Журнал ПЛАС » Архив » 2020 » Журнал ПЛАС №7 » 52 просмотра

Zero trust vs full trust в киберпандемии

Сейчас уже совершенно ясно, что пандемия кибер­атак (киберпандемия), временами затухающая и периодически разрастающаяся, стала фактически нормальным текущим состоянием информационных систем (ИС). Стирание границ (периметра) ИС влечет возможность возникновения инцидента информационной без­опасности (ИБ) в любом месте ИС. Поэтому возникшая около десяти лет назад концепция «нулевого доверия» (zero trust – далее ZT) приобретает сейчас решающее значение для обеспечения ИБ ИС, считает Михаил Левашов, к.ф.-м.н., профессор НИУ ВШЭ.
Михаил Левашов

И с точки зрения ZT одним из основных факторов (симптомов) реализации, например, атаки 0-го дня является появление аномалий в ИС. Это – аномалии в работе ИC, в контенте основных узлов и подсистем ИС, аномалии во внешнем web и почтовом трафике, аномалии в поведенческом профиле пользователей ИС, как внешних, так и внутренних. В данном контексте термин «аномалия» обозначает появление заметных (в определенных метриках) отклонений контролируемых параметров от соответствующих значений, полученных при штатной (нормальной) работе ИС. Конечно, заранее нельзя любую аномалию считать событием ИБ. Причины появления таких аномалий могут быть также связаны с программным или аппаратным сбоем в ИС, ошибками персонала, неожиданно возникшими бизнес-изменениями и т. д. Но в любом случае выявление аномалии – это отдельная задача, эффективность решения которой зависит от выбора алгоритма и его параметров, а также от глубокого обоснованного расчета его эффективности. При выборе алгоритма и подборе его эффективных параметров учитываются самые современные подходы и элементы искусственного интеллекта (ИИ), включающего машинное обучение, нейросети и т. д. При этом подбор эффективных параметров производится часто методом перебора с экспериментальной оценкой их эффективности. Учитываются также и известные теоретические результаты по выбору оптимальных алгоритмов и их параметров, полученные в условиях математического моделирования происходящих в алгоритмах процессов. В этом случае такие модели всегда должны проверяться на соответствие (не противоречивость) реальным процессам. Методы, используемые в таких проверках, могут быть разными. При этом основным методом, применяемым на практике, является стендовая (или пилотная на реальном объекте) реализация алгоритмов с экспериментальной оценкой их эффективности. Другой подход может быть реализован путем моделирования с использованием разных областей науки с дальнейшим сравнением полученных целевых параметров (в частности, эффективностей). Если в разных моделях получаются близкие целевые параметры, то можно сделать выводы, во-первых, о близости этих параметров к реальным значениям, во-вторых, о близости этих моделей к реальным процессам.К сожалению, в отрасли ИБ создалась ситуация, при которой независимые эксперты имеют мало практических возможностей проверки предлагаемых на рынке продуктов защиты (например, от кибератак) на соответствие декларируемых эффективностей их реальным значениям. Поэтому полного доверия (full trust) в этом вопросе не наблюдается. Это происходит по нескольким причинам. Основная из них – это практическое отсутствие публикаций, в которых детально описываются применяемые алгоритмы и использованные при оценке целевых параметров протоколы и процедуры. Также появляется мало публикаций, касающихся научно-технического моделирования процессов, происходящих в предлагаемых на рынке средствах защиты информации. Фактически единственным методом исследования, доступным для независимых экспертов, остается метод «черного ящика», когда реализуется указанный выше пилотный проект с использованием исследуемого продукта и эксперт производит экспериментальную оценку целевых параметров. Для сложных продуктов с учетом необходимости моделирования актуальных кибератак такой подход, конечно, весьма затруднителен.Реальная проблема обеспечения full trust в области предлагаемых на рынке продуктов ИБ решается медленно и малоинициативно. Маркетологи от ИБ бодро рассказывают о прорывных технологиях, реализованных в рекламируемых ими продуктах. Называются иногда не совсем реальные параметры эффективности работы этих продуктов. При этом действительно независимая проверка этих целевых параметров, как уже указано выше, весьма затруднительна.Приведем практический пример,
Если у вас есть подписка, нажмите
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных