Что бы Вы выбрали для защиты своего дома? Вы бы выбрали крепкий забор, набор охранных камер на заднем дворе, очень громкую сигнализацию или датчики движения для мониторинга темных углов? Или для оптимальной защиты Вы бы выбрали все из вышеперечисленного? Обеспечение безопасности Вашей корпоративной сети очень похоже на охрану дома.

Использование системы безопасности, которая основана только на одном типе технологии — это хорошее начало, но что остановит киберпреступников в их желании украсть у Вас ценную информацию, если они смогут найти способ обойти эту технологию? Точно так же, если компания стремится создать надежную и верную систему кибербезопасности, она должна искать решение, предлагающее множество взаимодополняющих вариантов с высокими показателями обнаружения и низким количеством ложных срабатываний. Другими словами, такую, которая будет ловить воров, но не среагирует, когда соседский кот решит прогуляться по газону.

И вредоносный код, и деятельность вредоносных программ может принимать самые различные формы, но их объединяет то, что они не хотят попасть в сферу контроля внедренных мер безопасности. Создатели вредоносного ПО затрачивают массу усилий, чтобы достичь этой цели, а их методы идут в ногу с прогрессом в области кибербезопасности.

Тем не менее, некоторые «продавцы правды» утверждают, что для того, чтобы противостоять всем кибер-угрозам компаниям нужен только один уровень защиты, который использует «последний» алгоритм машинного обучения. Никаких обновлений, облачных хранилищ, бессмысленных буферов. И разумеется, этим универсальным решением является та продукция, которую они продают.

Несмотря на последние успехи в области искусственного интеллекта, достигнутые, прежде всего, такими крупными игроками, как Google, Facebook и Microsoft, даже самые последние алгоритмы кибербезопасности не являются панацеей от всех угроз. По сути, они предлагают только один дополнительный этап, который может улучшить безопасность конечных точек, но который легко преодолеют злоумышленники при отсутствии дополнительных систем безопасности.

Если обход одного уровня защиты может привести к заражению, то диверсификация методов обнаружения вредоносных объектов, даже когда эти объекты модифицируются, затрудняют атаки, что соответственно ведет к их удорожанию и необходимости для злоумышленников кропотливо работать над изменением поведения их программ.

Почему чем больше, тем лучше?

Корпоративные сети похожи на сложные организмы. Они состоят из различных узлов — органов — каждому из них присвоена своя роль, приоритет и права. Процесс идентификации вредоносной активности в такой комплексной системе может оказаться запутанным и сложным, особенно если защита должна отслеживать все только с одного узла.

Это правда, что надежный периметр может повысить корпоративную кибербезопасность, освобождая конечные точки от необходимости постоянного сканирования каждого элемента на предмет вредоносной активности. Но если этот защитный барьер будет единственным на пути злоумышленников, как только они его преодолеют, их уже ничего не остановит.

Помните, что обход защиты — это ежедневный хлеб киберпреступника, и, как уже было неоднократно доказано, любую функцию или систему можно обойти, если приложить достаточно усилий. При использовании многоуровневых решений даже при обходе одной технологии остается множество других, которые сработают позже или в конкретной ситуации.

Таким образом, даже если вредоносная программа обладает хорошей маскировкой, чтобы не быть обнаруженной в электронной почте, это не означает, что она не будет заблокирована и удалена позже, когда она попытается нанести серьезный ущерб системной памяти. То же самое можно сказать о ситуации, когда вредоносный код, чтобы избежать обнаружения, затаивается на время или сидит несколько месяцев в системе, ожидая, когда определенный тип файла запустит последующие вредоносные процессы.

Можно обмануть даже самую умную машину

Многие  продавцы истины в последней инстанции возражают, что предлагаемые ими решения работают по другому принципу. Они говорят, что их технологии машинного обучения могут учиться локально и обнаруживать различные техники, используемые злоумышленниками. Но дело в том, что большинство методов киберпреступников развиваются и усложняются настолько, что могут обмануть даже новейшие, т.н. умные (интеллектуальные) машины.

В качестве примера давайте обратимся к стеганографии. Злоумышленники просто берут вредоносный код и маскируют его под безвредный файл, например, изображения. Если он тщательно замаскирован в пиксельных настройках, (зараженный) файл может обмануть машину, поскольку он практически неотличим от своего оригинала.

Фрагментация также может привести к тому, что алгоритм обнаружения выдаст некорректную оценку. Злоумышленники делят вредоносный код на части и прячут в нескольких различных файлах. Каждый из них сам по себе чист; только тогда, когда они все сводятся на одном конечном устройстве или сети, они начинают реализовывать вредоносные функции.

При использовании только одного уровня отслеживания такая активность может остаться незамеченной, поскольку «умному» алгоритму потребуется более сложная оптика, чтобы разглядеть проблему целиком. Если использовать разные технологии вкупе с комплексностью подхода и обязательными обновлениями, мы можем получить более полный обзор и успешно блокировать даже самые новые и сложные попытки атак.

Почему нельзя заблокировать эти техники?

Несмотря на то, что описанный выше подход может использоваться со злым умыслом, в других условиях он может быть совершенно законен. Все бизнес-клиенты разные, и конечные точки могут иметь самые разнообразные настройки. Некоторые компании, например, используют программное обеспечение или файлы, которые выглядят очень подозрительно, но абсолютно законно выполняют свои функции.

Разумеется, если Вы являетесь небольшой фирмой, предоставляющей услуги кибербезопасности, с десятками тысяч или, возможно, сотнями тысяч конечных устройств, Вы можете связаться с теми, на которых обнаружены проблемы. Но если их число возрастет до десятков или сотен миллионов?

 

Только многолетний опыт и метод проб и ошибок может помочь Вам в оптимизации решения, подходящего для такого солидного числа бизнес-клиентов. Аналогично, много лет уйдет на создание уровней защиты, которые эффективно смогут перехитрить киберпреступников и защитить многочисленных Интернет-пользователей.

Аналитики в области кибербезопасности также говорят о проблемах, связанных с использованием только одной технологии защиты, и призывают внимательно относиться к выбору между так называемым «следующим поколением» и признанными методами, рекомендуя использовать  первый как дополнительный уровень защиты, но не полную замену зарекомендовавших себя вариантов.

 

Серия включает:

  1. Редакционная статья: Борьба с псевдо-правдой с помощью реалий кибер безопасности
  2. Что такое машинное обучение и искусственный интеллект?
  3. Наиболее часто встречающиеся ложные представления о МО и ИИ
  4. Почему основанная на МО безопасность не пугает умного противника
  5. Почему недостаточно иметь одну линию кибер защиты, даже если речь идёт о МО
  6. Погоня за призраками: Реальная стоимость завышенной доли ложных распознаваний в кибер безопасности
  7. Как обновления делают сильнее решение вашей безопасности
  8. Мы знаем, что такое МО, мы занимаемся этим свыше десяти лет

При участии Якуба Дебски и Питера Косинара

Источник: WeLiveSecurity