Нил Келл (Neil Kell), директор Evolve Secure Solutions
Будущее кибербезопасности – это искусственный интеллект
Уже очевидно, что, в конце концов, все антивирусы и общая корпоративная защита будут обеспечиваться на базе искусственного интеллекта. Но мы все ещё далеки до этого и пока не добрались до конечных решений, несмотря на очевидные технологические прорывы в данной области. Искусственный интеллект сейчас – это всего лишь один из элементов в построении нашей защиты от киберугроз, как существующих, так и прогнозируемых. Структурам, обеспечивающим кибербезопасность, важно уже сейчас принять на себя риск и выбрать ориентированный на «их» бизнес подход к сбору и изучению данных о потенциальных угрозах и регулярно предлагать обоснованные решения на уровне советов директоров их предприятий.
Риски для организаций могут и будут возникать, несмотря на значительные инвестиции в системы кибербезопасности. Мы рискуем стать излишне самодовольными и беспечными, сделав начальные вложения и позабыв, что покупка инструмента – это начало, а не конец пути. Продукция SIEM (Security Information and Event Management – умное обнаружение угроз) – наилучший пример в этом плане. Пусть у нас появилась крупная галочка в таблице рядом с графой «безопасность», но действительно ли это будет означать, что защита организации стала лучше?
Эффективность продукции SIEM зависит от способности организации точно и глубоко настроить приобретенное решение в соответствии с чётко определёнными задачами по защитному мониторингу в рамках требований кибербезопасности. Довольно редко бывает так, что у организаций имеются собственные необходимые для этого знания и навыки, а если и имеются люди с такими навыками, то будьте уверены, их могут запросто «увести». Подобная самоуверенность, когда организации просто инвестируют и думают, что всё, что им необходимо, чтобы соответствовать современным требованиям, — это только «распаковать коробку» (а не стремление понять потенциальные угрозы и то, как продукт может помочь с ними справиться), может оставить вашу организацию по-прежнему уязвимой перед потенциальной атакой.
Угрозы безопасности зависят от профиля деятельности предприятия
Риски исходят отовсюду, и ваша киберзащита может оказаться не такой сильной, как могла бы быть, так как она не настраивалась и не уточнялась надлежащим образом. Она не была подогнана под соответствующую среду, стратегические решения не были приняты, или, возможно, вы купили «мощный» продукт, но вы не понимаете на практике, как извлечь из него максимум пользы.
Учитывая, сколько путаницы царит вокруг вопросов организации и реализации кибербезопасности на предприятиях индустрии, подстёгиваемой продажами новейших товаров в этой области, целиком полагаться лишь на технологию, которая предназначена, чтобы справляться с киберугрозами для вашей организации, — это ошибка, которую легко совершить. И многие ее действительно совершают. В определённом смысле у всех должен быть одинаковый уровень безопасности от наиболее популярных и распространенных атак. Именно по этой причине правительство Великобритании создало такие схемы как Cyber Essentials, чтобы помочь с обучением кибербезопасности. Но, получив такие базовые знания, нужно понимать конкретно, откуда исходят киберугрозы вам или вашему предприятию, и сформировать вашу защиту соответствующим образом, а также выявить любые зазоры в кибербезопасности, которые у вас могут быть.
Вполне возможно, что вы слишком много инвестируете в технологии киберзащиты, так как у вас сформировалось своё понимание киберугроз, основанное на том, что вам сказал продавец технологий. Лучше не стремиться к обеспечению такого же уровня киберзащиты, как у аналогичных организаций, а «подогнать» свои средства и решения для обеспечения кибербезопасности под вашу среду. Лучший способ начать работы в этом плане — это выбрать секторальный (профильный) подход к менеджменту рисков.
Различные сектора, такие как оборона, банковское дело, здравоохранение, уголовное судопроизводство, розничная торговля и промышленное производство будут подвергаться угрозам из разных источников. Например, если ваша организация находится в секторе медицинских исследований, профессиональный кибернападающий будет гораздо более заинтересован в получении доступа к вашим данным, чем в стремлении ужалить вас при помощи вируса-вымогателя (ransomware). Поставьте себя на место нападающего, чтобы понять, в какой информации, принадлежащей вашей организации, они будут наиболее заинтересованы.
Возможно, когда-нибудь государство заинтересуется разработкой технологий киберзащиты, при внедрении которых ваша защита от киберугроз будет использовать настройки, значительно превосходящие, те, что называется «базовыми установками». Ведь уже в ближайшее время следует ожидать, что организации, оказывающие критические услуги в сегменте бизнеса или в сегменте жизненно-важных медицинских услуг (например, планирующих срочные операций в больницах, чтобы спасти человеческие жизни) станут значительно больше подвергается риску атаки вирусов-вымогателей, так как киберпреступники будут рассчитывать на получение быстрого выкупа от жертв, которые будут стремиться минимизировать последствия пропущенной кибератаки).
Построение более чёткой картины потенциальных киберугроз
Чтобы построить эффективную киберзащиту, нужно знать, какие риски в конкретный момент времени угрожают компании. Добудьте как можно больше информации об угрозах для вашей компании. Такая информация может быть получена из широкого ряда источников, от ваших акционеров, от исследователей вашего отраслевого сектора и других заинтересованных сторон, таких как, например, Национальный центр по кибербезопасности (National Cyber Security Centre), который предоставляет специфическую информацию по киберугрозам в рамках различных секторов.
