До сих пор информационная безопасность отличалась мощнейшими тактическими технологическими средствами на фоне слабой стратегии, что вызвало сегодня откровенный разгул киберпреступности на фоне отсутствия радикальных средств борьбы с ней — большинство имеющихся сейчас инструментов лечат симптомы, а не причины. Однако есть основания считать, что ситуация начинает меняться. Признаки перемен можно увидеть прежде всего в действиях компании RSA (пожалуй, самой именитой в области безопасности) и не столь известной Cyveillance, которые почти одновременно предложили новое направление — ведомая (или стимулированная) безопасность: Intelligence-Driven Security или Intelligence-Led Security1.

Появление двух технологических подходов, радикально отличающихся от традиционных направлений защиты информации, заставляет по-иному взглянуть на эту область, где до сих пор пользователи занимали пассивную позицию по отношению к угрозам и были вынуждены применять то, что им предлагали производители средств защиты.

Опора на intelligence побуждает думать о противнике и избавиться от «крепостного» мышления, перейти к активному поведению, предполагающему анализ сведений из окружающей среды и динамичное реагирование на обнаруженные угрозы. Системы безопасности, построенные на принципах intelligence, позволят сочетать оборонительные действия с разведывательными, со сбором и анализом сведений из внешнего мира. Иначе говоря, безопасность должна обрести то, что называют системным подходом. Необходимо признать, что в любом конфликте противоборствующие стороны образуют одну систему, не зная свойств которой, нельзя добиться преимущества. Хотя это вроде бы очевидно, но на практике злоумышленники прикладывают все возможные усилия к всестороннему изучению жертвы, используя и методы социальной инженерии, и всевозможные технические приемы, однако обратного пока практически нет.

О системном подходе

Информационная безопасность часто определяется как «процесс обеспечения конфиденциальности, целостности и доступности информации», что оставляет много неясностей: например, что понимается под информацией и как такое свойство системы, как безопасность, может быть процессом? Как следствие, еще непонятно, что же такое системный подход к безопасности, который обычно определяется очень размыто: системный подход — это необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенных для обеспечения безопасности информационных систем.

Прежде всего отметим, что системный подход, или системное мышление, — это не общие слова и не благие пожелания, а нечто совершенно конкретное, начинающееся с глубинного понимания того, как вещи, входящие в одну систему и образующие одну систему, взаимно влияют друг на друга, и того, как поведение системы складывается из совокупности поведения компонентов. Примером системного мышления может быть рассмотрение природных экосистем или организаций и предприятий в виде единого целого, состоящего из разных компонентов. Системное мышление предполагает видение и решение любой частной проблемы как части целого, а не как реакции на какие-то отдельные возмущения или события. Системное мышление не есть что-то одно наперед заданное — скорее это знания и практики, образующие единую конструкцию, увязывающую составляющие систем с отказом от изолированного анализа тех или иных причин и явлений.

Основоположниками общей теории систем, междисциплинарной области исследования, включающей в себя различные аспекты изучения сложных систем в природе и обществе, были англичанин Герберт Спенсер, наш соотечественник Александр Богданов и австриец Людвиг фон Берталанфи. Большой вклад в развитие теории внесли также Анатоль Рапопорт, Грегори Бэйтсон и Умберто Матурано. Системное мышление предполагает опору на несколько основных положений:

  • любая система состоит из  отдельных  частей, имеет структуру (способ взаимодействия элементов системы посредством определенных связей) и состояние (положение системы относительно других ее положений);
  • все части системы прямо или косвенно связаны между собой, и если связи нет, то части принадлежат разным системам;
  • системы замкнуты, имеют границы, что есть границы, определяет наблюдатель;
  • система ограничена во времени и в пространстве, но это не значит, что все части системы расположены в одном месте;
  • системы могут быть вложены в другие системы или включать в себя другие системы;
  • система получает входные воздействия извне и посылает выходные воздействия вовне, в системе происходят процессы, то есть динамическое изменение системы во времени, в том числе процессы преобразования входных воздействий в выходные;
  • системы обладают свойством синергии (целое больше суммы отдельных частей).

