Интеллектуальная система управления киберугрозами

Заказчик:
Сбер
Руководитель проекта со стороны заказчика
Поставщик
Сбер (собственная разработка)
Год завершения проекта
2022
Сроки выполнения проекта
Июнь, 2018 - Ноябрь, 2022
Масштаб проекта
6216 человеко-часов
Цели

Интеллектуальная система управления киберугрозами выступает платформой технологического ядра Операционного центра кибербезопасности Сбера и единым рабочим пространством для его подразделений.

При реализации проекта по созданию Интеллектуальной системы управления киберугрозами мы преследовали следующие цели:

· Оценивать масштаб киберугроз, выявлять уязвимые элементы с целью обеспечения проактивного реагирования и защиты инфраструктуры банка в режиме реального времени.

· Автоматизировать производственные процессы разведки киберугроз.

· Собирать оперативные данные из любых источников.

· Осуществлять круглосуточный мониторинг специализированных площадок DarkNet.

Интеллектуальная система управления киберугрозами достигла этих целей, включая:

· автоматизацию процесса сбора и постоянной актуализации информации о киберугрозах из сети интернет;

· реализацию аналитических алгоритмов для первичной приоритизации поступающих киберугроз;

· реализацию графовой аналитики для обнаружения неявных связей между атрибутами киберугроз;

· реализацию алгоритмов, позволяющих проецировать киберугрозы на инфраструктуру банка с целью оценки масштаба их влияния;

· реализацию учетной части для хранения и описания разных типов киберугроз и их атрибутов (News, Vulnerability, Exploit, Malware, Actor, Phishing, Darkweb, IOC, SIGMA, YARA, TTP и др.).

Уникальность проекта

В отличие от других платформ (Threat Intelligence Platform) наша система не только собирает информацию о киберугрозах, но и автоматически оценивает ее, а также проецирует на ИТ-инфраструктуру банка. Поэтому мы можем обнаруживать и блокировать кибератаки до начала их развития.
Именно проактивность была основным требованием Сбера при создании такой платформы: в условиях растущей киберперступности банк должен не просто быстро реагировать, а предотвращать киберугрозы. Наши попытки комплексно решить задачи в области Threat Intelligence/Threat Hunting/Vulnerability Management с помощью других систем ни к чему не привели. Функционал других платформ был ограничен сбором информации о киберугрозах — все дальнейшие этапы работы с этой информацией проводились вне платформы.
В итоге мы приняли решение о собственной разработке и получили продукт, который сочетает функционал имеющихся на рынке платформ с уникальными возможностями, у которых нет аналогов в других системах.
Проект решает задачи импортозамещения
Да
Использованное ПО

Apache Nifi, PostgreSQL, Scala, React и др.

Сложность реализации

В основу реализации Интеллектуальной системы управления киберугрозами Сбера заложен модульный принцип, позволяющий расширять ее функционал по мере повышения уровня зрелости кибербезопасности компании. В настоящее время система включает 14 функциональных модулей, в основе которых лежит процессная модель Операционного центра кибербезопасности Сбера. Также ведется разработка нового модуля системы — Обработки результатов тестов на проникновение — и доработка функционала существующих модулей по требованиям пользователей. Во всех модулях системы ведется обработка большого объема неструктурированной информации (2+ млн сообщений в день). В отдельных модулях используются технологии машинного обучения и искусственного интеллекта для анализа (приоритизации) поступающей информации о киберугрозах.

Для обеспечения огромного количества внешних и внутренних взаимодействий реализованы десятки решений для интеграции с системами безопасности и мониторинга Сбера и анализа лог-журналов.

Система еженедельно претерпевает множество изменений. Это продиктовано ее использованием в реальном времени. При возникновении потребности у пользователя, предусмотрен режим эксплуатации меньшим количеством изменений или с фиксированной конфигурацией.

Описание проекта

Интеллектуальная система управления киберугрозами Сбера автоматически собирает, актуализирует и анализирует информацию о киберугрозах. Множественные интеграции с внешними и внутренними системами мониторинга и безопасности банка позволяют обогащать информацию о киберугрозах дополнительными данными, а также дают возможность проецировать сценарии актуальных киберугроз на ИТ-инфраструктуру банка. Благодаря наличию аналитических модулей и технологий машинного обучения система расставляет приоритеты в обработке поступающей информации и выявляет неявные связи между атрибутами киберугроз.

Совокупность средств автоматизации уменьшает время сбора информации, увеличивает объем обрабатываемой информации, сокращает время анализа информации. Все это позволяет своевременно создавать сценарии обнаружения или минимизации для актуальных киберугроз.

