Журнал "Information Security/ Информационная безопасность" #3, 2020

на помощь приходят машинное обучение и технологии искусственного интеллекта. Они адаптируются под ситуации в зави- симости от условий среды, контролируют доступ в постоянном режиме, позволяют автоматически блокировать нарушителя. Это достаточно комплексный подход. Современные средства защиты в новых условиях должны быть адаптированы, должны автоматически подстраиваться и упрощать работу администраторам, а не быть дополнительной нагрузкой. Александр Каспаров: Абсолютно согласен с Дмитрием. Мы опять получили подтверждение необходимости эшело- нированности любой защиты. И мы сей- час не пытаемся сказать, что один инструмент хуже, а другой лучше. В динамически меняющихся условиях, действительно, многообразие инстру- ментов для любой компании – это благо. Но в эшелонированной системе защиты важную роль в меняющейся инфра- структуре начинают играть адаптивные алгоритмы и то, что у нас принято назы- вать алгоритмами поведенческого ана- лиза и выявления аномалий. Это очень важно. Причем эти инструменты сейчас развиваются в разных системах инфор- мационной безопасности. Андрей Мирошкин: Какие средства, с вашей точки зрения, нужны и обязательно должны быть в шорт- листе любой компании? Сергей Кудашов: В первую очередь нужно контролировать сотрудников и периметр компании. Непосредственно поведение сотрудника на рабочем месте. У любого пользователя есть паттерны поведения, нужно начинать обучение системы, отталкиваясь от этих паттер- нов. Также можно добавить определен- ные маркеры, интересующие нас. Ну и в зависимости от того, в каком подразде- лении работает сотрудник, на какой должности и к какой информации имеет доступ, отталкиваясь от этого, уже обучать систему. Но сразу хочу отметить, что ни одна система с машинным обуче- нием, так сказать из коробки, в течение двух-трех месяцев и даже полугода сто- процентную защиту не даст. Благо раз- работчики всегда совершенствуют свои системы, поэтому главное – обновлять их и читать документацию к продукту. Дмитрий Андриченко: Не суще- ствует универсального рецепта, как и одного способа сложить сложный пазл, их множество. Нет единого сценария, по которому можно выстроить несколько компонентов и получить защищенную производительную сеть. Существуют мировые тренды, и один из них – поведенческий анализ. Мы в компании Flowmon предлагаем смотреть на пове- денческий анализ несколько шире и не столько с точки зрения пользователя, сколько с точки зрения всей сети как единого организма. Мало смотреть на поведение эндпойнтов конкретных узлов в сети, конкретных рабочих станций пользователей и контролировать их выход в Интернет на периметре. Мы предлагаем смотреть на ИТ-инфраструк- туру в комплексе и оценивать всю кар- тину происходящего. То есть строить поведенческий анализ не только для пользователей, но и для всех узлов сети, а именно выявлять отклонения, когда они происходят не только в рабо- чей станции в момент заражения, но и для серверов, для сетевых узлов. Надо контролировать не только пользо- вателя, но и всю сеть в целом. Не надо целенаправлено приставлять админи- стратора к кофемашине, чтобы он за ней следил. Все должно быть в фоновом режиме и проходить для компании есте- ственным образом. Андрей Мирошкин: Мы видим, что все больше заказчиков воспринимает машинное обучение как довольно сложную задачу. Скорее они готовы доучивать, но хотят, чтобы базовый уровень обучения уже был. Дмитрий Андриченко: Ровно так и происходит. Ценность наших решений была бы минимальной, если бы мы пре- доставляли только алгоритм машинного обучения. Это был бы уже не коммерче- ский продукт, а научная разработка. Мы предлагаем именно решение, которое позволяет заказчикам решать конкрет- ные проблемы. Естественно, есть пред- определенные методы и паттерны, кото- рые существуют по умолчанию и сразу включатся. Но тем не менее их нужно дообучать. Андрей Мирошкин: Применительно к ситуации, о которой мы ведем разговор, наверное, должны появиться новые паттерны? Дмитрий Андриченко: Конечно. У нас есть специально обученные сотруд- ники, которые смотрят на основные тренды. Ценность такого решения не только в мониторинге, а еще и в том, чтобы сократить время реакции на новые условия и минимизировать затраты на оперативное использование новой функ- циональности. Александр Каспаров: Мы с Дмит- рием на одной стороне. У вас сегодня выступают люди, которые находятся на одной волне в вопросах использования поведенческого анализа. Андрей Мирошкин: Мы с вами успели коснуться большей части вопросов, которые слушатели обозначали в качестве приоритетных. Прошу сказать пару завершающих слов. Александр Каспаров: Главный урок, который мы все должны извлечь: откладывать что-то на завтра в вопросе информационной безопасности нельзя. Нужно развивать разнообразие способов защиты, эшелонированность и исполь- зование новых методов, связанных с поведенческим анализом и поиском ано- малий. И не откладывать это на завтра. Дмитрий Андриченко: Я бы хотел повторить, что не существует единого рецепта защиты систем. Каждая инфра- структура индивидуальна. И вопросы, которые каждый должен задавать себе, звучат так: следую ли я актуальным трен- дам в мире ИБ, соответствует ли моя система современным стандартам и тех- нологиям? Мир идет вперед, как и угрозы, которые нас окружают. Невозможно уста- ревшим способом защитить себя в буду- щем. К миру нужно адаптироваться, нужно принимать на вооружение новые техно- логии, чтобы идти в ногу со временем. Мониторинг, поведенческий анализ, машинное обучение – это технологии, кото- рые будут развиваться и должны быть внедрены, хотите вы этого сегодня или нет. Сергей Кудашов: Я хотел бы доба- вить, что не нужно забывать про соци- альную инженерию. От нее крайне сложно защитить компанию, так как она очень быстро эволюционирует. К сожалению, быстрее, чем любой машинный интеллект. Мошенничество на базе социальной инже- нерии сегодня очень сильно развито: сей- час набирают обороты взломы компаний и добыча информации. С помощью соци- альной инженерии можно взломать даже очень хорошо технически защищенную компанию. В ИБ все равно самым слабым звеном остается именно человек. l • 5 В ФОКУСЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru