Могут ли государственные учреждения делиться достаточным объемом информации, чтобы суметь предупредить следующую кибератаку?
Даже Министерство обороны прилагает все усилия, чтобы идти в ногу с меняющейся обстановкой в сфере кибербезопасности. Ключевым моментом в этом, по большинству оценок, является обмен информацией. Но вопрос в том, готово ли Министерство обороны и другие агентства к совместному пользованию информацией.
На Симпозиуме «Защитные Кибердействия», состоявшемся в июне этого года, Джастин Болл, технический директор отдела операций и планирования Департамента Защиты Информационных Сетей, рассказал о некоторых проблемах, с которыми сталкивается агентство перед лицом новых и усиленных угроз безопасности.
Департамент Защиты Информационных сетей (DoDIN) представляет собой глобально взаимосвязанный комплексный набор информационных возможностей для сбора, обработки, хранения, распространения и управления информацией по требованию военных, политиков и вспомогательного персонала.
Болл признал, что в последнее время большое внимание уделяется поддержке киберкоманд в составе Министерстве обороны и важности киберспециалистов на всех уровнях государственного управления. Тем не менее, для того, чтобы эти команды и специалисты преуспели, информация об угрозах должна распространяться широко и систематически.
Кибербезопасность – оборонительная и наступательная
Успешная программа кибербезопасности должна быть не только оборонительной, но и наступательной, объяснил Болл. Важно знать, против кого вы должны инициировать проактивные контрмеры, а не только уметь реагировать на последнюю целенаправленную угрозу.
Целенаправленные угрозы сами по себе продолжают нарастать, а инциденты по компрометации сети становятся все более коварными и трудными для обнаружения, чем когда-либо прежде. Урок, извлеченный после колоссального нарушения в сфере безопасности Управления по управлению персоналом в 2015 году, состоит в том, как много времени уходит на обнаружение угрозы. В среднем — 205 дней, и даже 250 дней. Это неслыханно.
Постоянно внедряются новые мобильные уязвимости и новые варианты вредоносных программ, и для любого агентства становится практически невозможным справляться с ними в одиночку.
В качестве примера Болл использует Департамент Защиты Информационных Сетей. Хотя его приоритетом являются различные операции, ему также предоставляется «свобода действий» в киберпространстве, отрицая при этом право на ту же свободу у противников. Системные операторы должны выполнять операции полного спектра (защита компьютерной сети, компьютерная сетевая атака и использование компьютерной сети). Операции в киберпространстве передаются с помощью соответствующих индикаторов, распространяя информацию об уязвимости, полученную как от Министерства обороны, так и из других источников.
Болл спрашивает: «Как вы можете достичь киберсвободы в действиях, не зная об имеющихся угрозах?»
Текущие усилия по обмену информацией
По словам Болла, Министерство обороны использует множество систем для сбора информации об угрозах. К ним относятся системы безопасности на основе хостинга, фильтры веб-контента, шлюз безопасности электронной почты предприятия и объединенный пакет региональной безопасности для совместной информационной среды вооруженных сил. Еще одним инструментом является SharkSeer, проект Агентства национальной безопасности, целью которого является обнаружение и смягчение действия вредоносного ПО Zero-Day и Advanced Persistent Threats с использованием уже имеющихся технологий.
Министерство обороны также использует конфиденциальную информацию об угрозах, такую как McAfee Global Threat Intelligence; библиотеку ресурсов угроз; сканер Nessus Tenable и сканер пассивных уязвимостей.
Но для обработки этой информации требуется аналитика, поэтому автоматизация должна быть приоритетом для любой системы обмена информацией.
В Министерстве обороны усилия по обеспечению информационной безопасности и постоянному мониторингу, такие как оценка риска, помогают выявить пробелы в «глубокой обороне». Глубокая оборона — это принцип наличия нескольких уровней механизмов защиты для повышения уровня безопасности системы. Если атаки приводят к сбою одного механизма, то для защиты системы используются другие уровни.
Отсутствие доверия как препятствие для обмена информацией
Самым большим препятствием к обретению реальных решений сегодняшних проблем в сфере кибербезопасности является отсутствие доверия. Болл отметил, что необходимо установить доверие между партнерами, чтобы достичь подлинного взаимодействия, автоматизации и точной оценки качества полученной информации.
К сожалению, аналитики не всегда доверяют полученной информации, потому что она настолько выжата, что почти бессмысленна. Аналитику очень сложно делать обоснованные выводы при отсутствии контекста, отметил Болл.
Решение проблемы пока не ясно. Болл подчеркнул необходимость расширения доверия во взаимоотношениях с коммерческими структурами. Двухсторонний обмен информацией возможен лишь при наличии усилий для построения отношений.
Одно можно сказать наверняка: если агентства, работающие в сфере безопасности, не найдут способ обмениваться информацией об угрозах, то в защите всегда будут присутствовать слабые места. И эти дыры могут стать хорошей возможностью для проникновения злоумышленников.