На вопросы журнала отвечает Скотт ХАРРЕЛЛ, вице-президент компании Cisco по разработке решений для информационной безопасности.
– У Интернета вещей (Internet of Things) и его «продолжения» – Всеобъемлющего Интернета (Internet of Everything) масса преимуществ, но есть и недостатки, например, в виде возрастания рисков несанкционированного вмешательства в работу важных систем и процессов. Не думаете ли вы, что для исключения этих рисков в некоторых случаях было бы проще и дешевле создавать отдельные, замкнутые сети для важных систем и процессов, нежели вкладывать средства в защиту от всех возможных угроз в общей IP-сети? Имеет ли перспективы такой путь защиты от рисков?
– По сравнению с традиционными сетями Интернет вещей позволяет подключать гораздо больше разнообразных объектов, в том числе таких, которые никогда прежде подключенными не были или являлись частью закрытой сети. Подключение всего к единой конвергентной сети обусловлено требованиями бизнеса, требованиями повышения продуктивности работы. И от этой тенденции мы никуда не уйдем.
Кроме того, если мы проследим, как развивались многие закрытые системы, то увидим, что в силу той же бизнес-необходимости они становились открытыми. Когда система (сеть) открыта, можно производить мониторинг ее работы, отслеживать производительность, исправлять ошибки, модернизировать и т. д. Обеспечиваются прозрачность и управляемость сети: если кто-то попытается несанкционированно вмешаться в ее работу, мы можем своевременно обнаружить факт вторжения и попытаться предотвратить ущерб.
С точки зрения Cisco, прозрачность должна обеспечиваться в контексте как информационных технологий (ИТ), так и операционных технологий (ОТ), только в этом случае мы сможем защищать сеть от всех возможных угроз. Если пытаться разделять ИТ- и ОТ-домены сети, потребуются дополнительные усилия, чтобы обеспечить взаимодействие информационных и операционных технологий на том уровне, какой нужен бизнесу. Раздельная поддержка двух доменов сложна и затратна, не говоря о том, что кадровых ресурсов на рынке для этого недостаточно. Поэтому необходимо переходить к единой конвергентной сети. Да, при этом появляются новые угрозы, но нужно учиться с ними бороться. Впрочем, сам тезис о том, что разделенность операционных и информационных сред делает их более безопасными, неоднократно опровергался практикой. Вспомните хотя бы историю с червем Stuxnet: индустриальная система формально была изолирована от ИТ-среды, но это не помогло.
Думаю, специализации в сфере ИТ и ОТ будут все больше сближаться, подобно тому как в свое время «телефонистам» пришлось сближаться с ИТ-специалистами, когда «голос» ушел из аналоговых сетей в IP.
– Наряду с концепцией облачных вычислений (Cloud) Cisco ввела концепцию туманных вычислений (Fog), т. е. выноса части функций обработки информации на границу сети. Существуют ли принципиальные различия между системами защиты облачных инфраструктур и туманных инфраструктур?
– Централизованные инфраструктуры облачных провайдеров, как правило, имеют встроенные средства защиты высокого уровня. В случае распределенных инфраструктур, к каким относятся инфраструктуры Fog Computing, мы имеем дело с совокупностью дискретных систем, не каждая из них может содержать подобные средства защиты. Поэтому, чтобы воспользоваться преимуществами туманных вычислений, нужно иметь распределенную систему безопасности, полностью охватывающую все составляющие туманной среды.
Средства безопасности, которые используются в облачной и туманной средах, в сущности одинаковы. Различаются сценарии действия злоумышленников и риски компрометации систем. Так, если злоумышленник взламывает защиту крупного облачного провайдера, он сразу получает доступ ко всем компонентам облачной инфраструктуры. Если речь идет о вмешательстве в работу туманной инфраструктуры, злоумышленник может взломать один из узлов, а затем попытаться тиражировать атаку на остальные узлы.
Задача поставщика систем безопасности – обеспечить полную прозрачность защищаемой инфраструктуры, наблюдаемость того, что в ней происходит. Причем независимо от того, является эта инфраструктура централизованной или распределенной. Инструменты и системы защиты должны уметь работать на оба типа сред. Тем более что модель традиционных дата-центров уходит в прошлое: сейчас вся обработка информации становится распределенной, и система безопасности должна уметь обнаруживать угрозы в любой точке, где обрабатывается рабочая нагрузка. Именно к этому мы и стремимся.
