Нир Зук, основатель и CTO компании Palo Alto Networks, выступил на конференции Ignite 2014 с программной речью, посвященной трансформации подходов к кибербезопасности. В своем выступлении он представил стратегическое видение развития платформы защиты, объяснил важность перехода от обнаружения к предотвращению и обосновал экспансию компании на рынок защиты конечных точек.
🚀 Будущее архитектуры безопасности: Сеть, Хост и Облако 1:28
Нир Зук выделил два ключевых тематических направления, которые определяют стратегию Palo Alto Networks: развитие единой платформы (сеть, хост и облако) и безоговорочный фокус на предотвращении атак (prevention), а не просто на их обнаружении (detection) . По словам спикера, современное сетевое защитное устройство должно выполнять три базовые функции:
- Понимание трафика и контроль: идентификация пользователя, приложения и конкретных действий внутри него .
- Применение сигнатур: проверка файлов (исполняемых, PDF и др.) и трафика на наличие вредоносного ПО, команд управления (C&C), вредоносных DNS и URL .
- Сбор и передача данных в облако: отправка неочевидной информации для глубокого анализа, что позволяет выявлять новые типы угроз в режиме реального времени .
Отдельное внимание Нир Зук уделил производительности: текущая платформа 7050 уже способна обрабатывать сигнатуры на скорости до 100 Гбит/с, а в будущем компания планирует достичь терабитных скоростей .
🛡️ Философия предотвращения против обнаружения 8:30
Спикер жестко раскритиковал концепцию «обнаружения и устранения последствий» (detect and remediate), которой придерживаются многие конкуренты. По мнению Нира Зука, под «устранением» конкуренты часто подразумевают лишь идентификацию зараженного компьютера, который нужно переустановить, когда данные уже украдены .
«Я всегда спрашиваю себя: что они имеют в виду под устранением последствий? — иронизирует Зук. — Неужели они собираются поехать в Россию и вернуть 200 миллионов долларов, которые у меня украли?» . Спикер подчеркнул, что цель Palo Alto Networks — сделать так, чтобы атаки в принципе не были успешными, а интеллектуальная собственность и деньги оставались внутри организации .
Важные тезисы о сигнатурном анализе:
- Сигнатуры — единственный механизм, способный останавливать атаки на высоких скоростях с задержкой менее миллисекунды .
- Для обнаружения компания использует поведенческий анализ и песочницы, но как только угроза выявлена, она превращается в сигнатуру для мгновенного предотвращения на всех устройствах клиентов по всему миру .
- По утверждению Нира Зука, эффективность традиционных антивирусов падает: вендоры вроде Symantec могут пропускать до 60–70% угроз, которые обнаруживает Palo Alto Networks .
💻 Смерть традиционных антивирусов и покупка Cyvera 18:17
Одним из главных анонсов стала интеграция технологий компании Cyvera (недавно приобретенной Palo Alto Networks) в общую платформу. Нир Зук выразил уверенность, что технология защиты конечных точек (endpoint protection) от Cyvera станет «последним гвоздем в гроб» традиционных антивирусов .
Преимущества подхода Cyvera по версии Зука:
- Остановка эксплойтов: система блокирует сами методы эксплуатации уязвимостей, что делает практически невозможным обход защиты .
- Легковесность: в отличие от классических антивирусов, решение не «съедает» ресурсы процессора даже при высокой файловой активности .
- Универсальность: технология применима не только к десктопам (Windows, OS X), но и потенциально к мобильным устройствам (iOS, Android) .
Спикер отметил, что рынок готов к переменам: крупные клиенты из финансового сектора и госучреждений массово разочарованы в текущих решениях от McAfee и Symantec, зачастую пытаясь заменить одного неэффективного вендора на другого .
🌩️ Облачные технологии и конкуренция с FireEye 12:54
Нир Зук подробно остановился на преимуществах облачной песочницы WildFire по сравнению с локальными решениями конкурентов (например, FireEye). Основной аргумент против локальных «железных» песочниц — их крайне низкая пропускная способность .
Спикер привел результаты тестов:
- Типичное устройство FireEye стоимостью около $90 000 способно сканировать всего около 55 файлов в час .
- Облако Palo Alto Networks на момент выступления обрабатывало 3 файла в секунду (более 10 000 файлов в час) с возможностью практически неограниченного масштабирования .
Облако также позволяет обновлять алгоритмы анализа ежемесячно, не требуя от клиента переустановки ПО на локальных устройствах . Кроме того, подразделение Unit 42 использует облачные данные для предоставления контекста: кто атакует, какие цели преследует и как перемещается внутри сети .
⚖️ Регулирование и конфиденциальность 33:52
Отвечая на вопросы из зала, Нир Зук затронул тему государственных стандартов и комплаенса. Он выразил мнение, что требования регуляторов часто тормозят безопасность, так как организации стремятся быть «соответствующими нормам», а не реально защищенными . В качестве примера была приведена компания Target, которая была полностью PCI-совместима на момент масштабной утечки данных .
Относительно сквозного шифрования (end-to-end encryption) в приложениях вроде Skype, Зук отметил, что вендоры должны учитывать потребности служб безопасности в инспекции трафика. Если приложение нельзя контролировать, корпоративные клиенты просто будут вынуждены его блокировать .
