировать весь процесс разработки однотипных решений, что в свою очередь дает возможность более оперативно реагировать на обнаруженные недостатки и ошибки проектирования. Такая унификация облегчает и процесс дальнейшего сопровождения продукта, и его использование конечным потребителем: например, когда техническому специалисту необходимо обновить прошивку на множестве моделей каких-либо технических устройств, то ему требуется запомнить всего лишь один алгоритм действий, а не множество алгоритмов для каждой из них.
Однако применение единой архитектуры имеет и недостатки. Главной потенциальной проблемой является масштабируемость: на одном решении применяемая единая архитектура может работать как часы, в то время как на другом она будет неэффективной и слишком громоздкой, либо не будет учитывать и покрывать всю необходимую функциональность. Поэтому специалисты Huawei для своих чипов Ascend разработали и применяют единую архитектуру DaVinci, которая поддерживает масштабируемые вычисления, масштабируемую память и масштабируемые межэлементные соединения.
На рисунке 2 приведен пример архитектуры DaVinci, центральным элементом которой является ядро.
Рисунок 2. Пример единой архитектуры DaVinci
Ядро архитектуры DaVinci состоит из блока загрузки/сохранения LSU, блока Cube, модулей обработки векторных и скалярных величин (Vector и Scalar) и буфера обмена (Cache/Buffer), который необходим для разделения потока данных.
Масштабируемость вычислений архитектуры DaVinci обеспечивается применением в ядре такого элемента, как Cube. Элемент Cube выполняет роль матричного вычислительного блока и может иметь размер от 16х16х1 до 16х16х16, что и обеспечивает масштабируемость вычислений. Увеличение размера элемента Cube в свою очередь увеличивает и вычислительную мощность ядра.
Для обеспечения масштабируемости памяти каждое ядро в архитектуре DaVinci оснащено выделенной SRAM памятью.
В будущем на архитектуру DaVinci специалисты Huawei возлагают большие надежды.
Технологии интеллектуального обнаружения угроз в Huawei USG6000E
На сегодняшний день решение различных задач все чаще возлагают на интеллектуальные технологии. Их внедряют в различные бытовые и промышленные устройства. Не обошли они стороной и межсетевые экраны. К таким усовершенствованным решениям относятся межсетевые экраны Huawei с AI-технологией, а именно — Huawei серии USG6000E. На нашем сайте приведен обзор межсетевого экрана из этой серии — Huawei USG 6350.
Общие сведения о Huawei серии USG6000E
Huawei серии USG6000E относятся к межсетевым экранам нового поколения, NGFW (Next Generation FireWall). Они способны проводить глубокий анализ пакетов, инспектировать трафик, обнаруживать и предотвращать утечки информации благодаря встроенным механизмам DLP, а также осуществлять взаимодействие с другими устройствами в сети для получения информации о потенциальных атаках.
Все шлюзы безопасности Huawei серии USG6000E включают в себя следующие элементы:
- Сетевой процессор (Network processor — NP). Он работает в режиме реального времени, состоит, как правило, из нескольких высокопроизводительных ядер и сопроцессоров. Его основное назначение — разгружать ЦП и защищать от DDoS-атак.
- Интеллектуальная сетевая карта (Intelligent network interface card — iNIC). Она эффективно управляет очередями и трафиком, что также значительно снижает нагрузки на центральный процессор.
- FPGA-матрица. Этот элемент позволяет увеличить производительность сетевого процессора (что, в свою очередь, повышает защищенность от DDoS-атак), а также проводит фильтрацию нежелательных URL‑адресов, идентифицирует сетевые приложения и предотвращает утечки путем сопоставления информации с хранящимися шаблонами.
- Система на кристалле (System-On-a-Chip — SOC). Эта система позволяет объединить различные аппаратные алгоритмы шифрования, дешифрования и сетевого процессора шлюза безопасности при помощи специального чипа SOC HI1213 на ядре ARM64.
- Чип глубокого обучения. Используется специально разработанный чип Ascend 310 на архитектуре DaVinci. Он реализует технологию искусственного интеллекта, что позволяет эффективно противостоять различным сетевым атакам, а также предоставляет различные сценарии для своевременного обнаружения и минимизации последствий известных и еще неизвестных типов угроз и атак.
Внутренняя обработка пакетов в Huawei серии USG6000E
На рисунке 3 показана логическая цепочка обработки пакетов, применяемая в шлюзах безопасности серии Huawei USG6000E.
Рисунок 3. Последовательность обработки пакетов в МСЭ Huawei серии USG6000E
Основная информация о взаимодействии TCP- и UDP‑пакетов хранится в базе данных сеансовой таблицы. Проверка безопасности контента выполняется для всех пакетов без исключения. После проверки пакеты помечаются как безопасные.
Защита от DDoS в Huawei серии USG6000E
В МСЭ Huawei серии USG6000E сетевой процессор (NP) берет на себя защиту от DoS- и DDoS‑атак, тем самым разгружая центральный процессор.
