Grüße, Khabrovsk! Ich möchte mit Ihnen die Geschichte eines innovativen Produkts teilen. Es handelt sich um ein Produkt der Klasse der erweiterten Analyse von Informationssicherheitsereignissen mit Verhaltensanalysefunktionen. Wir haben bereits mehr als ein Dutzend Informationssicherheitsprodukte entwickelt. Warum haben wir uns für ein anderes Produkt entschieden? Reden wir über alles in Ordnung.
Es ist kein Geheimnis, dass der moderne Schutz von Unternehmen auf integrierten Sicherheitssystemen basiert, die Schutzwerkzeuge für verschiedene Zwecke integrieren. Dazu gehören Antivirenprogramme, Firewalls, Intrusion Detection-Systeme, Auslaufschutz usw. Trotz mehrerer Ebenen in einem solchen System, das um den Umfang der Unternehmensinfrastruktur herum aufgebaut ist, ist der Schutz vor gezielten Computerangriffen und böswilligen Aktionen von Mitarbeitern heute nicht mehr gewährleistet.
Um aktuellen Cybersicherheitsbedrohungen wirksam entgegenzuwirken, ist Folgendes wichtig:
- versteckte Anzeichen eines Sicherheitsvorfalls so früh wie möglich erkennen;
- die Angriffsrichtung so schnell wie möglich bestimmen, den sogenannten Angriffsvektor, die Ursachen und Folgen des Vorfalls;
- Wählen Sie das richtige Reaktionsszenario.
Diese analytischen Aufgaben sollen vom Security Operations Center gelöst werden. Akronym SOC. Solche Zentren werden heute von großen russischen Organisationen und Unternehmen aktiv eingerichtet. Die Zentren basieren auf einem zentralen System zur Verwaltung von Informationen und Sicherheitsereignissen. Sicherheitsinformationen und Ereignisverwaltung. Abkürzung für SIEM.
Die Praxis der Erstellung integrierter Sicherheitssysteme und die Erfahrung mit Pilotprojekten zur Erstellung von SOC-Komponenten haben gezeigt, dass eine der Schwachstellen die eingeschränkten Analysefunktionen traditioneller SIEM-Systeme und anderer Sicherheitsfunktionen sind.
Erstens. Heuristische Algorithmen zur Erkennung von Vorfällen, die auf der Grundlage
formaler Regeln für die Korrelation von Sicherheitsereignissen implementiert
werden, reichen im Kontext kontinuierlicher Änderungen von Bedrohungen, Geschäftsprozessen und Informationsinfrastruktur
nicht aus . Um Vorfälle zu identifizieren, die herkömmliche Sicherheitstools nicht automatisch erkennen können, sind
erweiterte Datenanalysemethoden und -tools erforderlich . Insbesondere Technologien zur Verhaltensanalyse zur Erkennung von Anomalien im Verhalten von Benutzern und in Informationsprozessen eines Unternehmensnetzwerks.
Zweitens. Für die operative Analyse des Verdachts eines Vorfalls und die Identifizierung von versteckten Anzeichen von böswilligen Aktivitäten benötigen wir ein einziges Modell, in dem Daten verknüpft sind:
- Über Benutzer und Objekte eines Unternehmensnetzwerks;
- Vom SIEM-System empfangene Sicherheitsereignisse
- Informationen zu Zeitpunkt und Art der im Verhalten von Benutzern und Informationsprozessen festgestellten Anomalien.
Behavioral Analytics-Lösungen wurden vor drei bis vier Jahren von ausländischen Anbietern von Sicherheitssystemen aktiv entwickelt. Ihr Einsatz in Projekten für russische Unternehmen und Organisationen, die über eine kritische Informationsinfrastruktur verfügen, ist jedoch inakzeptabel. Es gab keine industriellen Lösungen von russischen Entwicklern von Sicherheitssystemen. In diesem Zusammenhang haben wir uns 2017 entschlossen, die Advanced Security Analytics Platform (Ankey ASAP) zu entwickeln, eine erweiterte Plattform für Cybersecurity-Analysen.
Die Schaffung der Plattform hatte neben den traditionellen Ingenieuraufgaben der Implementierung hochbelasteter Big-Data-Verarbeitungssysteme eine bedeutende wissenschaftliche und mathematische Komponente. Das Fehlen der erforderlichen Kompetenzen, der Mangel an Fachkräften auf dem Arbeitsmarkt mit interdisziplinärem Wissen und Erfahrung auf dem Gebiet der intellektuellen Technologien und der Informationssicherheit veranlasste uns, nach Partnern zwischen Universitäten und Forschungszentren zu suchen. Kollegen vom Labor für Künstliche Intelligenz und Neuronale Netzwerktechnologien der Polytechnischen Universität haben als erste ihre Bereitschaft zum Ausdruck gebracht, bei der Entwicklung intelligenter Systeme für die Cybersicherheit zusammenzuarbeiten.
Als wir mit der Arbeit an der Analyseplattform begannen, hatten wir nur eine allgemeine Vorstellung von der Funktionalität des zukünftigen Produkts. Mithilfe von Kollegen der Polytechnischen Universität konnten wir die Methoden zur Erkennung von Anomalien verstehen, die Technologie des maschinellen Lernens und die Verhaltensanalyse studieren und die Besonderheiten der zu lösenden Aufgaben verstehen.
Kurz über die Ergebnisse der zweijährigen Zusammenarbeit.
2018 Jahr
- Es wurde ein Prototyp entwickelt, der das Konzept und die Architektur der Ankey ASAP-Ziellösung definiert.
- Es wurde die Mindestversion des Produkts (Minimum Viable Product, MVP) erstellt, die die Grundmodule des Subsystems für die Erfassung, Verarbeitung und Speicherung von Daten, Module des Analysesubsystems und des Verwaltungssubsystems umfasste.
Nachdem wir einen Prototyp erstellt hatten, erhielten wir die Ergebnisse der Datenverarbeitung mithilfe fortschrittlicher Analysetools und entschieden uns für die ausgewählten Methoden des maschinellen Lernens, um Anomalien zu identifizieren.
2019 Jahr
- Wir haben uns schließlich für einen Technologie-Stack entschieden, der auf einer Microservice-Architektur (Docker, Kubernetes) basiert, mit der wir Module skalieren und neu konfigurieren können, um Probleme zu lösen, ohne an Leistung zu verlieren.
- Die erste Produktversion wurde veröffentlicht und ist bereit für Pilotversuche mit potenziellen Kunden.
Im Jahr 2020 wird eine kommerzielle Version des Produkts veröffentlicht, die durch Subsysteme zur Überwachung integrierter Indikatoren für anomales Verhalten von Benutzern (Unternehmen) und analytische Ermittlungsmanagementszenarien ergänzt wird. Abhängig vom Maschinenmodell, das das anormale Verhalten festgestellt hat, werden automatisch für die Untersuchung relevante Analyseinhalte generiert und automatisierte Skripts ausgeführt, die die relevanten Personen benachrichtigen und proaktive Schutzmaßnahmen einleiten, z. B. die Aktivierung zusätzlicher Regeln für die Firewall. Das adaptive Management von Analysefällen ermöglicht die Bildung einer Wissensbasis aus Ermittlungs- und Reaktionsszenarien in Übereinstimmung mit den besten globalen Verfahren für das Management von Sicherheitsvorfällen unter Berücksichtigung der Praktiken und Anforderungen der Sicherheitsrichtlinie eines bestimmten Unternehmens. Die neue Funktionalität reduziert die Zeit für die Identifizierung und Untersuchung von Vorfällen, reduziert die Informationsüberflutung und die Anforderungen an ein hohes Maß an Kompetenz eines Informationssicherheitsanalytikers.
Bisher haben wir die erste Entwicklungsstufe der Ankey ASAP-Analyseplattform erfolgreich abgeschlossen. Wir haben den Kern einer universellen Plattform zur Lösung von Problemen der Verhaltensanalyse geschaffen. Die Universalität liegt in der Tatsache, dass mit Hilfe von anpassbaren Modellen die Plattform von der Sicherheitsanalyse von Unternehmensinformationssystemen zur Verhaltensanalyse in einem anderen Themenbereich umgebaut werden kann, wie es in einem Pilotprojekt geschehen ist, bei dem das Ziel der Überwachung cyber-physikalische Systeme waren, die die Aufbereitung und den Transport von Kohlenwasserstoffen ermöglichen.
Es bleibt noch viel zu tun, sowohl um die Funktionalität gemäß der Roadmap als auch als Ergebnis der Pilotierung zu entwickeln. Wir würden uns freuen, Sie wiederzusehen und über die Ergebnisse der Piloten und die weitere Entwicklung des Projekts zu sprechen.