Четкое определение политики или стратегии кибербезопасности предприятия является делом не только IT-персонала. Качественная информация о реальном состоянии дел на предприятии должна своевременно поступать в совет директоров, чтобы защита важных активов предприятия осуществлялась правильно и своевременно. Эффективная презентация и интерпретация такой информации даст достаточно сведений, чтобы кто-то из руководства мог принять конкретное стратегическое решение, из которого затем последуют локальные (тактические) решения, например, какой тип защиты требуется предприятию, нужно ли инвестировать в новую кибертехнологию, в какую именно и пр. Следуя такой концепции, станет возможным аккуратный анализ всех «за» и «против» анти-вирусов, SIEM-продукции и решений с искусственным интеллектом.
Когда вы выбираете данный подход, то вам значительно лучше удастся справиться с проблемами кибербезопасности, чем, если вы будете хвататься за всё, «что популярно в этом месяце». Решения будут идти сверху-вниз, а не снизу-вверх, что предполагает лучшее владение ситуацией и большую ответственность совета директоров. Если вы будете знать, какие типы атак наиболее вероятны, и от кого они будут исходить (хакера, конкурента, другого государства), то вы значительно лучше сможете от них защититься.
Искусственный интеллект – наилучшая защита, или наступающий враг?
Есть тёмный двойник индустрии безопасности, пока ещё не такой развитый, но стремительно развивающийся. Как только искусственный интеллект будет внедрён в решения по защите, он также будет использован и в качестве мощной угрозы для нас.
Искусственный интеллект сделает вредоносное ПО более умным и повысит его успешность. Если такое вредоносное ПО сможет учиться каждый раз, когда его атаку удастся отразить, то вскоре оно научится обходить защиту и внедряться в организации. Это создаст большие трудности для борьбы с ним. Другими словами, искусственный интеллект повысит шанс успешности атак, поэтому мы должны быть готовы к этому, а решения для киберзащиты на основе сигнатур будут бороться против этого сценария.
Представьте себе, что вредоносное ПО, основанное на искусственном интеллекте, взломает корпоративную защиту и укрепится в сети, наблюдая и изучая всю информацию, исходящую из и входящую на почтовый ящик каждого. Под удар попадает не только важная финансовая информация, социальная и личная информация также окажутся уязвимыми. Такое ПО, например, может узнать имена ваших детей, ваши интересы, а также, что вы планируйте делать на выходные. Представьте себе фишинговую атаку, точно выкроенную под вашу персональную информацию, где есть ссылки на хоккейный матч вашей дочери на выходных, картинку забитого ею гола, которую вы отослали со своего телефона на рабочий аккаунт, чтобы использовать в качестве фонового рисунка.
Вредоносное ПО, притворяющееся другом или коллегой, присылает вам прикольную картинку и просит вас нажать на ссылку, чтобы увидеть замечательные моменты из матча. Насколько это будет успешней, чем письмо от неведомо кого-то, с заголовком «это вам понравится»?
Хакерство как услуга
Прогнозируется, что хакерство как услуга (при том, что концепция не нова) станет всё более превалирующим в будущем. Исходя как из личного, так и из коммерческого интереса, желание взломать чужой аккаунт подогревается бумом социальных сетей. Если раньше было возможно зайти на хакерскую страницу, чтобы купить хакерский инструмент, то теперь можно приобрести хакерскую услугу от разработчиков вредоносного ПО и людей, специализирующихся на вторжение в чужие профили.
Хакерские услуги становятся всё более профессиональными, с гарантией возврата денег, и при том, что, разумеется, хакерство остаётся вне закона, такие услуги остаются востребованными у людей со специфической мотивацией. К тому же возможность приобретения хакерских услуг, а не самостоятельное занятие хакерством, немного удаляет человека от преступления и таким образом делает их более привлекательными.
Советам директоров пора навёрстывать упущенное
Дни, когда можно было просто «быть как все» и полагаться на команду по IT-сервис-менеджменту в плане вашей кибербезопасности, прошли. И они уже не вернутся. Поддержание имеющегося уровня кибербезопасности должно продолжаться, но уже сегодня требуется сделать гораздо больше на стратегическом уровне, чтобы определить, где и как вами будут взяты на прицел будущие киберугрозы. Советам директоров нужно многое наверстать, чтобы улучшить своё понимание кибербезопасности. И это происходит вовсе не потому, что советы директоров не хотят вовлекаться в процесс, а просто потому, что кибербезопасность традиционно не была ключевой заботой предприятий, каковыми были, скажем, финансы или маркетинг. Советы директоров попросту не испытывают уверенности в своих компетенциях в этой области и нуждаются в правильной профессиональной поддержке. Значительные штрафы по GDPR, как, например, штраф в 183 миллиона фунтов стерлингов, который выставили Британским Авиалиниям в начале 2018 года, определённо помогут привлечь внимание к проблеме кибербезопасности на уровне совета директоров. Это должно привести к улучшению связи между бизнесом и кибербезопасностью, а также к более правильному инвестированию.
Подробности: http://sforp.ru/news/_mostInterest/16.htm#938
