Прав ли был Gartner, прогнозируя смену подхода к обеспечению ИБ?

Прав ли был Gartner, прогнозируя смену подхода к обеспечению ИБ?


В 2013 году аналитик Нейл МакДональд из авторитетной консалтинговой компании Gartner прогнозировал, что к 2020 году традиционные стратегии информационной безопасности устареют. Сбываются ли прогнозы?
Недавно я наткнулся на статью аналитика Нейла МакДональда из Gartner под названием «Prevention Is Futile in 2020: Protect Information Via Pervasive Monitoring and Collective Intelligence» . Она была опубликована еще в 2013 году, но в 2016 году она была обновлена. В ней автор рассуждает о том, как поменяются подходы к обеспечению информационной безопасности предприятий в ближайшие годы на период с 2013 по 2020 годы.
Интересно, прав ли был тогда в своих прогнозах Gartner?

Вот некоторые моменты в статье, на которые я обратил внимание:

1. Предприятия по отдельности не смогут защитить себя без коллективного обмена данными об угрозах и злоумышленниках

Действительно, огромное количество новых угроз и их вариантов, а также огромный объем данных, которые требуется контролировать, коррелировать и проверять, делают все более актуальными облачные решения с коллективным разумом на платформе больших данных.

2.     К 2020 году 60% корпоративных бюджетов на ИБ будет выделено на решения с технологиями мгновенного обнаружения атак и реагирования на них

Сложно сказать, достигнем ли мы показателя в 60%, особенно с учетом непростой экономической ситуации. Но все же тенденция, на мой взгляд, прослеживается. Например, мы в Panda Security видим, что в последние годы предприятия все более активно тратят свои бюджеты именно на подобные технологии (в частности, EDR), т.к. риски оказаться жертвой неизвестной угрозы или направленной атаки в последнее время выросли многократно, причем независимо от размера предприятия. А ущерб вполне очевиден – это нарушение конфиденциальности и целостности корпоративной информации.

3.     К 2018 году 80% решений для защиты конечных устройств будут включать в себя возможности мониторинга активности пользователей и экспертную информацию, в отличие от менее 5% в 2013 году

Да, такая тенденция действительно наблюдается, потому что для обеспечения безопасности и конфиденциальности корпоративной информации требуется все более глубокий анализ всех происходящих ИТ-процессов с дополнительной экспертной информацией. Спрос рождает предложение, а потому на рынке появляется все больше решений, которые предлагают экспертную информацию по обнаружениям, а также функции глубокого мониторинга и анализа всех процессов в сети.

4.     Часть ответа на проблему обнаружения атак без сигнатурных механизмов лежит в повсеместном мониторинге для выявления значимых отклонений от нормального поведения, что позволяет идентифицировать вредоносные намерения. Поэтому предполагая компрометацию систем усовершенствованными направленными угрозами, необходимо сконцентрировать усилия по обеспечению информационной безопасности на детальный, всеобъемлющий и контекстный мониторинг, чтобы обнаружить эти угрозы.

Именно такой глубокий, непрерывный и контекстный мониторинг, учитывающий причинно-следственную связь каждого процесса, позволяет более точно идентифицировать вредоносное поведение. Кроме того, такие технологии позволяют обнаруживать атаки, не использующие каких-либо вредоносных программ, или безфайловые атаки, что в последнее время становится все более актуальным.
Эффективность такого подхода обусловлена тем, что в отличие от традиционных поведенческих анализаторов, когда система анализирует «нормальность» поведения одномоментно, контекстный мониторинг анализирует с учетом всей истории развития данного процесса (в котором данный момент – это всего лишь один из многих субпроцессов). Это позволяет более правильно оценить, как возник данный процесс на машине, откуда он пришел, какие процессы породил, что куда отправлял, к чему обращался, какие у него предположительно цели (подключаем искусственный интеллект).
5. Детальный мониторинг всех процессов, запущенных в пользовательской системе, а также их взаимодействие с контентом, исполняемыми файлами и корпоративными системами, позволят предприятиям получить полную видимость всего происходящего. Что-то типа цифрового видеорегистратора. Поэтому в случае инцидента можно проверить эти данные и понять, против каких пользователей он был направлен, какие системы могли быть скомпрометированы и какая информация могла пострадать.

Это тоже верно подмечено. Понятно, что вряд ли администратор будет непрерывно сидеть и анализировать огромный массив данных, поступающих со всех машин в тысячах разрезов. Это нереально. Хотя современные системы позволяют настраивать  определенные триггеры, чтобы администратор был оперативно уведомлен о каких-либо отклонениях. Но в целом это все работает (должно работать) автоматически. Но вот когда точно эта вся информация пригодится: когда появились подозрения относительно определенных процессов, файлов, поведения сотрудников (сработали триггеры!) или все же произошел инцидент. В этом случае оперативный доступ к такой информации с возможностью глубокого и быстрого анализа позволят отчетливо проследить весь жизненный цикл обнаружения и динамику развития атаки или подозрительной модели поведения: что, где, когда, откуда, каким образом, куда и т.д. В результате можно будет локализовать источник атаки, выявить пострадавших и виновных, оценить размер ущерба, а главное – на основе анализа этих данных устранить выявленные слабые места и отработать более эффективную модель поведения в подобных чрезвычайных ситуациях.

Кроме того, автор статьи говорит о том, что в эпоху BYOD и использования облачных сервисов, ИТ-департаменты предприятий теряют контроль над устройствами пользователей, что ограничивает их возможности тотального контроля. Поэтому, по мнению Нейла Макдональда, будет наблюдаться переход к защите информации, а не самих систем.
В качестве одной из рекомендаций аналитик Gartner предлагает внедрять системы мониторинга корпоративных конечных устройств. По его мнению, в идеале такие системы должны быть составной частью решений по защите конечных устройств (EPP), чтобы не было необходимости приобретать дополнительное стороннее решение.
Возможно, в России все вышеперечисленные тенденции пока проявляются чуть слабее, чем в Европе или США, что можно объяснить целым набором стандартных объективных причин, хотя, на мой взгляд, и у нас динамика примерно такая же.

Честно скажу, мне эта статья показалась интересной еще и в том плане, что наш подход, реализованный в решении Panda Adaptive Defense 360, соответствует прогнозам автора этой статьи. Я помню, как в 2013 году мы как раз тестировали прототип семейства решений Adaptive Defense, обкатывая совершенно новую модель безопасности. Сейчас, спустя несколько лет, я вижу, что прогнозы Gartner сбываются, а выбранный нами путь, надеюсь, оказался верным.

P.S. В заключение не удержался, чтобы не предложить вам посмотреть видеообзор, где осуществляется попытка заражения компьютера набором различных свежих вариантов шифровальщиков (WannaCry 2.0, Cerber, Spora, Razy, Goldeneye), а также других вредоносных программ. На этом компьютере стоит Adaptive Defense 360 с отключенным антивирусом (активирован только модуль расширенной защиты от неизвестных угроз) и файерволом, также отключен брандмауэр в Windows и Windows Defender:

Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
информационная безопасность антивирусная защита системное администрирование panda adaptive defense 360 защита информации
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.