Серед сучасних мережевих загроз залишаються актуальними зломи з метою отримання несанкціонованого доступу і крадіжки даних, DDoS-атаки, впровадження троянів, бекдор та іншого шкідливого програмного забезпечення. Технології аналізу великих обсягів даних змінили ринок засобів для захисту комп'ютерів, мобільних пристроїв і локальних мереж підприємств. Розширений аналіз трафіку, звернень до файлової системи і інших реєстрованих подій дозволяє помічати підозрілу активність і своєчасно реагувати на неї.
У кожного розробника ПЗ для захисту комп'ютерів і мереж технології Big Data знаходять різний втілення, але без них сьогодні не обходиться жодна велика компанія. Складність атак зростає, постійно з'являються нові шкідливі програми, а необхідний для їх виявлення обсяг обчислень вже неможливо виконувати на пристроях користувача за прийнятний час.
хмарні рішення
Тут на допомогу приходять хмарні аналітичні сервіси, що беруть цю частину роботи на себе. До того ж, вони здатні об'єднувати дані від різних користувачів, щоб потім порівняти їх між собою. Так виявляються джерела розповсюдження шкідливих програм і розсилки спаму, визначаються командні центри ботнетів і потенційно небезпечні сайти.
Географія поширення жертв трояна newGOZ: за три тижні моніторингу за методом sinkhole в складі ботнета виявлені 12353 заражених комп'ютерів з усього світу (зображення: arbornetworks.com).
У більшості антивірусів можна побачити опцію «виконувати хмарну перевірку файлів», а міжмережеві екрани роблять те ж саме з типовими правилами для фільтрації трафіку і правами встановлених додатків. Сучасним засобам захисту властивий високий ступінь інтеграції всіх компонентів, а хмарні сервіси стали їх невід'ємною частиною. Пов'язано це з мінливим характером загроз.
Сьогодні професійні хакери так чи інакше працюють на тіньову економіку. Вони діють спільно і мають у своєму розпорядженні досить серйозними ресурсами. Щоб їм протистояти, пересічному користувачеві потрібно залучити зіставні сили. Ось чому так активно розвиваються Dr.Web Cloud, Kaspersky Security Network, Symantec Insight і подібні хмарні рішення, засновані на технологіях Big Data.
«Компанії не використовують« великі дані »не можуть конкурувати на ринку безпеки, де своєчасний аналіз і швидке виявлення загроз є основною конкурентною перевагою», - пояснюють в Symantec. - Треба розуміти, що на «іншій стороні» діють не тільки хакери-одинаки, а й організовані осередки, які мають в своєму штаті грамотних фахівців і постійно намагаються обійти засоби захисту ».
Центр боротьби з кіберзагрозами Northrop Grumman (фото: defencetalk.com).
Кожен день для своєчасного виявлення нових загроз сервіс Symantec Insight відстежує зміни в мільярдах файлів у користувачів по всьому світу. За допомогою методів аналізу «великих даних» Insight допомагає розпізнавати поліморфні і самошифруються віруси, долати обфускація коду і визначати нові модифікації шкідливого ПО ще до того, як його сигнатури з'являться в антивірусних базах.
Мережа як єдине ціле
Концепція BYOD, десятки ресурсоємних додатків і гігабайти трафіку ускладнюють ефективне адміністрування мережі. Ветерани ринку і молоді компанії прагнуть розробити аналітичні інструменти, які б поєднували логи окремих програм в єдину картину того, що відбувається на комп'ютері або в усій ЛВС. У зв'язку з цим перспективно виглядає розробка каліфорнійського стартапа Vectra Networks. Вона не усуває мережеві загрози, але дозволяє швидко побачити їх по аномальним змінам.
Статистична оцінка подій для виявлення мережевих погроз (зображення: vectranetworks.com).
Аналогічні прийоми використовуються і в боротьбі з витоками інформації в результаті дій інсайдерів. Важко передбачити, як вони будуть діяти, але в одному можна бути впевненим: технології глибокого аналізу даних не дозволять приховати їх активність.
SIEM
Техніка стає все більш досконалий, а «людський фактор» залишається однією з головних проблем. Часто люди ставлять під загрозу безпеку своєї компанії не зі злого наміру, а через недооцінку можливих наслідків від своїх дій. Виявляти таких неблагонадійних працівників допомагає автоматичний аналіз поведінки кожного співробітника в мережі. За алгоритмам пошуку відповідників перевіряється вся переписка (без її читання), повідомлення месенджерів, оцінюється контент відвідуваних сайтів, що завантажуються і отримані елементи.
В сумі це логи з тисячами щодня додаються записів. Їх рутинна перевірка зайняла б весь час ІТ-відділу і не дала б нічого, крім невиразних підозр. Вирішити таку проблему з «великими даними» допомагають засоби їх інтелектуальної візуалізації. Вони перетворюють локальну мережу в контрольно-слідову смугу, на якій досить чітко видно характерні відбитки.
Робота SIEM в університеті Джорджії (зображення: eits.uga.edu).
Важливу роль в цьому відіграють системи управління інформацією про безпечність та події (SIEM - Security information and event management). У них використовуються нереляційні бази даних, що прискорює число одночасно оброблюваних подій. Джерелом даних служать вихідні логи поширених програм, які не вимагають будь-якої ручної обробки. Дійсно великі дані обробляються в хмарних SIEM-рішеннях, (наприклад, Symantec Managed Security Service).
Безпосередньо на стороні замовника можуть використовуватися подібні технології SIEM, але без хмарної складової рівня Big Data вони досягають тільки в дуже великих компаніях. Приклад такої системи - IBM Security QRadar. Вона виконує динамічне зіставлення всіх зібраних даних (логи, журнали, повідомлення) зі вступниками попередженнями про загрози безпеці.
Звичайно, навіть частковий аналіз даних на стороні сам по собі може стати загрозою безпеки, як і розглянута вище практика хмарної перевірки. У сучасних технологій обробки «великих даних» є свої, вельми специфічні ризики, про які ми обов'язково поговоримо в одному з наступних матеріалів.