"Газинформсервис" делает ставку на аналитику
Создание платформы - совместный проект "Газинформсервиса" и Лаборатории искусственного интеллекта и нейросетевых технологий Санкт‑Петербургского политехнического университета Петра Великого (СПбПУ).
Платформа Ankey ASAP (Advanced Security Analytics Platform) - продукт класса расширенной аналитики событий информационной безопасности c функциями поведенческого анализа. Продукт формирует аналитический контент и модели поведения пользователей и компонентов (сущностей) корпоративной сети с помощью эвристических и статистических алгоритмов, а также алгоритмов машинного обучения на основе данных, получаемых от средств защиты информации и информационных систем предприятия. Ankey ASAP предоставляет специалисту безопасности инструментарий для выявления признаков, проведения технического расследования и сбора цифровых доказательств инцидентов безопасности. В отличие от традиционных средств защиты, для выявления инцидентов продукт использует автоматически формируемые профили поведения, а не формальные правила и сигнатурные методы. При этом получение многомерного представления контекста событий безопасности позволяет более эффективно анализировать и принимать в более короткие сроки решения по выявленным инцидентам кибербезопасности.
Заместитель генерального директора - технический директор ООО "Газинформсервис" Николай Нашивочников отметил, что новый продукт будет в первую очередь интересен крупным и среднего размера компаниям (5-10 тыс. пользователей), а именно тем структурам, которые отвечают в этих компаниях за информационную безопасность (Центры управления кибербезопасностью, SOC). "Не стоит забывать о вступившем в силу ФЗ №187 "О безопасности критической информационной инфраструктуры Российской Федерации", который предполагает выявление на госпредприятиях и в госкорпорациях элементов критической информационной инфраструктуры и подключение к системе ГосСОПКА. Именно такие компании могут быть заинтересованы в нашем продукте в первую очередь", - отметил он.
По словам Николая Нашивочникова инвестиции в проект в рамках взаимодействия с Политехническим университетом составили 35 млн руб. Дополнительно 40 млн руб. составили собственные инвестиции "Газинформсервиса".
В 2020 г. будет выпущена коммерческая версия продукта, дополненная подсистемами мониторинга интегральных индикаторов аномальности поведения пользователей (сущностей) и сценариями управления аналитическими расследованиями. В зависимости от машинной модели, которая выявила аномальное поведение, будут автоматически формироваться релевантный для расследования аналитический контент и выполняться автоматизированные сценарии, которые оповещают соответствующих лиц, инициируют проактивные действия по защите, например активацию дополнительных правил на межсетевом экране.
Адаптивное управление аналитическими кейсами позволит формировать базу знаний из сценариев расследования и реагирования согласно лучшим мировыми практикам управления инцидентами безопасности с учетом практики и требований политики безопасности конкретного предприятия. Новый функционал сократит время выявления и расследования инцидентов, снизит информационную перегрузку и требования к высокому уровню компетенции аналитика информационной безопасности.
Что касается дальнейших планов по развитию продукта, то, по словам Николая Нашивочникова, если "Газинформсервис" в течение следующего года получит активную обратную связь от заказчиков, то рассматривается возможность начать предоставлять Ankey ASAP по облачной модели.
Он отметил, что, решения поведенческой аналитики начали активно развиваться зарубежными вендорами систем безопасности три-четыре года назад. "Однако их использование в проектах для российских компаний и организаций, являющихся владельцами критической информационной инфраструктуры, неприемлемо. Промышленные решения от российских разработчиков систем безопасности отсутствовали. В этой связи в 2017 г. нами было принято решение о разработке платформы расширенной аналитики кибербезопасности - Ankey ASAP", - сказал Николай Нашивочников.
"Газинформсервис" в 2017 г. обратился за помощью к коллегам из Лаборатории нейросетевых технологий и искусственного интеллекта СПбПУ. С помощью коллег из СПбПУ удалось модифицировать известные методы выявления аномалий, комбинируя и адаптируя их под разные статистики реальных наборов данных и особенности решаемых задач. В настоящее время инициированы пилотные проекты у потенциальных заказчиков, продолжаются исследования и эксперименты с моделями машинного обучения, включая нейросетевые модели. В первую очередь для задач поведенческой аналитики, которые позволяют в режиме времени, близком к реальному, вести мониторинг аномального поведения пользователей и объектов различных информационных систем.
"Создание платформы, наряду с традиционными инженерными задачами реализации высоконагруженных систем обработки больших данных, имело значительную научно‑математическую составляющую. Отсутствие нужных компетенций, дефицит на рынке труда специалистов с междисциплинарным знанием и опытом в области интеллектуальных технологий и информационной безопасности подтолкнули нас к поиску партнеров среди вузов и научных центров", - отметил сказал Николай Нашивочников.
Начальник суперкомпьютерного центра Санкт-Петербургского Политехнического университета Алексей Лукашин указал на то, что в СПбПУ над проектом трудится команда из 10 специалистов, среди которых два доктора наук, два кандидата наук, аспиранты, специалисты по машинному обучению и программисты.
"Благодаря совместной работе СПбПУ и "Газинформсервиса" в проекте удалось создать уникальную инфраструктуру и программное обеспечение для сбора данных и их обработки, что позволяет максимально оперативно проверять разрабатываемые модели и методы выявления инцидентов кибербезопасности на реальных данных, поступающих в систему непрерывно. Это решает серьезную проблему отсутствия подходящих размеченных наборов данных в области кибербезопасности и открывает новые возможности для проведения исследований. Для обучения сложных нейросетевых моделей исследователи из СПбПУ используют мощности суперкомпьютерного центра "Политехнический", располагающего на сегодняшний день пятым по производительности суперкомпьютером в РФ. Полученные в проекте результаты позволяют говорить о перспективности развиваемого направления и открывают новые горизонты как для выполнения новых исследований, в том числе по выявлению компьютерных атак на ранних стадиях или в процессе их подготовки, так и для создания программного продукта, который сможет конкурировать с аналогами не только в РФ, но и за рубежом", - резюмировал Алексей Лукашин.