В качестве примера DDoS‑атаки возьмем атаку SYN flood. Когда пакет такой атаки от неизвестного источника достигает шлюза безопасности Huawei USG6000E Series, то сетевой процессор (NP) отфильтровывает его и записывает информацию о нем. Если источник является подлинным, то протокол TCP на стороне отправителя не получает отклика о приеме пакета и передает его повторно. Информацию о повторно переданном пакете сетевой процессор сравнивает с ранее записанной; при наличии совпадения источник помечается как надежный, и в дальнейшем пакеты с этого адреса передаются на последующую обработку.
Как видно из описания, защитный алгоритм достаточно прост, однако он потребляет весьма много ресурсов системы, и сетевой процессор, разгружая ЦП и беря на себя функцию борьбы с DDoS‑атаками, становится важной частью МСЭ Huawei USG6000E Series.
APT‑атака и защита от нее в МСЭ Huawei серии USG6000E
Термином APT (Advanced Persistent Threat — устойчивая угроза повышенной сложности) принято называть комплексные целенаправленные атаки. Они состоят из множества этапов, целью которых может быть либо конкретный человек, либо определенный коммерческий или государственный объект. ATP задействует много различных ресурсов, а следовательно, и стоит это «удовольствие» весьма высоко; соответственно, такие атаки проводятся в основном под заказ — например, для кражи различных компрометирующих материалов.
Разберем основные этапы APT-атаки:
- 1 этап – начальное вторжение.
Эффективная реализация этого этапа важна для злоумышленников, так как позволяет достичь цели за оптимальное время, не потратив на это все свои ресурсы. Здесь киберпреступники нередко прибегают к социальной инженерии, что позволяет им получить всю необходимую ключевую информацию об объекте и о реализованной на нем политике безопасности. Анализ данных позволяет наиболее эффективно выбрать отправную точку для начала атаки.
Также злоумышленник может использовать фишинг для проникновения в систему. В этом случае на атакуемый объект рассылаются сообщения по электронной почте, вложения в которые содержат вредоносное программное обеспечение. Пользователь, просматривая такое сообщение, инициирует запуск вредоносной программы, что позволяет злоумышленнику проникнуть в атакуемую систему.
- 2 этап – управление и контроль.
С помощью вредоносного программного обеспечения, внедряемого на первом этапе, атакующий осуществляет сбор информации об атакуемой системе и дальнейшее внедрение в ее ключевые точки. Это дает возможность получить контроль над системой, что необходимо злоумышленнику для передачи накопленной информации и создания канала дальнейшего управления вредоносными программами.
- 3 этап – консолидация атаки.
Вредоносная программа может быть в любой момент обнаружена и ликвидирована антивирусными средствами, или же зараженная система может быть вовсе выведена из информационной инфраструктуры компании. Тогда злоумышленник потеряет контроль и будет вынужден начинать все с самого начала. Поэтому на следующем этапе атаки он постарается укрепить свои позиции, распространяя все большее количество копий вредоноса и проникая все глубже в систему.
Устанавливая инструменты удаленного доступа, повышая привилегии и используя уязвимости, злоумышленник проникает на другие рабочие станции и серверы атакуемой сети, создает дополнительные точки входа и укрепляет свои позиции.
- 4 этап – кража и ущерб.
Кража критически важной информации либо же блокирование бизнес-процессов компании — окончательный этап и закономерный итог реализованной атаки. При условии, что предыдущие этапы атаки правильно реализованы, злоумышленник получает свою «награду», а атакованная компания подсчитывает ущерб и ищет способы закрыть уязвимости и минимизировать последствия.
Теперь разберем способы защиты, которые используются в МСЭ Huawei серии USG6000E для противодействия подобным угрозам.
В МСЭ Huawei серии USG6000E реализована многоуровневая защита от атак, которая позволяет блокировать APT на различных ее этапах. К основным компонентам данной защиты относятся:
- Обнаружение вредоносных программ.
Все циркулирующие по сети файлы вначале проходят проверку встроенными в МСЭ средствами обнаружения вредоносных программ. Если она прошла успешно, то на следующем этапе файлы передаются для дополнительного анализа в облачную песочницу Huawei (FireHunter Cloud). Для повышения эффективности и быстродействия таких проверок в МСЭ Huawei серии USG6000E ведется база данных с их результатами для каждого файла. Если файл ранее проходил такую проверку, то он помечается как безопасный и повторно не проверяется.
Облачная песочница Huawei (FireHunter Cloud) использует несколько способов обнаружения вредоносного программного обеспечения, а именно: встроенное антивирусное программное обеспечение, механизм статического анализа и механизм динамического обнаружения. Все эти механизмы эффективно дополняют друг друга и оставляют мало шансов для проникновения вредоносного программного обеспечения в сеть. На выходе все полученные результаты от средств обнаружения анализируются, и делается заключение по каждому конкретному файлу.
- Блокировка внешних вредоносных подключений.
