Современные компании тратят огромные средства на защиту собственных активов. Основной актив современной организации - информация. Именно поэтому информационная безопасность набирает большие обороты в последнее время. Доступность объекта атаки и механизмов реализации через Интернет усугубляют положение дел. То есть любой школьник может почитать пару статей о методах взлома и стать начинающим хакером , самое интересное, что он будет успешен на этом поприще, по той причине, что Интернет кишит уязвимыми ресурсами. От таких ребят вполне надежно защищают типовые решения защиты информации в корпоративном сегменте, это и комплексные решения по защите сетей, и продвинутая защита конечных точек с реализацией множественного функционала и другие решения.
Действительно, бизнес себя защищает от массовых и типовых атак, которые базируются на известных методах. То есть о них уже в курсе производители средств защиты и эти атаки становятся бесполезны. Но ведь когда-то они были успешны?
Вопрос: как о новом методе атаки становится известно? На самом деле это очевидно, но в понимании этого вопроса кроется серьезная проблема. О новом методе атаки узнают через ряд успешных взломов. То есть, до того момента пока производители средств защиты отреагируют некими мерами на новый вид атак, множество ресурсов и компаний оказываются успешно взломанными.Не самая низкая плата за нахождение и закрытие новой бреши в безопасности.
То есть злоумышленник априори всегда раньше находит и реализуют схемы атак, а эксперты по безопасности действуют реактивно, реагируя на новые угрозы.
Возникает еще один вопрос - в чем смысл безопасности, если она работает по принципу: появилась проблема - ищем решение. Более того, если нет прямого ущерба, то о новой проблеме ИБ могут и не догадываться, например во многих компаниях спокойно существуют бот-сети (зараженные компьютеры с единым центром управления на стороне злоумышленника), которые не наносят прямого ущерба, но являются весьма неприятной разновидностью вирусов и в какой-то момент могут применяться против себя самой.
Смысл, на самом деле тоже очевиден: лучше защищаться от известных проблем безопасности, чем не защищаться вообще. То есть возникает вопрос оценки рисков безопасности с разными показателями: стоимость защищаемых активов, вероятность реализации атак, стоимость защиты и т.д.
А как же быть с неизвестными атаками и техниками? Ведь иногда критичность информации настолько высока, что защищаться приходится и от того, о чем мы не знаем. Тут есть как минимум два ответа от экспертного сообщества:
- Защита от APT (advanced persistent threats, целенаправленные атаки) и zero-day (атаки нулевого дня - как раз неизвестные массовые атаки, которые только появились) - модные ныне темы
- Исследовательские группы и глобальные хранилища данных об угрозах // X-Force - Security группа компании IBM и GTI (global threat intelligence) - одно из названий (на примере McAfee) глобального источника информации об угрозах
Это и есть та часть безопасности, которая действует не РЕАКТИВНО, а ПРОАКТИВНО. То есть исследуются новые типы атак и уязвимостей до того, как о них узнают злоумышленники. Надо признать, что эта часть существенна, так как никто не скажет сколько активов было сохранено такими проактивными действиями (о, так называемых, скрытых героях и статистических особенностях хорошо написано в книгах Насима Талеба Черный лебедь и Одураченные случайностью, тут можно почитать обзор второй книги).
Учитывая два непрерывных процесса: поиск и реализация новых атак злоумышленниками и проактивное исследование новых способов взлома экспертными группами вопрос безопасности будет бессмертен, так как универсальной "пилюли" для защиты создано не будет никогда.
Secure your life!