Автоматически ведется круглосуточный мониторинг специализированных площадок DarkNet. Это позволяет проактивно выявлять злоумышленников, действующих против компании. Платформа накапливает информацию об их активности, контролирует ее, выявляет связи и формирует досье для проведения расследований.

В основные модули платформы внедрены алгоритмы искусственного интеллекта. Система взаимодействует с ведущими поставщиками аналитической информации о киберугрозах, собирает оперативные данные из любых источников, оценивает масштаб киберугроз и автоматически выявляет уязвимые элементы ИТ-инфраструктуры.

Ссылка на видеоролик о платформе: https://drive.google.com/file/d/1VS52o8IW6Zt8HxHBaBn8Istrv9EiEx7v/view

Все ноу-хау продукта подтверждены патентами:

· Патент на TIP. Федеральная служба по интеллектуальной собственности:

https://patents.google.com/patent/RU2702269C1/en?oq=RU2702269C1

· Регистрация TIP во Всемирной организации интеллектуальной собственности:

https://patentscope.wipo.int/search/en/detail.jsf?docId=WO2020246905

· Патент на модуль Управления уязвимостями в системе TIP. Федеральная служба по интеллектуальной собственности:

https://patents.google.com/patent/RU2747476C1/en?oq=RU2747476C1

· Евразийский патент на TIP:

https://www.eapo.org/en/patents/reestr/patent.php?id=38063

Система состоит из следующих модулей:

  1. Модуль сбора. Отвечает за сбор (структурированные и неструктурированные данные), нормализацию и постоянную актуализацию информации о киберугрозах в открытом сегменте сети интернет и DarkNet.
  2. Модуль обогащения. Использует механизмы обогащения информации о киберугрозах из платных и открытых источников, а также из смежных систем мониторинга, учета и защиты инфраструктуры банка.
  3. Модуль аналитики и интеграций. Позволяет проецировать обнаруженные киберугрозы на инфраструктуру банка (индикаторы компрометации, YARA-правила, SIGMA-правила, CVE/BDU) и оценивать возможный масштаб их влияния.
  4. Модуль управления сценариями безопасности. Связывает киберугрозы со сценариями обнаружения, что позволяет обнаруживать и минимизировать киберугрозы в инфраструктуре банка на разных стадиях атаки. Благодаря этому модулю можно определить уровень защищенности от известных техник, тактик и процедур злоумышленников (TTP).
  5. Модуль управления сканированием. Отвечает за полную автоматизацию процесса сканирования элементов инфраструктуры в режиме Vulnerability и Compliance и последующую обработку полученных результатов.
  6. Модуль управления рисками. Позволяет автоматизировать работу с рисками: заведение риска в учетной системе HPSM, расчет рейтинга риска, обновление полей риска, связь риска с уязвимыми элементами, контроль исполнения риска по данным сканирования.
  7. Модуль ExtIP. Отвечает за сбор информации о результатах сканирования периметра инфраструктуры в режиме Vuln & Discovering, ее последующий анализ и обогащение из смежных систем учета и безопасности банка. Позволяет определять внутренний адрес элемента инфраструктуры по внешнему адресу за счет использования механизмов, которые строят сетевую связность между элементами инфраструктуры на основании данных FW, Balancer и др.
  8. Модуль Brand Monitoring. Выявляет фишинговые ресурсы и контент, дискредитирующий бренд банка в сети интернет, включая теневой сегмент (DarkNet) с последующим оповещением CERT.
  9. Модуль DarkNet. Отвечает за сбор и нормализацию информации с разных теневых площадок с учетом преднастроенных поисковых запросов. Хранит расширенную информацию об атрибутах автора с возможностью контроля их изменений. Поддерживает возможность анализа семплов для поиска схожих данных.
  10. Модуль «Graph». Позволяет проводить аналитику c использованием интерактивного графа, выявляя в автоматическом режиме неявные связи между объектами киберугроз.
  11. Модуль визуализации. Создает оперативные виджеты на основании хранимых атрибутов описания киберугроз либо результатов их анализа.
  12. Модуль администрирования. Позволяет управлять ролевой моделью, словарями для хранения описаний разных сущностей, либо настройками системы.
  13. Модуль учета. Позволяет хранить информацию о результатах аналитики и атрибуты киберугроз (Case, Actor, Campaign, Malware, Vulnerability, TTP, IOC, DataLeaked, Phishing и др.).
  14. Модуль экспорта и шаблонов отчетов. Отвечает за создание преднастроенных шаблонов для оперативной выгрузки атрибутов платформы в формат pdf, word, csv, xls.

География проекта
Российская Федерация
Дополнительные презентации:
TIP на премию RU (1).pdf
4 TIP в цифрах (1).pdf

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

Год
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.