Защищенность российских информационных систем падает с каждым годом: в 2014 году 77% критически важных приложений крупных компаний и госпредприятий содержали опасные уязвимости. Еще больше усложняет ситуацию курс на импортозамещение: приходится строить системы из «сырого» отечественного ПО. Чтобы ответить на эти вызовы безопасности, необходимы защитные решения нового поколения, сочетающие серьезный научный подход и высокую степень автоматизации для раннего обнаружения угроз. Этими и другими наблюдениями поделились с журналистами эксперты компании Positive Technologies на пресс-конференции, посвященной безопасности приложений.
Невзирая на 15-летний опыт работы на ИБ-рынке, компания нечасто проводит подобные публичные презентации для СМИ. Одним из поводов для «раскрытия» стало недавнее исследование IDC, согласно которому Positive Technologies заняла 3-е место на рынке защитного ПО в России. После публикации этого отчета стало ясно, что для некоторых журналистов «защитное ПО» является синонимом «антивируса», поскольку они гораздо хуже знакомы с другими технологиями безопасности — включая системы анализа защищенности, контроля соответствия стандартам, анализаторы кода, системы защиты приложений.
Об этих технологиях эксперты и решили рассказать журналистам. Тем более что появился ещё один повод: компания Positive Technologies недавно выпустила новую линейку продуктов для защиты приложений в самых разных отраслях, включая интернет-банкинг и ERP-системы, порталы госуслуг и веб-сервисы телекомов. Не исключено, что эти разработки серьёзно изменят рынок информационной безопасности – как российский, так и мировой.
Начали, впрочем, издалека. Первым выступил Борис Симис, заместитель генерального директора PT по развитию бизнеса. Он рассказал об истории развития компании, которая поставила задачу собрать лучших хакеров и самую большую базу уязвимостей для анализа защищенности крупных компаний. «Наши парни могут взломать все что движется! Главное — направлять эту энергию в мирное русло», отметил Борис.
При этом, по наблюдениям Бориса Симиса, развитие ИБ-бизнеса за рубежом происходит активнее — благодаря хорошей осведомленности заказчиков: они уже знают, какие существуют угрозы и какие есть средства защиты, и фактически говорят с производителями ПО на одном языке. В России же представление об информационной безопасности у руководства предприятий гораздо хуже, защитные продукты часто внедряются формально, без понимания ситуации.
Тему осведомленности продолжила в своем докладе руководитель отдела аналитики компании Евгения Поцелуевская, которая сообщила, что сейчас даже появился такой термин — «продавцы страха». Именно так называют некоторых ИБ-аналитиков, обвиняя их в том, что они искусственно нагнетают панику. Однако Positive Technologies отличается тем, что собирает свои данные в ходе реальных тестов на проникновение. И в отношении реальных уязвимостей ситуация в 2014 году ухудшилась вполне естественным путем - компании активнее выходят в интернет и используют больше приложений, но исследовать защищенность этих приложений не торопятся.
Вот как выглядит в этом году топ уязвимостей:
Полное исследование уязвимостей 2014 года, данные которого были представлены на пресс-конференции, будет опубликовано чуть позже; исследования 2013 года можно найти на сайте компании. Евгения Поцелуевская также представила статистку уязвимостей популярных систем с открытым кодом. Существует миф, что сам факт использовании модели open source делает продукты «более безопасными», но на практике это не всегда так.
Выступление Сергея Гордейчика, заместителя генерального директора Positive Technologies по развитию технологий, состояло из двух частей. В первой части Сергей рассказал, почему современные средства защиты приложений не справляются с новыми угрозами. А во второй — о том, что такое импортозамещение в российской IT-индустрии с точки зрения безопасности.
По мнению эксперта, заместить аппаратную базу и системное ПО не удастся еще долго, поэтому они переходят в статус «недоверенных продуктов», в которых могут находиться закладки зарубежного производителя. А замещение высокоуровневого ПО будет происходить с помощью отечественных продуктов, созданных в спешке, не прошедших достаточного тестирования и зачастую использующих сторонний код. В результате создается ситуация высокого риска, или «модель нарушителя H6» (когда нарушитель уже в системе, но еще не начал активных действий). Такая ситуация потребует современных подходов к безопасности. Сергей Гордейчик представил следующие тренды, развитие которых может изменить рынок AppSec:
- контроль безопасности кода на всех этапах, путем автоматизации безопасной разработки (SSDL);
- комбинирование подходов, в частности сочетание различных методов анализа кода;
- автоматизация проверки уязвимостей, например, путем генерации эксплойтов — специальных запросов, которые показывают, как именно «включается» данная уязвимость;
- поведенческий анализ и самообучение, то есть создание модели «правильной» работы системы, с последующим анализом отклонений;
- интеллектуальная обработка угроз, включающая такую группировку и визуализацию событий, которая позволит ИБ-экспертам получать наиболее важные сообщения (например, цепочки атак) вместо полного списка из тысяч срабатываний;
- закрытие брешей до исправления кода с помощью виртуального патчинга на уровне межсетевого экрана;
- интеграция средств защиты в общую экосистему, включая взаимодействие межсетевого экрана с анализаторами кода, антивирусами, DLP-системами и другими средствами защиты.
Выступивший затем Денис Баранов, директор по безопасности приложений исследовательского центра компании, рассказал о практической реализации вышеупомянутых принципов защиты в двух новых продуктах. Система PT Application Inspector, аббревиатура которой (AI) не случайно совпадает с аббревиатурой «искусственного интеллекта», сочетает в своей работе статический (SAST), динамический (DAST) и интерактивный (IAST) методы анализа защищенности приложений. А результатом работы анализатора становятся эксплойты, которые показывают разработчикам, как именно нужно исправить код.
Те же эксплойты позволяют устранить угрозу до исправления кода: они передаются другому продукту компании — межсетевому экрану PT Application Firewall, который использует их для виртуального патчинга. Кроме того, PT AF применяет поведенческий анализ трафика, что позволяет выявлять новые атаки, для которых еще нет сигнатур. Денис продемонстрировал, как данный межсетевой экран даже в базовой конфигурации задетектировал атаку ShellShoсk.
В качестве последнего выступления на пресс-конференции показали видео-отзыв клиента: ведущий специалист отдела информационной безопасности ОАО «МегаФон» Сергей Химаныч рассказал об использовании разработок Positive Technologies для защиты веб-сервисов одного из крупнейших российских телеком-операторов.
«Мы изучили продукты различных компаний, включая лидеров зарубежного рынка, но предпочли российское решение PT Application Firewall, — сообщил представитель "МегаФона". — Благодаря этой системе мы можем в реальном времени отслеживать и блокировать атаки на наши приложения, поддерживая высокий уровень безопасности для миллионов абонентов».
Во время сессии вопросов и ответов наибольший интерес журналистов вызвали дальнейшие планы компании, а также способы, с помощью которых компания привлекает хакеров «на светлую сторону». Борис Симис и Сергей Гордейчик считают, что в этом вопросе главное — чем раньше, тем лучше. Они рассказали, в частности, о программе Positive Education, благодаря которой студенты 50 ведущих российских вузов могут пользоваться учебными материалами компании при изучении практической безопасности.
По дороге на фуршет эксперты компании устроили журналистам экскурсию по своему офису. Там нашелся и взломанный банкомат, и суперкомпьютер для подбора шифровальных ключей, и много других удивительных вещей. Хотите увидеть? — приходите на следующую пресс-коференцию «Позитива»!