 

Большие Данные и информационная безопасность

Компания RSA инициировала создание совета по безопасности для инноваций в бизнесе Security for Business Innovation Council, куда вошли ведущие специалисты по информационной безопасности из 1000 крупнейших предприятий со всего мира, ставящие своей целью выработку стратегии борьбы с неизвестными прежде типами угроз. Одна из первых рекомендаций, предложенных этой группой, состоит в постепенном переходе на модель Intelligence-Driven Security, движение к которой стало возможным после появления подходов, позволяющих применить технологии работы с Большими Данными в целях информационной безопасности. По сравнению с обычными системами SIEM преимущество Intelligence-Driven Security состоит в возможности анализировать существенно больший, чем прежде, объем самых разнообразных, не использованных прежде сведений. Например, вне рассмотрения были многие важные источники данных, обладающие низкой концентрацией сведений, относящихся к безопасности, либо данные с сомнительной достоверностью. Аналитика Больших Данных позволяет работать и с этой группой источников, учитывая все то, что составляет многообразие окружающего мира. Таким образом, подтверждается истина, понятная на уровне обыденного сознания, — чем глубже знание об окружающей среде, тем выше степень защищенности, чем больше данных анализируется, тем точнее будут суждения о всех контрагентах, с которыми предприятию приходится иметь дело, и открывается возможность выделить тех, чье поведение отличается той или иной аномалией. В целом хорошо масштабируемые системы, построенные на принципах Intelligence-Driven Security, должны обладать следующими свойствами:

  • использовать развитые подсистемы мониторинга для слежения за множеством разнообразных источников и создания синергетического эффекта в результате комбинирования сведений из разных источников;
  • включать автоматизированные средства для сбора и обработки Больших Данных, подготовки результатов в стандартизованной форме, доступной другим подсистемам;
  • иметь в своем составе централизованное хранилище, мощные аналитические инструменты и эффективные средства визуализации, совместно позволяющие извлечь из сырья полезные знания.

Внедрение новых подходов повлияет и на организацию работы службы информационной безопасности, координируемой центрами SOC (Security Operations Center). Сегодня такие центры уже развернуты на крупных государственных и частных предприятиях; пока они построены на проприетарных технологиях, однако наметилась тенденция к движению в сторону использования готовых стандартных блоков. Такие центры следующего поколения называют iSOC (Intelligence-Driven Security Operations Center) — они должны быть способны оценить все разнообразные угрозы из внешней среды и связанные с ними события для формирования целостного взгляда на проблему безопасности. Эти центры работают в режиме 24x7 и имеют в своем составе «контрразведчиков», обладающих квалификацией Security Data Scientist. Предполагается, что самые радикальные изменения в этом направлении произойдут уже в течение ближайших нескольких лет и будут проходить в нескольких проявлениях.

