Алексей Лукацкий
Алексей Лукацкий: «Мы должны обнаруживать угрозы раньше, чем они появились, как бы странно это ни звучало»

11 июня обновленную стратегию компании в области ИТ-безопасности раскрыл эксперт Cisco по вопросам информационной безопасности Алексей Лукацкий. По его словам, изменившийся под влиянием мобильности и облачных вычислений ландшафт угроз диктует необходимость перехода к новой модели безопасности. Эта модель подразумевает использование широкого набора инструментов защиты информации, таких как межсетевые экраны, виртуальные частные сети, средства предотвращения вторжений и др. При этом в Cisco исходят из того, что в сегодняшних условиях невозможно обеспечить стопроцентную безопасность данных превентивными средствами защиты.

«Либо эти средства не успеют обновить данные об угрозах, либо в них окажется уязвимость, ранее не проявившаяся, либо какое-то средство вообще будет установлено не в той точке, откуда пришел вредоносный код», — замечает Лукацкий.

Это значит, что помимо установки системы защиты, отслеживающей потенциальные угрозы до их появления на границах сети, предприятия должны быть готовы обезвреживать сложные целенаправленные атаки в процессе их реализации. Такие задачи решают технологии, связанные с антивирусной защитой и обнаружением аномальной активности.

Также предприятия должны быть готовы к тому, что вредоносный файл все-таки попадет во внутреннюю сеть и нанесет определенный урон. В этом случае на помощь придут технологии, которые позволяют, оперативно обнаружив атаку, локализовать ее, не дать зловредному коду распространиться по всей защищенной сети.

Таким образом, современная модель безопасности по Cisco опирается на противостояние угрозам на трех этапах – обнаружения, локализации и устранения последствий от нападений. По сути, речь идет о непрерывном противостоянии угрозам.

«Как всем известно, уровень безопасности сети определяется безопасностью ее самого слабого звена, поэтому необходимо реализовать полноценную защиту и на уровне сети, и на уровне отдельных устройств (в том числе мобильных), и на уровне виртуальных машин, и на уровне облачной инфраструктуры (если мы отдаем приложения или часть информации во внешние облака). То есть защита должна быть комплексной, а не точечной», — заявил Лукацкий.

Cisco формирует продуктовую линейку именно по этому принципу. Причем использует его и в целях собственной информационной безопасности, применяя свои средства защиты в своей корпоративной сети.

«На этапе появления угрозы перед границей сети мы используем межсетевые экраны, VPN-решения, технологии аутентификации и контроля доступа. На этапе реализации угрозы применяем системы контентной фильтрации, а также системы обнаружения и предотвращения вторжений. А на последнем этапе, в случае проникновения во внутреннюю сеть, задействуем технологию обнаружения аномальной активности Cisco Cyber Threat Defense и новое решение приобретенной недавно компании Sourcefire – Advanced Malware Protection. Последняя технология позволяет оперативно выявлять вредоносный код. Это не просто антивирус (хотя в данный продукт встроена антивирусная защита), это полноценная система обнаружения неизвестных угроз, которые могут атаковать на уровне сети, на уровне мобильного устройства, стационарного компьютера или виртуальной машины и облака», — поясняет Лукацкий.

Он указывает на сложность построения комплексной защиты, обусловленную множественностью применяемых решений. Например, у Cisco имеется восемь разных типов межсетевых экранов: один для средств виртуализации, другой для периметра сети, для маршрутизации — третий, для коммутации — четвертый, для облаков – пятый, и т. д. Это все разные реализации технологии межсетевого экранирования Cisco. В этой связи чрезвычайно актуальной становится задача объединения разноцелевых защитных средств в интегрированную систему с общими для всех подсистем контролем и управлением.

Cisco предлагает решать эту задачу тремя способами. Во-первых, обеспечить как можно большую «видимость» и понимание того, что происходит в сети, так как, не видя происходящего, невозможно своевременно реагировать на инциденты. Cisco многие годы занимается сетевыми технологиями, и ей гораздо проще решить эту задачу, реализовав накопленные знания о сетевой архитектуре, протоколах, операционных системах и средствах защиты.

Во-вторых, Cisco объявила, что фокусируется на угрозах.

«Мы должны обнаруживать угрозы раньше, чем они появились, как бы странно это ни звучало. Мы должны уметь предвосхищать угрозы, еще не появившиеся в сетях заказчиков, и разрабатывать методы борьбы с ними», — пояснил эксперт Cisco.

И наконец, корпорация ставит задачу унифицировать платформу безопасности. Хотя продуктов для защиты предлагается действительно много, большинство из них построены по схожим принципам. Это позволяет на разных точках сети унифицировать подходы к управлению защитой и формировать осмысленные адаптивные политики безопасности.

«Под эти три стратегические задачи Cisco сейчас и подстраивает все свои действия», — заключил Лукацкий.