Россия разворачивает систему защиты компьютеров от хакерских атак

В контексте постоянно обсуждаемых хакерских угроз новость о создании Объединенной приборостроительной корпорацией (ОПК) системы обнаружения компьютерных атак представляется особенно своевременной.

Понятно, что тема компьютерной безопасности стратегически важной информации имеет большое значение. В частности, журнал «Политическая Россия» уже писал о развёртываниикоммуникационной системы «Закрытый сегмент передачи данных» — образно говоря, «военного интернета». Что же ещё изобрели в плане безопасности российские специалисты и почему недостаточно обособить сеть, чтобы снизить риски до допустимой величины?

Разработчики из Центрального научно-исследовательского института экономики, информатики и систем управления (ЦНИИ ЭИСУ) поясняют:

Сообщения о применяемых методиках крайне скупы, известно лишь об анализе сетевого трафика «с помощью специальных сенсоров» (это, видимо, уже пересказ журналиста: какие сенсоры для трафика?), а также состояния защищаемых устройств. По данным пресс-службы ОПК, «антихакерский» комплекс в состоянии обнаруживать компьютерные атаки в режиме реального времени, а также сразу оценивать их критичность, после чего он «выявляет точку, откуда ведется вторжение». Как видите, терминология откровенно странная — вероятно, специально.

Давайте подумаем, как такая система может работать.

В общем виде защита компьютерной сети обсуждаемого уровня требует использования различных систем безопасности. Очевидно, что рост количества программных и аппаратных средств защиты сети радикально увеличивает объём информации, которую требуется анализировать. В результате без использования автоматических систем анализа системные администраторы сети должны заниматься анализом рутинной информации практически всё время, что явно непродуктивно. Другими словами, имеется противоречие между надёжностью защиты сети, что требует увеличения анализируемого объёма информации, и оперативностью управления сетью. Для оперативного же мониторинга состояния сети в режиме реального времени объём «сырой» информации слишком значителен для сколь-либо эффективного анализа «вручную».

Поэтому для обнаружения угроз используется большой ассортимент специализированного программного обеспечения: не только всем известные файерволы и антивирусы, но и системы сетевого мониторинга, анализаторы сетевых протоколов, системы обнаружения вторжений (IDS) и др. Однако все эти средства используются лишь периодически, в качестве средства устранения уже возникшей проблемы (иногда для профилактики, что несущественно).

Дисфункция сети может вызываться как намеренными вторжениями, так и техническими сбоями. Последние могут быть следствием как сбоев в аппаратуре, так и следствием человеческого фактора: можно нарушить работу сети, не имея намерения это делать. Таким образом, хорошо работающая защитная система должна обнаруживать все виды сбоев сети, как намеренные, так и технические, включая ранее неизвестные, что должно определяться косвенно, по различным признакам нарушения нормального функционирования сети. Кроме того, требуется выявление вредоносных воздействий, отложенных или «растянутых» во времени, что также можно выявить по косвенным признакам.

Стандартные системы безопасности предусматривают мониторинг следующих аспектов уязвимости сети: контроль доступа, надёжность хранения важной информации, аппаратурный уровень обеспечения безопасности (электронные ключи и др.), защищённость протоколов, отказоустойчивость системы. Для военных целей (с учётом современного уровня компьютерного противодействия) этого явно недостаточно.

Концепция обеспечения безопасности сети как поддержка заранее определённого оптимального состояния устарела, сети стали слишком сложными.

На современном уровне подход к обеспечению безопасности должен рассматривать сеть как сложную систему, имеющую не строго одно статическое функциональное состояние, а некий объем фазового пространства функциональности, каждое состояние внутри которого удовлетворяет требованиям безопасности. Анализ же рисков должен учитывать распределение стандартных процессов при нормальном функционировании сети, отклонения такого плана как раз и являются косвенными признаками рисков безопасности неизвестного ранее вида:

При этом в качестве основы логического аппарата моделирования событий рекомендуется использовать абдукцию: в отличие от индукции абдуктивный метод не ищет факты, подтверждающие заранее известную гипотезу, а направлен на установление определённой регулярности между известными фактами, которая может выступать в качестве предварительной гипотезы, а затем должна уточняться на основе дальнейшего анализа фактов, в том числе и с использованием индуктивного и дедуктивного методов. Реализовывать такую систему мониторинга и анализа безопасности системы логичнее всего на нейронных сетях.

Показательно, что в ЦНИИ ЭИСУ уточнили: системы тестировалась более двух лет. Такой длительный срок с большой вероятностью указывает на наличие самообучающихся элементов. Если такая система уже запущена, российскими безопасниками можно гордиться.

Новая система установлена более чем на 500 объектах, и это лишь на сегодняшний день:

Очень хорошее дополнение к «военному интернету»!

А если учесть, что сейчас военные разработки имеют тенденцию со временем применяться и в гражданском жизни, то тема безопасности важна не только военным: государственное управление и коммерческие компании несколько позже также, следует ожидать, станут использовать отечественную систему защиты, в которой гарантированно нет иностранных шпионских «закладок».