– Насколько идея управляемых сервисов безопасности увязывается с идеей распределенной системы безопасности?
– Эти идеи очень хорошо увязываются. Задача владельцев распределенных инфраструктур усложняется как вследствие наличия множества дискретных систем, так и по причине появления новых угроз. Поэтому все больше организаций будут нуждаться в помощи специализированных провайдеров сервисов безопасности. Стоит напомнить, что на рынке информационной безопасности потребность в специалистах в 12 раз превышает предложение. Провайдеры управляемых сервисов могли бы помочь решить проблему недостатка кадров. Как производитель средств информационной безопасности Cisco очень активно работает с провайдерами управляемых сервисов.
– По вашему опыту, от каких категорий угроз заказчики предпочитают защищаться с помощью сервисов внешних поставщиков, в частности Cisco? Существуют ли в этой сфере запросы, которые пока невозможно удовлетворить?
– С помощью внешних сервисов заказчики защищаются от всех тех же угроз, от каких прежде пытались защищаться самостоятельно. Но провайдеры управляемых сервисов обычно обладают более развитой экспертизой и более опытными кадрами. Зачастую они лучше справляются с защитой от новейших, «продвинутых» угроз, особенно когда мишенью злоумышленников становится конкретное предприятие и под него целенаправленно разрабатываются комплексные атаки.
Но даже если заказчик получает управляемые сервисы из облака, какие-то средства безопасности все равно устанавливаются на его площадке. Локальные и облачные средства должны работать совместно. И конечно, локальные средства защиты тоже должны развиваться с учетом тенденций развития Интернета вещей и распределенных вычислений. Локальное устройство должно коммуницировать с другими устройствами безопасности в сети и с самой сетью. Предприятиям необходимы возможности гибкой настройки систем защиты, приоритезации угроз, быстрой реакции на ситуацию и пр., и если предприятие не использует для этого управляемый сервис, все должно обеспечиваться локальной системой. Непрерывный анализ больших объемов данных о работе множества сетевых устройств и об актуальных угрозах, который выполняется в облаке Cisco, позволяет понять, какие задачи можно поручить локальным устройствам и на какие аспекты их работы стоит обратить особое внимание.
– Сегодня нередко высказывается идея, что на предприятии не должно быть отдельно информационной безопасности, отдельно – экономической безопасности, отдельно – физической… Должна быть единая безопасность предприятия. Наблюдаете ли вы на рынке какую-то активность, которая позволяла бы говорить о движении в сторону комплексной безопасности?
– Пока мы не видим примеров полной интеграции физической, информационной и экономической безопасности, но наблюдаем повышение уровня коммуникаций между разными группами специалистов. Мы говорили о сближении операционных и информационных технологий. Думаю, в сфере безопасности происходит такой же процесс – движение к целостному подходу. Хотя до завершения этого процесса еще далеко.
Что касается Cisco, то мы пытаемся реализовать такую интегрированную безопасность в конвергентных продуктах, создаваемых совместно с партнерами. Например, в решениях по физической безопасности, интегрированных с IP-сетями. Для конвергентных решений обеспечиваются сквозной мониторинг происходящего в сети и устройствах безопасности, единое управление.
– Современные решения Cisco позволяют автоматически не только конфигурировать средства защиты, но и разрабатывать политики безопасности. Человеческий фактор сводится к минимуму. Во всех ли случаях это оправдано? Есть ли в сфере корпоративной информационной безопасности вещи, которые нельзя отдать на откуп автоматике?
– Я бы разделил этот вопрос на два. Первый: нужно ли стремиться автоматизировать все, что возможно? Мы уже говорили о возрастании сложности систем и о недостатке квалифицированных кадров. Мы просто вынуждены автоматизировать как можно больше процессов, чтобы то небольшое количество специалистов, которыми мы располагаем, могли фокусироваться на наиболее сложных и нетривиальных задачах.
Второй вопрос: все ли поддается автоматизации? В любой сфере периодически возникают новые задачи, с которыми мы еще не сталкивались. Такие задачи плохо поддаются автоматизации, для их изучения нужны люди. Чтобы эти люди могли работать эффективно, они не должны тратить время на выполнение рутинных и повторяющихся операций. А когда новая задача изучена, процесс построен, его тоже стоит по возможности автоматизировать. Если мы не будем отдавать максимум задач на откуп автоматике, современная система с ее постоянно возрастающей сложностью в конце концов окажется не по зубам даже самому искушенному специалисту.
