Кому-то 2017-й представляется годом зарождения «дивного нового мира», но специалистам по информационной безопасности он видится пугающим. Прислушаемся к прогнозам аналитиков Gartner:
- к 2020 году 60% цифровых предприятий переживут масштабные сбои обслуживания из-за неспособности специалистов по ИТ-безопасности грамотно управлять цифровыми рисками;
- к этому же времени 60% корпоративных бюджетов информационной безопасности будет выделяться на средства оперативного распознавания угроз, тогда как в 2016-м аналогичный показатель был вдвое меньше;
- к 2018-му 25% трафика данных предприятий будет проходить от мобильных устройств напрямую в облако в обход корпоративных систем безопасности;
- в предстоящие два года половина производителей устройств Интернета вещей окажутся неспособны защитить их от угроз из-за слабости механизмов аутентификации.
Какие технологии будут менять ситуацию в пользу отделов ИТ? По мнению специалистов, это автоматизация, аналитика и искусственный интеллект.
Что касается автоматизации, платформы безопасности, обнаружив новую угрозу, сами, без участия человека, будут возводить необходимые барьеры и принимать меры. Так можно будет сократить промежуток времени между компрометацией и устранением угрозы, который атакующие могут использовать, чтобы нанести вред.
Аналитические движки будут обрабатывать данные, поступающие с сетевого оборудования и оконечных устройств, в поисках аномалий, указывающих на угрозы. Определившись с нормой, такие системы смогут обнаруживать поведение, выходящее за рамки обычного, оценивая, указывает ли оно на вредоносную активность.
Искусственный интеллект позволит расширить возможности таких систем: они смогут обнаруживать аномалии не только в сетевом трафике, но и в поведении отдельных компьютеров и пользователей, а также их групп.
В 2017 году такие платформы станут более развитыми и завоюют больше доверия – они смогут распознавать атаки на более ранних стадиях и останавливать их еще до начала разрушительной деятельности.
Над этим работают все тяжеловесы отрасли: например, Cisco готовит платформу Tetration Analytics, IBM развивает способности когнитивной платформы Watson в области информационной безопасности, а Google – систему машинного обучения DeepMind.
Tetration Analytics – это комплексная система, получающая информацию от аппаратных и программных датчиков и анализирующая ее с помощью средств обработки Больших Данных и машинного обучения. Имея показатели нормального поведения сети и приложений, решение Cisco может мгновенно обнаруживать отклонения. Кроме того, система предоставляет инструменты проведения экспертизы – полуавтоматического анализа журналов операций.
«Главное, что нужно сделать для защиты центра обработки данных, – это составить белый список тех, кто имеет доступ к различным ресурсам, но такая задача – одна из сложнейших, – отмечает Том Эдсолл, старший вице-президент, директор по технологиям Cisco. – Tetration позволяет разработать правила формирования белых списков гораздо быстрее и эффективнее, чем прежде. Решив эту важную задачу информационной безопасности, можно будет начать переход к самоуправляемым дата-центрам будущего».
В дальнейшем в Cisco обещают большое число новых приложений безопасности, работающих на базе Tetration.
Суперкомпьютер IBM Watson, в свою очередь, анализирует трафик корпоративных сетей в поисках вредоносов, параллельно обучаясь на собственном опыте, а также используя данные научных докладов, сводки сведений об угрозах и новости о киберпреступности. Со временем Watson начинает самостоятельно разрабатывать новые стратегии обнаружения атак на разных этапах их осуществления. Сейчас проект Watson for Cybersecurity находится в стадии бета-версии, а в течение 2017 года может быть предложен его коммерческий вариант.
Также есть государственные исследовательские проекты, способные оказать влияние на мир кибербезопасности. К примеру, в Агентстве передовых исследований в области разведки (IARPA) хотят разработать систему «датчиков» для Интернета, которые будут следить за поисковыми запросами, публикациями в социальных СМИ и т. д. в поисках ранних признаков кибератак.
«Кибератаки развиваются поэтапно, – отмечается в описании соответствующего проекта IARPA, который получил название CAUSE (Cyberattack Automated Unconventional Sensor Environment). – Сегодня распознавание обычно происходит на поздних стадиях атаки, а выяснить ее признаки, характерные для начальных этапов, удается лишь путем анализа уже после того, как ущерб нанесен. Наблюдение за первыми стадиями – разведкой, планированием, запуском – позволило бы заблаговременно распознавать инциденты и предотвращать вред».
Ожидается, что технологии, разработанные в рамках программы CAUSE, смогут действовать без участия человека. Специалисты, возможно, будут помогать разрабатывать, обучать и совершенствовать эти системы, но им не придется вручную фильтровать и рассылать предупреждения, а также направлять работу системы. Такие предупреждения должны будут генерироваться машиной и пересылаться в IARPA автоматически.
Читайте далее: Блокчейн