Боб Гриффин RSA
БОБ ГРИФФИН: «Эффективная стратегия безопасности должна начинаться с понимания того, какие активы являются особенно ценными и могут стать мишенью для атаки»
Источник: RSA

Одним из главных препятствий для распространения модели SaaS предприятия называют отсутствие гарантированной безопасности данных. О том, откуда в реальности ждать атак на информационные ресурсы и как минимизировать соответствующие риски, в интервью нашему изданию рассказывает Боб Гриффин, главный архитектор систем безопасности компании RSA. Эксклюзивная беседа с ним состоялась на конференции RSA Conference Europe 2013, прошедшей этой осенью в Амстердаме.

Глава RSA Арт Ковьелло, открывая конференцию, сказал, что через несколько лет основной мишенью для атак станут приложения Больших Данных. Это очень тревожное предсказание. Вместе с тем Джо Голдберг, евангелист Splunk, во время своего доклада заявил: прежде Большие Данные были проблемой для информационной безопасности, теперь же они — ее решение. Звучит очень оптимистично. Где тут истина? Станут ли Большие Данные главной проблемой для безопасности? Или они станут главным средством обеспечения безопасности?

Вы задали очень правильный вопрос, поскольку эта тема находится в центре нашей стратегии. Что касается комментария Джо, наверное, не совсем правильно будет сказать, что Большие Данные всегда были центральным элементом безопасности. Например, мой опыт, да и опыт RSA в целом, базируется на двух главных областях — управлении идентификацией, или Identity management, и криптографии. Это не задачи защиты Больших Данных, это механизмы контроля, которые позволяют вам защищать ИТ-среду и данные пользователей. Много лет подход состоял в том, чтобы только защищать, это был оборонительный подход. Но нам тогда не нужно было защищать Большие Данные, потому что у нас их просто не было — мы не умели ни собирать, ни обрабатывать их. В 80-е годы, когда я начинал заниматься информационными технологиями и безопасностью, криптография была радикальной инновацией, которая позволяла защищать учетные записи пользователей и данные абсолютно новыми методами. И сегодня с Большими Данными, я считаю, мы достигли такого же уровня инновации. То, что мы сейчас можем делать с помощью технологий сбора и анализа огромных массивов информации, радикально отличается от того, что мы умели делать всего 5-10 лет назад. Технологии Больших Данных дают нам возможность быстро проанализировать ситуацию, когда кто-то проник в вашу ИТ-среду, быстро обнаружить это проникновение и отразить атаку. Вы можете представить себе последовательность мер, которая начинается с обычных методов защиты — моделей безопасности, периметров, антивирусов и пр. Все это по-прежнему обязательно. Но все равно найдутся злоумышленники, которые пройдут защитный периметр. Так вот сейчас благодаря Большим Данным появилась возможность обнаружить такое вторжение. Атаки становятся все изощреннее, но теперь любой профессионал в области информационной безопасности как в государственном, так и в коммерческом секторе может рассчитывать на помощь новых технологий, использующих Большие Данные. С другой стороны, появление приложений для Больших Данных, наряду с другими корпоративными приложениями, вызывает необходимость их защиты. Большие Данные дают возможность получать совершенно новую ценную информацию. И для нас всех очень важно помочь обезопасить эти приложения в связи с той огромной ценностью, которую они приносят. Мы сами в RSA пользуемся Большими Данными, и много организаций вокруг нас делают это, и они нуждаются в нашей помощи.

На конференции в ходе дискуссии об идентичности пользователей и их мобильных устройств вы сказали: «Нам нужна возможность управлять своей цифровой тенью». Как RSA может помочь пользователям сделать это?

Есть компании, напрямую занимающиеся цифровой тенью, например reputation.com, которая предлагает выявить все места в Интернете, где появляется ваше имя. Если вы, например, хотите, чтобы ваше имя не хранилось там-то и там-то, reputation.com поможет решить эту проблему. RSA не оказывает такого рода услуги, но она делает две очень важные вещи. Во-первых, мы предоставляем средства аутентификации пользователя для защиты информации на смартфонах. Например, на моем iPhone я пользуюсь RSA SecurID, нашей технологией, которая применяется как второй уровень авторизации. Если кто-то получит доступ к моему смартфону, то шансы моментально заполучить мои персональные данные и приложения просто путем подбора PIN-кода резко сокращаются. При этом компании могут пользоваться преимуществом удаленного управления устройствами. Если кто-то украдет смартфон, мы сможем удаленно уничтожить всю хранящуюся на нем информацию. К сожалению, мобильные устройства все чаще становятся целью вредоносного ПО и атак, как в свое время ноутбуки. Это явление стало особенно заметно в последние три года. По данным некоторых исследований, существует более миллиона видов вредоносного кода для мобильных платформ. Чтобы обеспечить безопасность данным на мобильных устройствах, также следует задействовать возможности, которые предоставляют их производители. Это могут быть простые биометрические технологии, работающие автономно на каждом устройстве, а могут быть сложные информационные системы защиты, вынесенные на уровень поставщика мобильных услуг, а также системы администрирования, разработанные для конкретной линейки смартфонов ее изготовителем.

Какое влияние окажет скандал, разразившийся вокруг тайной слежки со стороны Агентства национальной безопасности США, на архитектуру корпоративных систем безопасности? Придется ли менять какие-то принципы архитектуры, которые ранее считались эффективными?

Я не думаю, что архитектуру систем безопасности предприятий придется как-то менять. Главный вывод из этой ситуации состоит в том, чтобы выделить информационные активы, имеющие ценность и для вас, и для третьей стороны. Например, я часто путешествую по миру и беру с собой ноутбук, на котором хранится довольно много информации о моих изобретениях, являющихся интеллектуальной собственностью RSA. Когда я собрался поехать в Китай, эксперты по ИТ-безопасности EMC не разрешили взять этот ноутбук с собой. Я должен был взять подменный ноутбук, очищенный от ценной информации. То есть риски, связанные с потерей активов RSA только на моем ноутбуке, очень высоки. В Китае у нас есть центр разработок, но мы все равно внимательно оценили ситуацию и поступили так, как советовала службы безопасности. Атаки будут всегда нацелены на что-то привлекательное для третьей стороны – компаний, государства или криминала. Нужно очень тщательно оценивать свои активы с точки зрения этих рисков. Я считаю, что эффективная стратегия безопасности должна начинаться с понимания того, какие активы являются особенно ценными и могут стать мишенью для атаки, и как мы должны их защитить. Это справедливо как на персональном уровне, например для смартфона, так и на корпоративном уровне, для ноутбуков и серверов. На уровне страны тоже, например для критичной инфраструктуры и публичных людей. Я недавно встречался с техническом директором одной компании, участвующей в европейском проекте SmartGrid. Первое, что мы сделали, — определили наиболее критичные активы энергетической компании, которые могут стать целью для атак. Это, на мой взгляд, самый важный урок, который мы должны извлечь из инцидента с АНБ.

Несколько дней назад газета Deutschewelle опубликовала заметку, в которой упоминается предложение Deutsche Telekom построить в Германии национальную сеть Интернета, защищенную от внешних угроз. Как вы оцениваете эту идею? Насколько она реалистична? Может ли она принести долгожданную безопасность пользователям?

Я думаю, это великолепная идея. Уникальная роль, которую может выполнить телекоммуникационный провайдер, — это обеспечить безопасность всех соединений между пользовательскими устройствами и серверами инфраструктуры. Если такие компании, как Deutsche Telekom, говорят, что они готовы построить высоконадежные и безопасные сети данных, это очень позитивная новость. Также важно понимать, как будут поддержаны такие решения на национальном уровне. С учетом рисков и оценок устойчивости и надежности инфраструктуры нужно принять решение о том, будет ли привлекаться к созданию такой сети один или несколько провайдеров. Одним из важнейших изменений в разработке ИТ-систем и программного обеспечения стало осознание того, что такие сложные системы, как, например, предлагает Deutsche Telekom, вряд ли будут безупречно работать. Намного разумнее исходить из того, что что-то может случиться. И если так, то, вероятно, это означает, что должны быть альтернативы даже такому сверхпродуманному и надежному решению. И именно наличие разумных альтернатив будет двигать вперед развитие телекоммуникационной отрасли.

Сейчас многие предприятия приобретают ресурсы корпоративных приложений в публичном облаке. Какие риски связаны с переходом заказчиков к модели SaaS и как избежать этих рисков?

