«Газинформсервис» научил свою платформу выявлять кибератаки
Разработка компании сможет искать мошенников по «цифровому отпечатку»Компания «Газинформсервис» готовится выпустить обновленную версию платформы Ankey ASAP, позволяющую выявлять аномалии в работе информационных систем и предотвращать мошенничество клиентов и работников компании. Это совместный проект с лабораторией искусственного интеллекта и нейросетевых технологий СПбПУ, работа над которым ведется с 2017 г.
В прошлом году компания представила коммерческую версию, дополненную функциями оценки отклонений. В «Газинформсервис» сообщили, что в новой версии будут заложены функции выявления признаков компьютерных атак и взаимосвязанных отклонений в поведении пользователей. Это позволит создавать общие профили поведения и выявлять различные риски, например, такие как компрометация учетной записи или устройства, утечка данных и злоупотребление привилегиями.
«Уже в ближайшее время мы планируем завершить разработку модулей обнаружения нетипичного поведения на базе нейросетевых моделей, а также совершенствовать модели выявления отклонений в поведении пользователей. Кроме этого, в планах – добавить возможности поиска «цифрового отпечатка» злоумышленника среди профилей поведения обычных пользователей и реализовать максимально эффективные логические модели для определения комплексных таргетированных атак», — рассказал «Ведомостям» заместитель генерального директора ООО «Газинформсервис» Николай Нашивочников.
По его словам, помимо эксплуатации внутри компании в течение года систему удалось испытать на пилотных проектах предприятий реального сектора экономики. Платформой начали пользоваться в компании «Газпром газомоторное топливо». В результате подтвердилось, что с помощью Ankey ASAP можно анализировать аномалии в работе оборудования и операторов газозаправочных станций.
По словам начальника Суперкомпьютерного центра СПбПУ Алексея Лукашина, система аналитики безопасности сегодня особенно интересна крупным компаниям банковского сектора и нефтегазовой отрасли.
«Дело в том, что у таких предприятий уже есть система сбора корпоративных событий (SIEM). Платформа Ankey ASAP анализирует потоки событий и может фактически в режиме реального времени выявлять отклонения. Далее оператор системы получает сигнал о том, что поведение пользователей поменялось, и определяет – является ли такое отклонение поводом передать эти сведения в департамент информационной безопасности», — поясняет ученый.
Вопросы цифровой безопасности стали главной темой обсуждения форума Global Information Security Days, который прошел в октябре на площадках в Москве и Санкт-Петербурге. Количество кибератак с каждым годом растет. Причем речь идет об атаках не только на крупные компании, -целями атаки становятся организации, у которых, во-первых, есть уязвимости, а во-вторых, есть что забирать, отмечали участники форума.
По словам Николая Нашивочникова, анализ рынка импортных решений сегмента SIEM/UEBA позволил выявить преимущество петербургской разработки. Одним из ключевых является возможность использования платформы не только для решения задач информационной безопасности.
«Например, возможно выявлять факты мошенничества в финансовых операциях или аномальную смену режимов работы кибер-физических систем. Но главное, что в целом мы не рассматриваем поведение или потенциальные угрозы как набор отдельных признаков, а создаем модели, учитывающие комплекс взаимосвязанных аспектов поведения», — рассказал Нашивочников, добавив, что платформа позволяет выявлять причинно-следственные связи.
Как отмечает Лукашин, аналогов подобной системы на российском рынке очень мало, а по сравнению с мировыми аналогами, платформа использует более современные подходы и алгоритмы. «На мой взгляд, в обозримом будущем разработка будет конкурентоспособна и на мировом рынке», — считает эксперт.
Материал подготовлен в рамках проекта «Ведомости & СПб».