  • Интегрированное управление информационной безопасностью. Уже сейчас отмечается конвергенция SIEM с системами сетевого мониторинга; совместно они образуют единую платформу, способную анализировать все разнообразие данных, поступающих из множества источников. Таким образом удается объединить и унифицировать потоки входных данных, что обеспечивает возможность специалистам-аналитикам работать с комплексом угроз в целом, не распыляя свое внимание на отдельные проявления.
  • Управление средствами контроля идентичности и прав доступа. Следующее поколение средств IAM (Identity and Access Management) будет построено на постоянной оценке возникающих рисков и соотнесении этих рисков с возможностями существующих средств защиты. Такие средства называют нацеленными на решения (solution-aware) — они способны оценить степень риска в поведении пользователя, в частности при работе с критически важными информационными ресурсами, даже после того, как он прошел процедуру аутентификации, при этом учитывается все: история, детали текущего поведения и многое другое, что может позволить выявить отклонения. При этом специалисты будут исходить из того, что заранее невозможно представить все сценарии поведения и могут быть самые неожиданные повороты: нацеленные на решения средства IAM будут обладать более высокой степенью гибкости и адаптируемости, чем нынешние жесткие системы.
  • Предотвращение утечек. Будущие системы защиты от утечек смогут распознавать финансовые, транзакционные и другие возможные утечки, а их аналитические способности позволят обнаружить различие между нормальными и вредоносными потоками данных. Основную роль здесь будут играть системы, относящиеся к классу «разведки сессий и анализа поведения» (session intelligence and behavior analysis), — например, продукты компании Silver Tail Systems, недавно приобретенной RSA, и средства анализа поведения пользователей при работе с компьютером (clickstream analysis). В сопоставлении с бизнес-логикой процессов все эти средства позволят выделить пользователей с аномалиями в поведении.
  • Развитие систем руководства, управления рисками и соответствия нормативным требованиям. В системах GRC (Governance, Risk management, and Compliance) объединяются три близкие, но пока еще разделенные области: общие принципы руководства, управление рисками и подчинение регулирующим нормативам. Со временем системы GRC смогут работать в режиме реального времени и обеспечат поддержку принятия руководством компаний и менеджментом безопасных решений.
В итоге аналитика Больших Данных позволит в полном смысле этого слова создать кибернетические системы информационной безопасности.
 

 

Системный подход и проблема безопасности

Концепции вроде Intelligence-Driven Security настолько сильно отличаются от прежних представлений о безопасности, что эту новую парадигму можно сравнить с такими качественными переходами, как изобретение реактивной авиации или полупроводниковой техники. Такие переходы происходят не только в тех или иных материальных проявлениях, но и в сознании. Почему же до сих пор при создании средств обеспечения безопасности удавалось обходиться классическими решениями, не выходя за пределы традиционной инженерной, «ньютоновской», системы мышления? Ответ кроется в усложнении свойств окружающей среды — даже на уровне обыденного сознания понятно, что и системы безопасности по своей сложности должны соответствовать этой среде, что время простых решений кончилось. Строительство стен и заборов больше не спасает ни в физическом, ни в виртуальном мире.

Под влиянием демографических изменений, технологических инноваций, вовлеченности Китая в мировые экономические процессы, глобализации бизнеса и в условиях нестабильности арабского мира проблема безопасности в целом превращается в поле для общих действий различных ведомств и широкого круга междисциплинарных исследований, где информационная безопасность становится частью целого. Время изолированного существования информационной безопасности, определяемого близостью к спецслужбам, заканчивается — информационная безопасность становится таким же компонентом жизнеобеспечения, как общественная, транспортная, энергетическая и другие подобные службы, необходимые для поддержки социума. В этих условиях обеспечение безопасности превращается в одну из функций или форм управления наряду с административной, финансовой и прочими формами, следовательно, можно утверждать, что организация управления безопасностью должна подчиняться кибернетическим законам управления.

Из основ кибернетики известно, что сохранение и устойчивость систем подчиняются закону необходимого разнообразия, предложенному Уильямом Эшби. Закон устанавливает соответствие между разнообразием негативных и позитивных воздействий — это соответствие необходимо для сохранения состояния этих систем. Иначе говоря, разнообразие сложной системы требует управления, которое само обладает не меньшим разнообразием, — значительное разнообразие возмущений, воздействующих на большую и сложную систему, требует адекватного разнообразия возможных состояний системы (рис. 1). Если же такая адекватность отсутствует, то нарушается принцип целостности подсистем  —  недостаточного разнообразия элементов в организационном построении (структуре) частей. В соответствии с этим законом, с увеличением сложности управляемой системы сложность блока управления также должна повышаться. В приложении к информационной безопасности из закона следует, что по сложности и разнообразию защитные системы не могут уступать системам нападения — нельзя рассчитывать на то, что простыми мерами можно гарантированно обезопасить себя в условиях сложной окружающей среды.

