Александр Чигвинцев RSA
Александр Чигвинцев: «Существующие технологии неэффективны против APT, с опасностью может справиться RSA Security Analytics»

В 2011-м главное внимание было нацелено на обеспечение безопасности в облаках, в прошлом году — на мобильные устройства, в нынешнем — на целенаправленные устойчивые угрозы (Advanced Persistent Threat, APT) и средства анализа Больших Данных. В январе в США и в начале февраля в Москве RSA представила новый продукт — платформу RSA Security Analytics, которой предстоит стать фундаментом для следующего поколения систем, рассчитанных на отражение атак класса APT. Такого рода вредоносные программы создаются профессиональными специалистами, имеющими серьезное финансирование, их цель состоит в нанесении ощутимых материальных потерь коммерческим предприятиям и госструктурам. И пока действенных средств защиты от таких угроз почти нет. Представлявший новинку директор по работе с партнерами Александр Чигвинцев привел печальную статистику, свидетельствующую о чрезвычайно низкой эффективности существующих средств обороны от APT. Например, по данным IDC, антивирусное ПО обнаруживает только 1% такого рода атак, а крупный американский провайдер Verizon считает и эту цифру слишком оптимистичной. Инструментарий RSA Security Analytics призван исправить существующее положение.

Новый продукт создан на базе технологии NetWitness, приобретенной RSA в 2011 году вместе с одноименной компанией. В нем она сочетается с уже имевшимися у RSA собственными технологиями, а именно с системой управления информацией о безопасности и текущих событиях (Security Information and Event Management, SIEM), криминалистическими средствами Network Forensics и аналитикой Больших Данных.

Компания NetWitness, название которой буквально переводится как «сетевой свидетель», была создана Амитом Яраном, одним из самых известных сетевых контрразведчиков: помимо опыта работы в коммерческих предприятиях он еще одно время возглавлял венчурную компанию In-Q-Tel, работающую на ЦРУ. NetWitness получила широкую известность в 2010 году, когда ей удалось раскрыть ботнет Kneber. Решающую роль тогда сыграла технология Visualize, позволяющая аналитику увидеть особенности сетевого трафика и выявить его аномалии.

RSA NetWitness мониторит сеть и помогает извлекать из трафика существенную информацию. Продукт состоит из трех основных частей: специализированных устройств Decoder и Concentrator, а также интерактивного приложения для расследований Investigator. Функции между компонентами распределены следующим образом: Decoder собирает сырые данные (журналы) и пересылает их в хранилище, Concentrator собирает, индексирует и пересылает в хранилище метаданные о пакетах и журналах. Investigator поддерживает работу аналитиков. Плюс к перечисленному в продукте Security Analytics есть возможность передачи в хранилище результатов распределенных запросов из других приложений. Интеграцию обеспечивает подсистема RSA Archer eGRC (enterprise Governance, Risk management, and Compliance). Совокупность применяемых решений, объединение технологий обработки Больших Данных со средствами обеспечения безопасности позволяет аналитикам учитывать бизнес-контекст, с тем чтобы расставить приоритеты и перераспределить ресурсы в борьбе с угрозами, представляющими наибольшую опасность, существенно повысив общий уровень защиты информации.

В настоящее время на организацию атак APT у злоумышленников затрачивается немало труда и времени, поэтому такие атаки относительно немногочисленны и их целями становятся исключительно крупные предприятия. Обычно таковые имеют собственный штат специалистов по информационной безопасности и готовы на серьезные инвестиции, они способны использовать RSA Security Analytics в его нынешнем виде. Однако в предвидении скорой и неизбежной «демократизации» APT, когда объектами нападения могут стать предприятия среднего или даже малого бизнеса, RSA планирует доступ ресурсам RSA Security Analytics в виде сервисов, предоставляемых провайдерами.