Salam, Khabrovsk! Saya ingin berbagi dengan Anda kisah menciptakan produk yang inovatif. Kita berbicara tentang produk dari kelas analitik lanjutan dari peristiwa keamanan informasi dengan fungsi analisis perilaku. Kami telah menciptakan lebih dari selusin produk keamanan informasi. Mengapa kami memutuskan untuk membuat produk lain? Mari kita bicarakan semuanya secara berurutan.
Bukan rahasia lagi bahwa perlindungan modern terhadap perusahaan dibangun atas dasar sistem keamanan terintegrasi yang mengintegrasikan alat perlindungan untuk berbagai tujuan. Ini termasuk program anti-virus, firewall, sistem deteksi intrusi, perlindungan kebocoran, dll. Namun, terlepas dari beberapa level dalam sistem seperti itu, yang dibangun di sekeliling infrastruktur perusahaan, hari ini tidak menjamin perlindungan terhadap serangan komputer yang ditargetkan dan tindakan jahat oleh personel.
Untuk secara efektif melawan ancaman keamanan siber saat ini, penting untuk:
- mendeteksi tanda-tanda tersembunyi dari insiden keamanan sedini mungkin;
- menentukan arah serangan secepat mungkin, yang disebut vektor serangan, penyebab dan konsekuensi dari insiden tersebut;
- pilih skenario respons yang tepat.
Tugas-tugas yang bersifat analitis ini dirancang untuk ditangani oleh Pusat Operasi Keamanan. Akronim SOC. Pusat-pusat seperti itu sekarang secara aktif diciptakan oleh organisasi dan perusahaan besar Rusia. Pusat-pusat ini didasarkan pada sistem terpusat untuk mengelola informasi dan acara keamanan. Informasi keamanan dan manajemen acara. Kependekan dari SIEM.
Praktek menciptakan sistem keamanan yang kompleks dan pengalaman proyek percontohan untuk membuat komponen SOC menunjukkan kepada kita bahwa salah satu kelemahannya adalah kemampuan analitis terbatas dari sistem SIEM tradisional dan alat keamanan lainnya.
Pertama Dalam konteks perubahan terus-menerus dalam ancaman, proses bisnis dan infrastruktur informasi dari algoritma heuristik untuk mendeteksi insiden, diimplementasikan berdasarkan
aturan formal untuk korelasi peristiwa keamanan, tidak cukup . Untuk mengidentifikasi insiden yang tidak dapat dideteksi oleh alat keamanan tradisional,
diperlukan metode dan alat analisis data canggih . Secara khusus, teknologi analitik perilaku untuk mendeteksi anomali dalam perilaku pengguna dan proses informasi dari jaringan perusahaan.
Kedua Untuk analisis cepat atas kecurigaan insiden dan mengungkapkan tanda-tanda tersembunyi dari kegiatan berbahaya, kita memerlukan satu model di mana data terkait:
- Tentang pengguna dan objek dari jaringan perusahaan;
- Peristiwa keamanan diterima dari sistem SIEM
- tentang waktu dan jenis anomali yang terdeteksi dalam perilaku pengguna dan proses informasi.
Solusi analitik perilaku mulai dikembangkan secara aktif oleh vendor sistem keamanan asing 3-4 tahun yang lalu. Namun, penggunaannya dalam proyek-proyek untuk perusahaan dan organisasi Rusia yang memiliki infrastruktur informasi kritis tidak dapat diterima. Tidak ada solusi industri dari pengembang sistem keamanan Rusia. Dalam hal ini, pada tahun 2017, kami memutuskan untuk mengembangkan platform Platform Analisis Keamanan Lanjut (Ankey ASAP) untuk analitik keamanan siber tingkat lanjut.
