Дырявый щит и большие данные: как меняется кибербезопасность в эпоху слияния онлайн и оффлайн?

Игорь Ляпунов Автор

Люди обсуждают рабочие вопросы в корпоративной и личной почте, через Facebook Messenger, WhatsApp, Skype, Viber и так далее. Все это – дыры в системе безопасности компании, которые может использовать злоумышленник

Технологии развиваются эволюционно, пока не достигнут определенного предела, и тогда происходит революция, смена парадигмы. Сегодня мы стоим на пороге такой революции в кибербезопасности. Многие подходы, казавшиеся универсальными и незыблемыми, теряют свою актуальность, и на их месте возникают новые концепции. То, что сегодня видится как модная тема в узкой профессиональной сфере, завтра становится рядовым, привычным явлением не только в кибербезопасности, но и в жизни каждого человека.

Стеклянные стены или конец приватности

По данным TNS, в конце 2015 ежемесячная аудитория «ВКонтакте» составляла 46,6 млн человек, «Одноклассников» — 31,5 млн человек, Facebook — 21,7 млн. За ним идут «Мой Мир» с аудиторией 16,6 млн человек и« Живой Журнал» с 15,2 млн пользователей. Российская аудитория Instagram и Twitter по тем расчетам составила 12,3 млн и 7,7 млн. человек соответственно. В 2016 и начале 2017 аудитории социальных сервисов продолжали расти. Эти цифры дают представление о том, сколько людей фиксируют каждый свой шаг в цифровом мире.

Даже если у человека нет никаких аккаунтов в социальных сетях, всеобщий переход коммерческих сервисов в онлайн практически вынуждает оставлять «цифровые следы». Покупка авиабилетов, онлайн-шоппинг, заказ пиццы, вызов такси — все это ситуации, когда вы отправляете во всемирную паутину весьма чувствительную личную информацию — данные паспорта, ФИО, домашний и рабочий адрес, карту регулярных перемещений по городу.

Знает ли человек, куда эти данные уходят, кто их хранит, обрабатывает и для каких целей использует? Нет, в большинстве случаев не только не знает, но и не задумывается. Цифровой мир так тесно сплетается с реальным, что люди уже не делают большого различия между тем, чтобы рассказать друзьям забавную историю на вечеринке, и тем, чтобы запостить ее в Facebook. И уж конечно, люди не выбирают какие-то определенные каналы, когда нужно обсудить рабочие вопросы. В этой точке формируется следующее важное явление.

Исчезновение границ

Для службы информационной безопасности компаний это оборачивается двумя важными последствиями. Первое — это так называемое «размывание корпоративного периметра». Раньше, если компания хотела защитить свои информационные активы, вокруг них возводилась крепостная стена из средств защиты. Обеспечение информационной безопасности заключалось в том, чтобы защитить этот периметр от взлома изнутри (инсайдером) или снаружи (киберпреступником). Это основы основ, базовая идея, вокруг которой долгое время строилась система защиты любой организации.

Однако глубокое проникновение информационных технологий в нашу жизнь привело к слиянию онлайна и оффлайна, и это поставило новые вызовы перед службами информационной безопасности — следовать «периметровой» модели становится все труднее. Люди обсуждают рабочие вопросы в корпоративной и личной почте, через Facebook Messenger, WhatsApp, Skype, Viber и так далее. Все это – дыры в защищаемом периметре, которые может использовать злоумышленник.

В теории можно наложить запрет на все «неофициальные» каналы коммуникаций и постараться силой загнать сотрудника внутрь корпоративного периметра. Однако практика показывает, что в мире, где границы между цифровой и «аналоговой» реальностью стираются, запретительные меры больше неэффективны.

Антропоцентричная безопасность

Получается, что всего за два десятка лет индустрия прошла путь от возникновения самой концепции защищаемого периметра к созданию все более сложных и совершенных систем его защиты и затем — к полному устареванию этой модели. Но, как говорится, если не можешь предотвратить — возглавь. Компании учатся использовать человеческую психологию цифровой эры во благо корпоративной безопасности. И в роли главного вспомогательного инструмента здесь выступает концепция people centric security. Как следует из названия, в рамках этого подхода в центре внимания оказывается человек, а не информация, как было раньше. И основным инструментом безопасника становятся не запретительные меры, а мониторинг действий пользователя.

Gartner, одно из крупнейших мировых аналитических агентств, предрекает бурное развитие технологиям поведенческого анализа или User and Entity Behavior Analytics (UEBA). Теоретически поведенческий анализ действительно может оказаться в авангарде защиты от киберугроз уже в ближайшем будущем, поскольку его прикладное значение трудно переоценить. Офицер безопасности не может одинаково внимательно контролировать действия даже 200 пользователей, а что же тогда делать корпорациям со штатом в 10 000 сотрудников? Очевидно, необходимо создание системы, способной поставить в фокус внимания только нарушителей — как реальных, так и потенциальных.

Трудность пока состоит в том, что чисто технологически трудно выделить паттерны поведения, которые достоверно свидетельствуют об опасности. Говоря упрощенно, если человек пишет в мессенджере слово «откат», речь, безусловно, идет об откате, и на это нужно обратить внимание. Но кто в здравом уме станет так писать? Очевидно, что поведенческий анализ должен опираться на более «умные» алгоритмы, и сейчас надежды возлагаются на профилирование действий пользователя и выявление аномального поведения.

