Владимир Илибман, менеджер по продуктам безопасности Cisco в Украине, Грузии и странах СНГ, работает в области кибербезопасности с 2000 года. ЛІГАБізнесІнформ поговорила с ним о том, как из отдельных хакеров формируется индустрия, каких угроз стоит от нее ждать и каким образом обороняться

- В области кибербезопасности есть термин "серебряная пуля" - универсальная панацея от всех угроз. Как вы считаете, индустрия приближается к созданию "серебряной пули" или отдаляется от нее?

- Действительно - всегда хочется верить в какое-то волшебное универсальное средство защиты, которое достаточно один раз установить, и оно обезопасит от всех бед. Подход единого средства защиты был актуален в эпоху типовых атак лет десять назад - от проникновений из Интернета отгородимся файрволом, от вирусов поставим антивирусную программу и т.п. В то время атаки были относительно простыми и стандартными. Сегодня атаки стали персонифицированными - их планируют под конкретного заказчика, используя достаточно изощренные технологии для атаки самого слабого звена. Причем, слабым звеном часто оказываются сотрудники компании, которые, например, открывают зараженные письма или ссылки из соцсетей. Соответственно, мы уходим от стандартных решений - отливать "серебряную пулю", которая защитит во всех случаев, уже стало технически невозможно.

Сегодня безопасность развивается по двум основным направлениям - процессы и интеллект. Во-первых, без процессов, даже самая лучшая обойма "серебряных пуль" будет просто набором металла. Во-вторых, без интеллекта даже самая умная система защиты будет бесполезной. Тенденция последнего времени - интеллект, т.е. знания об актуальных угрозах и методах борьбы с ними приходят из облака.

Угрозы сейчас носят глобальный характер, и защищаться от них можно только используя глобальные знания. Сегодня эти знания концентрируются в "облаках", которые собирают информацию об актуальных атаках, уязвимостях и аномалиях. Далее эта информация анализируется экспертами для составления максимально точного описания новых типов угроз. Например, в Cisco есть более 700 специалистов, которые занимаются изучением новых типов киберугроз и разработкой средств защиты против них. Какая компания в Украине может себе позволить держать такое количество экспертов по информационной безопасности?

- Некоторые вендоры считают, что периметр сети коммерческой организации перестал существовать, поскольку люди все чаще работают со своих личных устройств, в т.ч. удаленно. Соответственно, разваливается стройная модель защиты от киберугроз "по периметру". Согласны ли вы с этим мнением?

-Действительно такое мнение существует. Мы видим, что периметр современной сети существенно размывается. Поэтому в корпоративных сетях мы уходим от плоской и однобокой модели "защиты средневековой крепости", переходя к комплексной модели "защиты аэропорта". Аэропорт ведь не обнесен крепостной стеной, туда можно свободно зайти со своим багажом. Тем не менее, безопасность там на высоте, а шансов "протащить" что-то запрещенное, или пройти в режимные помещения очень мало.

В корпоративных сетях мы уходим от модели "защиты средневековой крепости", переходя к комплексной модели "защиты аэропорта". Аэропорт ведь не обнесен крепостной стеной, туда можно свободно зайти со своим багажом. Тем не менее, безопасность там на высоте

Аналогичный подход применяется сегодня в наиболее прогрессивных компаниях - можно работать со своего устройства, но его не пустят в корпоративную сеть, если его параметры или поведение не соответствуют установленным правилам. В конечном счете, периметр остался, но сильно видоизменился - он перестал быть внешней "крепостной стеной", а стал всепроникающим.

- Правда ли что эпоха благородных хакеров-романтиков ушла в прошлое?

- Правда. Сегодня у кибератак осталось всего две мотивации - коммерческая и, в некоторых случаях, политическая. Любая похищаемая информация - будь то администраторские логины и пароли к компьютерам, данные с банковских карточек или угнанные профайлы на Facebook - имеет свою коммерческую привлекательность. Сформировался даже среднерыночный "разброс цен" на определенные виды данных. Например, "угнанные" профайлы в соцсетях стоят в среднем около доллара за единицу, за украденные реквизиты платежных карточек, в зависимости от страны происхождения, могут предложить от доллара до десятков долларов, ботнет из инфицированных компьютеров может сдаваться в аренду для DDoS-атак за $100 в день. В хакерской индустрии региона СНГ уже оборачивается более $2 млрд в год.

Любая похищаемая информация - будь то администраторские логины и пароли к компьютерам, данные с банковских карточек или угнанные профайлы на Facebook - имеет свою коммерческую привлекательность. Сформировался даже среднерыночный "разброс цен" на определенные виды данных

- Существуют две крайности в вопросах информационной безопасности - с одной стороны, тотальная идентификация и мониторинг пользователей с целью пресечения вредоносных действий, с другой - полная свобода. По вашему мнению, какой должна быть золотая середина?

- Каждый человек, организация и страна выбирают для себя баланс между этими крайностями самостоятельно. Единой парадигмы, которой бы придерживался весь рынок, нет. К тому же, когда речь идет об уязвимостях нулевого дня, даже тотальная идентификация не дает защиты. Если злоумышленник обучен и замотивирован - он найдет способы обойти идентификацию. Даже в полностью закрытых сетях - военных или правительственных - были случаи взломов. К примеру, если атака проводится изнутри, с помощью привилегированного инсайдера, одна только идентификация не поможет. Скандал со Сноуденом тому пример.

Поэтому основной подход, который мы исповедуем, заимствован из восточных единоборств - надо всегда быть готовым к атаке. Ее не всегда возможно предотвратить, но можно быстро и правильно среагировать, и выйти из ситуации победителем. Для этого нужно объективно оценивать риски атаки, понимать доступный арсенал противника, знать свои возможности и уметь ими пользоваться.