Попытки внедрения стандартов на безопасность информационных систем, таких как ISO 27001, с применением запретительных мер обречены на провал. По крайней мере, в этом уверен Джоэл Вайс, старший инженер и главный технолог отдела программных средств обеспечения безопасности клиентских сервисов компании Sun Microsystems.
"Организации, которые выбирают запретительный подход, рассматривают стандарты на безопасность как обязательные к исполнению, - заметил Вайс. – Этот подход никогда не будет работать, ведь он просто не учитывает конкретных потребностей организации".
Вайс считает, что предприятия должны создавать специальную архитектуру обеспечения безопасности для своей конкретной инфраструктуры ИТ, которая бы учитывала их технические требования и нужды бизнеса.
Создать подобную архитектуру позволяет подход, носящий название "адаптивного обеспечения безопасности" (adaptive security).
"Адаптивное обеспечение безопасности – это своего рода 'каркас' (framework), который позволяет с оптимальными затратами управлять рисками и снизить угрозы, - сказал Вайс. – Он также дает возможность увеличить эффективность операций и жизнеспособность ИТ-систем".
Разнообразие бизнес-систем
По словам Вайса, в Sun обратились к идеям адаптивного обеспечения безопасности, опираясь на работы, выполненные в других областях.
"Мы разработали эту концепцию, основываясь на наблюдениях за биологическими и экологическими системами, которые обладают очень высокими способностями сохранения жизнеспособности, - пояснил Вайс. – Мы попытались выяснить, какие природные механизмы можно было бы взять за образец для приемлемой модели обеспечения безопасности".
Еще одним стимулом к разработке новой концепции стали жалобы пользователей Sun на то, что бизнес-среда становится слишком сложной для работы ИТ-отделов.
"Скажем, увеличение числа Internet-сервисов все больше усложняют ситуацию", - заметил Вайс.
Вайс также отметил, что сложность бизнес-среды растет, а уровень безопасности систем снижается: "Новые угрозы появляются быстрее, чем предпринимаются контрмеры, а в силу гомогенности ИТ-сред эпидемия часто превращается в пандемию".
"Адаптивное обеспечение безопасности должно действовать так же, как биологические иммунные системы на микроскопическом уровне и экологические системы разнородных организмов на макроскопическом уровне, - считает Вайс. – В данной области нельзя мыслить категориями единых систем или процессов".
Адаптивность защиты
Биологические системы используют иммунные механизмы для динамической реакции на угрозы, в то время как стволовые клетки могут служить фундаментом для "восстановления" различных частей тела. Кроме того, человеческое тело может различать "свои" и инородные клетки, как это происходит, например, при трансплантации печени, которая может быть отторгнута.
С точки зрения макроперспектив выживание экологической системы не зависит от выживания любого отдельного организма.
"Экосистемы по самой своей природе разнородны, и этим объясняется их устойчивость", - заметил Вайс.
По мнению Вейса, точно так же ИТ-системы могут быть созданы таким образом, чтобы они адаптивно реагировали на различные угрозы благодаря возможностям саморегулирования, самовосстановления и самозащиты: "Сюда относится способность 'знать' нормальные условия и выявлять аномальное поведение системы".
В частности, адаптивное обеспечение безопасности должно снизить уровень распространения угрозы, размер уязвимых к атаке областей и время восстановления системы в случае атаки. К другим задачам относятся гарантия готовности и надежности данных и обрабатываемых ресурсов, а также уменьшение скорости распространения атаки.
Предиктивный анализ угроз
Признавая, что многие элементы адаптивного обеспечения безопасности ИТсистем пока существуют лишь теоретически, Вайс отметил, что в других областях, не связанных с информационными технологиями, они уже реализованы.
"Предиктивный анализ – это важный элемент адаптивного обеспечения безопасности, - считает он. – Скажем, зная возраст и состояние здоровья человека, медицинские страховые компании могут оценивать продолжительность жизни клиента".
"Я считаю, что производители систем безопасности могут работать в области предиктивного анализа, чтобы в перспективе реализовать истинное адаптивное обеспечение безопасности, - сказал Вайс. – Это означает, что программное обеспечение безопасности сможет прогнозировать угрозы до того, как они станут реальностью, но пока никто не знает, как это сделать".
Однако Вайс отметил, что в аппаратуре уже удалось добиться определенного прогресса в предиктивном анализе.
"Например, центральный процессор должен работать при определенных значениях температуры или влажности, поскольку нам известно, что он выйдет из строя, если какое-то количество часов будет функционировать при повышенной температуре, - сказал он. – Вот почему устанавливаются вентиляторы".
Еще один пример – устройства, работающие на источниках питания с ограниченной продолжительностью действия.
"Если я вижу какие-то необычные изменения в производительности устройства, я могу предположить, что источник питания в течение прогнозируемого времени будет исчерпан, и перевести устройство на другой источник питания прежде, чем это произойдет", - заметил Вайс.
По его словам, в лабораториях Sun ведутся исследования в области адаптивного обеспечения безопасности, в том числе связанные с созданием "автоматизированной самовосстанавливающейся системы".
"Когда мы видим, что в систему поступает уведомление об угрозе, мы можем автоматически отключить ее от сети, сделать копию состояния системы и использовать эту копию, чтобы восстановить систему за несколько секунд", - пояснил Вайс.