Как большие данные меняют подходы к информационной безопасности

Информационная безопасность на протяжении многих лет была игрой, в которой защищающиеся постоянно проигрывали. Взломщики постоянно находили уязвимости, вендоры программного обеспечения закрывали эти уязвимости, а взломщики находили новые. Это дорого обходилось и бизнесу и конечным пользователям, которые тратили миллиарды долларов в год на все новые продукты, помогающие защититься от новых угроз, и на обновления старых.

Оборотной стороной хакерских атак стали сверхприбыли компаний, работающих в сфере информационной безопасности: как монстров с огромными бюджетами (Symantec, McAfee, Kaspersky Lab), так и недавно возникших стартапов (Fireeye, Palo Alto Networks). И все-таки даже новейшие технологии не помогли таким компаниям как Target, Home Depot и Paypal избежать потерь конфиденциальной информации. Опыт прошедших лет показывает, что должен измениться сам подход к понятию безопасности.

Каждая обнаруженная уязвимость провоцирует поток заявлений о новых программах, которые должны спасти клиентов. Но многие IT-предприниматели уже давно начали понимать, что здесь-то и кроется проблема. «Глубокая защита», построенная без взаимодействия различных систем безопасности, неэффективна, она предлагает слишком мало возможностей за слишком большие деньги.

Сеть супермаркетов Target закупила один из передовых продуктов для компьютерной безопасности, потратив на это 1,6 миллиона долларов. Это не помогло ей избежать хакерской атаки, стоившей работы исполнительному директору и директору по информационным технологиям. Даже самые совершенные технологии в ИБ носят «лоскутный» характер. Эксперты говорят, что спасением будет многослойная система защиты, но ведь новые слои наносятся поверх старой структуры, которая много раз себя скомпрометировала! Это просто скрывает проблему.

Обо всем этом говорили на своем выступлении на конференции FOCUS технический директор Intel Security (ранее - McAfee) Майк Фей и руководитель отдела по сетевым продуктам для бизнеса Пэт Калхун. Они представили новую архитектуру безопасности, использующую автоматический обмен данными между многими информационными системами. Системы безопасности должны взаимодействовать, уведомляя друг друга о возможных угрозах и автоматически адаптировать свои настройки в режиме реального времени. Аналогией может быть розыск преступника: когда первый полицейский замечает что-то подозрительное, он немедленно сообщает об этом остальным.

Новый подход Intel Secutity изменит все продукты, разработанные ранее в McAfee – от пользовательских антивирусов для настольного компьютера до систем защиты центров обработки данных, которые будут непрерывно обмениваться данными. К примеру, как только один компьютер загрузит зараженный файл с какого-либо сайта, он сообщит об этом в центральную базу данных, которая разошлет информацию на все устройства, обслуживаемые Intel Secutity. В свою очередь, каждая пользовательская программа на конкретном устройстве скорректирует свое поведение, получив соответсвующее уведомление.

Intel следует общей тенденции производителей антивирусного программного обеспечения использовать в своей работе большие данные. Еще в прошлом году некоммерческая организация Cloud Security Alliance издала программный документ, в котором предложила несколько путей использования больших данных в области ИБ. IBM совместила свой продукт QRadar Security Intelligence с платформами больших данных, чтобы анализировать информацию о многочисленных сетевых взаимодействиях. Над этим же работает компания Countertack, собирающая данные с тысяч конечных пользователей, чтобы определить наличие вредоносного программного обеспечения по его поведению.