Дарвинизм в IT-безопасности и Прививка от фуфла.
С вами снова передача «В мире животных» :) Мы продолжаем рассказ о теории эволюции и развитии защиты от кибер-угроз.
Пока точно неизвестно, что вызывает мутации живых организмов. Некоторые неодарвинисты полагают, что это работа вирусов, которые целенаправленно комбинируют гены (ага, вот кто управляет миром!). Как бы то ни было, в IT-безопасности происходят схожие процессы, иногда действительно с помощью вирусов.
В лучших традициях принципа борьбы за существование секюрити-технологии эволюционируют, появляются новые категории продуктов, некоторые из них оказываются тупиковыми ветками развития и вымирают, некоторые превращаются в фичи комплексных решений (например, ревизоры изменений - куски их ДНК используются в endpoint-решениях). Бывает вырастают новые рыночные сегменты, ниши (например, Anti-APT), удачно дополняющие арсенал защитных технологий. В общем, позитивный симбиоз на благо нормализации средней температуры по больнице. А бывает погреться на солнышке выползают паразиты. Се ля ви, и ничего тут не поделаешь.
В борьбе за рынок IT-безопасности регулярно появляются пророки, предрекающие скоропостижную кончину «традиционных» технологий и счастливое изобретение фуфло-продукта революционной панацеи (значительные скидки первым пяти заказчикам). И это тоже нормальный эволюционный процесс.
В действительности, история не новая: кто не помнит anti-spyware? В начале 2000х на рынке вырос огромный пузырь продуктов, избавляющих от шпионских программ. На уши пользователям вешалась развесистая клюква о неспособности «традиционных антивирусов» справиться с этой напастью, что, как вы знаете, было большой и наглой неправдой.
Впрочем, такие пророки рынку уже приелись и монетизация «панацеи» требует всё больших инвестиций и изощрённых маркетинговых усилий.
Давид и Геббельс против Голиафа
В лучших традициях худших исторических примеров госпропаганды, фуфло-продукты бьют в фундаментальные уязвимости человеческой психологии родом из детства: веру в чудо и теорию заговора.
Мизансцена такая: жадный, кровавый «спрут» кибер-безопасности душит молодые перспективные поросли и продаёт пользователям всякую бесполезную дрянь. Симпатии зрителей на стороне «новаторов», негодование против «спрута» зашкаливает, спектакль завершается победой добра и светлого будущего.
ОК, шоу закончено, снизим градус эмоций и заглянем за декорации.
Под капотом.
Поветрие последнего десятилетия у производителей фуфло-продуктов - это искусственный интеллект.
Некая чудо-технология, которая сама по себе, без участия человека спасает сразу, от всего и навсегда. Читаешь, смотришь рекламу - ну, вот же оно, светлое будущее, волшебное избавление от малвары, спама, целевых атак и прочих кибер-неприятностей! Ура! Интересно же как работает эта шайтан-машина, копнём! Эээ… как-то и копать нечего. Любой вопрос глубже рекламного буклета - ступор, переадресация в /dev/null техническим гуру, тишина и забвение.
Ничего, мы не привыкли отступать ©, посмотрим сами! Сейчас поставим продукт, потестим! Оп-па, а нету его, продукта-то. Т.е. он как бы есть, но мы вам его не дадим: «Гуталин там или не гуталин посылку я вам не отдам» ©.
Под микроскопом.
Что ж проанализируем то, что торчит наружу - декорации.
Все фуфло-продукты как один клеймят «традиционные подходы» и… эээ… хвалят подходы нетрадиционные, т.е. ага, вы правильно догадались - искусственный интеллект. Это как Скайнет, что ли? Ауч!
Нет, не Скайнет, лучше - говорят фуфло-продукты - там используются уникальные методы машинного обучения, которые не требуют обновлений, занимают мало памяти, работают незаметно, эффективнее традиционных продуктов, а ещё совсем почти не фолсят и ловят самые крутые шпионские атаки. Но как конкретно - это секрет.