Рис. 1. Стабильность систем по Уильяму Эшби. Условие стабильности: количество связей у контроллера больше, чем у контролируемого устройства
Рис. 1. Стабильность систем по Уильяму Эшби. Условие стабильности: количество связей у контроллера больше, чем у контролируемого устройства

 

Стремление найти простые решения приводит к серьезным просчетам, и из истории известны примеры многообещающих по замыслу оборонительных сооружений, оказавшихся бесполезными в силу изменившихся условий,  —  те, кто их строили, создавали свои монстры в расчете на угрозы вчерашнего дня. Так получилось и с Линией Мажино, этой известной европейской версией Великой Китайской стены. Благодаря своей мобильности, немецкой армии удалось сделать то, что тысячу лет было не по силам северным соседям Китая: она просто обошла препятствие через Арденны, сделав титанические усилия строителей напрасными.

Нечто подобное происходит с современными информационными системами, выстроенными, как укрепленные рубежи, которые тем не менее вполне возможно обойти, и о такого рода успешных атаках сегодня сообщается с завидной регулярностью. Самый последний пример — массовая кража персональных данных пользователей Twitter, случившаяся в начале февраля 2013 года. Общепринятая трехсторонняя схема обороны-нападения, предполагающая наличие злоумышленников, совершенствующих методы нападения, производителей средств защиты и потребителей, вынужденных постоянно обновлять предлагаемые им средства обороны, еще продолжает действовать, но, как и Линия Мажино, безнадежно устарела и неспособна отразить новые угрозы.

Моральное старение существующих систем безопасности вызвано рядом причин. За последние несколько лет радикально изменились не только оружие и цели агрессии, но и совершенно иным стал состав нападающих — сегодня это команды профессионалов. Вирусам, червям и всему остальному, что можно было остановить на периметре, на смену пришли целенаправленные устойчивые угрозы (Advanced Persistent Threat, APT), способные неспешно, но целенаправленно искать потенциально слабые звенья обороны целевого объекта. В процессе нападения шпионская программа может подстраиваться и адаптироваться к атакуемой среде. В результате атаки APT могут быть похищены данные, составляющие интеллектуальную собственность, планы действия в аварийных ситуациях и другие критически важные сведения, а также могут быть выведены из строя промышленные установки.

Полноценных средств противодействия APT еще нет, и пока разумно использовать две группы технологий: системы обнаружения вторжений (Intrusion Detection System, IDS) и системы противодействия вторжениям (Intrusion Prevention System, IPS). Первые информируют администратора о потенциальных нарушениях, чтобы он предпринял хоть какие-то, лучше нестандартные, действия, а вторые работают в потоке трафика и сами могут блокировать обнаруженные аномалии. Системы IDS/IPS можно разделить на два типа: сетевые (network-based) и серверные (host-based). Есть также системы управления информацией о безопасности и текущих событиях (Security Information and Event Management, SIEM), которые тоже делятся на два класса: на системы управления информацией о безопасности (Security Information Management, SIM) и на системы управления событиями (Security Event Management, SEM). Первые используются для работы с регистрационными данными — данные собраны, их нужно анализировать и готовить отчеты. Системы SEM обрабатывают данные в реальном времени и могут быть использованы для обнаружения APT. В ближней перспективе следует также развивать существующие защитные межсетевые экраны и создать экраны следующего поколения (Next-Generation FireWall, NGFW) — экраны веб-приложений (Web Application Firewall, WAF) и экраны XML (XML firewall). Для нейтрализации атак APT можно использовать технологии Data Leakage Protection (DLP), нынешнее поколение которых использует семантические экраны и включает в себя автоматические средства обеспечения безопасности. Под семантическим экраном понимают сервис, сосуществующий параллельно с обычными межсетевыми экранами и способный оценивать входящие и выходящие сообщения с учетом множества разнообразных факторов: контекста, истории, содержания, правил безопасности в защищаемом домене и т. д. Для создания семантического экрана необходимо на языке OWL определить онтологии, соответствующие избранной концепции безопасности.

