— Рынок информационной безопасности за последние несколько лет изменился довольно сильно и явных трендов именно на нашем фронте работы несколько:
Классические антивирусы для защиты корпоративных клиентов уже практически не эффективны. Начался переход к антивирусам следующего поколения, которые работают на иных принципах.
Сегмент домашних пользователей в сфере ИБ все меньше воспринимается как сектор для заработка и всё больше сдвигается в зону маркетинга. Бесплатные, но качественные продукты для бытового использования повышают лояльность потенциальных заказчиков на корпоративном уровне.
Рынок SMB всё чаще сталкивается с проблемами, которые в секторе Enterprise решаются с помощью сложных и дорогостоящих систем. В SMB приобретать себе такие решения обычно не могут позволить, поэтому появился тренд на упрощение решений, которые стоили бы меньше, но позволяли решать задачи быстро и без участия дорогостоящих специалистов.
Мир не становится безопаснее, скорее наоборот. Группировки мошенников оттачивают технологии, сегментируются, усложняют свои схемы, постоянно появляется что-то новое. Удары по критически важной инфраструктуре тоже говорят о том, что это уже реальность, и глобально никто не застрахован на 100%. Уровень безопасности теперь оценивается по стоимости взлома и того, насколько эта цена адекватна поставленной заказчиком задаче.
— Современные антивирусы действительно больше не работают?
— Не в буквальном смысле, конечно, но их эффективность против современных вредоносных программ существенно снизилась. Классические антивирусы хорошо срабатывают в тех случаях, когда они обнаруживают в проверяемых файлах признаки известных вирусов на основе сигнатур (кусков вредоносного кода) и/или их описания.
Напомню, что сегодня в день появляется порядка 300 тысяч новых вредоносных программ. Мало того, что за таким потоком вредоносов сложно поспевать… Ситуация осложняется тем, что современные зловреды стали значительно «умней», прибегают к целому ряду ухищрений, благодаря которым для классических антивирусов чаще всего остаются совершенно незаметными. Например, попадание вредоноса в корпоративную сеть теперь обычно проходит в несколько этапов, каждый из которых для систем безопасности и антивирусов являются совершенно легитимными, поскольку по отдельности обычно угрозы не несут. А компиляция/перекодирование программного кода вредоносов для каждого конкретного компьютера делают сигнатурный подход у классических антивирусов практически бесполезным.
Для корпоративного уровня ситуация ещё более сложная, поскольку разработчики вредоносного кода научились определять, в какой среде находится и запускается программа. И если её запускают в специальной среде (песочнице), где вредоносность кода могут выявить интеллектуальные системы на основе поведенческого анализа, то программа просто не запускается, либо не проявляет своих вредоносных свойств, «прикидываясь» обычной и безопасной. По исследованиям компании LastLine уже порядка 1/3 всех вредоносов имеют встроенный блок для такого обхода песочниц.
— То есть под прицелом теперь абсолютно все?
— Всё упирается в экономическую целесообразность. Злоумышленники имеют возможность применять сложные и дорогостоящие решения для взлома обычных бытовых компьютеров, но экономически это не целесообразно. Поэтому идёт своеобразная сегментация по секторами и специализациям в сообществе тех, кто промышляет мошенничеством, хакерством и вымогательством. Работа у них строится так, чтобы это приносило прибыль. Там есть своя экономика, если можно так выразиться, и «бить пушками по воробьям» нет никакого смысла.
По бытовым пользователям обычно «работают» злоумышленники, которые специализируются на взломе персональных устройств с помощью вирусов, троянов и заражённых сайтов, на использовании шифровальщиков, а также на вымогательстве «за нераспространение» украденных персональных данных. Это не такая сложная задача, как кажется, и обычно группировки в этом сегменте проходятся по потенциальным жертвам «широким чёсом», рассчитывая подловить тех, у кого нет антивируса и вообще какой-либо защиты на устройстве, не установлены последние обновления системы или когда человек довольно беспечно относится к своей безопасности — открывает вложения в письмах от неизвестных отправителей и переходит по сомнительным ссылкам.