Понятно - есть опасность, что «спрут» украдёт «уникальную новацию», поэтому с ним ну гу-гу, ничего ему не показывать, а вешать лапшу на уши только специального готовым к тому инвесторам и пользователям.
Напечатать рекламный буклет, запилить гуд-лукинг сайт и даже задвинуть секси презу - этим никого не удивишь. А чтобы продать продукт или привлечь инвестора нужно что-то поубедительнее. Желательно со стороны и авторитетное.
А для фуфло-продукта это палево. Поэтому в независимых тестах они не участвуют или участвуют выборочно в лучших традициях тестового маркетинга. Доказательство своей эффективности лепят сами по мутным или откровенно лживым методологиям с пометкой «Настоятельно рекомендовано собственником».
Секрет Полишинеля.
В сердце маркетинговой риторики фуфло-продуктов - противостояние традиционных и «прогрессивных» подходов. Вроде как «спрут» кибер-безопасности продаёт вчерашний день, ничего нового высокотехнологичного изобрести он не способен. Зато у «новаторов» с этим всё хорошо. Или нет? Или врут «инноваторы»?
Эта риторика смешна и лжива.
Машинное обучение вовсю используется в системах IT-безопасности с начала 2000-х.
Например, у нас 99,9% новой малвары детектят именно роботы и только незначительный процент самого сложного зловредства требует ручной обработки. Ни одна проактивная технология защиты не обходится без самообучающихся систем: с их помощью мониторинг активности System Watcher отслеживает системные изменения и откатывает вредоносные действия, автоматическая защита от эксплоитов выявляет атаки через неизвестные уязвимости, эвристики в разных модулях ловят малвару по косвенным признакам, эмулятор обрабатывает подозрительные файлы в изолированном пространстве, движок Targeted Attack Analyzer анализирует сетевую активность для обнаружения целевых атак. Тому у нас есть десятки примеров - подробнее читайте здесь.
ДНК безопасности.
Постоянное развитие защитных технологий - это важнейшая часть ДНК секюрити-индустрии. Наращивание оборонного потенциала, смена технологических поколений, внедрение новых фичей - это единственный вариант выжить в борьбе с кибер-криминалом. Кроме того, это основная мотивация для успешной рыночной конкуренции. Новые технологии повышают эффективность защиты, снижают ресурсопотребление, делают продукты удобнее и проще. Кто первый встал, того и рынок тапки.
Важно, что развитие защиты идёт именно за счёт умных технологий, самообучающихся систем, предвестников искусственного интеллекта. По-другому и быть не может: вручную отловить и обработать несколько сот тысяч новых образцов вредоносного кода в день не по силам ни одной компании в мире. Да и зачем? Есть мозг - его надо включить и сделать умную систему, которая сможет быстро, автоматически и надёжно сделать эту работу. Эксперту экспертово, машине - машинное. Один без другого не обойдётся.
Использование самообучающихся систем - необходимое, но недостаточное условие для IT-безопасности. Эта задача требует многоуровневой защиты всех типов устройств, против всех типов угроз, на всех инфраструктурных уровнях, способную быстро реагировать на новые вызовы и адаптироваться под бизнес-задачи, одновременно пытаясь предвосхитить новые трюки кибер-негодяев. Это вам не однажды выстроенный забор, а постоянно работающий стратегический процесс!
Разумеется, это не окончательный и исчерпывающий ответ на вопрос «Как защититься раз и навсегда и при этом не дать дуба». Будет день - будет пища. Однажды кибер-негодяи могут найти способ преодолеть адаптивную модель, но и мы не пальцем деланы - придумаем им новых проблем.
Achtung baby.
Полагаю, страсти по искусственному интеллекту ещё долго будут кипеть. И это нормально - чем больше желающих побороться за существование, тем сильнее умнее будет победитель.
С одной стороны, вендоры продолжат наращивать технологические мощности для автоматической обработки малвары и проактивной защиты, основанные на машинном обучении. С другой, на рынке и дальше будут всплывать пророки, обещающие счастливое избавление от всех кибер-болезней. Слишком уж плодородная почва для лапши. Слишком много романтической фантастики вокруг искусственного интеллекта.