Однако при всех своих достоинствах перечисленные средства можно рассматривать лишь как временные меры, на смену которым должны прийти серьезные аналитические технологии, способные использовать все многообразие данных из внешнего мира. По оценкам аналитиков Gartner, уже к 2016 году до 40% крупных предприятий будут использовать методы анализа Больших Данных для распознавания той или иной угрожающей активности. Для этой цели будут применяться системы SIEM нового поколения, причем, скорее всего, это будут не отдельно стоящие системы, а специально ориентированные на обеспечение безопасности и интегрированные в более общие системы анализа бизнес-процессов. Уже сегодня можно говорить о возникновении науки о данных в привязке к безопасности, Security Data Science, и востребованности новой категории специалистов, Security Data Scientists, способных применять разные методы анализа к задачам безопасности.

Примерно в середине нулевых стал использоваться термин Intelligence-Driven Security, и случилось это за несколько лет до того, как в индустрии стали обсуждать концепцию Больших Данных. Второй вариант обозначения нового направления в обеспечении информационной безопасности — Intelligence-Led Security, скорее всего, был предложен журналистом Доном Верноном, приближенным к американским спецслужбам, автором статей и книг о киберугрозах и кибероружии, который одним из первых выпустил специальный отчет, где заявил о необходимости применения при защите аналитических подходов, адекватных по сложности средствам нападения. В 2012 году идеи Intelligence-Driven Security взяла на вооружение компания RSA  —  аналитика перестала быть уделом избранных и нашла применение в самых разных областях, поэтому ее внедрение в системы обеспечения  безопасности  выглядит совершенно естественным.

 

Заслоны на пути АРТ

Число APT за 2012 год возросло в четыре раза, еженедельно происходит свыше 600 успешных атак, ежеминутно совершается 18 киберпреступлений, а каждое шестое мобильное приложение содержит код, угрожающий безопасности персональных данных пользователя. Как говорится в отчете 2012 Norton Cybercrime Report, ущерб от преступлений такого рода составил 110 млрд долл. Примечательно, что наблюдается смещение преступности в область социальных сетей, почти 40% которых уже стали жертвами злоумышленников. И это неудивительно — менее половины сетей предпринимают хотя бы какие-то защитные меры. Кстати, статистика дает и неожиданные результаты — собственные информационные системы предприятий чаще становятся предметом успешных атак, чем ресурсы, размещенные в облаках (соотношение примерно 3:1), что опровергает распространенное мнение о ненадежности облачных решений.

Для борьбы с киберпреступностью нужна новая стратегия выстраивания всех процессов противодействия, и прежде всего — разведка. Ведь сегодня мы слишком мало знаем об организованных группах, от которых исходят угрозы APT, — это далеко не любители, и противопоставлять им отдельно взятые технические решения бесполезно. Время простых решений ушло, и сейчас востребованы совместные действия, кооперация производителей системного, прикладного и защитного ПО. Не следует забывать, что огромная ответственность лежит и на самих пользователях, без их невольного пособничества многие атаки остались бы безуспешными. Например, атаки на промышленные объекты, где, казалось бы, стоят компьютеры, изолированные от внешних сетей, удаются благодаря методам социальной инженерии — подброшенным флэшкам, нарушенным правилам эксплуатации рабочих программ, дырам в безопасности мобильных устройств инженеров и т. д.

Готового законченного решения по борьбе с APT нет пока ни у одного производителя — видимо, их быть и не может. В арсенале Symantec, например, есть такие продукты, как:

  • Symantec Endpoint Protection с технологией Insight — блокировка подозрительных файлов;
  • Critical System Protection — предотвращение запуска неавторизованных приложений и их дальнейшая инфильтрация;
  • Managed Security Service — мониторинг сетевых вторжений с обнаружением нестандартных ситуаций и подозрительного трафика;
  • Data Loss Prevention — оценка передаваемых данных на предмет наличия конфиденциальной информации.