Для приема всей собранной информации от внедренного вредоносного программного обеспечения и дальнейшего управления им злоумышленнику нужен налаженный информационный канал. В Huawei USG6000E Series реализован механизм идентификации и блокирования таких скрытых каналов управления. Идентификация основывается на т.н. репутации IP‑адресов и проведении анализа всех внешних подключений. Если во внешнем подключении выявлено «асоциальное» поведение, то оно незамедлительно блокируется.
- Обмен информацией о существующих угрозах информационной безопасности.
У компании Huawei имеется свой собственный центр безопасности, в котором собраны образцы вредоносных программ со всего мира. Сигнатуры, сформированные на их основе, применяются не только в межсетевых экранах, но и в целом во всей продукции Huawei, где это необходимо. Такое решение позволяет оперативно реагировать на новые угрозы сетевой безопасности и максимально быстро выявлять их.
При выявлении вредоносного программного обеспечения, вредоносных ссылок и внешних деструктивных подключений облачная песочница Huawei (FireHunter Cloud) сообщает об этом в интеллектуальный центр безопасности. Тогда происходит обновление сигнатуры безопасности, на основании которой все межсетевые экраны серии USG6000E смогут в дальнейшем блокировать такие вредоносные элементы.
Для защиты от APT‑атак необходим комплексный и системный подход. На рисунке 4 показана система всех применяемых решений в области информационной безопасности (ИБ), применяемая в МСЭ Huawei серии USG6000E.
Рисунок 4. Применяемые решения ИБ на различных этапах в МСЭ Huawei серии USG6000E
Реализация протокола IPsec в Huawei серии USG6000E
Стандартная реализация протокола IPsec включает в себя две стадии:
- Первый этап можно назвать этапом переговоров. Передающая и принимающая стороны договариваются и согласовывают криптографические алгоритмы и необходимые ключи для осуществления сеанса связи.
- Второй этап представляет собой непосредственно сеанс защищенной связи.
На рисунке 5 представлена обобщенная структурная схема протокола IPsec на принимающей и передающей сторонах.
Рисунок 5. Общая структурная схема протокола IPsec
Как видно из рисунка, всем ходом обработки и реализации протокола занимается центральный процессор.
В МСЭ Huawei серии USG6000E реализация протокола IPsec улучшена при помощи конвейерного метода обработки данных. В этом случае центральный процессор отвечает за получение/отправку пакета и проводит процедуру проверки безопасности. Остальные действия выполняет сетевой процессор (NP), что значительно разгружает ЦП.
На рисунке 6 представлена реализация протокола IPsec в МСЭ Huawei серии USG6000E.
Рисунок 6. Реализация протокола IPsec в МСЭ Huawei серии USG6000E
Возможен еще т.н. улучшенный режим обработки конвейера протокола IPsec. В данном случае реализация протокола IPsec полностью возлагается на сетевой процессор. Этот режим показан на рисунке 7.
Рисунок 7. Улучшенная реализация протокола IPsec в МСЭ Huawei серии USG6000Е
Такой режим позволяет полностью освободить центральный процессор от обработки данных, передающихся по протоколу IPsec, что положительно сказывается на производительности шлюза безопасности в целом. На этом основании компания Huawei заявляет, что имеет лучшие характеристики по шифрованию / дешифрованию в разрезе стоимости решения.
Шаблонное сопоставление в Huawei серии USG6000Е
Сопоставление с шаблонами является одним из алгоритмов защиты контента. Суть его заключается в поиске определенной строки шаблона в содержимом трафика. В межсетевых экранах Huawei серии USG6000E данный алгоритм используется для идентификации приложений, предотвращения утечки данных, предотвращения вторжений и т.д. Большинство моделей серии USG6000E оснащены т.н. ускорителями для более эффективного проведения сравнений.
В старших моделях МСЭ серии USG6000E ускоритель реализован на базе FPGA, а в младших моделях — в качестве специального сопроцессора.
Выводы
Интеллектуальные технологии на сегодняшний день являются наиболее обсуждаемыми и значимыми не только в сфере информационной безопасности, но и в целом в IT-пространстве.
Применение технологий искусственного интеллекта (AI) в различных решениях сетевой безопасности дает большой задел для роста функциональности этих продуктов и многократного расширения задач, которые возможно будет на них возложить — что нам и продемонстрировала компания Huawei, внедряя технологии искусственного интеллекта в различные свои продукты. Применение унифицированной архитектуры позволяет сократить время разработки и оптимизировать взаимодействие между различными группами специалистов.
Применение искусственного интеллекта в межсетевых экранах Huawei USG6000E Series позволяет не только эффективно противостоять уже известным угрозам и с минимальными потерями отражать сетевые атаки, но и прогнозировать и моделировать еще неизвестные угрозы, выбирать наиболее эффективный алгоритм защиты и предвидеть возможные последствия от реализации таких угроз.
Интеллектуальные технологии открывают новые горизонты в информационной безопасности, но стоит помнить о том, что это — обоюдоострый вопрос, и нужно быть готовым к применению AI-технологий и на стороне киберпреступников.
