Читать «Третья мировая война. Какой она будет» онлайн - страница 105

Помимо глубокого инспектирования всех пакетов трафика с целью обнаружения вредоносного ПО и блокирования пакетов, которые запускали распознанные атаки, следует предпринять ряд дополнительных шагов для укрепления системы. Во-первых, затратив относительно немного времени и денег, можно разработать программное обеспечение для идентификации трансформированного мэлвера. Это позволит обнаруживать вариации известных сигнатур, которые могут использовать хакеры, чтобы проскочить глубокое инспектирование пакетов. Во-вторых, помимо магистральных интернет-провайдеров к поиску вредоносного ПО должны подключиться власти и крупные коммерческие структуры (например, банки), также заключив соглашения с центрами обработки и размещения данных. В нескольких крупных хостинговых центрах обработки данных, разбросанных по всей стране, сходятся оптоволоконные кабели крупнейших интернет-провайдеров и осуществляется коммутация. Здесь же находятся серверы некоторых крупных организаций, стоящие блестящими мерцающими рядами за ограждениями или скрытые в строго охраняемых помещениях. Операторы этих центров могут выявлять известное вредоносное ПО — это будет второй уровень защиты. Более того, операторы центров обработки данных или сотрудники фирм по обеспечению компьютерной безопасности могут просматривать данные. Центры имеют возможность предоставлять регулируемые услуги по обеспечению безопасности и отслеживать аномальную активность, причиной которой иногда являются необнаруженные вредоносные программы. В отличие от попыток блокировать мэлвер на входе регулируемые услуги позволяют отслеживать подозрительное поведение и аномальную активность пакетов данных. Тем самым увеличивается вероятность обнаружения более сложных двухэтапных атак и программ «нулевого дня». Эти вредоносные программы можно добавлять в список программ для блокировки. Поиски разумно проводить по тем адресам базы данных, куда проник новый мэлвер, тем самым позволяя системе останавливать крупномасштабную эксфильтрацию данных.

Платя интернет-провайдерам и поставщикам услуг по обеспечению безопасности за проверку данных, власти будут удалены от процесса, чтобы гарантировать прайвеси и поощрять конкурентную борьбу. Помимо оплаты власти должны предоставлять информацию о вредоносном ПО, мотивировать компании обнаруживать атаки, создать механизм, позволяющий гражданам быть уверенными, что их частная информация и гражданские свободы надежно защищены. В отличие от единственной линии защиты, применяемой властями (например, системы «Эйнштейн», созданной Министерством национальной безопасности для защиты гражданских федеральных ведомств), это будет многоуровневая система, работу которой обеспечивают несколько провайдеров, что гарантирует инновации и здоровую конкуренцию среди IT-компаний частного сектора. Если правительству станет известно о надвигающейся или начатой кибервойне, ряд федеральных сетевых операционных центров сможет взаимодействовать с частными IT-защитниками и сетевыми операционными центрами ключевых частных организаций и координировать оборону. Для этого властям придется создать специальную коммуникационную сеть, объединяющую сетевые операционные центры, — строго охраняемую, полностью изолированную и отделенную от Интернета (тот факт, что такая новая сеть понадобится, кое-что говорит об Интернете).