Интеллектуальная система управления киберугрозами

Интеллектуальная система управления киберугрозами выступает платформой технологического ядра Операционного центра кибербезопасности Сбера и единым рабочим пространством для его подразделений.

При реализации проекта по созданию Интеллектуальной системы управления киберугрозами мы преследовали следующие цели:

· Оценивать масштаб киберугроз, выявлять уязвимые элементы с целью обеспечения проактивного реагирования и защиты инфраструктуры банка в режиме реального времени.

· Автоматизировать производственные процессы разведки киберугроз.

· Собирать оперативные данные из любых источников.

· Осуществлять круглосуточный мониторинг специализированных площадок DarkNet.

Интеллектуальная система управления киберугрозами достигла этих целей, включая:

· автоматизацию процесса сбора и постоянной актуализации информации о киберугрозах из сети интернет;

· реализацию аналитических алгоритмов для первичной приоритизации поступающих киберугроз;

· реализацию графовой аналитики для обнаружения неявных связей между атрибутами киберугроз;

· реализацию алгоритмов, позволяющих проецировать киберугрозы на инфраструктуру банка с целью оценки масштаба их влияния;

· реализацию учетной части для хранения и описания разных типов киберугроз и их атрибутов (News, Vulnerability, Exploit, Malware, Actor, Phishing, Darkweb, IOC, SIGMA, YARA, TTP и др.).

Apache Nifi, PostgreSQL, Scala, React и др.

В основу реализации Интеллектуальной системы управления киберугрозами Сбера заложен модульный принцип, позволяющий расширять ее функционал по мере повышения уровня зрелости кибербезопасности компании. В настоящее время система включает 14 функциональных модулей, в основе которых лежит процессная модель Операционного центра кибербезопасности Сбера. Также ведется разработка нового модуля системы — Обработки результатов тестов на проникновение — и доработка функционала существующих модулей по требованиям пользователей. Во всех модулях системы ведется обработка большого объема неструктурированной информации (2+ млн сообщений в день). В отдельных модулях используются технологии машинного обучения и искусственного интеллекта для анализа (приоритизации) поступающей информации о киберугрозах.

Для обеспечения огромного количества внешних и внутренних взаимодействий реализованы десятки решений для интеграции с системами безопасности и мониторинга Сбера и анализа лог-журналов.

Система еженедельно претерпевает множество изменений. Это продиктовано ее использованием в реальном времени. При возникновении потребности у пользователя, предусмотрен режим эксплуатации меньшим количеством изменений или с фиксированной конфигурацией.

Интеллектуальная система управления киберугрозами Сбера автоматически собирает, актуализирует и анализирует информацию о киберугрозах. Множественные интеграции с внешними и внутренними системами мониторинга и безопасности банка позволяют обогащать информацию о киберугрозах дополнительными данными, а также дают возможность проецировать сценарии актуальных киберугроз на ИТ-инфраструктуру банка. Благодаря наличию аналитических модулей и технологий машинного обучения система расставляет приоритеты в обработке поступающей информации и выявляет неявные связи между атрибутами киберугроз.

Совокупность средств автоматизации уменьшает время сбора информации, увеличивает объем обрабатываемой информации, сокращает время анализа информации. Все это позволяет своевременно создавать сценарии обнаружения или минимизации для актуальных киберугроз.

Автоматически ведется круглосуточный мониторинг специализированных площадок DarkNet. Это позволяет проактивно выявлять злоумышленников, действующих против компании. Платформа накапливает информацию об их активности, контролирует ее, выявляет связи и формирует досье для проведения расследований.

В основные модули платформы внедрены алгоритмы искусственного интеллекта. Система взаимодействует с ведущими поставщиками аналитической информации о киберугрозах, собирает оперативные данные из любых источников, оценивает масштаб киберугроз и автоматически выявляет уязвимые элементы ИТ-инфраструктуры.

