问候,哈布罗夫斯克! 我想与您分享创建创新产品的故事。 这将是具有行为分析功能的信息安全事件高级分析类别的产品。 我们已经创建了十多种信息安全产品。 我们为什么决定创建另一种产品? 让我们依次讨论所有内容。
现代化的企业保护是建立在集成了各种目的保护工具的集成安全系统的基础上,这已不是什么秘密了。 这包括防病毒程序,防火墙,入侵检测系统,泄漏保护等。 但是,尽管围绕企业基础架构构建了这样的系统中的多个级别,但如今,它仍不能保证可以防止针对性的计算机攻击和人员的恶意行为。
为了有效应对当前的网络安全威胁,重要的是:
- 尽早发现安全事件的隐蔽迹象;
- 尽快确定攻击方向,所谓的攻击媒介,事件的原因和后果;
- 选择正确的应对方案。
这些分析性任务旨在由安全运营中心解决。 首字母缩写词SOC。 这种中心现在由大型俄罗斯组织和公司积极创建。 这些中心基于用于管理信息和安全事件的集中式系统。 安全信息和事件管理。 SIEM的缩写。
创建复杂安全系统的实践以及创建SOC组件的试点项目的经验向我们表明,弱点之一是传统SIEM系统和其他安全工具的有限分析能力。
首先。 在威胁,业务流程和信息基础架构不断变化的情况下,基于
安全事件关联的正式规则实施的用于检测事件的启发式算法
是不够的 。 为了识别传统安全工具无法自动检测到的事件,需要
高级数据分析方法和工具 。 特别是,用于检测用户行为和公司网络的信息过程异常的行为分析技术。
其次。 为了对事件的可疑性进行操作分析并确定恶意活动的隐藏迹象,我们需要一个与数据相关联的单一模型:
- 关于公司网络的用户和对象;
- 从SIEM系统收到的安全事件
- 关于在用户行为和信息过程中检测到的异常的时间和类型。
行为分析解决方案已在3-4年前被国外安全系统供应商积极开发。 但是,在拥有关键信息基础结构的俄罗斯公司和组织的项目中使用它们是不可接受的。 俄罗斯安全系统开发商还没有工业解决方案。 在这方面,我们于2017年决定开发高级安全分析平台(Ankey ASAP),这是一种高级网络安全分析平台。
平台的创建以及实现高负载大数据处理系统的传统工程任务,具有重要的科学和数学组成部分。 缺乏必要的能力,缺乏具有跨学科知识以及在智能技术和信息安全领域的经验的劳动力市场专家,促使我们在大学和研究中心之间寻找合作伙伴。 理工大学人工智能和神经网络技术实验室的同事最先表达了他们愿意合作开发网络安全智能系统的意愿。
开始在分析平台上工作时,我们对未来产品的功能只有一个大致的了解。 在理工大学的同事的帮助下,我们能够了解检测异常的方法,研究机器学习和行为分析技术,了解要解决的任务的细节。
简要介绍两年合作的结果。
2018年
- 已开发出原型产品,该产品定义了Ankey ASAP目标解决方案的概念和体系结构。
- 创建了最低可行产品版本(Minimum Viable Product(MVP)),其中包括用于收集,处理和存储数据的子系统的基本模块,分析子系统和管理子系统的模块。
制作完原型后,我们开始使用高级分析工具接收数据处理的结果,并决定选择哪种机器学习方法来识别异常。
2019年
- 我们最终决定基于微服务架构(Docker,Kubernetes)的技术堆栈,这使我们能够扩展和重新配置模块以解决问题,而不会损失性能。
- 发布了第一个产品版本,准备与潜在客户进行试点测试。
2020年,将发布该产品的商业版本,并辅以用于监视用户行为异常(实体)和分析调查管理方案的综合指标的子系统。 根据检测到异常行为的机器模型,将自动生成与调查相关的分析内容,并执行自动脚本,这些脚本会通知相关人员并启动主动保护措施,例如,激活防火墙上的其他规则。 分析案例的自适应管理将允许根据管理安全事件的最佳全球实践,根据调查和响应方案形成知识库,并考虑到特定企业的安全策略的实践和要求。 新功能将减少识别和调查事件的时间,减少信息过载,并提高信息安全分析师的能力。
迄今为止,我们已经成功完成了Ankey ASAP分析平台开发的第一阶段。 我们已经创建了用于解决行为分析问题的通用平台的核心。 普遍性在于以下事实:在可定制模型的帮助下,该平台可以从分析公司信息系统的安全性到另一个主题领域的行为分析进行重建,就像在一个试点项目中所做的那样,该项目的监视对象是提供碳氢化合物制备和运输的网络物理系统。
根据路线图开发功能以及进行试验都需要大量工作。 我们将很高兴再次与您见面,并讨论试点结果和项目的进一步发展。