АНБ выступает за обмен информацией о кибератаках
НЬЮ-ЙОРК Если говорить об экономике кибербезопасности, то атакующая сторона находится в более выгодном положении. Атакующие вкладываются один раз и затем используют полученный зловред или эксплойт для проведения тысяч атак. Поэтому технический директор Capabilities Directorate Агентства национальной безопасности Нил Зирин желает лишить злоумышленников такого преимущества.
«Мы должны обороняться таким образом, чтобы любая перспектива окупаемости этих инвестиций для противника была уничтожена. Я хочу достигнуть такой точки, когда злоумышленник говорит себе: «Мне лучше все тщательно взвесить перед тем как решить, какую цель атаковать. Третьей или четвертой попытки у меня не будет». Сейчас у них нет подобных сомнений».
Для того, чтобы лишить разработку зловредного ПО и планирование атак окупаемости, Зирин призывает компании, государственные учреждения и сообщество по компьютерной безопасности радикально изменить реакцию на кибератаки.
В четверг в своем обращении на конференции Borderless Cyber Зирин заявил, что сообщество специалистов по безопасности должно не только раскрывать данные по угрозам, но и противостоять им сообща. Таким образом, это лишит преступников возможности использовать одни и те же средства атаки повторно и перекроет доступ к финансовой подпитке.
«Будущее защиты от киберугроз состоит в том, что реакция на кибератаки должна быть совместной или скоординированной. Устоявшийся в корпоративной среде принцип «каждый за себя» должен быть упразднен,» — считает Зирин.
Хотя подобной схемы взаимодействия на сегодняшний день не существует, в скором будущем планируется введение в работу двух стандартов: STIX(Structured Threat Information Expression — структурированный язык для описания данных по угрозам) и TAXII (Trusted Automated eXchange of Indicator Information — механизм автоматического обмена данными о киберугрозах), которые призваны упростить взаимодействие. Впрочем, ни один из них не предусматривает создание используемой и частными, и государственными организациями системы, которая при атаке на один узел практически мгновенно делится с другими информацией о нападении для защиты от аналогичной атаки. Именно к этому призывает Нил Зирин.
По его словам, не существует ни одного технического обоснования, почему это не должно работать. Осуществлению плана мешает только отсутствие стандартов совместимости для использования системы в текущей гетерогенной среде. «Именно этот вопрос мы сейчас решаем в проектах STIX и OpenC2,» — заявил он.
OpenC2 — язык программирования на начальном этапе разработки. Его назначение — координация и управление компонентами защиты от кибератак как между доменами, так и в пределах домена.
Всеобъемлющее использование этого метода позволит изменить образ мышления в индустриальной среде. Как отметил один из выступающих на конференции, сегодня информация о компьютерных взломах тщательно скрывается компаниями. Данные о 95% из тех десятков атак, последствия от которых ему пришлось устранять, хранились в тайне из-за опасений влияния на цену акций и репутацию компаний.
Зирин высказал мнение, что не требуется новое регулирование для того, чтобы начать раскрывать информацию о взломах. Доступ к данным об атаках сам по себе будет хорошим стимулом для участия компаний в программе. Он также отметил, что на сегодняшний день некоторые объекты критической инфраструктуры уже обязаны сообщать о взломах в Министерство внутренней безопасности.
«Будет разумнее не вводить новое регулирование. Сейчас лучше просто подождать и разобраться с подходом,» — сказал он.
В настоящее время тип взаимодействия, который описывает Зирин, встречается крайне редко. Пожалуй, заслуживающим внимания исключением является сектор финансовых услуг, ву котором данные о взломах становятся доступны членам Центра обмена и анализа информации финансовых институтов (FS-ISAC). Когда одного из участников атакуют, остальные получают соответствующее уведомление и могут подготовиться к отражению атаки на них еще до того, как она случится.
Между тем, количество возможных направлений атаки растет по мере быстрого развития облачных ресурсов, интернета вещей и сервисов, предоставляемых третьими компаниями. По словам Нила Зирина, нынешние средства защиты в недостаточной степени масштабируемы и не могут противостоять кибератакам.
Используя пример с FS-ISAC, Зирин представляет себе будущее, в котором сообщества отрасли будут обмениваться информацией об угрозах. В случае атаки «топовые» участники сообщества изучат угрозу и передадут сведения о мерах противодействия остальным участникам, которые будут готовы применить их в течение нескольких секунд или минут против аналогичных атак. «Нет смысла ждать от малого бизнеса готовности противостоять угрозам , нацеленным на государство» — заявил он.
Очевидно, что таким «топовым» членом сообщества должно стать государство. По словам директора, АНБ и МВБ намерены стать доверенным партнером в рамках разработки таких стандартов, как OpenC2.
«У правительства есть все полномочия в этой области. Сегодня мы многое делаем в Министерстве внутренней безопасности и ФБР. Я убежден, что правительство должно взять на себя часть ответственности. Конечно, решить все эти вопросы будет нелегко, но мы должны это сделать,» — сказал он.