Сегодня я написал заметку в нашем корпоративном блоге на тему облачной ИБ-аналитики, как одном из основополагающих трендов на ближайшие годы у абсолютного большинства производителей средств защиты, исключая, вероятно, СКЗИ. И хотя в заметке я описывал эту технологию на примере Cisco и приобретенной нами Sourcefire, мы далеко неединственный производитель, который обратился к вынесению системы принятия решения за пределы потребителя. По этому принципу сегодня работают многие компании:
- Cisco — Cisco Security Intelligence Operations
- Sourcefire — Sourcefire Cloud-based Sandbox
- Лаборатория Касперского — Kaspersky Security Network (KSN)
- ESET — ESET Live Grid
- TrendMicro — TrendMicro Smart Protection Network
- HP — HP Reputation Digital Vaccine и ThreatLinQ
- Symantec — Symantec Global Intelligence Network
- Cezurity (часть ГК Infowatch) — Cezurity Cloud
- и т.д.
Основными решаемыми такими «облаками» задачами можно назвать:
- Снижение размера системы защиты и объема обновлений, что особенно актуально для мобильных устройств.
- Автоматизация процесса защиты от непрерывно растущего числа угроз, которые при этом еще и постоянно усложняются.
- Снижение времени реакции на новые угрозы.
В целом преимуществ у такой технологии немало; их неплохо описали в статье Лаборатории Касперского. Я бы хотел коснуться двух особенностей облаков ИБ-аналитики, о которых мало кто пишет. Но не потому, что это секретная информация и ее тщательно скрывают. Просто во многих странах, особенно в тех, в которых сидят штаб-квартиры компаний-р
азработчиков, уровень проникновения Интернет достигает 98%, что делает там первую российскую особенность неактуальной. Речь идет о каналах связи — об их надежности, качестве, пропускной способности. Когда у вас скорость Интернет-подключения составляет десятки мегабит или даже гигабит в секунду, а канал в Интернет резервируется не только на уровне внутренних линков или оборудования, но и на уровне провайдеров, то вы даже не задумываетесь, как работает система защиты и на основании чего она принимает решение о блокировании угрозы. А теперь обратим свой взор на Россию. Какие риски существуют у нас?Их три:
- Низкое качество связи даже в крупных региональных центрах. Во время написания этой заметки у меня Интернет то пропадал, то появлялся, и заявленная в 50 МБит/сек скорость регулярно снижалась до нескольких сотен килобит.
- Отсутствие Интернет на удаленных площадках или дороговизна Интернет-канала по причине отсутствия конкуренции или используемых технологий (например, спутниковый Интернет за Полярным кругом).
- Менталитет, приводящий к невозможности или нежеланию передачи пусть и обезличенной, но все же чувствительной информации производителю средства защиты. Даже если представить, что никакой конфиденциальной информации в передаваемых данных нет, в условиях вселенской паранойи некоторых отечественных регуляторов, потенциального повтора Сноуденовского сценария, запрета передачи информации госорганами за пределы государственной границы РФ, работа облачной ИБ-аналитики становится под вопросов.
- Случайное блокирование IP-адресов облачного сервиса по решению Роскомнадзора, суда, прокурора, его брата, зятя, тестя и других уполномоченных лиц. Такие случайные блокировки нередки в последнее время и сбрасывать со счетов этот риск нельзя.
При таких условиях ни о каком анализе угроз в реальном времени говорить в России не приходится. Но и отказываться от технологии облачной ИБ-аналитики тоже нельзя — она сейчас является единственным решением проблемы с постоянным ростом числа и сложности киберугроз.
Что делать? Для потребителя рекомендация будет одной — учитывать вышеприведенные риски и готовиться к их снижению различными методами (расширение канала, SLA, резервный провайдер, развертывание частного облака ИБ-аналитики и т.д.). Нельзя забыть и про регуляторов (ЦБ, ФСТЭК, ФСБ…), которые сейчас активно пишут нормативную базу, регламентирующую различные вопросы в области информационной безопасности. Им стоит учитывать, что даже сейчас сделать абсолютно замкнутую контролируемую зону невозможно, т.к. средству защиты необходимо обновляться. Через год-другой средств защиты, базирующихся на знании угроз (не используют эту информацию, пожалуй, что только СКЗИ) и не обновляемых через облако ИБ-аналитики не останется. Блокирование возможности обновления, или требование обновления по гостированному каналу, или требование обновления с сервера, находящегося в России, будет невыполнимо, что поставит крест на применении многих современных защитных технологий.
Не знаю, облачная безопасность это уже как то слишком. АНБ не дремлет.
Отдавать данные об атаках и статистику — это одно. С этим многие готовы смирится ради выгоды в цене или эффективности защиты.
А вот направлять весь свой трафик, в том числе внутрикорпоративный, в облако — нет, не готовы.
Кто-то готов — ты посмотри на облачные проекты, которые сейчас реализуются
Было бы интересно понять, какие стратегии применяют производители СЗИ при переносе части функционала ИБ в облако в случае проблем со связью — начинают пропускать непроверенное или же блокируют вообще работу?