Другие специализируются на взломах организаций, где есть значительные средства и пытаются их увести. Это группировки, которые ориентируются на взломы банков и других финансовых организаций, мобильных операторов и т.д. Есть технологические специализации, когда мошенники фокусируются на бизнес-процессах и «узких местах» в системах, которыми можно воспользоваться в собственных интересах. Например, когда бухгалтер формирует платёж по системе «банк-клиент», и отправляемые в банк данные о платеже приходят в уже искажённом виде – может быть изменена сумма, валюта, банк и счёт получателя, хотя сама транзакция и для отправителя, и для банка будут легитимными, подтверждены всеми необходимыми сертификатами безопасности.
В целом произошло условное разделение: для домашних пользователей сложные угрозы обычно не применяются и для их защиты достаточно использовать хотя бы хороший антивирус. А для бизнеса классических антивирусов уже недостаточно, и их эффективность практически нивелирована новыми технологиями на стороне разработчиков вредоносных программ.
— Есть ли решение в сложившейся ситуации? Вы упомянули антивирусы следующего поколения…
— Да, решение есть. Антивирусы следующего поколения (далее по тексту АСП или NG AV), как класс продуктов, уже «созрели» и появился целый ряд достойных решений от разных производителей, таких как Sophos, Symantec, Trend Micro, SentinelOne, Microsoft, McAfee и т.д. Они работают на несколько иных технологических принципах, чем классические антивирусы, и поэтому зачастую могут быть запущены вместе с классическими на одном компьютере.
Основное отличие АСП от классических заключается в том, что поиск вредоносных программ, способных нанести ущерб, производится по поведению и на основе имеющихся знаний о возможных векторах атак, включая сложные и многоступенчатые. Это позволяет выявлять с одинаковой эффективностью как уже известные угрозы, так и совершенно новые, ещё не изученные.
Но как оценить, насколько АСП эффективны? Обычно, в таких случаях вспоминают про тестирования независимых лабораторий… И мы не будем исключением.
В качестве примера можно вспомнить про лабораторию MRG Effitas, которая уделяет основное внимание оценке эффективности программ безопасности при противодействии финансовым угрозам с использованием традиционных динамических тестов. Методология, используемая в их тестах, максимально приближена к условиям реального использования. Программа тестов называется «360 Assessments», поскольку затрагивает полный спектр вредоносных программ (всего их более 300) — трояны, бэкдоры, шифровальщики и т.д. Кроме динамических испытаний, лаборатория проводит тесты по проверке защиты от потенциально нежелательных программ, рекламного ПО, эксплойтов, измеряет уровень ложных срабатываний и влияние на производительность систем.
Тесты лаборатория MRG Effitas в мае 2018 года выявили, что эффективность определения уже известных угроз с помощью АСП приблизилась вплотную и даже превосходит эффективность классических антивирусов. В этом тесте впервые участвовал антивирус следующего поколения Sophos Intercept X, который и занял перовое место, показав удивительные результаты благодаря использованию совершенно новых технологий, которые стали возможными при использовании глубокого машинного обучения.
Важно отметить, что в отношении ещё неизвестных угроз АСП защищают с тем же успехом, что и известные, именно благодаря своему механизму работы. В отличие от классических антивирусов, которые привязаны к процессу обновления сигнатур.
Можно также вспомнить про удивительные результаты тестов лаборатории SE Labs (Simon Edwards Labs) за апрель-июнь 2018 года, когда были протестированы наиболее популярные антивирусы для оценки эффективности их защиты от распространенных веб-угроз и целевых атак в режиме реальных условий использования на платформе Windows 10 64-bit. Каждый антивирус там проверяется идентичным набором угроз (общее количество — 100), которые обычно представляют собой сочетание таргетированных (то есть целевых) атак на базе известных эксплойтов и web-угроз, распространенных в сети Интернет на момент проведения тестов. Результаты показывают, насколько эффективно новые версии антивирусов могут противостоять текущим и уже известным видам угроз в режиме реального времени.
Так вот, эти тесты показали, что Sophos Intercept X совершенно не уступает классическим антивирусам по эффективности, и при этом очень точен в аккуратности определения угроз (ни одного ложного срабатывания).
— Мы говорим о технологиях будущего или переход на решения следующего поколения уже начался?