Применение этих и других средств дает свои плоды: например, в феврале 2013 года совместно с Microsoft и при участии правительственных организаций США удалось прекратить деятельность глобальной сети киберпреступников, которая при помощи ботнета Bamital контролировала сотни тысяч компьютеров по всему миру и приносила злоумышленникам не менее 1 млн долл. в год. Этот ботнет был обнаружен еще в 2009 году, но только сейчас удалось его полностью ликвидировать. Bamital заражал системы, распространяя вредоносные файлы через пиринговые сети, изменял результаты поисковой выдачи, перенаправляя пользователей на рекламный контент, что позволяло злоумышленникам получать миллионы дополнительных кликов на рекламные баннеры определенных компаний. Кроме того, при помощи ботнета преступники могли устанавливать на зараженные компьютеры вредоносные программы для кражи персональных данных пользователей.

  Булент Тексоз (bulent_teksoz@symantec.com), эксперт компании Symantec по вопросам стратегии информационной безопасности и киберпреступности.

 

Intelligence-Driven Security

Данное направление определяют как «знание о киберпротивнике и его методах в сочетании с осознанием потенциала организации и той доктрины, которую она может противопоставить». Цель защиты состоит в формировании действенного Actionable Intelligence — знания, которое позволяет принимать решения с учетом возможных рисков. Это знание извлекается путем анализа данных класса cyber-risk data, которые собираются и анализируются для предсказания, предупреждения, обнаружения и защиты от кибератак. Такие данные могут быть получены из открытых источников (например, сайтов), получены по собственным каналам предприятий и национальных спецслужб. Разнообразие форматов этих данных очень велико: устные сообщения, электронная почта, новостные потоки, сведения от разных устройств, собирающих данные.

В RSA выделяют шесть этапов создания системы безопасности класса Intelligence-Driven Security (рис. 2).

Рис. 2. Шесть этапов создания Intelligence-Driven Security
Рис. 2. Шесть этапов создания Intelligence-Driven Security

 

Простое начало. При создании сложных вещей часто приходится начинать с простых мер организационного порядка, в данном случае — с выделения критически важных информационных активов, подлежащих защите. Организация обязана знать, какие активы наиболее приоритетны с позиций безопасности, где они размещены и в чьем они ведении. Вторая организационная мера — создание специального центра SOC (Security Operations Center) или команды быстрого реагирования CERT (Computer Emergency Response Team), то и другое может быть либо в составе организации (в случае большой компании), либо в ведении провайдера услуг безопасности. В любом случае эти коллективы должны осуществлять постоянный мониторинг угроз. Третий подготовительный шаг — оценка рисков (risk assessment), предполагающая соотнесение ценности защищаемых активов с опасностью угроз (threat assessment), для того чтобы получить оценку возможной уязвимости (vulnerability assessment). Задача состоит в том, чтобы соотнести стоимость потерь с затратами на защиту. RSA рекомендует использовать для этой цели методики американского Национального института науки и технологий (NIST) и компании SANS Institute (SysAdmin, Audit, Networking, and Security).

Внедрение в сознание. Создание системы защиты должно начаться с внедрения в сознание руководства предприятия и других ответственных лиц преимуществ нового подхода и того, что он должен быть распространен на деятельность всех и каждого. Важно уяснить, что речь идет не просто о повышении уровня безопасности, а о том, что проактивная безопасность экономически более эффективна. Эта деятельность должна быть дифференцирована в приложении к разным работникам: высшее руководство должно научиться принимать решения с учетом рисков, финансовое — обеспечивать фонды на новую стратегию, управление кадрами — мониторить деятельность персонала и т. д. При этом следует четко понимать, что перестройки такого масштаба быстро не осуществляются, поэтому необходимы, может быть, мелкие, но текущие положительные сдвиги, так называемые быстрые победы.