Универсальной прививки против фуфло-продуктов нет. Скажу больше - я не исключаю появление реальной супер-технологии, способной перевернуть секюрити-рынок. Этому событию я буду лично восторгаться и аплодировать стоя. Рекомендовать поставить «искусственный интеллект» в чёрный список компаний-разводил - рисковать с водой выплеснуть ребёнка. Однако надеюсь, что этот пост включит у читателя инстинкт здорового, критического отношения к обещаниям, связанным с ИИ.
Горизонты естественного отбора.
Встроенное в человека любопытство и тяга к познанию требуют заглянуть за горизонт, увидеть, постичь. Мы отдаём жизнь и тратим гигантские ресурсы, чтобы убедиться - за горизонтом маячит другой, за ним ещё, ещё и ещё.
Кажется, что это уравнение не имеет решения: с рациональной точки зрения познавать бесконечность конечными ресурсами - занятие не только бесперспективное, но и глупое. Но почему-то Homo Sapiens продолжает целеустремлённо копать, преодолевать горизонт за горизонтом, свято веруя, что Вселенная - матрёшка и у неё есть сущность, отличная от бесконечности.
Отношения с будущим - вопрос философский и сугубо личный. «На вкус и цвет все фломастеры разные» ©. Моё мнение - копать надо несмотря ни на что. Рационализация хаоса, познание - высшая цель человека. И опыт моей жизни доказывает - это весьма увлекательно и полезно для души, тела и общества :) А также важно для IT-безопасности: новые поколения кибер-атак появляются каждый день, а значит мы каждый день должны заставлять их авторов набивать новые шишки.
Как в компьютерном андеграунде, так и в секюрити-индустрии идёт жёсткий естественный отбор. Вездесущность и непредсказуемость кибер-атак (а чем дальше, тем они будут сложнее) требуют нового типа мышления. Как любой выход из зоны комфорта - это неприятно, затратно, но неизбежно и безальтернативно, иначе - вымирание катастрофа.
Пока точно неизвестно, что вызывает мутации живых организмов. Некоторые неодарвинисты полагают, что это работа вирусов, которые целенаправленно комбинируют гены (ага, вот кто управляет миром!). Как бы то ни было, в IT-безопасности происходят схожие процессы, иногда действительно с помощью вирусов.
В лучших традициях принципа борьбы за существование секюрити-технологии эволюционируют, появляются новые категории продуктов, некоторые из них оказываются тупиковыми ветками развития и вымирают, некоторые превращаются в фичи комплексных решений (например, ревизоры изменений - куски их ДНК используются в endpoint-решениях). Бывает вырастают новые рыночные сегменты, ниши (например, Anti-APT), удачно дополняющие арсенал защитных технологий. В общем, позитивный симбиоз на благо нормализации средней температуры по больнице. А бывает погреться на солнышке выползают паразиты. Се ля ви, и ничего тут не поделаешь.
В борьбе за рынок IT-безопасности регулярно появляются пророки, предрекающие скоропостижную кончину «традиционных» технологий и счастливое изобретение фуфло-продукта революционной панацеи (значительные скидки первым пяти заказчикам). И это тоже нормальный эволюционный процесс.
В действительности, история не новая: кто не помнит anti-spyware? В начале 2000х на рынке вырос огромный пузырь продуктов, избавляющих от шпионских программ. На уши пользователям вешалась развесистая клюква о неспособности «традиционных антивирусов» справиться с этой напастью, что, как вы знаете, было большой и наглой неправдой.
Впрочем, такие пророки рынку уже приелись и монетизация «панацеи» требует всё больших инвестиций и изощрённых маркетинговых усилий.
Давид и Геббельс против Голиафа
В лучших традициях худших исторических примеров госпропаганды, фуфло-продукты бьют в фундаментальные уязвимости человеческой психологии родом из детства: веру в чудо и теорию заговора.
Мизансцена такая: жадный, кровавый «спрут» кибер-безопасности душит молодые перспективные поросли и продаёт пользователям всякую бесполезную дрянь. Симпатии зрителей на стороне «новаторов», негодование против «спрута» зашкаливает, спектакль завершается победой добра и светлого будущего.
ОК, шоу закончено, снизим градус эмоций и заглянем за декорации.
Под капотом.
Поветрие последнего десятилетия у производителей фуфло-продуктов - это искусственный интеллект.
Некая чудо-технология, которая сама по себе, без участия человека спасает сразу, от всего и навсегда. Читаешь, смотришь рекламу - ну, вот же оно, светлое будущее, волшебное избавление от малвары, спама, целевых атак и прочих кибер-неприятностей! Ура! Интересно же как работает эта шайтан-машина, копнём! Эээ… как-то и копать нечего. Любой вопрос глубже рекламного буклета - ступор, переадресация в /dev/null техническим гуру, тишина и забвение.
Ничего, мы не привыкли отступать ©, посмотрим сами! Сейчас поставим продукт, потестим! Оп-па, а нету его, продукта-то. Т.е. он как бы есть, но мы вам его не дадим: «Гуталин там или не гуталин посылку я вам не отдам» ©.
Под микроскопом.
Что ж проанализируем то, что торчит наружу - декорации.
Все фуфло-продукты как один клеймят «традиционные подходы» и… эээ… хвалят подходы нетрадиционные, т.е. ага, вы правильно догадались - искусственный интеллект. Это как Скайнет, что ли? Ауч!
Нет, не Скайнет, лучше - говорят фуфло-продукты - там используются уникальные методы машинного обучения, которые не требуют обновлений, занимают мало памяти, работают незаметно, эффективнее традиционных продуктов, а ещё совсем почти не фолсят и ловят самые крутые шпионские атаки. Но как конкретно - это секрет.
Понятно - есть опасность, что «спрут» украдёт «уникальную новацию», поэтому с ним ну гу-гу, ничего ему не показывать, а вешать лапшу на уши только специального готовым к тому инвесторам и пользователям.
Напечатать рекламный буклет, запилить гуд-лукинг сайт и даже задвинуть секси презу - этим никого не удивишь. А чтобы продать продукт или привлечь инвестора нужно что-то поубедительнее. Желательно со стороны и авторитетное.
А для фуфло-продукта это палево. Поэтому в независимых тестах они не участвуют или участвуют выборочно в лучших традициях тестового маркетинга. Доказательство своей эффективности лепят сами по мутным или откровенно лживым методологиям с пометкой «Настоятельно рекомендовано собственником».
Секрет Полишинеля.
В сердце маркетинговой риторики фуфло-продуктов - противостояние традиционных и «прогрессивных» подходов. Вроде как «спрут» кибер-безопасности продаёт вчерашний день, ничего нового высокотехнологичного изобрести он не способен. Зато у «новаторов» с этим всё хорошо. Или нет? Или врут «инноваторы»?
Эта риторика смешна и лжива.
Машинное обучение вовсю используется в системах IT-безопасности с начала 2000-х.
Например, у нас 99,9% новой малвары детектят именно роботы и только незначительный процент самого сложного зловредства требует ручной обработки. Ни одна проактивная технология защиты не обходится без самообучающихся систем: с их помощью мониторинг активности System Watcher отслеживает системные изменения и откатывает вредоносные действия, автоматическая защита от эксплоитов выявляет атаки через неизвестные уязвимости, эвристики в разных модулях ловят малвару по косвенным признакам, эмулятор обрабатывает подозрительные файлы в изолированном пространстве, движок Targeted Attack Analyzer анализирует сетевую активность для обнаружения целевых атак. Тому у нас есть десятки примеров - подробнее читайте здесь.
ДНК безопасности.