Сегодня организации испытывают серьезные проблемы с аутентификацией и управлением доступом к облачным приложениям. С переходом к облачным приложениям и повсеместным применением мобильных устройств пользователи просят службы информационной безопасности предоставить им доступ к тем активам, которыми организации, по сути, не владеют и не в состоянии ими управлять или контролировать. И тут не обойтись без глубокого понимания того, кому и какой доступ нужно предоставить, а кому отказать. К сожалению, традиционные средства идентификации и управления доступом (Identity and Access Management, IAM) нам такую возможность не обеспечивают. Поэтому RSA сейчас предпринимает усилия по созданию новой модели – Adaptive IAM, которая защищает так называемый ситуативный периметр предприятия, обеспечивая безопасность независимо от того, к какому ресурсу или данным обращается пользователь. Используя, в частности, технологии компании Aveksa, приобретенной в этом году, мы будем создавать решения, позволяющие заказчикам управлять идентификацией и доступом пользователей на основе политик безопасности как к традиционным корпоративным, так и к облачным приложениям. При этом системы Adaptive IAM должны уметь получать данные из сотен или даже тысяч источников, анализируя поведение пользователя и риски предоставления доступа к тому или иному ресурсу. При выявлении подозрительных активностей такие системы будут проводить дополнительную аутентификацию или авторизацию пользователя, прежде чем позволить ему обратиться к запрошенному ресурсу. И решение о предоставлении доступа система будет принимать на основе анализа подробного профиля пользователя и оценки рисков в режиме реального времени. Независимо от того, предоставляется ли сервис адаптивной идентификации из облака или из корпоративного ЦОД, новое поколение систем IAM должно легко встраиваться в существующую ИТ-среду. И конечно же, независимо от количества пользователей и масштабов ИТ-среды, и аутентификация пользователя, и другие сервисы IAM должны обеспечивать тот же самый уровень производительности и качества, к какому пользователи привыкли в корпоративной среде. Мы надеемся, что переход отрасли к новому поколению IAM начнется в самое ближайшее время.

Допустим, предприятие имеет лучшие защитные технологии. Но нет гарантии, что операционные системы и важнейшие бизнес-приложения совершенны. Они могут иметь неизвестные уязвимости. Как минимизировать эти риски?

Здесь следует выделить три важных аспекта. Во-первых, команда ИТ-специалистов на предприятии должна не просто выявлять угрозы, а вдумчиво наблюдать за процессами, происходящими в информационном пространстве. Нельзя просто сказать: «У меня есть этот инструмент безопасности, и этот инструмент, и этот инструмент, и поэтому мои данные полностью защищены». Ни одна технология не поможет, если она не интегрирована в процесс обеспечения безопасности, поддерживаемый знающими специалистами. Поэтому первое, что может снизить риск, о котором вы говорите, — это понимание того, что сами по себе защитные технологии (какими бы совершенными они ни были) мертвы, если они не являются частью системы, своевременно реагирующей даже на неизвестные уязвимости. Во-вторых, необходимо постоянно быть в курсе того, что происходит в индустрии информационных технологий. На рынке имеется большой выбор продуктов в области безопасности и множество приложений для бизнеса. Но ни одна компания, я считаю, не в состоянии инвестировать в каждую из предложенных технологий. Невозможно перепробовать их все и сказать: «Вот это самая надежная». Надо уметь выбрать оптимальный вариант с учетом потенциальных рисков потери или компрометации данных предприятия. Нужно все время думать – что может мне угрожать и как от этого защититься? Для каких-то ресурсов, возможно, лучшей защитой окажется даже не технология, а страхование. Например, на персональном уровне страхованием можно защитить вашу кредитную карту от риска кражи или потери. Поэтому нужно еще научиться верно оценивать эти риски. Решить задачи по выбору технологий и оценке рисков невозможно при отсутствии независимого взгляда на вещи, например такого, который предлагает пресса, специализирующаяся на освещении информационных технологий. И это третий важный аспект, который я хотел бы отметить. Итак, чтобы минимизировать риски, нужно не просто закупить лучшие защитные технологии, требуется организовать эффективный процесс обеспечения безопасности, основанный на знаниях, полученных в том числе из независимых источников.