Penciptaan platform, bersama dengan tugas-tugas teknik tradisional menerapkan sistem pemrosesan data besar yang sangat dimuat, memiliki komponen ilmiah dan matematika yang signifikan. Kurangnya kompetensi yang diperlukan, kekurangan spesialis di pasar tenaga kerja dengan pengetahuan dan pengalaman interdisiplin di bidang teknologi intelektual dan keamanan informasi mendorong kami untuk mencari mitra di antara universitas dan pusat penelitian. Rekan-rekan dari Laboratorium Inteligensi Buatan dan Teknologi Jaringan Saraf Tiruan dari Universitas Politeknik adalah yang pertama mengungkapkan keinginan mereka untuk bekerja sama untuk mengembangkan sistem cerdas dalam keamanan siber.
Mulai bekerja pada platform analitik, kami hanya memiliki gagasan umum tentang fungsionalitas produk masa depan. Dengan bantuan rekan-rekan dari Universitas Politeknik, kami dapat memahami metode untuk mendeteksi anomali, mempelajari teknologi pembelajaran mesin dan analisis perilaku, untuk memahami secara spesifik tugas-tugas yang diselesaikan.
Secara singkat tentang hasil kerja sama dua tahun.
2018 tahun
- Sebuah produk prototipe telah dikembangkan yang mendefinisikan konsep dan arsitektur solusi target Ankey ASAP.
- Versi produk minimum yang layak (Minimum Viable Product (MVP)) dibuat, yang mencakup modul dasar subsistem untuk mengumpulkan, memproses dan menyimpan data, modul subsistem analitik, dan subsistem administrasi.
Setelah membuat prototipe, kami mulai menerima hasil pemrosesan data menggunakan alat analisis canggih dan memutuskan metode pembelajaran mesin yang dipilih untuk mengidentifikasi anomali.
Tahun 2019
- Kami akhirnya memutuskan tumpukan teknologi yang didasarkan pada arsitektur layanan mikro (Docker, Kubernetes), yang memungkinkan kami untuk skala dan konfigurasi ulang modul untuk memecahkan masalah tanpa kehilangan kinerja.
- Rilis produk pertama dirilis, siap untuk uji coba pilot dengan pelanggan potensial.
Pada tahun 2020, versi komersial dari produk akan dirilis, dilengkapi dengan subsistem untuk memantau indikator terintegrasi dari kelainan perilaku pengguna (entitas) dan skenario manajemen penyelidikan analitik. Bergantung pada model mesin yang mendeteksi perilaku abnormal, konten analitik yang relevan dengan investigasi akan dihasilkan secara otomatis dan skrip otomatis akan dijalankan yang memberi tahu orang-orang yang relevan dan memulai tindakan perlindungan proaktif, misalnya, aktivasi aturan tambahan pada firewall. Manajemen adaptif dari kasus analitis akan memungkinkan pembentukan basis pengetahuan dari skenario investigasi dan respons sesuai dengan praktik internasional terbaik untuk mengelola insiden keamanan, dengan mempertimbangkan praktik dan persyaratan kebijakan keamanan perusahaan tertentu. Fungsionalitas baru akan mengurangi waktu untuk mengidentifikasi dan menyelidiki insiden, mengurangi kelebihan informasi dan persyaratan untuk tingkat kompetensi yang tinggi dari analis keamanan informasi.
Sampai saat ini, kami telah berhasil menyelesaikan tahap pertama pengembangan platform analitis Ankey ASAP. Kami telah menciptakan inti dari platform universal untuk menyelesaikan masalah analitik perilaku. Keuniversalan terletak pada kenyataan bahwa dengan bantuan model yang dapat disesuaikan, platform dapat dibangun kembali dari analisis keamanan sistem informasi perusahaan hingga analisis perilaku di area subjek lain, seperti yang dilakukan dalam proyek percontohan, di mana objek pemantauannya adalah sistem cyberphysical yang menyediakan persiapan dan transportasi hidrokarbon.
Masih banyak pekerjaan di depan, baik untuk mengembangkan fungsionalitas sesuai dengan peta jalan, dan sebagai hasil dari uji coba. Kami akan senang bertemu dengan Anda lagi dan berbicara tentang hasil uji coba dan pengembangan proyek selanjutnya.