ИТ-безопасность: Почему антивирус больше не защищает?
Известный производитель антивирусного программного обеспечения предрекает скорую смерть традиционным антивирусным приложениям. В компании Symantec полагают, что привычное антивирусное ПО не отвечает нынешним требованиям ИТ-безопасности, а существующие меры защиты нуждаются в пересмотре.
Согласно их сообщению, основанное на сигнатурах обнаружение вредоносного кода позволяет предотвратить всего лишь 45% кибератак. Поэтому индустрия ИТ-безопасности переходит на новые, более эффективные методы защиты.
"Для успешной защиты от направленных атак, которые мы сегодня наблюдаем, необходимо заниматься не только их предотвращением, но также работать над их обнаружением и нейтрализацией. Одна лишь сетевая безопасность не решит проблему. Атаки киберпреступников используют слабость защиты и уязвимости в любом месте ИТ-инфраструктуры – от шлюзов до электронной почты и персональных компьютеров. Поэтому организациям необходима единая всеобъемлющая защита, охватывающая все объекты ИТ-инфраструктуры, учитывающая актуальную информацию об атаках и обладающая способностью реагирования на инциденты", – объясняет Брайан Дай, старший вице-президент Symantec по информационной безопасности.
Эволюция угроз
Современные киберугрозы кардинально отличаются от тех, которые существовали 10-20 лет назад. Если в конце 90-х мы боролись с банальными вирусами, которые могли случайно попасть на наш компьютер, то за последние 10 лет произошли радикальные изменения, говорит Владимир Илибман, менеджер по продуктам безопасности представительства Cisco в Украине.
"Если первые вирусы напоминали случайно брошенные камни, то современные вирусы можно сравнить с точечным оружием, которое имеет свою цель. Сейчас очень много направленных угроз – они направлены на частных и юридических лиц, они связаны с течением информации финансового и персонального характера. Также последние несколько лет мы наблюдаем такое явление как APT – Advanced Persistent Threat", – отмечает эксперт.
APT-атаки – это сложные постоянные угрозы, нацеленные на корпоративные сети конкретных компаний. Цель этих атак разнится: либо украсть конфиденциальную информацию, либо нарушить деятельность компании в целом. За последние несколько лет мы имели возможность наблюдать за подобными кибератаками на Google и New York Times. Фактически компании-гиганты, имея достаточно ресурсов для обеспечения своей безопасности, не способны полностью защититься от подобных сложных атак и угроз.
Фокус нынешних интересов киберпреступников смещается от просто бесцельных вирусов к атакам на конкретные компании и персоны, цель которых заключается в финансовых выгодах. "Времена, когда защита осуществлялась только на уровне компьютера или антивируса, давно ушли в прошлое. Антивирусы в виде программы на компьютере уже умерли, потому что они не обеспечивают ни необходимый уровень защиты, ни качество защиты, ни скорость защиты", – говорит Владимир Илибман.
Меняется не только ландшафт угроз, а и время атаки. Сегодня взломы осуществляются за минуты, а обнаружение угроз и устранение последствий занимает недели и месяцы. Поэтому традиционная система защиты уже не работает, и компании вынуждены искать новые модели работы.
Три кита безопасности
Представители индустрии информационной безопасности переходят к новой модели защиты – на смену традиционной модели, когда систему обносят забором, приходит новая модель, когда защита осуществляется постоянно и используются превентивные меры.
"Если раньше к безопасности было отношение, как к чему-то должному, то сейчас приходит понимание того, что угрозы могут быть существеннее, что безопасность – это не явление, а процесс. Безопасностью необходимо заниматься постоянно – и как только ты перестаешь ею заниматься, ты становишься открытым к различным угрозам", – говорит Алексей Бессараб, директор по технологиям представительства Cisco в Украине.
Фактически в компании Cisco новую модель защиты выразили в виде трех слов – до, во время и после:
1.До возникновения угрозы – принять меры для уменьшения возможных рисков.
2.Во время атаки – принять меры для уменьшения объекта атаки.
3.После атаки – выявить те системы, которые были заражены и очистить их, максимально уменьшить ущерб от атаки.
"Защита – это всегда процесс, а не одно устройство, как мы привыкли считать, – поясняет Владимир Илибман. – Новая модель безопасности построена на системе живого организма – мы принимаем витамины для профилактики, лечимся во время атаки и минимизируем последствия. Мы работаем на процесс – мы работаем до того как атака произошла, мы пытаемся максимально защититься на ранних стадиях, уменьшаем ущерб атаки во время атаки и стараемся устранить последствия атаки".
Поэтому, с его слов, на рынке наблюдается тенденция перехода на сервисы/услуги. Уже сегодня многие операторы в Европе и США предоставляют частному лицу готовую услугу, которую клиент использует как защиту.
Будущее ИТ-безопасности
Эксперты говорят, что на смену целевым кибератакам на корпоративные сети придут глобальные кибервойны, когда объектом атаки является не конкретная компания, а государственные интересы целой страны.
"Завтра, которое мы видим уже сейчас, – это переход от атак на отдельные компании к атакам на страны", – говорит Илибман. Тому примером уже могут служить киберстычки между США и Китаем, а также атаки на иранские ядерные объекты. Буквально на днях генпрокурор США Эрик Холдер выдвинул официальные обвинения против ряда военнослужащих Китая в связи с промышленным шпионажем посредством кибератак на крупные американские предприятия, в частности на US Steel Corp, Alcoa Inc и Allegheny Technologies.