Решение кадровой проблемы. Так же как и в области анализа данных, в сфере безопасности налицо кадровый голод — готовых специалистов нет и неясно, где их взять. Профессионал Cyber-Risk IntelligenceAnalyst intelligence — это человек новой квалификации, он совсем не похож на сотрудника нынешнего отдела информационной безопасности, в основном обладающего навыками системного и сетевого администратора. Он должен понимать, каких атак следует ожидать, как оценить риски, его работа связана с аналитикой и принятием решений. В отличие от нынешних «безопасников», обычно живущих в своем закрытом мирке, этот аналитик наделен социальными функциями: он должен контактировать с сотрудниками, быть пытливым, способным к расследованиям, использовать самые разные каналы, зачатую не только технические, для получения полезной информации. Поиск и взращивание таких людей — сложнейшая задача.

Создание источников. Чтобы вести эффективную разведку, необходимо постоянно развивать и расширять систему источников сведений об угрозах  — поиск таких источников должен стать постоянной составляющей деятельности служб информационной безопасности. В первую очередь нужно оценивать надежность источника, насколько полны и достоверны предоставляемые им сведения. Для этого стоит ответить на следующие вопросы: Можем ли мы с достаточной эффективностью получать, накапливать и использовать данные? В какой форме данные поступают — готовые к машинной обработке или требуется вмешательство человека? Достаточно ли хорошо организованы ручные и машинные процессы обработки данных?

Описание процесса. На этом этапе организуется технологический процесс защиты, который начинается со сбора данных, выделения среди них значимых, оценки рисков и заканчивается принятием решений. Движение в этом направлении носит итерационный характер — необходимые знания приобретаются в процессе работы, здесь действует механизм обратной связи: чем лучше понимание явления, тем лучше можно организовать процесс.

Автоматизация. Только на последнем этапе можно перейти к автоматизации, причем реализовать ее удается только сейчас, когда появились технологии, предназначенные для обработки больших объемов данных в режиме времени, приближенном к реальному. При этом надо понимать, что любые технологические средства лишь упрощают процедуры защиты, но не заменяют и не отменяют тот самый необходимый компонент — intelligence. Нет и не может быть одной «серебряной пули», эффективной против нынешних целевых долговременных атак класса APT.

Шаг в будущее

В январе 2013 года Cisco заявила о своем намерении приобрести необычную чешскую компанию Cognitive Security. Здесь удивляет не только неожиданное для индустрии ИТ название, но и тот факт, что исследования и разработки Cognitive Security, в основе которых методы искусственного интеллекта и теории игр, финансировали научные фонды армии США. Методология главного продукта компании, Cognitive Analyst, использует для обнаружения сетевых аномалий собственный кооперативный адаптивный алгоритм сетевой защиты CAMNEP (Cooperative Adaptive Mechanism for Network Protection), в котором реализованы пока еще малоизвестные подходы моделирования доверия (trust modeling) и поддержки репутации (reputation handling). Например, модуль подсчета доверия CTS (Cognitive Trust Score) позволяет оценить степень доверия к тем или иным данным.

***

Появление таких решений, как Intelligence-Driven Security, Intelligence-Led Security, Cognitive  Security, свидетельствует о формировании новой области знаний — науки о безопасности данных Security Data Science, объединяющей в себе различные методы анализа, статистики, машинного обучения и визуализации с целью поиска способов снижения рисков и повышения безопасности. Работать в этой области будут те, кого называют security data scientist, что по-русски, скорее всего, можно назвать как киберразведчик или, может быть, киберконтрразведчик.

*) Перевод слова intelligence варьируется в чрезвычайно широком диапазоне — от духа, ума и интеллекта до сбора агентурных сведений, разведки и аналитики. Применительно к Большим Данным все это подходит. — Прим. автора.