«Искусственный интеллект против кибератак: новые технологии защиты бизнес-приложений»

8 октября Positive Technologies – одна из крупнейших российских компаний по разработке программного обеспечения в области информационной безопасности – провела пресс-конференцию, посвящённую новейшим тенденциям средств защиты корпоративных приложений и интернет-порталов.

На пресс-конференции были представлены:

- результаты новейших аналитических исследований, посвященных безопасности информационных инфраструктур и приложений крупнейших компаний и государственных организаций;

- обзор ключевых мировых трендов в области безопасной разработки и безопасности приложений — на основе исследований Gartner и IDC;

- результаты анализа эффективности систем анализа исходных кодов (SAST) и специализированных межсетевых экранов прикладного уровня (Web Application Firewalls);

- продукты нового поколения, разработанные Positive Technologies с использованием решений в области искусственного интеллекта, позволяющие своевременно готовиться к атакам, выявлять возможные угрозы и устранять уязвимости нулевого дня;

- первые итоги внедрения новых продуктов в инфраструктуру крупной российской компании.

В начале конференции заместитель генерального директора компании Борис Симис рассказал об истории и деятельности компании. Positive Technologies существует на российском рынке более десяти лет. Причинами расширения деятельности компании стали поиск новых рынков, желание конкурировать с крупными зарубежными компаниями, а также обмен знаниями в области информационной безопасности. Сегодня офисы компании открыты в Великобритании, Индии, Италии, ОАЭ, России, США, Тунисе и Южной Корее. По словам Бориса, Positive Technologies всегда решала те задачи, в реализацию которых никто не верил. Компания принимает на работу молодых хакеров, позволяя им направить свой талант в мирное русло и зарабатывать на жизнь, не нарушая закон. Помимо разработки программного обеспечения Positive Technologies занимается тестовым взломом систем по просьбе заказчика в целях обнаружения уязвимостей, а также оказывает помощь в случаях, когда система уже взломана.

Докладчик подчеркнул, что для обеспечения адекватного уровня защиты недостаточно просто купить какой-то продукт. Требования безопасности должны учитываться как во время разработки, так и на протяжении всей эксплуатации системы.

Тема первого доклада, представленного заместителем генерального директора Positive Technologies по развитию технологий Сергеем Гордейчиком, касалась технологических тенденций в защите приложений. Все тенденции развития технологий в области информационной безопасности можно условно разбить на четыре группы:

1) Дополнительные функции, которые позволяют улучшить безопасность без изменения самой системы. Включают в себя аутентификацию и шифрование.

2) Выявление атак некорректного использования, основанное на определении действий пользователя в тех или иных случаях. Примерами технологий являются: SIEM и Identity Intelligence.

3) Поиск проблем. Половина разработок, связанных с защитой приложений, осуществляется в этой области. Выявление уязвимостей приложений на стадии разработки играет огромную роль, поскольку исправление продукта, уже поступившего в продажу, - сложный и дорогостоящий процесс. C точки зрения маркетинга выделяют интерактивное, динамическое и статистическое тестирование; с технологической: чёрный и белый ящики, а также динамический анализ (проводящийся при наличии исходного кода и документации) и статистический анализ (не требующий запуска приложения).

4) Предотвращение атак. Является новой и стремительно развивающейся нишей для разработки технологий. Наиболее популярные решения: Web Application Firewalls и Next-Generation Firewalls. Разработка WAF постепенно уходит от сигнатурного подхода - когда средство защиты знает, что такое вредоносные данные - к позитивной модели безопасности, когда задаётся «хорошее» поведение системы. Также осуществляются попытки создать самозащищающиеся технологии, способные самостоятельно выявить недостатки, сделанные разработчиками.

Кроме того, одной из важных задач является интеграция различных средств обеспечения безопасности в единую экосистему, что позволит им обмениваться получаемой информацией и увеличит эффективность защиты.

Сергей Гордейчик также упомянул о новой тенденции на российском рынке, связанной с политикой государства, - замещение импортных аппаратно-программных средств. Однако на сегодняшний день некоторые элементы систем невозможно заменить, а российских аналогов некоторых средств пока просто не существует. В итоге возникает проблема построения надёжной системы из ненадёжных элементов, а это значит, что владельцам систем всегда приходится исходить из предположения, что злоумышленник уже проник в систему.

Евгения Поцелуевская, руководитель аналитического отдела Positive Technologies, привела данные статистического исследования компании за I - III кварталы 2014 года. Компания проанализировала 27 приложений, 23% которых использовались в нефтегазовой области, а 31% - в банковской сфере. Согласно результатам исследования, сокращение доли определённых атак значительно уступает росту числа остальных. Наиболее распространёнными атаками являются Fingerprinting (рост на 32% по сравнению с 2013-м годом), Cross-Site Scripting (сокращение на 5 %) и SQL Injection (рост на 19 %). 77% сайтов имеют серьёзные недостатки безопасности. Приложений, не содержащих уязвимостей, выявлено не было. 100% сайтов, написанных на PHP, - уязвимы. И только 50% сайтов, написанных на ASP.NET имеют уязвимости высокой степени риска.

Результаты исследования также показали, что в банки отлично осознают необходимость обеспечения безопасности данных. Однако, 67% банковских систем по-прежнему имеют серьёзные бреши в системе защиты. В государственном секторе, представляющем наибольший интерес для хакеров, наблюдается высокая бюрократизация, препятствующая быстрому устранению уязвимостей. Более того, безопасность неверно трактуется как наличие сертификации и аттестации. В нефтегазовой отрасли основные риски связаны с потерей репутации. Наиболее популярные направления атак: словарные пароли, уязвимости веб-приложений, а также отсутствие актуальных обновлений безопасности. В конце доклада Евгения подчеркнула, что большинство уязвимостей (79%) возникают из-за ошибок в программном коде, поэтому при проверке безопасности систем следует отдавать предпочтение динамическому анализу.

В последнем докладе Денис Баранов, директор по безопасности приложений, рассказал о новых решениях безопасности приложений. Одна из актуальных проблем – автоматизация поиска уязвимостей. Positive Technologies представила два средства защиты: PT Application Inspector, анализирующий исходный код приложений и создающий «эксплойт», и PT Application Firewall, который позволяет защититься от уязвимостей нулевого дня, учитывает результаты анализа кода, а также способен к самообучению. В обычных межсетевых экранах каждая попытка атаки воспринимается как полноценная атака, что не позволяет человеку быстро среагировать на реальную угрозу. PT Application Firewall разбивает уязвимости в цепочки атак: поиск уязвимостей хакером, реализация атаки, постэксплуатация. При переходе злоумышленника из одной цепочки в другую PT Application Firewall начинает сканировать систему быстрее хакера. Если уязвимости найдены – их может найти и хакер, поэтому средство сообщает о том, что система подвергается реальной атаке. Также PT Application Firewall способен распознавать активность «роботов», маскирующихся пользователями.

Основная концепция Positive Technologies: «человек должен быть минимально задействован в процесс обеспечения информационной безопасности». Этого можно достигнуть путём автоматизации, защиты ERP систем и интеграции различных средств в единую экосистему.

Ксения Коляда