Меняется парадигма обеспечения информационной безопасности
Многие годы построение систем информационной безопасности (ИБ) походило на строительство укреплений вокруг замка или города: от первичных заборов – антивирусов и файерволов, до многочисленных и разнообразных по видам и функциям фортификаций. Но у всех – одно общее предназначение: защитить инфраструктуру от проникновения угроз извне. И чем больше появлялось угроз, и чем «изысканнее» они становились, тем больше различных средств-барьеров приобреталось и использовалось в надежде не допустить врага в «святая святых».
Несомненно, каждое из используемых решений имело и имеет определенную эффективность для защиты. Многие из них безусловно необходимы. Но с ростом количества и изощренности угроз стало приходить осознание, что абсолютная защита невозможна, а главная задача – минимизировать возможный ущерб в случае проникновения врага через созданные фортификации. И появились решения, имитирующие лучшие практики борьбы контрразведки «на своей земле» – обманные технологии или deception.
На рынке средств ИБ давно известны средства создания ловушек (honeypot), но соотношение сложности и эффективности не способствовало их популярности.
Deception – это интеллектуальные системы создания ложной инфраструктуры, динамически меняющейся с изменениями в защищаемой среде, имитирующие активность, но невидимые для использования в реальной деятельности. Они позволяют не только замаскировать нужные активы, но и выявить наличие и намерения злоумышленника, предотвратить потенциальный ущерб на ранних стадиях его поиска путей к цели. Никаких ложных срабатываний. Если кто-то есть в «обманной» среде – это реальная угроза, о которой вы немедленно извещены.
У многих руководителей ИБ есть опасения, что внедрение deception усложнит инфраструктуру, а при наличии эшелонированной защиты периметра, не принесет должного эффекта. То есть психология минимизации ущерба еще не победила надежду на неприступность укреплений. Но все новые и новые случаи целевого взлома и проникновения в, казалось бы, абсолютно защищенные структуры, и нанесение материального и репутационного ущерба, не так быстро, но меняют парадигму защиты. И благо неведения, как и иллюзия полной защищенности, потому что в меня еще не попали, постепенно исчезают.
Для того, чтобы убедиться в том, что deception не очередная новомодная технология, а признанный авторитетами, в том числе Gartner, «простой в развертывании, высокоточный и эффективный способ обнаружения угроз», можно (и нужно) провести его пилотирование, выбрав из уже представленных на рынке продуктов.
Кому нужен deception? Конечно, организациям с развитой инфраструктурой, деятельность которых уже представляет или может представлять интерес для недоброжелателей. Если более конкретно, то для крупных (по белорусским меркам) финансовых, топливно-энергетических и других важных и критически важных структур, тех, кто понимает необходимость и готов применять реально эффективные инструменты защиты своих активов от целевых атак.