На недавнем мероприятии Gartner Security and Risk Management Summit 2014 выступил вице-президент Gartner и аналитик Нил Макдональд. Он высказал несколько важных идей о том, почему большинство компаний неправильно расходуют бюджеты на информационную безопасность и как следует перераспределить эти расходы.
Самое главное, что компании привыкли тратить слишком много на системы предотвращения атак и слишком мало на системы обнаружения и реагирования. Проблема в том, что традиционные технологии вроде файрволов, антивирусов, IDS/IPS неэффективны против таргетированных атак, ведь невозможно сделать сигнатуру против атаки, с которой никто ранее не сталкивался.
Модель на основе сигнатур уже не работает в чистом виде. Нил Макдональд сравнил таргетированную атаку с выстрелом из снайперской винтовки, от которой следует защищаться совсем иначе, чем от дробовика. Старые системы рассчитаны на защиту от массированных «грязных» атак.
Многие компании уже начали использовать инструменты нового поколения для детектирования и быстрого реагирования на атаки. Эти программы пытаются определить, как должен выглядеть «хороший» трафик, используя техники вроде сравнительного анализа текущего сетевого трафика с историческими показателями (baselining), обнаружения аномалий и предиктивного анализа сбоев.
Нил Макдональд выдвинул концепцию адаптивной архитектуры безопасности, которая сочетает в себе использование традиционных методов предотвращения атак и новых инструментов детектирования и реагирования. «Идея в том, чтобы всё это работало вместе. У вас нет сигнатур перед атакой, но вы можете получить их после атаки, так что можно распространить новые правила, когда станет ясно, что искать».
Макдональд также сказал, что необходимость внедрения новой архитектуры уже привела к активности среди крупных производителей систем ИБ, которые начали приобретать стартапы-разработчиков новых технологий для интеграции в существующие продукты. Например, FireEye в январе приобрела компанию Mandiant. Покупки сделали и другие, в том числе Cisco, BlueCoat и Bit9.
Нил Макдональд не постеснялся покритиковать лидеров индустрии, включая Symantec, McAfee (сейчас в собственности Intel) и Trend Micro, за их пассивную позицию.
