¡Saludos, Khabrovsk! Me gustaría compartir con ustedes la historia de crear un producto innovador. Estamos hablando de un producto de la clase de análisis avanzado de eventos de seguridad de la información con funciones de análisis de comportamiento. Ya hemos creado más de una docena de productos de seguridad de la información. ¿Por qué decidimos crear otro producto? Hablemos de todo en orden.
No es ningún secreto que la protección moderna de las empresas se basa en sistemas de seguridad integrados que integran herramientas de protección para diversos fines. Esto incluye programas antivirus, firewalls, sistemas de detección de intrusos, protección contra fugas, etc. Sin embargo, a pesar de varios niveles en dicho sistema, construido alrededor del perímetro de la infraestructura corporativa, hoy no garantiza la protección contra ataques informáticos selectivos y acciones maliciosas por parte del personal.
Para contrarrestar efectivamente las amenazas actuales de ciberseguridad, es importante:
- detectar signos ocultos de un incidente de seguridad lo antes posible;
- determinar la dirección del ataque lo más rápido posible, el llamado vector de ataque, las causas y consecuencias del incidente;
- elige el escenario de respuesta correcto.
Estas tareas de naturaleza analítica están diseñadas para ser abordadas por el Centro de Operaciones de Seguridad. Acrónimo SOC. Dichos centros ahora son creados activamente por grandes organizaciones y compañías rusas. Los centros se basan en un sistema centralizado para gestionar información y eventos de seguridad. Información de seguridad y gestión de eventos. Corto para SIEM.
La práctica de crear sistemas de seguridad complejos y la experiencia de proyectos piloto para crear componentes SOC nos mostraron que una de las debilidades es la capacidad analítica limitada de los sistemas SIEM tradicionales y otras herramientas de seguridad.
En primer lugar. En el contexto de cambios continuos en las amenazas, los procesos comerciales y la infraestructura de información, los algoritmos heurísticos para detectar incidentes implementados sobre la base de
reglas formales para la correlación de eventos de seguridad no son suficientes . Para identificar incidentes que las herramientas de seguridad tradicionales no pueden detectar automáticamente,
se requieren métodos y herramientas de análisis de datos avanzados . En particular, las tecnologías de análisis de comportamiento para detectar anomalías en el comportamiento de los usuarios y los procesos de información de una red corporativa.
En segundo lugar. Para el análisis operativo de las sospechas de un incidente y la identificación de signos ocultos de actividades maliciosas, necesitamos un modelo único en el que los datos estén asociados:
- Sobre usuarios y objetos de una red corporativa;
- Eventos de seguridad recibidos del sistema SIEM
- sobre el tiempo y el tipo de anomalía detectada en el comportamiento de los usuarios y los procesos de información.
Las soluciones de análisis de comportamiento comenzaron a ser desarrolladas activamente por proveedores de sistemas de seguridad extranjeros hace 3-4 años. Sin embargo, su uso en proyectos para compañías y organizaciones rusas que poseen infraestructura de información crítica es inaceptable. No hubo soluciones industriales de los desarrolladores rusos de sistemas de seguridad. En este sentido, en 2017, decidimos desarrollar la Advanced Security Analytics Platform (Ankey ASAP), una plataforma avanzada de análisis de ciberseguridad.
La creación de la plataforma, junto con las tareas de ingeniería tradicionales de implementar sistemas de procesamiento de big data altamente cargados, tuvo un importante componente científico y matemático. La falta de las competencias necesarias, la escasez de especialistas en el mercado laboral con conocimiento y experiencia interdisciplinarios en el campo de las tecnologías intelectuales y la seguridad de la información nos llevaron a buscar socios entre universidades y centros de investigación. Los colegas del Laboratorio de Inteligencia Artificial y Tecnologías de Redes Neuronales de la Universidad Politécnica fueron los primeros en expresar su disposición a trabajar juntos para desarrollar sistemas inteligentes en ciberseguridad.
Al comenzar a trabajar en la plataforma analítica, solo teníamos una idea general de la funcionalidad del producto futuro. Con la ayuda de colegas de la Universidad Politécnica, pudimos comprender los métodos para detectar anomalías, estudiar la tecnología del aprendizaje automático y el análisis de comportamiento, para comprender los detalles de las tareas que se están resolviendo.
Brevemente sobre los resultados de dos años de cooperación.
Año 2018
- Se ha desarrollado un producto prototipo que define el concepto y la arquitectura de la solución de destino Ankey ASAP.
- Se creó la versión mínima del producto viable (Producto mínimo viable (MVP)), que incluía los módulos básicos del subsistema para recopilar, procesar y almacenar datos, módulos del subsistema de análisis y el subsistema de administración.
Después de hacer un prototipo, comenzamos a recibir los resultados del procesamiento de datos utilizando herramientas de análisis avanzadas y decidimos los métodos de aprendizaje automático seleccionados para identificar anomalías.
Año 2019
- Finalmente nos decidimos por una pila de tecnología basada en una arquitectura de microservicio (Docker, Kubernetes), que nos permite escalar y reconfigurar módulos para resolver problemas sin perder rendimiento.
- Se lanzó la primera versión del producto, lista para pruebas piloto con clientes potenciales.
En 2020, se lanzará una versión comercial del producto, complementada con subsistemas para monitorear indicadores integrados de anomalías de comportamiento del usuario (entidades) y escenarios de gestión de investigación analítica. Dependiendo del modelo de máquina que detectó el comportamiento anormal, el contenido analítico relevante para la investigación se generará automáticamente y se ejecutarán scripts automáticos que notificarán a las personas relevantes e iniciarán acciones de protección proactiva, por ejemplo, la activación de reglas adicionales en el firewall. La gestión adaptativa de casos analíticos permitirá la formación de una base de conocimiento a partir de escenarios de investigación y respuesta de acuerdo con las mejores prácticas globales para gestionar incidentes de seguridad, teniendo en cuenta la práctica y los requisitos de la política de seguridad de una empresa en particular. La nueva funcionalidad reducirá el tiempo para identificar e investigar incidentes, reducirá la sobrecarga de información y los requisitos para un alto nivel de competencia de un analista de seguridad de la información.
Hasta la fecha, hemos completado con éxito la primera etapa de desarrollo de la plataforma analítica Ankey ASAP. Hemos creado el núcleo de una plataforma universal para resolver problemas de análisis de comportamiento. La universalidad radica en el hecho de que, con la ayuda de modelos personalizables, la plataforma se puede reconstruir desde el análisis de la seguridad de los sistemas de información corporativos hasta el análisis del comportamiento en otra área temática, como se hizo en un proyecto piloto, donde el objetivo del monitoreo era sistemas ciberfísicos que proporcionan preparación y transporte de hidrocarburos.
Todavía queda mucho trabajo por delante, tanto para desarrollar la funcionalidad de acuerdo con la hoja de ruta, como como resultado del pilotaje. Estaremos encantados de reunirnos con usted nuevamente y hablar sobre los resultados de los pilotos y el desarrollo posterior del proyecto.