Суть этого подхода состоит в том, что система отслеживает действия человека за определенный период времени, формируя профиль его поведения как штатной единицы и пользователя информационных ресурсов. Как только человек отклоняется от своего стандартного профиля поведения, сотрудник службы безопасности получает уведомление. Причем возможно, что формально в этот момент сотрудник еще ничего не нарушает. Таким образом, технология стремится не только к выявлению нарушений по факту их реализации, но и к предиктивному анализу, способному предупредить службу офицера безопасности о грядущем нарушении. При этом сотрудник службы безопасности оперирует не списком разрешенных и запрещенных действий, а шаблоном стандартного и нестандартного поведения пользователей.

Читать также: Эволюция безопасности: от охранников к нейронным сетям

Большие данные как инструмент кибербезопасности

Чем больше информации о пользователе имеется в распоряжении сотрудника службы безопасности, тем точнее профиль сотрудника. Из этого следует, что поведенческий анализ в корпоративных системах неизбежно будет стремиться учитывать действия сотрудника за пределами компании и ее бизнес-процессов. Отсюда следует, что большое развитие получат технологии сбора и анализа больших объемов данных (Big Data). С точки зрения информационной безопасности, портрет пользователя, основанный на такой полной информации, которую могут предоставить большие данные, – это настоящий прорыв. Уже сейчас мы наблюдаем большой интерес корпораций к этой теме. Согласно результатам опроса, проведённого компанией Business Assurance совместно с исследовательским институтом GFK EURISKO, 76% компаний планируют сохранить или увеличить свои вложения в Big Data в течение ближайших двух-трех лет.

Анализ больших данных предоставляет уникальные возможности для предиктивного анализа проведения и, как следствие, возможности превентивно, а не постфактум реагировать на угрозы информационной безопасности. Средний сотрудник имеет множество учетных записей в самых разных системах — корпоративной почте, нескольких публичных почтовых сервисах, мессенджерах и облачных хранилищах. Как правило, действия человека в каждом отдельном аккаунте выглядят невинно, но их сопоставление моментально создает очевидную картину планируемого нарушения. Проблема в том, что для большинства современных систем все это — разрозненные сведения, из которых человек вынужден вручную складывать единую картину.

Вот кейс, который мы недавно наблюдали у одного из заказчиков. Из регулярного мониторинга внешней информации о сотрудниках служба информационной безопасности узнает, что сотрудник недавно зарегистрировал на свое имя юридическое лицо. Логи специализированных систем показывают, что профиль поведения сотрудника в CRM-системе изменился — сотрудник проводит за просмотром аккаунтов больше времени, чем раньше, но обновлений в них не вносит. DLP-система сигнализирует, что сотрудник переписывается с клиентами с gmail-адреса, который ранее не использовался. Если бы вся эта информация о каждом сотруднике не сводилась в единое персональное досье, служба информационной безопасности, скорее всего, пропустила бы этот инцидент. Ведь офицер безопасности в компании численностью около 500 человек ежедневно получает сотни уведомлений о возможных нарушениях. В таком потоке информации практически невозможно выделить «то самое» уведомление, особенно если само по себе оно не выглядит критичным. Когда речь идет о ручном сопоставлении логов различных систем, задача становится непосильной.

Аналогичным образом больших данные используются для защиты от внешних кибератак. Один из сотрудников другого нашего заказчика в какой-то момент стал вести себя необычно — он начал обращаться к корпоративным ресурсам, которыми ранее не пользовался. Такое отклонение от стандартного профиля поведения — это повод насторожиться, условно, «желтый» уровень угрозы. Но в сочетании с информацией со СКУД (система контроля и управления доступом) о том, что сотрудник сейчас вообще не на рабочем месте, уровень угрозы сразу стал критическим. Данные из различных источников, собранные воедино, позволили выявить кибератаку и, что самое главное, вовремя принять меры по противодействию.

Читать также: Нейросети для транзакций: как на деле работают «большие данные» в российских банках?

Эра визуальной аналитики

Однако пока анализ больших данных сопряжен с несколькими основными проблемами. Первая состоит в том, что ее хранение и обработка требует больших аппаратных мощностей. Если даже отбросить эту проблему (технически она вполне решаема), остается тот фактор, что агрегируемая информация о пользователях очень разнородна. Это видео, изображения, геотеги, текст и многое другое. Технологии их автоматического анализа и поиска корреляций пока очень несовершенны.

Но самая сложная задача состоит в том, что, работая с большими данными, мы неизбежно сталкиваемся с необходимостью представления полученной аналитики в понятном и простом виде. Ведь на самом высоком уровне, над системой, все равно находится человек, а вся серьезная аналитика многомерна. Скажем, как отобразить окружение человека? Сколько измерений у такой аналитики? Первое — это базовая информация о работе, семейном положении, второе – рабочие контакты, третье – геотеги, четвертое – темы, которые он обсуждает, взгляды и интересы. Это те самые колоссальные кубы информации, которые не отразить в виде двумерных срезов. Большие данные способны описывать еще более сложные структуры, которые должны быть понятны человеку. В этом смысле будущее за новыми средствами визуальной аналитики. Возможно, дополненная реальность, 3D-модели, наложенные на 2D-визуализацию, станут тем способом, который позволяет представлять сложные схемы взаимозависимостей и корреляций в понятном виде, то есть так, чтобы человек, стоящий над всем этим, мог воспринять всю полноту информации и сделать из нее дальнейшие выводы.

Мы присутствуем при возникновении глобальной новой парадигмы, способной изменить весь ландшафт рынка информационной безопасности. Новая концепция защиты информации опирается на мониторинг действий человека, а не движений информации, и уже сейчас очевидно, что она станет драйвером развития многих технологий, которые сейчас находятся в самом начале пути.