Постоянное развитие защитных технологий - это важнейшая часть ДНК секюрити-индустрии. Наращивание оборонного потенциала, смена технологических поколений, внедрение новых фичей - это единственный вариант выжить в борьбе с кибер-криминалом. Кроме того, это основная мотивация для успешной рыночной конкуренции. Новые технологии повышают эффективность защиты, снижают ресурсопотребление, делают продукты удобнее и проще. Кто первый встал, того и рынок тапки.
Важно, что развитие защиты идёт именно за счёт умных технологий, самообучающихся систем, предвестников искусственного интеллекта. По-другому и быть не может: вручную отловить и обработать несколько сот тысяч новых образцов вредоносного кода в день не по силам ни одной компании в мире. Да и зачем? Есть мозг - его надо включить и сделать умную систему, которая сможет быстро, автоматически и надёжно сделать эту работу. Эксперту экспертово, машине - машинное. Один без другого не обойдётся.
Использование самообучающихся систем - необходимое, но недостаточное условие для IT-безопасности. Эта задача требует многоуровневой защиты всех типов устройств, против всех типов угроз, на всех инфраструктурных уровнях, способную быстро реагировать на новые вызовы и адаптироваться под бизнес-задачи, одновременно пытаясь предвосхитить новые трюки кибер-негодяев. Это вам не однажды выстроенный забор, а постоянно работающий стратегический процесс!
Разумеется, это не окончательный и исчерпывающий ответ на вопрос «Как защититься раз и навсегда и при этом не дать дуба». Будет день - будет пища. Однажды кибер-негодяи могут найти способ преодолеть адаптивную модель, но и мы не пальцем деланы - придумаем им новых проблем.
Achtung baby.
Полагаю, страсти по искусственному интеллекту ещё долго будут кипеть. И это нормально - чем больше желающих побороться за существование, тем сильнее умнее будет победитель.
С одной стороны, вендоры продолжат наращивать технологические мощности для автоматической обработки малвары и проактивной защиты, основанные на машинном обучении. С другой, на рынке и дальше будут всплывать пророки, обещающие счастливое избавление от всех кибер-болезней. Слишком уж плодородная почва для лапши. Слишком много романтической фантастики вокруг искусственного интеллекта.
Универсальной прививки против фуфло-продуктов нет. Скажу больше - я не исключаю появление реальной супер-технологии, способной перевернуть секюрити-рынок. Этому событию я буду лично восторгаться и аплодировать стоя. Рекомендовать поставить «искусственный интеллект» в чёрный список компаний-разводил - рисковать с водой выплеснуть ребёнка. Однако надеюсь, что этот пост включит у читателя инстинкт здорового, критического отношения к обещаниям, связанным с ИИ.
Горизонты естественного отбора.
Встроенное в человека любопытство и тяга к познанию требуют заглянуть за горизонт, увидеть, постичь. Мы отдаём жизнь и тратим гигантские ресурсы, чтобы убедиться - за горизонтом маячит другой, за ним ещё, ещё и ещё.
Кажется, что это уравнение не имеет решения: с рациональной точки зрения познавать бесконечность конечными ресурсами - занятие не только бесперспективное, но и глупое. Но почему-то Homo Sapiens продолжает целеустремлённо копать, преодолевать горизонт за горизонтом, свято веруя, что Вселенная - матрёшка и у неё есть сущность, отличная от бесконечности.
Отношения с будущим - вопрос философский и сугубо личный. «На вкус и цвет все фломастеры разные» ©. Моё мнение - копать надо несмотря ни на что. Рационализация хаоса, познание - высшая цель человека. И опыт моей жизни доказывает - это весьма увлекательно и полезно для души, тела и общества :) А также важно для IT-безопасности: новые поколения кибер-атак появляются каждый день, а значит мы каждый день должны заставлять их авторов набивать новые шишки.
Как в компьютерном андеграунде, так и в секюрити-индустрии идёт жёсткий естественный отбор. Вездесущность и непредсказуемость кибер-атак (а чем дальше, тем они будут сложнее) требуют нового типа мышления. Как любой выход из зоны комфорта - это неприятно, затратно, но неизбежно и безальтернативно, иначе - вымирание катастрофа.