Ссылка на видеоролик о платформе: https://drive.google.com/file/d/1VS52o8IW6Zt8HxHBaBn8Istrv9EiEx7v/view

Все ноу-хау продукта подтверждены патентами:

· Патент на TIP. Федеральная служба по интеллектуальной собственности:

https://patents.google.com/patent/RU2702269C1/en?oq=RU2702269C1

· Регистрация TIP во Всемирной организации интеллектуальной собственности:

https://patentscope.wipo.int/search/en/detail.jsf?docId=WO2020246905

· Патент на модуль Управления уязвимостями в системе TIP. Федеральная служба по интеллектуальной собственности:

https://patents.google.com/patent/RU2747476C1/en?oq=RU2747476C1

· Евразийский патент на TIP:

https://www.eapo.org/en/patents/reestr/patent.php?id=38063

Система состоит из следующих модулей:

1. Модуль сбора. Отвечает за сбор (структурированные и неструктурированные данные), нормализацию и постоянную актуализацию информации о киберугрозах в открытом сегменте сети интернет и DarkNet.
2. Модуль обогащения. Использует механизмы обогащения информации о киберугрозах из платных и открытых источников, а также из смежных систем мониторинга, учета и защиты инфраструктуры банка.
3. Модуль аналитики и интеграций. Позволяет проецировать обнаруженные киберугрозы на инфраструктуру банка (индикаторы компрометации, YARA-правила, SIGMA-правила, CVE/BDU) и оценивать возможный масштаб их влияния.
4. Модуль управления сценариями безопасности. Связывает киберугрозы со сценариями обнаружения, что позволяет обнаруживать и минимизировать киберугрозы в инфраструктуре банка на разных стадиях атаки. Благодаря этому модулю можно определить уровень защищенности от известных техник, тактик и процедур злоумышленников (TTP).
5. Модуль управления сканированием. Отвечает за полную автоматизацию процесса сканирования элементов инфраструктуры в режиме Vulnerability и Compliance и последующую обработку полученных результатов.
6. Модуль управления рисками. Позволяет автоматизировать работу с рисками: заведение риска в учетной системе HPSM, расчет рейтинга риска, обновление полей риска, связь риска с уязвимыми элементами, контроль исполнения риска по данным сканирования.
7. Модуль ExtIP. Отвечает за сбор информации о результатах сканирования периметра инфраструктуры в режиме Vuln & Discovering, ее последующий анализ и обогащение из смежных систем учета и безопасности банка. Позволяет определять внутренний адрес элемента инфраструктуры по внешнему адресу за счет использования механизмов, которые строят сетевую связность между элементами инфраструктуры на основании данных FW, Balancer и др.
8. Модуль Brand Monitoring. Выявляет фишинговые ресурсы и контент, дискредитирующий бренд банка в сети интернет, включая теневой сегмент (DarkNet) с последующим оповещением CERT.
9. Модуль DarkNet. Отвечает за сбор и нормализацию информации с разных теневых площадок с учетом преднастроенных поисковых запросов. Хранит расширенную информацию об атрибутах автора с возможностью контроля их изменений. Поддерживает возможность анализа семплов для поиска схожих данных.
10. Модуль «Graph». Позволяет проводить аналитику c использованием интерактивного графа, выявляя в автоматическом режиме неявные связи между объектами киберугроз.
11. Модуль визуализации. Создает оперативные виджеты на основании хранимых атрибутов описания киберугроз либо результатов их анализа.
12. Модуль администрирования. Позволяет управлять ролевой моделью, словарями для хранения описаний разных сущностей, либо настройками системы.
13. Модуль учета. Позволяет хранить информацию о результатах аналитики и атрибуты киберугроз (Case, Actor, Campaign, Malware, Vulnerability, TTP, IOC, DataLeaked, Phishing и др.).
14. Модуль экспорта и шаблонов отчетов. Отвечает за создание преднастроенных шаблонов для оперативной выгрузки атрибутов платформы в формат pdf, word, csv, xls.