Ставка на автоматизацию, самообучение и искусственный интеллект
Компания Cisco представила 11-й отчет по кибербезопасности (Cisco 2018 Annual Cybersecurity Report, ACR). Он базируется на данных опроса 3,6 тыс. менеджеров по информационной безопасности из 26 стран. Среди них около 200 представляют Россию.
Главным выводом исследования стало то, что специалисты по кибербезопасности начинают все больше применять средства, использующие искусственный интеллект (ИИ) и машинное самообучение (МС). Причем речь идет о "боевом" использовании, а не об ограниченном тестировании. Применение машинного самообучения помогает повысить эффективность защиты сети и с течением времени позволит автоматически выявлять нестандартные паттерны в шифрованном веб-трафике, в облачных и IoT-средах.
Данное обстоятельство, по оценке заслуженного системного инженера Cisco Михаила Кадера, который представлял отчет, связано с целым комплексом причин. Во-первых, злоумышленники все чаще используют шифрование трафика. Если в конце 2016 г. злоумышленники таким образом маскировали 19% трафика, то спустя год шифровалось уже 70%. Также злоумышленники начали размещать свои центры управления в инфраструктуре сервисов с хорошей репутацией вроде Google, Amazon, Dropbox, которые активно применяют разные компании, и, соответственно, на сетевое взаимодействие с ними никто не обращает внимания.
Кроме того, злоумышленники активно используют то обстоятельство, что "песочницы", которые применяются для защиты корпоративных сетей, способны быстро (в течение трех минут и менее) выявлять только 80% злонамеренной активности. Соответственно, вредоносное ПО все чаще активируется спустя довольно продолжительное время после заражения. И наконец, при целом ряде атак для распространения программных зловредов использовались средства обновления популярных приложений.
При этом уровень удовлетворенности от использования средств с элементами искусственного интеллекта очень высок. 92% опрошенных специалистов считают, что средства поведенческого анализа хорошо справляются с поставленной задачей.
Другой интересной тенденцией стало применение облачных технологий. В 2017 г. 27% специалистов по информационной безопасности сообщили об использовании внешних частных облаков против 20% годом раннее. Из них 57% размещают сеть в облаке ради лучшей защиты данных, 48% - ради лучшей масштабируемости, 46% - вследствие удобства эксплуатации, а мотивом 41% стало отсутствие необходимости привлекать собственные кадры.
В России этот показатель ниже, что, однако, не помешало Илье Шабанову, основателю и управляющему партнеру информационно-аналитического центра Anti-Malware.ru, на личной странице в социальной сети Facebook оценить их так: "Шокирующие данные из очередного отчета Cisco по России, бьющие в самое сердце ретроградов по ИБ и сторонников "особого пути". 18% специалистов по ИБ сообщили об использовании внешних частных облаков, причем 47% из них объяснили использование облака лучшей защитой данных".
И именно использование облачных технологий позволило почти на порядок снизить медианное время обнаружения атаки. Если в 2015 г. оно составляло 39 часов, то в 2017 г. - уже 4,6 часа.
Нехватка кадров, как отметил Михаил Кадер, заставляет ИБ-службы все активнее использовать всевозможные средства автоматизации. 83% прибегают к их применению для того, чтобы снизить трудозатраты по обеспечению безопасности в организации, а 92% отмечают, что средства поведенческого анализа позволяют эффективно выявлять внутренних злоумышленников. При этом такого рода средства могут анализировать такие параметры, которые другой человек оценить не в состоянии.
"Эволюция вредоносного ПО за прошедший год показала, что злоумышленники с большей изобретательностью стали использовать незащищенные бреши в системах безопасности, - отметил старший вице-президент Cisco, директор по информационной безопасности Джон Стюарт. - Для отражения нападений и уменьшения подверженности нарастающим рискам как никогда ранее важно стратегически совершенствовать защиту, инвестировать в технологии и внедрять передовые методики".