Современные технологии аналитики в кибербезопасности

    Приветствую, Хабровчане! Хотел бы поделиться с вами историей создания инновационного продукта. Речь пойдет о продукте класса расширенной аналитики событий информационной безопасности c функциями поведенческого анализа. Мы создали уже более полутора десятков продуктов по информационной безопасности. Почему мы решили создать еще один продукт? Давайте обо всем по порядку.

    Ни для кого не секрет, что современная защита предприятий строится на основе комплексных систем безопасности, которые интегрируют средства защиты различного назначения. Это и антивирусные программы, межсетевые экраны, системы обнаружения вторжений, защиты от утечек и т.п. Однако, несмотря на несколько уровней в такой системе, выстроенной по периметру корпоративной инфраструктуры, сегодня она не гарантирует защиту от целевых компьютерных атак и злонамеренных действий персонала.

    Для эффективного противодействия современным угрозам кибербезопасности важно:

    • как можно раньше выявить скрытые признаки инцидента безопасности;
    • максимально быстро определить направление атаки, так называемый вектор атаки, причины и последствия инцидента;
    • выбрать правильный сценарий реагирования.

    Эти задачи аналитического характера призваны решать операционные центры безопасности – Security Operations Center. Сокращенно SOC. Такие центры сейчас активно создаются крупными российскими организациями и компаниями. В основе работы центров лежит централизованная система управления информацией и событиями безопасности. Security information and event management. Сокращенно SIEM.

    Практика создания комплексных систем безопасности и опыт пилотных проектов создания компонентов SOC, показали нам, что одним из слабых мест является ограниченные возможности аналитических средств традиционных SIEM систем и других средств защиты.

    Во первых. В условиях непрерывного изменения угроз, бизнес-процессов и информационной инфраструктуры эвристических алгоритмов выявления инцидентов, реализуемых на основе формальных правил корреляции событий безопасности, недостаточно. Для выявления инцидентов, которые традиционные средства защиты автоматически не могут обнаружить, требуются методы и инструменты расширенной аналитики данных. В частности, технологии поведенческой аналитики для обнаружения аномалий в поведении пользователей и информационных процессов корпоративной сети.

    Во вторых. Для оперативного анализа подозрений на инцидент и выявления скрытых признаков злонамеренных активностей нужна единая модель, в которой ассоциированы данные:

    • о пользователях и объектах корпоративной сети;
    • событий безопасности, получаемые из SIEM-системы;
    • о времени и типе обнаруженной аномалии в поведении пользователей и информационных процессов.

    Решения поведенческой аналитики начали активно развиваться зарубежными вендорами систем безопасности 3-4 года назад. Однако их использование в проектах для российских компаний и организаций, являющихся владельцами критической информационной инфраструктуры, неприемлемо. Промышленные решения от российских разработчиков систем безопасности отсутствовали. В этой связи в 2017 году нами было принято решение о разработке платформы расширенной аналитики кибербезопасности – Ankey ASAP (Advanced Security Analytics Platform).

    Создание платформы, наряду с традиционными инженерными задачами реализации высоконагруженных систем обработки больших данных, имело значительную научно математическую составляющую. Отсутствие нужных компетенций, дефицит на рынке труда специалистов с междисциплинарным знанием и опытом в области интеллектуальных технологий и информационной безопасности подтолкнули нас к поиску партнеров среди ВУЗов и научных центров. Коллеги из Лаборатории искусственного интеллекта и нейросетевых технологий Политехнического университета первым высказали готовность к совместной работе по разработке интеллектуальных систем в кибербезопасности.

    Приступая к работе над аналитической платформой, мы имели лишь общее представление о функционале будущего продукта. С помощью коллег из Политехнического университета мы сумели разобраться в методах выявления аномалий, изучить технологии применения машинного обучения и поведенческого анализа, разобраться в специфике решаемых задач.

    Кратко о результатах двух лет сотрудничества.

    2018 год


    • Разработан прототип продукта, в котором определены концепция и архитектура целевого решения Ankey ASAP.
    • Создана минимальная жизнеспособная версия продукта (Minimum Viable Product (MVP)), включавшая в себя базовые модули подсистемы сбора, обработки и хранения данных, модули подсистемы аналитики и подсистемы администрирования.

    Сделав прототип, мы стали получать результаты обработки данных инструментами расширенной аналитики и определились с выбранными методами машинного обучения для выявления аномалий.

    2019 год


    • Мы окончательно определились со стеком технологий, основанном на микросервисной архитектуре (Docker, Kubernetes), позволяющем масштабировать и реконфигурировать модули под решаемые задачи без потери производительности.
    • Выпущен первый релиз продукта, готовый для проведения пилотных испытаний у потенциальных заказчиков.

    В 2020 году будет выпущена коммерческая версия продукта, дополненная подсистемами мониторинга интегральных индикаторов аномальности поведения пользователей (сущностей) и сценариями управления аналитическими расследованиями. В зависимости от машинной модели, которая выявила аномальное поведение, будут автоматически формироваться релевантный для расследования аналитический контент и выполняться автоматизированные сценарии, которые оповещают соответствующих лиц, инициируют проактивные действия по защите, например, активацию дополнительных правил на межсетевом экране. Адаптивное управление аналитическими кейсами позволит формировать базу знаний из сценариев расследования и реагирования согласно лучшим мировыми практикам управления инцидентами безопасности с учетом практики и требований политики безопасности конкретного предприятия. Новый функционал сократит время выявления и расследования инцидентов, снизит информационную перегрузку и требования к высокому уровню компетенции аналитика информационной безопасности.

    На сегодняшний день мы успешно завершили первый этап разработки аналитической платформы Ankey ASAP. Нами создано ядро универсальной платформы для решения задач поведенческой аналитики. Универсальность заключается в том, что при помощи настраиваемых моделей платформа может быть перестроена с анализа безопасности функционирования корпоративных информационных систем на поведенческую аналитику в другой предметной области, как это было сделано в пилотном проекте, где объектом мониторинга выступили киберфизические системы, обеспечивающие подготовку и транспортировку углеводорода.

    Впереди еще много работы, как по разработке функционала в соответствии с дорожной картой, так и по итогам пилотирования. Будем рады встретиться с вами снова и рассказать о результатах пилотов и дальнейшего развития проекта.
    Газинформсервис
    Надежные решения для безопасности бизнеса

    Комментарии 1

      +1
      Пожалуйста, на техническом ресурсе раскрывайте хоть немного деталей, конкретный опыт, ведь если уже есть релиз, значит было тестирование, возможно, где-то и эксплуатация ведётся. Можно привести небольшую схемку с крупным планом архитектуры и прочее. Важность раннего обнаружения очевидна, а какие новые пути здесь есть, что на Ваш взгляд наиболее перспективно?

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое