Блог Cisco в России и СНГ
Share

Зачем облака нужны системам защиты?


December 17, 2013


Странный вопрос вынесен в заголовок, не правда ли? Обычно мы говорим либо об информационной безопасности облаков, либо о применении облачных систем информационной безопасности, например, о Cisco Cloud Web Security (новое название Cisco ScanSafe). Однако ничего странного в вопросе нет – применение облачных технологии в современных средствах защиты (даже и работающих казалось бы автономно) – это уже свершившийся факт.

Эволюция угроз и защитных технологий

Эволюция угроз и защитных технологий

Обратите внимание на этот слайд, а точнее на его правую верхнюю часть. В области применяемых контрмер упоминается облачные разведка (intelligence) и аналитика. Вот про них я хотел бы сказать особо, т.к. я не помню, чтобы кто-то из производителей явно выделял это при рассказе о своих защитных технологиях. Оно и понятно – на Западе и на Востоке (если не брать Африку и некоторые страны Азии) Интернет развит очень и очень неплохо – уровень его проникновения в разных странах достигает 98% и поэтому на вынесении аналитики в облако мало кто акцентирует внимание.

Речь идет не об услугах класса Managed SIEM и аналогичных. Их можно либо покупать, либо нет. С облачной ИБ-аналитикой дело обстоит совершенно иначе – в облако выносится вся мозговая активность системы защиты, которая уже не в состоянии держать всю базу для принятия решения “на борту”. Это раньше антивирусные вендоры или производители систем предотвращения вторжений оснащали свои продукты встроенной базой сигнатур, а разработчики сканеров безопасности включали в свои решения базы проверок. Регулярно эти базы обновлялись через Интернет, но система защиты могла работать в замкнутом пространстве, не имеющем подключения к Интернету. Сегодня ситуация изменилась и вышеприведенный слайд тому подтверждение.

Очень уж много событий безопасности приходится анализировать современной системе защиты. И события эти разнообразные и разноплановые. Сама система не в состоянии эту лавину событий отработать – нужна “помощь зала”, т.е. внешних аналитиков. Наверное, одним из первых прообразов такой помощи стала система глобальной корреляции, реализованная в Cisco IPS несколько лет назад. Идея была простая – обезличенную информацию о сети заказчика отдавать в единый центр для анализа и разработки новых сигнатур, которыми затем должны были оснащаться все сенсоры IPS, установленные у заказчиков в рамках регулярного обновления базы сигнатур.

Так работает система обработки трафика в Cisco IPS

Так работает система обработки трафика в Cisco IPS

Эффективность такой системы глобальной корреляции была очень высокой и доказала свою результативность на практике. При этом ее можно было и не включать, используя сенсоры системы предотвращения вторжений как независимые, автономные устройства защиты.

Результаты работы системы глобальной корреляции в Cisco IPS

Результаты работы системы глобальной корреляции в Cisco IPS

Дальше больше. Аналогичный подход стали применять и другие производители средств защиты, столкнувшись с тем, что установленные на сетях заказчиков защитные механизмы пропускают угрозы. Например, приобретенная нами недавно компания Sourcefire в своих средствах защиты (NGIPS, NGFW, AMP) использовала ту же идеологию – облако для аналитики.

Анализ вредоносного кода в Sourcefire FireAMP

Анализ вредоносного кода в Sourcefire FireAMP

И дело не в отсутствии или нечастом обновлении. Просто идеология “звезды” (производитель самостоятельно собирает информацию об угрозах и распространяет ее среди всех заказчиков) стала давать сбои при росте числа и сложности угроз. Понадобилось привлечь в ряды защитников и самих покупателей/потребителей средств защиты – они стали передавать информацию со своих устройств и защитного ПО производителю, в его облако ИБ-аналитики. Именно там производился анализ информации, поступающей как от заказчиков, так и от различных источников самого вендора. Именно там производилась разработка методов борьбы с угрозами – старыми и новыми. Для IPS/IDS и антивирусов – это были сигнатуры, для систем контентной фильтрации – базы URL, шаблоны спама, репутационные базы, черные списки и т.п. Для межсетевых экранов – списки бот-сетей (ботом и командных центров). Эта информация оперативно доставлялась до потребителя, повышая “знание” его средств защиты относительно новых угроз. По этому же принципу, например, работает облако ИБ-аналитики Cisco Security Intelligence Operations (SIO), работа которого схематично показана ниже.

Cisco Security Intelligence Operations

Cisco Security Intelligence Operations

Аналогично выглядит и облако ИБ-аналитики Sourcefire Vulnerability Research Team (VRT), которое со временем будет объединено с Cisco SIO:

Sourcefire Vulnerability Research Team (VRT)

Sourcefire Vulnerability Research Team (VRT)

Сегодня, в условиях, когда растет не только число угроз, но и их сложность; когда системы защиты не справляются с нагрузкой, а обслуживающие их специалисты не поспевают за непрерывно меняющимся ландшафтом угроз; когда системные ресурсы, выделяемые для работы средства защиты, ограничены, необходим новый взгляд на принятие решения о наличии или отсутствии угрозы в анализируемом сетевом трафике, файлах, почтовом и Web-трафике. И коль скоро сама система защиты сделать это не в состоянии, то остается “поручить” эту работу внешнему аналитическому центру, который и возьмет на себя непростую задачу непрерывного анализа информации об угрозах, получаемых из множества разрозненных источников, их постоянного анализа и оперативного обновления всех средств защиты, подключенных к этому облаку ИБ-аналитики, которое у компании Cisco называется Cisco Security Intelligence Operations (SIO).

  • Все статьи автора.
  • Есть вопросы? 8 (800) 500-94-90
Tags:
Оставить комментарий