Сетевой безопасности нужны Большие Данные
Сетевой безопасности нужны Большие Данные

Большие Данные изменят природу управления сетевой безопасностью


По мере того как неэффективность защиты периметра становится все более очевидной, растет популярность модели нулевого доверия. А для успешного ее применения нужен анализ Больших Данных.

11:41 22.12.2014   |   Computerworld, США

Рубрика Предприятие |   1107 прочтений



Сегодня все организации в мире делятся на два типа: признающие наличие брешей в своей системе безопасности и еще не знающие об этом.

 

Существующие проблемы во многом обусловлены тем, что традиционный подход к обеспечению сетевой безопасности, построенный на стратегиях защиты периметра корпоративной сети, не работает. Согласно отчету 2014 Cyberthreat Defense Report, более 60% организаций в прошлом году стали жертвами одной или нескольких успешных кибератак. Статистика свидетельствует о неэффективности защиты периметра. Исследования показали, что от 66 до 90% всех выявленных брешей были обнаружены не организациями, в которых присутствуют эти бреши, а независимыми компаниями.

Одним из альтернативных вариантов, способных улучшить ситуацию с безопасностью, является модель нулевого доверия (Zero-Trust Model, ZTM). Этот агрессивный подход к обеспечению сетевой безопасности предполагает установление контроля за всеми имеющимися данными исходя из предположения, что каждый файл таит в себе потенциальную угрозу. К выдвигаемым требованиям относятся обеспечение безопасного доступа ко всем ресурсам, предоставление доступа только тем сотрудникам, кому это действительно положено, обязательная проверка систем и исключение какого-либо доверия к ним, инспектирование всего трафика, ведение журналов, наблюдение за функционированием систем, проектирование систем изнутри наружу, а не снаружи внутрь. Это упрощает построение концепции информационной безопасности. Предполагается, что никаких «доверенных» интерфейсов, приложений, трафика, сетей и пользователей больше нет и не будет. Старую модель («доверяй, но проверяй») следует инвертировать, поскольку последние бреши показывают, что если в организации принято доверять, то никаких проверок там не совершается. Первоначально новая модель была разработана Джоном Киндервагом из компании Forrester Research и продвигалась как необходимая эволюция традиционных перекрывающихся моделей безопасности.

Модель ZTM требует от компаний контроля за получением доступа сотрудниками и анализа внутреннего сетевого трафика. Привилегии доступа должны быть минимальными. Особую важность приобретает анализ журналов и использование инструментов, проверяющих реальное содержимое пакетов с данными.

Исследование, проведенное Forrester по заказу IBM, показало, что многие организации уже сейчас находятся на пути к внедрению ZTM. Поступающие от них отклики свидетельствуют о том, что основные концепции этой модели принимаются, даже если в организации не знают о ее существовании. И это обнадеживает – мы видим, что реализация ZTM в полном объеме уже не за горами. Конкретные действия респондентов (ведение журналов, проверка всего сетевого трафика и т. д.) подтверждают, что от 58 до 83% из них уже находятся на пути к поддержке концепции ZTM.

ZTM поддерживает Большие Данные

Использование модели ZTM приведет к генерации огромных объемов данных в реальном времени. Их анализ потребует от ИТ-администраторов погружения в файлы журналов, результаты сканирования уязвимостей, предупреждения, отчеты и т. д. Анализ Больших Данных позволит получить исчерпывающую картину состояния системы безопасности, поможет выявлять риски, определять степень их серьезности, оценивать важность активов, подвергаемых риску, и находить пути устранения брешей в системе безопасности.

Объединение ZTM с Большими Данными сулит и дополнительные преимущества. Весьма многообещающим представляется применение к данным, которые уже находятся в сети, методов поведенческого анализа. Это позволит предотвратить широкий спектр подозрительных действий.

По оценкам Gartner, анализ Больших Данных сыграет ключевую роль в выявлении кибератак. Если сейчас лишь 8% глобальных организаций применяют анализ Больших Данных для выявления угроз безопасности и мошеннических действий, то к 2016 году их доля вырастет до 25%. Большие Данные изменят многие продукты обеспечения безопасности компьютерных сетей, включая средства сетевого мониторинга, аутентификации и авторизации пользователей, выявления мошеннических действий. Они окажут заметное влияние на системы управления, оценку рисков и обеспечение соблюдения нормативных требований. Большие Данные изменят природу управления безопасностью, в том числе межсетевые экраны, антивирусы и системы предотвращения потерь данных. В ближайшие годы развитие инструментов анализа данных поможет повысить эффективность профилактических средств и автоматизированного управления в реальном времени.

И наконец, использование анализа Больших Данных в интересах сетевой безопасности будет способствовать эффективному сбору данных и полномасштабной оценке состояния всей инфраструктуры. Пока же процесс обнаружения источников брешей и оценка последствий их появления с изучением огромных объемов данных самого разного характера может растянуться на несколько месяцев.

Сегодня перед компаниями открывается широкий простор для создания новых продуктов и услуг, которые помогут им извлекать дополнительную прибыль.

Ахмед Банафа – профессор школы информационных технологий при Университете Каплана (шт. Айова, США).


Теги: Информационная безопасность Статьи Большие данные кибератака in_bigdata

На ту же тему: