Большие Данные изменят природу управления сетевой безопасностью

Сегодня все организации в мире делятся на два типа: признающие наличие брешей в своей системе безопасности и еще не знающие об этом.

Существующие проблемы во многом обусловлены тем, что традиционный подход к обеспечению сетевой безопасности, построенный на стратегиях защиты периметра корпоративной сети, не работает. Согласно отчету 2014 Cyberthreat Defense Report, более 60% организаций в прошлом году стали жертвами одной или нескольких успешных кибератак. Статистика свидетельствует о неэффективности защиты периметра. Исследования показали, что от 66 до 90% всех выявленных брешей были обнаружены не организациями, в которых присутствуют эти бреши, а независимыми компаниями.

Одним из альтернативных вариантов, способных улучшить ситуацию с безопасностью, является модель нулевого доверия (Zero-Trust Model, ZTM). Этот агрессивный подход к обеспечению сетевой безопасности предполагает установление контроля за всеми имеющимися данными исходя из предположения, что каждый файл таит в себе потенциальную угрозу. К выдвигаемым требованиям относятся обеспечение безопасного доступа ко всем ресурсам, предоставление доступа только тем сотрудникам, кому это действительно положено, обязательная проверка систем и исключение какого-либо доверия к ним, инспектирование всего трафика, ведение журналов, наблюдение за функционированием систем, проектирование систем изнутри наружу, а не снаружи внутрь. Это упрощает построение концепции информационной безопасности. Предполагается, что никаких «доверенных» интерфейсов, приложений, трафика, сетей и пользователей больше нет и не будет. Старую модель («доверяй, но проверяй») следует инвертировать, поскольку последние бреши показывают, что если в организации принято доверять, то никаких проверок там не совершается. Первоначально новая модель была разработана Джоном Киндервагом из компании Forrester Research и продвигалась как необходимая эволюция традиционных перекрывающихся моделей безопасности.

Модель ZTM требует от компаний контроля за получением доступа сотрудниками и анализа внутреннего сетевого трафика. Привилегии доступа должны быть минимальными. Особую важность приобретает анализ журналов и использование инструментов, проверяющих реальное содержимое пакетов с данными.

Исследование, проведенное Forrester по заказу IBM, показало, что многие организации уже сейчас находятся на пути к внедрению ZTM. Поступающие от них отклики свидетельствуют о том, что основные концепции этой модели принимаются, даже если в организации не знают о ее существовании. И это обнадеживает — мы видим, что реализация ZTM в полном объеме уже не за горами. Конкретные действия респондентов (ведение журналов, проверка всего сетевого трафика и т. д.) подтверждают, что от 58 до 83% из них уже находятся на пути к поддержке концепции ZTM.

ZTM поддерживает Большие Данные

Использование модели ZTM приведет к генерации огромных объемов данных в реальном времени. Их анализ потребует от ИТ-администраторов погружения в файлы журналов, результаты сканирования уязвимостей, предупреждения, отчеты и т. д. Анализ Больших Данных позволит получить исчерпывающую картину состояния системы безопасности, поможет выявлять риски, определять степень их серьезности, оценивать важность активов, подвергаемых риску, и находить пути устранения брешей в системе безопасности.

Объединение ZTM с Большими Данными сулит и дополнительные преимущества. Весьма многообещающим представляется применение к данным, которые уже находятся в сети, методов поведенческого анализа. Это позволит предотвратить широкий спектр подозрительных действий.

По оценкам Gartner, анализ Больших Данных сыграет ключевую роль в выявлении кибератак. Если сейчас лишь 8% глобальных организаций применяют анализ Больших Данных для выявления угроз безопасности и мошеннических действий, то к 2016 году их доля вырастет до 25%. Большие Данные изменят многие продукты обеспечения безопасности компьютерных сетей, включая средства сетевого мониторинга, аутентификации и авторизации пользователей, выявления мошеннических действий. Они окажут заметное влияние на системы управления, оценку рисков и обеспечение соблюдения нормативных требований. Большие Данные изменят природу управления безопасностью, в том числе межсетевые экраны, антивирусы и системы предотвращения потерь данных. В ближайшие годы развитие инструментов анализа данных поможет повысить эффективность профилактических средств и автоматизированного управления в реальном времени.

И наконец, использование анализа Больших Данных в интересах сетевой безопасности будет способствовать эффективному сбору данных и полномасштабной оценке состояния всей инфраструктуры. Пока же процесс обнаружения источников брешей и оценка последствий их появления с изучением огромных объемов данных самого разного характера может растянуться на несколько месяцев.

В IDC предсказали, что ждет рынок Больших Данных и аналитики

• Сегмент визуальных инструментов анализа данных будет расти в 2,5 раза быстрее, чем остальная часть рынка средств бизнес-анализа. К 2018 году инвестиции в системы визуализации данных, удобные для самостоятельного применения всеми пользователями, станут обязательными для всех предприятий.

• В следующие пять лет затраты на облачные решения Больших Данных и аналитики будут расти втрое быстрее, чем на локальные решения. Обязательными станут гибридные облачные системы.

• Сохранится нехватка квалифицированного персонала. Только в США в 2018 году будет 181 тыс. рабочих мест для специалистов по углубленному анализу и впятеро больше — для работников с навыками в области управления данными и их интерпретации.

• К 2017 году основой стратегии в области Больших Данных и аналитики станет единая платформа данных, на которой работают средства управления информацией, анализа и поиска.

• В 2015 году ускорится рост применения приложений, выполняющих сложную и прогнозную аналитику, в том числе с применением технологий машинного обучения. Сегмент этих приложений будет расти на 65% быстрее, чем рынок приложений, не имеющих функций прогнозирования.

• 70% крупных организаций уже приобретают внешние данные, а к 2019 году этот показатель вырастет до 100%. Параллельно больше организаций начнут извлекать доход из своих данных, продавая их или предоставляя какой-то ценный контент на их основе.

• Внедрение технологий для непрерывного анализа потоков событий в 2015 году ускорится в связи с распространением технологий Интернета вещей, а среднегодичный темп роста рынка Интернета вещей на протяжении следующих пяти лет будет составлять 30%.

• Сегмент платформ управления принятием решений до 2020 года будет увеличиваться ежегодно на 60% — в связи с потребностями в систематизации процесса принятия решений и сохранении знаний о нем.

• Рынок систем анализа медиаданных — видео, аудио и изображений — за 2015 год вырастет как минимум втрое, на долю соответствующих инструментов будет приходиться большая часть всех инвестиций в технологии Больших Данных и аналитики.