Процесс перехода на новые, более технологичные и доступные решения, уже идёт полным ходом. Буквально в начале мая опубликована информация, что генеральный директор компании Symantec Грег Кларк подал в отставку из-за слабых доходов от направления кибербезопасности. В качестве причины слабых показателей продаж он указал следующее: «Symantec столкнулась с серьезным давлением со стороны так называемых продуктов для обеспечения безопасности конечных точек следующего поколения, многие из которых уменьшаю нашу клиентскую базу в течение последних пяти лет или около того».
Вперёд вырываются продукты, чьи разработчики заботятся о простоте использования, внедрении новых технологий, повышении эффективности при снижении требований к производительности и, что очень немаловажно, снижении цены внедрения/использования.
В последнем отчёте известной лаборатории NSS Labs за 2019 год по итогам расширенного группового теста Advanced Endpoint Protection (AEP) как раз рассматривались продукты с точки зрения двух параметров – «эффективность безопасности» и «совокупная стоимость владения решением за одну точку». Упомянутая компания Symantec в этом году попала в список лидеров, но серьёзно отстаёт от основной группы, где абсолютным лидером стала та же компания Sophos.
— Компания Sophos часто фигурирует в качестве лидера, но в Узбекистане она пока не особо известна.
— Это печально, но и поправимо одновременно. Компания Sophos присутствует на мировом рынке информационной безопасности уже более 30 лет, является лидером по ряду направлений и некоторые свои боевые продукты предоставляет для домашнего использования совершенно бесплатно. Например, на бытовые устройства можно бесплатно скачать и установить такие решения, как классический антивирус (Windows, Linux, macOS), антивирус для мобильных устройств (Android, Windows 10 и iOS), а также софтовый UTM для защиты домашней сети (до 50 устройств). Это такие же полноценные и рабочие продукты, что используются в компаниях. Рекомендую всем, они совершенно бесплатны. Доступ к скачиванию здесь .
— Когда говорят про «бесплатно», вспоминается поговорка про мышеловку. В чём подвох?
— Подвоха нет. Компания Sophos позиционирует себя как производителя решений для сектора SMB, хотя эти решения охотно покупают и в крупных компаниях. Но для домашних пользователей продукты предоставляются бесплатно. Это принципиальное решение, принятое в компании много лет назад. В том числе, благодаря этому решению, по всему миру более 100 миллионов человек используют решения Sophos каждый день.
— А что сегодня можно предложить для небольших компаний? Они часто сталкиваются с теми же угрозами, что и в крупных компаниях, но не имеют средств для дорогостоящих систем противодействия.
— Вы верно заметили суть проблемы. Думаю, что она ещё глубже из-за недостаточности компетенции, ведь в небольших компаниях обычно не могут позволить себе содержать высокоуровневых и дорогостоящих специалистов в области информационной безопасности, способных качественно отслеживать инциденты и расследовать их. Именно поэтому в последние годы стал актуален новый класс продуктов EDR (Endpoint Detection & Response). Лидерами разработок в этом направлении являются такие компании, как Carbon Black, Sophos, SentinelOne, CrowdStrike, Microsoft, Cisco и т.д.
Решения этого класса позволяют автоматизировать процесс расследования инцидентов и делать их быстро, буквально «на лету». Суть очень проста – сбор определённых данных с конечных точек и серверов, имеющих отношение к безопасности процессов и данных. В случае, если на одном из таких компьютеров обнаруживается вредоносное ПО, то EDR-решение автоматически анализирует имеющийся пласт данных и восстанавливает цепочку событий во времени, визуализируя её. Такое древо событий позволяет быстро понять, с кого из сотрудников начался инцидент, какие компьютеры и системы были задействованы, что именно могло быть дискредитировано. Благодаря EDR становятся очевидными вектор атаки и те меры, которые необходимо предпринять для минимизации ущерба.
Привлекательность данного класса решений заключается в большей доступности по цене, чем специализированные решения по расследованию инцидентов и выявлению сложных таргетированных атак. Кроме того, покоряет простота работы с EDR – система реально облегчает процесс расследования.
— Но ведь и это решение не является «панацеей». Что ещё Вы порекомендуете компаниям, чьи сотрудники читают наше издание?
— Информационная безопасность никогда не бывает избыточной
Batafsil | Подробно | Read more... InfoCOM
