АНБ: Обнаружение угроз на основе поведенческого анализа
ИТ-директор Агентства национальной безопасности США рассказал, как аналитические средства помогают защитить частное облако спецслужбы от внутренних и внешних угроз.
Агентство национальной безопасности США существенно расширило свои возможности в части распознавания угроз за два с лишним года, прошедших с того момента, как бывший сотрудник АНБ Эдвард Сноуден собрал и раскрыл оказавшуются в его распоряжении секретную информацию. По словам ИТ-директора АНБ Грега Смитбергера, теперь частное облако, которое предоставляет разведывательному сообществу вычислительные ресурсы, ресурсы хранения и средства анализа операций, находится под многоуровневой защитой, предусматривающей помимо всего прочего и анализ поведения.
«Мы используем анализ Больших Данных, технологии, разработанные для зарубежных разведывательных миссий, и технологии, созданные в нашем собственном Управлении информационной безопасности, – сообщил Смитбергер, занявший свой нынешний пост полгода назад, после того как 27 лет проработал на различных должностях во внешней разведке. – АНБ применяет средства автоматизации, чтобы лучше распознавать аномальные ситуации — начиная от внешних атак и заканчивая подозрительной внутренней активностью — и своевременно принимать необходимые меры».
После того как Эдвард Сноуден, выполнявший в компании Booz Allen подрядные работы для АНБ, в 2013 году скопировал и начал публиковать документы с подробностями о секретной программе АНБ и о прослушивании им каналов связи в США и за границей, на агентство обрушился мощный поток критики. Документы пролили свет на правительственный мониторинг телефонных переговоров и переписки по электронной почте с целью наблюдения за подозреваемыми в терроризме. Разгоревшаяся дискуссия регулярно подогревается все новыми и новыми откровениями. В New York Times, к примеру, не так давно был опубликован материал о том, что в погоне за преступниками АНБ расширяет объемы собираемых и анализируемых данных.
Использование анализа в борьбе с внутренними и внешними угрозами
Грег Смитбергер: «АНБ применяет средства автоматизации, чтобы лучше распознавать аномальные ситуации — начиная от внешних атак и заканчивая подозрительной внутренней активностью — и своевременно принимать необходимые меры» |
Между тем, АНБ расширяет меры по обнаружению угроз в своей собственной сети, которую аналитики, оперативные сотрудники и инженеры используют для различных задач, связанных со сбором разведывательной информации.
По словам Смитбергера, один из применяющихся способов – выявление аномального поведения, например, когда пользователи, обладающие соответствующими правами, получают доступ к сети в нехарактерное для них время и из нехарактерных географических регионов. Представьте, что аналитик АНБ из Вирджинии, работающий обычно с конфиденциальной информацией с 7 утра до 7 вечера, вдруг попытался получить доступ к ней из Тель-Авива в три часа ночи. «Поведенческий анализ такого рода, включающий составление профилей и выявление аномалий на основе машинного обучения, является новым направлением, но приобретает все большую популярность на корпоративной арене, где используется для выявления брешей путем присвоения угрозам различных уровней приоритета», – отметила аналитик Gartner Авива Литан.
«АНБ в реальном времени проводит мониторинг своих средств обеспечения ИТ-кибербезопасности, включая межсетевые экраны, виртуальные частные сети и журналы аудита каждого сетевого устройства, – сообщил Смитбергер. – То, что вполне может упустить из виду человек, находится у нас под постоянным контролем. Есть и другие, гораздо более сложные и утонченные методы обнаружения угроз, подробности которых я сообщить не могу. Но общие принципы заключаются в понимании функционирования сети и сравнении в реальном времени действий, требующих авторизации, с операциями, которые ранее были признаны нормальными».
Эти меры защищают заново выстроенное частное облако, в котором, по словам Смитбергера, используются технологии, аналогичные тем, что встречаются в общедоступных облачных сервисах (таких как Amazon Web Services), включая виртуализированные серверы и приложения. Однако есть здесь и принципиальные отличия – технология предназначена для подключения широкого круга аналитиков и оперативных сотрудников агентства, имеющих существенно различающиеся уровни доступа. На каждом уровне доступа осуществляется жесткий контроль. Двое аналитиков, обратившихся к системе с одним и тем же запросом, могут получить совершенно разные результаты в зависимости от допуска.
«Внутри и вне сети есть множество уровней, отделяющих нас от внешнего мира, – указал Смитбергер. – Многослойная модель безопасности представляет собой сочетание технологий, разработанных правительственными структурами или созданных по заказу правительства, и коммерческих продуктов. Если такую ‘параноидальную’ многоуровневую защиту использовать правильно, все внутренние проблемы становятся хорошо видны».
Частное облако, выстроенное в стиле общедоступного
Уже само по себе построение частного облака в агентстве можно считать настоящее триумфом. В инициированной в 2011 году программе Intelligence Community Information Technology Enterprise говорится, что облачная среда позволит разведывательным структурам осуществлять безопасный доступ к информации и обмениваться ею. Директор Разведывательного управления министерства обороны США Дэвид Шедд заявил в марте, что основным препятствием на пути к созданию частного облака являются не технологии, а культурное сопротивление.
По словам Смитбергера, сегодня частное облако АНБ готово выполнять все возложенные на него функции благодаря помощи нескольких правительственных подрядчиков и внутреннего ИТ-персонала, заменившего унаследованные коммерчески доступные серверы и серверы, сделанные на заказ, СУБД и приложения, многие из которых изолировали данные. В АНБ утверждают, что после обновления этих технологий и построения интегрированного ресурсного пула им будет проще анализировать информационные активы и обслуживать аналитиков, оперативных сотрудников и прочих специалистов.
Смитбергер заявил, что частное облако АНБ обеспечивает гораздо более высокий уровень безопасности, чем любой из имеющихся коммерческих продуктов. Но говорить о неприступности частного облака АНБ, на его взгляд, слишком рано.
«Утверждать, что пробраться в сеть невозможно, было бы чересчур смело, – подчеркнул он. – Есть множество технологий, защищающих нас от проникновения извне, и мы продолжаем выстраивать все новые и новые уровни обороны. Так что я бы назвал наше частное облако чрезвычайно труднодостижимой для хакеров целью».