28.05.2015 12:41
Новости.
Просмотров всего: 2300; сегодня: 3.

Три соображения, которые помогут выбрать решения в области аналитики киберугроз

Блог Джо Маленфанта (Joe Malenfant), менеджера компании Cisco по продвижению продуктов на платформе Threat Grid

Современный ландшафт угроз постоянно эволюционирует, и для того, чтобы соответствовать этой эволюции, индустрия информационной безопасности вынуждена дополнять возможности традиционных средств безопасности, просто реагирующих на уже произошедшие события, более современными, упреждающими средствами безопасности, действующими на основе аналитических данных. Аналитическая информация о киберугрозах — важная составная часть этого процесса.

Термин "аналитическая информация о киберугрозах" зачастую трактуется не вполне корректно. Исследовательская компания Garnter определяет его так: «основанная на фактических данных информация о действующих и потенциальных угрозах и опасностях в сфере ИБ, включающая сведения об активности, контексте, структуре, проявлениях, мерах противодействия, и помогающая принимать эффективные решения в отношении этих угроз и опасностей». Стоит отметить, что данное определение не включает в себя такое понятие, как «намерение». Это важно, поскольку «намерение» подразумевает, что угроза специально ориентирована на свою жертву, что, как известно, не всегда соответствует действительности. Очень часто случается так, что в реальной ситуации вредоносные программы атакуют случайные цели. В качестве примера можно назвать червь Stuxnet, который был спроектирован для того, чтобы атаковать иранские заводы по обогащению урана. Со временем, однако, он распространился по всему миру: его присутствие было зафиксировано, по меньшей мере, в 10 странах.

Говоря практическим языком, аналитическая информация о киберугрозах должна быть:

• тактической,

• контекстуальной,

• автоматизированной.

Тактика

С тем, что аналитическая информация о киберугрозах должна иметь непосредственное отношение к тем опасностям, которые наиболее актуальны для пользователя такой информации, наверняка согласится каждый. Но стоит задаться вопросом: что планируется делать с этой информацией после того, как она будет получена? Как правило, её объём настолько велик, что превосходит возможности как отдельно взятого человека, так и целой команды специалистов. В связи с этим эта информация должна поступать в таком виде, который позволил бы сразу, в автоматическом режиме применять ее в тех программно-аппаратных средствах защиты, что уже функционируют в организации. Защита должна обеспечиваться не людьми, а устройствами: межсетевыми экранами, почтовыми и интернет-шлюзами, системами предотвращения вторжений, — но это актуально только тогда, когда есть возможность постоянно совершенствовать работу устройств в плане предвидения новых атак и противодействия им. В противном же случае не может быть и речи о настоящей интеллектуализации средств защиты.

Контекст

В настоящее время понятие контекста переросло простые функции идентификации и получения дополнительной информации. Теперь в него включается ещё и понятие релевантности, то есть того, насколько информация соответствует конкретным потребностям заказчика. Очевидно, что если организация работает в сфере финансовых услуг, то для нее будет малоактуальна информация о киберугрозах, специфичных, например, для предприятий горной промышленности Южной Африки. Некоторые стандарты, например, STIX и CybOX, активно работают над учетом контекста, помогая структурировать данные различных технологий ИБ таким образом, что появляется реальная возможность отбирать наиболее значимую информацию для той или иной отрасли.

Автоматизация

Это кажется очевидным, но лучше повторить еще раз: аналитическая информация о киберугрозах должна поступать в действующие системы ИБ непрерывно и в автоматическом режиме. Причем «автоматический режим» не обязательно подразумевает разработку и интеграцию такой системы с нуля, а «непрерывность» не обязательно означает, что информация должна поступать ежесекундно. Для этих целей может быть вполне достаточно какой-нибудь не особо сложной технологии (например, API-интерфейса), обеспечивающей обмен данными с устройством.

Важным дополнением к глобальной аналитической информации о киберугрозах служит аналитическая информация локального характера, предоставляющая дополнительные уровни контекста и информированности. Такая информация базируется на анализе локальных сетевых данных организации и выявлении особенностей, характерных для конкретной инфраструктуры. Благодаря этому достигается еще большая степень интеллектуализации защитных устройств, а защитные меры могут быть адаптированы к специфике существующей вычислительной среды.

Не так давно лаборатория ESG опубликовала статью о проектировании систем ИБ, работа которых основана на активном использовании аналитической информации. В статье обсуждаются разнообразные компоненты таких систем, которые зачастую не принимаются в расчет до начала кибератаки (например, средства компьютерных экспертиз). Особого внимания заслуживает также информация, публикуемая на интернет-странице, посвященной технологии AMP Threat Grid. Там можно получить новейшую информацию и аналитические материалы об угрозах в сфере ИБ, а также ознакомиться с опытом внедрения технологий, использующих аналитическую информацию о киберугрозах.


Ньюсмейкер: cisco — 3787 публикаций
Поделиться:

Интересно:

325 лет назад Петр I издал указ о праздновании Нового года 1 января
20.12.2024 13:05 Аналитика
325 лет назад Петр I издал указ о праздновании Нового года 1 января
До конца XV века Новый год на Руси праздновали 1 марта. Эта точка отсчета была связана с тем, что в марте земля пробуждалась от зимнего "сна", начинался новый посевной сезон. С 1495 года Московский государь Иван III приказал перенести празднование Нового года на 1 сентября. Причин для...
19.12.2024 19:56 Интервью, мнения
Праздник к нам приходит: как поддержать атмосферу Нового Года в офисе
Конец года — самое жаркое время за все 12 месяцев, особенно для компаний. Нужно успеть закрыть все задачи, сдать отчёты, подготовить планы, стратегии и бюджеты. И, конечно же, не забывать про праздник, ведь должно же хоть что-то придавать смысл жизни в декабре, помимо годового бонуса.  Не...
Прозвища бумажных денег — разнообразные и многоликие
19.12.2024 18:17 Аналитика
Прозвища бумажных денег — разнообразные и многоликие
Мы часто даем прозвища не только знакомым людям и домашним питомцам, но и вещам, будь то автомобили, компьютеры, телефоны… Вдохновляемся цветом или формой, называем их человеческими именами и даем понять, что они принадлежат только нам и имеют для нас...
Советская военная контрразведка
19.12.2024 17:51 Аналитика
Советская военная контрразведка
Советская военная контрразведка появилась в годы Гражданской войны и неоднократно меняла свою подчиненность, входя то в структуру военного ведомства, то в госбезопасность. 30 мая 1918 г. учрежден первый орган военной контрразведки Красной армии – Военный контроль Оперативного отдела Народного...
Защитить самое ценное: История страхования в России
18.12.2024 13:22 Аналитика
Защитить самое ценное: История страхования в России
С давних времен человек стремится перехитрить свою судьбу. Люди желают знать, что будет, чтобы вовремя подготовиться к возможным перипетиям и обезопасить свое будущее. Вот только карты и гадалки в этом вопросе бессильны, куда надежнее справиться с рисками помогают...