Salutations, Khabrovsk! Je voudrais partager avec vous l'histoire de la création d'un produit innovant. Nous parlons d'un produit de la classe de l'analyse avancée des événements de sécurité de l'information avec des fonctions d'analyse comportementale. Nous avons déjà créé plus d'une douzaine de produits de sécurité de l'information. Pourquoi avons-nous décidé de créer un autre produit? Parlons de tout dans l'ordre.
Ce n'est un secret pour personne que la protection moderne des entreprises repose sur des systèmes de sécurité intégrés qui intègrent des outils de protection à des fins diverses. Cela comprend les programmes antivirus, les pare-feu, les systèmes de détection d'intrusion, la protection contre les fuites, etc. Cependant, malgré plusieurs niveaux dans un tel système, construit autour du périmètre de l'infrastructure de l'entreprise, il ne garantit pas aujourd'hui une protection contre les attaques informatiques ciblées et les actions malveillantes du personnel.
Pour contrer efficacement les menaces actuelles de cybersécurité, il est important de:
- détecter les signes cachés d'un incident de sécurité dès que possible;
- déterminer le plus rapidement possible la direction de l'attaque, le soi-disant vecteur d'attaque, les causes et les conséquences de l'incident;
- choisissez le bon scénario de réponse.
Ces tâches de nature analytique sont conçues pour être traitées par le Security Operations Center. Acronyme SOC. Ces centres sont désormais activement créés par de grandes organisations et entreprises russes. Les centres sont basés sur un système centralisé de gestion des informations et des événements de sécurité. Informations de sécurité et gestion des événements. Abréviation de SIEM.
La pratique de la création de systèmes de sécurité intégrés et l'expérience de projets pilotes pour la création de composants SOC nous ont montré que l'une des faiblesses est les capacités analytiques limitées des systèmes SIEM traditionnels et d'autres fonctionnalités de sécurité.
Tout d'abord. Dans le contexte des changements continus des menaces, les processus métier et l'infrastructure d'information des algorithmes heuristiques de détection des incidents, mis en œuvre sur la base de
règles formelles de corrélation des événements de sécurité, ne suffisent pas . Pour identifier les incidents que les outils de sécurité traditionnels ne peuvent pas détecter automatiquement,
des méthodes et outils avancés d'analyse des données sont nécessaires . En particulier, les technologies d'analyse comportementale pour détecter les anomalies dans le comportement des utilisateurs et les processus d'information d'un réseau d'entreprise.
Deuxièmement. Pour l'analyse opérationnelle des soupçons d'un incident et l'identification des signes cachés d'activités malveillantes, nous avons besoin d'un modèle unique dans lequel les données sont associées:
- À propos des utilisateurs et des objets d'un réseau d'entreprise;
- Événements de sécurité reçus du système SIEM
- sur le temps et le type d'anomalie détectés dans le comportement des utilisateurs et des processus d'information.
Les solutions d'analyse comportementale ont commencé à être activement développées par les fournisseurs étrangers de systèmes de sécurité il y a 3-4 ans. Cependant, leur utilisation dans des projets pour des entreprises et organisations russes qui possèdent une infrastructure d'information critique est inacceptable. Il n'y avait pas de solutions industrielles de développeurs russes de systèmes de sécurité. À cet égard, en 2017, nous avons décidé de développer la plate-forme Advanced Security Analytics Platform (Ankey ASAP) pour les analyses avancées de cybersécurité.
La création de la plate-forme, ainsi que les tâches d'ingénierie traditionnelles de mise en œuvre de systèmes de traitement de données volumineuses très chargés, avaient une composante scientifique et mathématique importante. Le manque de compétences nécessaires, la pénurie de spécialistes du marché du travail possédant des connaissances et une expérience interdisciplinaires dans le domaine des technologies intellectuelles et de la sécurité de l'information nous ont incités à rechercher des partenaires parmi les universités et les centres de recherche. Les collègues du Laboratoire d'Intelligence Artificielle et des Technologies des Réseaux Neuronaux de l'Université Polytechnique ont été les premiers à exprimer leur volonté de travailler ensemble pour développer des systèmes intelligents en cybersécurité.
Commençant à travailler sur la plateforme analytique, nous n'avions qu'une idée générale de la fonctionnalité du futur produit. Avec l'aide de collègues de l'Université polytechnique, nous avons pu comprendre les méthodes de détection des anomalies, étudier la technologie de l'apprentissage automatique et de l'analyse comportementale, comprendre les spécificités des tâches à résoudre.
En bref sur les résultats de deux années de coopération.
Année 2018
- Un prototype de produit a été développé qui définit le concept et l'architecture de la solution cible Ankey ASAP.
- La version minimale du produit viable (Minimum Viable Product (MVP)) a été créée, qui comprenait les modules de base du sous-système de collecte, de traitement et de stockage des données, les modules du sous-système d'analyse et le sous-système d'administration.
Après avoir réalisé un prototype, nous avons commencé à recevoir les résultats du traitement des données à l'aide d'outils d'analyse avancés et décidé des méthodes d'apprentissage automatique sélectionnées pour identifier les anomalies.
2019 année
- Nous avons finalement opté pour une pile technologique basée sur une architecture de microservices (Docker, Kubernetes), qui nous permet de dimensionner et de reconfigurer des modules pour résoudre des problèmes sans perte de performances.
- La première version du produit a été publiée, prête à être testée auprès de clients potentiels.
En 2020, une version commerciale du produit sera lancée, complétée par des sous-systèmes de suivi des indicateurs intégrés d'anomalies de comportement des utilisateurs (entités) et des scénarios de gestion des enquêtes analytiques. En fonction du modèle de machine qui a détecté le comportement anormal, un contenu analytique pertinent pour l'enquête sera généré automatiquement et des scripts automatisés seront exécutés pour informer les personnes concernées et initier des actions de protection proactives, par exemple, l'activation de règles supplémentaires sur le pare-feu. La gestion adaptative des cas analytiques permettra la formation d'une base de connaissances à partir de scénarios d'enquête et de réponse conformément aux meilleures pratiques mondiales de gestion des incidents de sécurité, en tenant compte de la pratique et des exigences de la politique de sécurité d'une entreprise particulière. La nouvelle fonctionnalité permettra de réduire le temps d'identifier et d'enquêter sur les incidents, de réduire la surcharge d'informations et les exigences d'un niveau élevé de compétence d'un analyste de la sécurité de l'information.
À ce jour, nous avons achevé avec succès la première étape de développement de la plateforme analytique Ankey ASAP. Nous avons créé le cœur d'une plate-forme universelle pour résoudre les problèmes de l'analyse comportementale. L'universalité réside dans le fait qu'à l'aide de modèles personnalisables, la plate-forme peut être reconstruite de l'analyse de la sécurité des systèmes d'information d'entreprise à l'analyse comportementale dans un autre domaine, comme cela a été fait dans un projet pilote, où l'objet de la surveillance était des systèmes cyberphysiques qui assurent la préparation et le transport des hydrocarbures.
Il y a encore beaucoup de travail à faire, à la fois pour développer des fonctionnalités conformément à la feuille de route, et à la suite du pilotage. Nous serons heureux de vous rencontrer à nouveau et de discuter des résultats des pilotes et de la poursuite du développement du projet.