Немного о системах защиты от вторжений. Интервью с Михаилом Башлыковым

Михаил Башлыков,
руководитель направления информационной безопасности компании КРОК

— Всё чаще звучащие прогнозы вендоров о начале кибер-войн — скорее реальность или маркетинговый ход? Есть ли реальная опасность эпидемии?

— Сегодня угроза начала кибер-войн находится где-то между стадией «маркетингового хода» и реальной опасностью. Начало кибер-войн буквально завтра, на мой взгляд, маловероятно. Скорее это проблема в среднесрочной и долгосрочной перспективе. Реальный потенциал для такого развития событий, конечно, есть. Пока же, это, скорее, маркетинговый ход, на котором производители решений по информационной безопасности пытаются заработать дополнительные бонусы.

— Если принимать такую возможность всерьез, то какие системообразующие изменения должны произойти в подходе к обеспечению ИБ?

— Определенные шаги уже предпринимаются, причем на государственном уровне. Например, в США создано специальное подразделение, занимающееся проблематикой войны в кибер-пространстве. Работают с проблемой и наши специалисты. Федеральной службой по техническому и экспортному контролю обозначены системы, ущерб которым может нанести серьезный урон экономике, экологии страны. Это информационные системы, обслуживающие транспортные, энергетические, ресурсодобывающие компании. Выведение из строя этих систем может привести к серьезным последствиям, притом, что никакой конфиденциальной информации они могут не содержать.

Сегодня важно, прежде всего, сформулировать чёткие и самое главное понятные требования, предъявляемые к защите подобных систем. Например, каким требованиям должны отвечать системы автоматического управления газопроводами газотранспортных компаний, чтобы риск их сознательного удаленного вывода из строя был сведен к минимуму. Или как достичь бесперебойного энергоснабжения в энергетической отрасли, ставшей после реформы РАО ЕЭС конгломератом множества отдельных компаний.

— Актуально ли стоит вопрос о документальном подтверждении фактов кибер-атак потерпевших организаций? Что сейчас предлагает рынок для решения этой задачи?

— Сегодня методы документального подтверждения пока еще находятся в стадии развития, как, впрочем, и законодательство, регулирующее данную область. Во многом эта ситуация вызвана тем, что, к счастью, пока еще не сталкивались на практике с настоящими кибер-атаками, тем более настоящими войнами в кибер-пространстве.

Если говорить о прототипах подобных «военных» действий, то большинство компаний-жертв либо вовсе не узнают о совершенной атаке, либо узнают о ней, когда уже поздно, и ущерб уже нанесен. Сегодня формируется рынок услуг по выявлению фактов подобных атак, расследований инцидентов и т.п. Поставщики этих услуг де-факто вырабатывают методы документирования фактов кибер-атак. Штатные ИТ-специалисты, как правило, не готовы эффективно проводить такие расследования.

Я бы сказал, что в целом, это скорее оказывает позитивное влияние на рынок информационной безопасности, т.к. с одной стороны вынуждает компании развивать собственные отделы, а с другой — провоцирует рынок к формированию профессиональных группы специалистов по security-as-a-service.

Ведь сегодня, даже если вовремя зафиксированная атака спровоцирована не полумифическим хакером с хостингом в Южной Корее, а одним из сотрудников компании, законодательство практически не позволяет начать против него судебных процесс. Для компании оказывается гораздо эффективнее от такого сотрудника попросту избавиться, заблаговременно оградив от него другие чувствительные участки ИТ-периметра.

— Системы предотвращения вторжений постепенно становятся обязательным элементом даже продуктов класса internet security suite. Как они развиваются сегодня, чего ждать в будущем, не вытеснят ли они прочие направления ИБ?

— Системы предотвращения вторжений уже давно стали обязательным элементом, как на уровне конечных рабочих станций, так и на уровне шлюзов. Основной тренд в их развитии — переход от сигнатурного детектирования к поведенческому и эвристическому анализу, к детектированию на основе выявления аномалий в сети. Хотя данное направления информационной безопасности сейчас активно развивается, мне кажется неправдоподобным предположить, что системы предотвращения вторжений смогут полностью вытеснить прочие ИБ-решения. Безусловно, они не способны заменить собой все прочие средства обеспечения защиты информации. Скорее, они уже перешли в разряд типовых и обязательных инструментов.

— HIPS или антивирус?

— Справедливый вопрос. Сейчас большинство продуктов-«антивирусов» представляют собой не только антивирус в исходном понимании, а целый набор модулей, закрывающих различные направления — анти-спам, анти-шпион, и т.д. Такие решения уже имеют и модуль HIPS. В определенном смысле, они служат неким превентивным антивирусом. Не правильно делать выбор: либо одно, либо другое. Верным выбором оказывается некий симбиоз, который работает с конкретными антивирусными или вирусными средствами, а также с поиском и локализацией аномалий и отражением атак.

— Ожидается ли полный переход на решения «белого списка» в критически важных отраслях, на направлениях SCADA?

— Пока это весьма сомнительно. Безусловно, на системах SCADA подход «белого списка» должен применяться, в формате, например, системы контроля конфигураций и контроля запуска приложений, которые не позволяют запускаться приложениям, не авторизованным для данной системы. Однако должны применяться и другие дополнительные средства, помимо антивирусов и HIPS, скажем системы управления обновлениями и заплатками, системы выявления аномалий не только на уровне рабочих станций, но и на уровне сетевой инфраструктуры.

— Какова роль подобных решений в защите специальных конечных точек (банкоматов, платежных терминалов, промышленных компьютеров)?

— Как показывает практика, решения «белого списка» сами по себе оказываются недостаточно эффективны против последних угроз специальным конечным точкам. Лучше всего они себя показывают в случаях масштабных вирусных угроз, которые могут массово поражать платежные системы, терминалы и т.д. Однако, ни отдельностоящий антивирус, ни HIPS, не могут стать ядром системы защиты, например, банкомата. Необходимы система контроля запуска приложений, система контроля целостности программных сред. Антивирусы и HIPS в чистом виде — это уже пройденный этап для подобных систем.