Журнал ПЛАС » Архив » 2020 » Журнал ПЛАС №7 » 36 просмотров

Zero trust vs full trust в киберпандемии

Сейчас уже совершенно ясно, что пандемия кибер­атак (киберпандемия), временами затухающая и периодически разрастающаяся, стала фактически нормальным текущим состоянием информационных систем (ИС). Стирание границ (периметра) ИС влечет возможность возникновения инцидента информационной без­опасности (ИБ) в любом месте ИС. Поэтому возникшая около десяти лет назад концепция «нулевого доверия» (zero trust – далее ZT) приобретает сейчас решающее значение для обеспечения ИБ ИС, считает Михаил Левашов, к.ф.-м.н., профессор НИУ ВШЭ.

Михаил Левашов

И с точки зрения ZT одним из основных факторов (симптомов) реализации, например, атаки 0-го дня является появление аномалий в ИС. Это – аномалии в работе ИC, в контенте основных узлов и подсистем ИС, аномалии во внешнем web и почтовом трафике, аномалии в поведенческом профиле пользователей ИС, как внешних, так и внутренних. В данном контексте термин «аномалия» обозначает появление заметных (в определенных метриках) отклонений контролируемых параметров от соответствующих значений, полученных при штатной (нормальной) работе ИС. Конечно, заранее нельзя любую аномалию считать событием ИБ. Причины появления таких аномалий могут быть также связаны с программным или аппаратным сбоем в ИС, ошибками персонала, неожиданно возникшими бизнес-изменениями и т. д. Но в любом случае выявление аномалии – это отдельная задача, эффективность решения которой зависит от выбора алгоритма и его параметров, а также от глубокого обоснованного расчета его эффективности. При выборе алгоритма и подборе его эффективных параметров учитываются самые современные подходы и элементы искусственного интеллекта (ИИ), включающего машинное обучение, нейросети и т. д. При этом подбор эффективных параметров производится часто методом перебора с экспериментальной оценкой их эффективности. Учитываются также и известные теоретические результаты по выбору оптимальных алгоритмов и их параметров, полученные в условиях математического моделирования происходящих в алгоритмах процессов. В этом случае такие модели всегда должны проверяться на соответствие (не противоречивость) реальным процессам. Методы, используемые в таких проверках, могут быть разными. При этом основным методом, применяемым на практике, является стендовая (или пилотная на реальном объекте) реализация алгоритмов с экспериментальной оценкой их эффективности. Другой подход может быть реализован путем моделирования с использованием разных областей науки с дальнейшим сравнением полученных целевых параметров (в частности, эффективностей). Если в разных моделях получаются близкие целевые параметры, то можно сделать выводы, во-первых, о близости этих параметров к реальным значениям, во-вторых, о близости этих моделей к реальным процессам.

К сожалению, в отрасли ИБ создалась ситуация, при которой независимые эксперты имеют мало практических возможностей проверки предлагаемых на рынке продуктов защиты (например, от кибератак) на соответствие декларируемых эффективностей их реальным значениям. Поэтому полного доверия (full trust) в этом вопросе не наблюдается. Это происходит по нескольким причинам. Основная из них – это практическое отсутствие публикаций, в которых детально описываются применяемые алгоритмы и использованные при оценке целевых параметров протоколы и процедуры. Также появляется мало публикаций, касающихся научно-технического моделирования процессов, происходящих в предлагаемых на рынке средствах защиты информации. Фактически единственным методом исследования, доступным для независимых экспертов, остается метод «черного ящика», когда реализуется указанный выше пилотный проект с использованием исследуемого продукта и эксперт производит экспериментальную оценку целевых параметров. Для сложных продуктов с учетом необходимости моделирования актуальных кибератак такой подход, конечно, весьма затруднителен.

Реальная проблема обеспечения full trust в области предлагаемых на рынке продуктов ИБ решается медленно и малоинициативно. Маркетологи от ИБ бодро рассказывают о прорывных технологиях, реализованных в рекламируемых ими продуктах. Называются иногда не совсем реальные параметры эффективности работы этих продуктов. При этом действительно независимая проверка этих целевых параметров, как уже указано выше, весьма затруднительна.

Проблема обеспечения full trust в области предлагаемых на рынке продуктов ИБ решается медленно и малоинициативно

Приведем практический пример, когда для некоторых самых простых моделей работы средств защиты от кибератак иногда удается получить оценки эффективности и обосновать их близость к реальным значениям. Этот пример относится к алгоритмам фродмониторинга электронных платежных поручений юридических лиц. Система фродмониторинга определяет принадлежность транзакции к фроду или к легальной транзакции. Алгоритмы, используемые в этой системе, могут быть фиксированными, а могут меняться в зависимости от различных оснований. Таковыми могут являться конкретные компании, виды операций, локация, текущее время и т.д. Нам удалось построить и провести расчеты статистической и алгоритмической моделей фродмониторинга транзакций (Левашов М. В., Овчинников П. В. ЭФФЕКТИВНОСТЬ КЛАССИФИКАТОРОВ ДЛЯ ВЫЯВЛЕНИЯ ФРОДА В ФИНАНСОВЫХ ТРАНЗАКЦИЯХ // Вопросы кибербезопасности, 2019, № 5, с. 63-69. Левашов М. В., Кухаренко А. В. Эффективность критерия отношения правдоподобия в статистической модели фрод-мониторинга в интернет-банкинге // Вопросы защиты информации, 2018, № 2, с. 66-71.). Эти расчеты реализованы на основе реального обезличенного материала. Для статистической модели построен и рассчитан близкий к оптимальному алгоритм. Для алгоритмической модели построен и рассчитан эвристический алгоритм, который после сравнения его эффективности со статистическим алгоритмом также оказался близким к оптимальному. Полученные оценки эффективностей для обоих алгоритмов оказались близки между собой. Это явилось косвенным подтверждением, во-первых, достоверности полученных оценок, во-вторых, близости построенных алгоритмической и статистической моделей к реальным процессам, происходящим в системе фродмониторинга.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:

Добавить комментарий


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных