Geekly articles weekly

تقنيات التحليلات الحديثة في الأمن السيبراني

تحية طيبة ، خابروفسك! أود أن أشارككم قصة إنشاء منتج مبتكر. نحن نتحدث عن منتج من فئة التحليلات المتقدمة لأحداث أمن المعلومات مع وظائف التحليل السلوكي. لقد أنشأنا بالفعل أكثر من عشرة منتجات لأمن المعلومات. لماذا قررنا إنشاء منتج آخر؟ دعونا نتحدث عن كل شيء بالترتيب.

ليس سرا أن الحماية الحديثة للمؤسسات مبنية على أساس أنظمة أمنية متكاملة تدمج أدوات الحماية لأغراض مختلفة. ويشمل ذلك برامج مكافحة الفيروسات ، والجدران النارية ، وأنظمة كشف التسلل ، وحماية التسرب ، إلخ. ومع ذلك ، على الرغم من عدة مستويات في مثل هذا النظام ، مبنية حول محيط البنية التحتية للشركات ، لا تضمن اليوم الحماية ضد هجمات الكمبيوتر المستهدفة والإجراءات الضارة التي يقوم بها الموظفون.

لمواجهة تهديدات الأمن السيبراني الحالية بفعالية ، من المهم:

  • الكشف عن العلامات الخفية لحادث أمني في أقرب وقت ممكن ؛
  • تحديد اتجاه الهجوم في أسرع وقت ممكن ، متجه الهجوم المزعوم ، أسباب وعواقب الحادث ؛
  • اختر سيناريو الاستجابة الصحيحة.

تم تصميم هذه المهام ذات الطبيعة التحليلية بحيث يتم معالجتها بواسطة مركز العمليات الأمنية. SOC. يتم إنشاء هذه المراكز الآن بنشاط من قبل الشركات والشركات الروسية الكبيرة. تعتمد المراكز على نظام مركزي لإدارة الأحداث الأمنية والمعلومات. معلومات الأمن وإدارة الأحداث. اختصار ل SIEM.

لقد أوضحت لنا الممارسة المتمثلة في إنشاء أنظمة أمان متكاملة وتجربة المشروعات الرائدة لإنشاء مكونات SOC أن إحدى نقاط الضعف هي القدرات التحليلية المحدودة لأنظمة SIEM التقليدية وغيرها من ميزات الأمان.

أولا. في سياق التغييرات المستمرة في التهديدات ، لا تكفي العمليات التجارية والبنية التحتية للمعلومات الخاصة بخوارزميات الكشف عن الحوادث ، والتي يتم تنفيذها على أساس قواعد رسمية لترابط الأحداث الأمنية . لتحديد الحوادث التي يتعذر على أدوات الأمان التقليدية اكتشافها تلقائيًا ، يلزم توفر أساليب وأدوات تحليل البيانات المتقدمة . على وجه الخصوص ، تقنيات التحليل السلوكي لاكتشاف الحالات الشاذة في سلوك المستخدمين وعمليات المعلومات لشبكة الشركة.

ثانيا. من أجل التحليل التشغيلي للشك في وقوع حادث وتحديد العلامات الخفية للأنشطة الضارة ، نحتاج إلى نموذج واحد ترتبط به البيانات:

  • حول المستخدمين وكائنات شبكة الشركة ؛
  • الأحداث الأمنية الواردة من نظام SIEM
  • حول الوقت ونوع الشذوذ الكشف عنها في سلوك المستخدمين وعمليات المعلومات.

بدأت حلول التحليلات السلوكية في التطوير بنشاط من قبل بائعي أنظمة الأمن الأجنبية منذ 3-4 سنوات. ومع ذلك ، فإن استخدامها في المشاريع للشركات والمؤسسات الروسية التي تمتلك بنية تحتية مهمة للمعلومات أمر غير مقبول. لم تكن هناك حلول صناعية من مطوري الأنظمة الأمنية الروس. في هذا الصدد ، في عام 2017 ، قررنا تطوير منصة Advanced Security Analytics Platform (Ankey ASAP) لتحليلات الأمن السيبراني المتقدمة.

إن إنشاء المنصة ، إلى جانب المهام الهندسية التقليدية لتنفيذ أنظمة معالجة البيانات الكبيرة المحملة بدرجة كبيرة ، كان له مكون علمي ورياضي مهم. إن الافتقار إلى الكفاءات اللازمة ، ونقص المتخصصين في سوق العمل ممن لديهم معرفة وخبرات متعددة التخصصات في مجال التقنيات الفكرية وأمن المعلومات ، دفعنا إلى البحث عن شركاء بين الجامعات ومراكز البحوث. كان الزملاء من مختبر الذكاء الاصطناعي وتقنيات الشبكات العصبية في جامعة البوليتكنيك أول من أعرب عن رغبته في العمل معًا لتطوير أنظمة ذكية في الأمن السيبراني.

بدء العمل على منصة التحليل ، لم يكن لدينا سوى فكرة عامة عن وظيفة المنتج في المستقبل. بمساعدة زملاء من جامعة البوليتكنيك ، تمكنا من فهم طرق اكتشاف الحالات الشاذة ، ودراسة تقنية التعلم الآلي وتحليل السلوك ، لفهم تفاصيل المهام التي يتم حلها.

باختصار عن نتائج عامين من التعاون.

2018 سنة


  • تم تطوير منتج نموذج أولي يحدد مفهوم وهدف حل Ankey ASAP المستهدف.
  • تم إنشاء الحد الأدنى من إصدار المنتج القابل للتطبيق (Minimum Viable Product (MVP)) ، والذي تضمن الوحدات الأساسية للنظام الفرعي لجمع ومعالجة وتخزين البيانات ، ووحدات النظام الفرعي للتحليلات والنظام الفرعي للإدارة.

بعد أن صنعنا نموذجًا أوليًا ، بدأنا في تلقي نتائج معالجة البيانات باستخدام أدوات تحليلية متقدمة وقررنا أساليب التعلم الآلي المحددة لتحديد الحالات الشاذة.

2019 سنة


  • لقد قررنا أخيرًا كومة تقنية تعتمد على بنية microservice (Docker ، Kubernetes) ، والتي تتيح لنا توسيع نطاق الوحدات وإعادة تكوينها لحل المشكلات دون فقدان الأداء.
  • تم إصدار أول إصدار للمنتج ، جاهز للاختبار التجريبي مع العملاء المحتملين.

في عام 2020 ، سيتم إصدار نسخة تجارية من المنتج ، تكملها أنظمة فرعية لرصد المؤشرات المتكاملة للسلوك الشاذ للمستخدمين (الكيانات) وسيناريوهات إدارة التحليلات التحليلية. وفقًا لطراز الجهاز الذي اكتشف السلوك غير الطبيعي ، سيتم تلقائيًا إنشاء محتوى تحليلي ذي صلة بالتحقيق وسيتم تنفيذ نصوص تلقائية لإعلام الأشخاص المعنيين وبدء إجراءات الحماية الاستباقية ، على سبيل المثال ، تفعيل قواعد إضافية على جدار الحماية. ستسمح الإدارة التكيفية للحالات التحليلية بتكوين قاعدة معرفية من سيناريوهات التحقيق والاستجابة وفقًا لأفضل الممارسات الدولية لإدارة الحوادث الأمنية ، مع مراعاة ممارسة ومتطلبات السياسة الأمنية لمؤسسة معينة. ستعمل الوظيفة الجديدة على تقليل الوقت اللازم لتحديد الحوادث والتحقيق فيها ، وتقليل الحمل الزائد للمعلومات ومتطلبات مستوى عالٍ من الكفاءة لمحلل أمن المعلومات.

حتى الآن ، أكملنا بنجاح المرحلة الأولى من تطوير منصة Ankey ASAP التحليلية. لقد أنشأنا جوهر منصة عالمية لحل مشاكل التحليلات السلوكية. تكمن العالمية في حقيقة أنه بمساعدة النماذج القابلة للتخصيص ، يمكن إعادة بناء المنصة من التحليل الأمني ​​لنظم معلومات الشركات إلى التحليلات السلوكية في مجال موضوع آخر ، كما حدث في مشروع تجريبي ، حيث كان الهدف من الرصد هو النظم الفيزيائية الإلكترونية التي توفر إعداد الهيدروكربون والنقل.

لا يزال هناك الكثير من العمل في المستقبل ، سواء لتطوير الوظائف وفقًا لخريطة الطريق ، ونتيجة للتجربة. سنكون سعداء لمقابلتك مرة أخرى والتحدث عن نتائج الطيارين ومواصلة تطوير المشروع.

Source: https://habr.com/ru/post/ar480980/

More articles:


All Articles