Saudações, Khabrovsk! Gostaria de compartilhar com você a história da criação de um produto inovador. Estamos falando de um produto da classe de análise avançada de eventos de segurança da informação com funções de análise comportamental. Já criamos mais de uma dúzia de produtos de segurança da informação. Por que decidimos criar outro produto? Vamos conversar sobre tudo em ordem.
Não é segredo que a proteção moderna das empresas é construída com base em sistemas de segurança integrados que integram vários tipos de equipamentos de segurança. Isso inclui programas antivírus, firewalls, sistemas de detecção de intrusão, proteção contra vazamentos, etc. No entanto, apesar de vários níveis em um sistema desse tipo, construído em torno do perímetro da infraestrutura corporativa, hoje ele não garante proteção contra ataques direcionados a computadores e ações maliciosas por parte da equipe.
Para combater efetivamente as ameaças atuais de segurança cibernética, é importante:
- detectar sinais ocultos de um incidente de segurança o mais cedo possível;
- determinar a direção do ataque o mais rápido possível, o chamado vetor de ataque, as causas e consequências do incidente;
- escolha o cenário de resposta correto.
Essas tarefas de natureza analítica foram projetadas para serem abordadas pelo Security Operations Center. Sigla SOC. Agora, esses centros são criados ativamente por grandes organizações e empresas russas. Os centros são baseados em um sistema centralizado para gerenciar informações e eventos de segurança. Informações de segurança e gerenciamento de eventos. Abreviação de SIEM.
A prática de criar sistemas de segurança complexos e a experiência de projetos-piloto para a criação de componentes do SOC nos mostraram que uma das fraquezas são os recursos analíticos limitados dos sistemas SIEM tradicionais e outras ferramentas de segurança.
Em primeiro lugar. No contexto de mudanças contínuas em ameaças, processos de negócios e infraestrutura de informações, algoritmos heurísticos para detectar incidentes implementados com base em
regras formais para correlação de eventos de segurança não são suficientes . Para identificar incidentes que as ferramentas de segurança tradicionais não podem detectar automaticamente,
são necessários métodos e ferramentas avançados de análise de dados . Em particular, tecnologias de análise comportamental para detectar anomalias no comportamento de usuários e processos de informação de uma rede corporativa.
Em segundo lugar. Para a análise operacional de suspeitas de um incidente e a identificação de sinais ocultos de atividades maliciosas, precisamos de um modelo único no qual os dados sejam associados:
- Sobre usuários e objetos de uma rede corporativa;
- Eventos de segurança recebidos do sistema SIEM
- sobre a hora e o tipo de anomalia detectada no comportamento dos usuários e nos processos de informação.
As soluções de análise comportamental começaram a ser ativamente desenvolvidas por fornecedores de sistemas de segurança estrangeiros há 3-4 anos. No entanto, seu uso em projetos para empresas e organizações russas que possuem infraestrutura crítica de informações é inaceitável. Não houve soluções industriais dos desenvolvedores russos de sistemas de segurança. Nesse sentido, em 2017, decidimos desenvolver a plataforma Advanced Security Analytics Platform (Ankey ASAP) para análises avançadas de segurança cibernética.
A criação da plataforma, juntamente com as tarefas tradicionais de engenharia de implementação de sistemas de processamento de big data altamente carregados, teve um componente científico e matemático significativo. A falta das competências necessárias, a escassez de especialistas no mercado de trabalho com conhecimento e experiência interdisciplinares no campo das tecnologias intelectuais e segurança da informação nos levaram a procurar parceiros entre universidades e centros de pesquisa. Os colegas do Laboratório de Inteligência Artificial e Tecnologias de Redes Neurais da Universidade Politécnica foram os primeiros a expressar sua vontade de trabalhar juntos para desenvolver sistemas inteligentes em segurança cibernética.
Começando a trabalhar na plataforma analítica, tínhamos apenas uma idéia geral da funcionalidade do produto futuro. Com a ajuda de colegas da Universidade Politécnica, fomos capazes de entender os métodos para detectar anomalias, estudar a tecnologia de aprendizado de máquina e análise comportamental, entender as especificidades das tarefas que estavam sendo resolvidas.
Brevemente sobre os resultados de dois anos de cooperação.
2018 ano
- Foi desenvolvido um protótipo de produto que define o conceito e a arquitetura da solução de destino da Ankey ASAP.
- Foi criada a versão mínima viável do produto (MVP), que incluía os módulos básicos do subsistema para coleta, processamento e armazenamento de dados, módulos do subsistema analítico e subsistema de administração.
Depois de criar um protótipo, começamos a receber os resultados do processamento de dados usando ferramentas avançadas de análise e decidimos sobre os métodos de aprendizado de máquina selecionados para identificar anomalias.
2019 ano
- Finalmente, decidimos sobre uma pilha de tecnologia baseada em uma arquitetura de microsserviço (Docker, Kubernetes), que nos permite escalar e reconfigurar módulos para resolver problemas sem perder desempenho.
- O primeiro lançamento do produto foi lançado, pronto para teste piloto com clientes em potencial.
Em 2020, será lançada uma versão comercial do produto, complementada por subsistemas para monitorar indicadores integrados de comportamento anômalo de usuários (entidades) e cenários de gerenciamento de investigação analítica. Dependendo do modelo da máquina que detectou o comportamento anormal, o conteúdo analítico relevante para a investigação será gerado automaticamente e serão executados scripts automatizados que notificarão as pessoas relevantes e iniciarão ações de proteção proativas, por exemplo, ativação de regras adicionais no firewall. O gerenciamento adaptativo de casos analíticos permitirá a formação de uma base de conhecimento a partir de cenários de investigação e resposta, de acordo com as melhores práticas internacionais de gerenciamento de incidentes de segurança, levando em consideração a prática e os requisitos da política de segurança de uma empresa em particular. A nova funcionalidade reduzirá o tempo para identificar e investigar incidentes, reduzir a sobrecarga de informações e os requisitos para um alto nível de competência de um analista de segurança da informação.
Até o momento, concluímos com êxito o primeiro estágio de desenvolvimento da plataforma analítica da Ankey ASAP. Criamos o núcleo de uma plataforma universal para resolver problemas de análise comportamental. A universalidade está no fato de que, com a ajuda de modelos personalizáveis, a plataforma pode ser reconstruída de análise de segurança de sistemas de informações corporativos para análise comportamental em outra área, como foi feito em um projeto piloto, onde o objetivo do monitoramento era sistemas ciber-físicos que fornecem preparação e transporte de hidrocarbonetos.
Ainda há muito trabalho pela frente, tanto no desenvolvimento da funcionalidade de acordo com o roteiro quanto como resultado da pilotagem. Teremos o maior prazer em encontrá-lo novamente e conversar sobre os resultados dos pilotos e o desenvolvimento do projeto.