В Петербурге разработали самообучаемую систему компьютерной безопасности

Уходящий год для специалистов по информационной безопасности был богат на инфоповоды и выявил множество слабых мест. Сообщения об утечках персональных данных доносились из самых разных отраслей. Особенно досталось операторам сотовой связи и банковскому сектору.

Как показал анализ экспертов, основной источник угроз в большинстве случаев – внутренний пользователь. Система Ankey ASAP, которую представили на пресс-конференции в «Интерфаксе», в том числе защищает компании от недобросовестных сотрудников. Классический пример: попытка продажи баз данных конкурентам. В этом случае программа проанализирует повседневное сетевое поведение коллег. Что важно, учитываются сезонные факторы, например, предновогодние частые заказов или сезонные распродажи. И как только машина заметит подозрительную активность – тревожный сигнал поступит на проверку.

Начальник суперкомпьютерного центра Петербургского Политехнического университета Алексей Лукашин Другой, например, сценарий: если сотрудник собирается уволиться, он начинает интересоваться сайтами с вакансиями для поиска новых рабочих мест. Это будет всплеск интересов к определенным ресурсам. Это тоже задача, которую мы решаем. А также: если он не просто хочет уволиться, а хочет унести с собой информацию, у него будут внутри организации какие-то действия, например, он начал удалять файлы из общего хранилища или, наоборот, копировать их себе, переносить на съемные носители, флеш-карты и т.д., что тоже станет поводом для разбирательств. Та система, которую мы разрабатываем, позволяет это обнаружить на этапе совершения таких действий, а не когда уже все свершилось: сотрудник ушел и унес данные с собой.

Поиск новых подходов борьбы с целевыми атаками в Петербурге активно начали, когда стало понятно: классические системы безопасности уже не сохраняют данные внутри периметра. «Стены надежности» расшатали, во-первых, облачные технологии. Во-вторых, часто главы предприятий собственноручно передают обработку данных на аутсорсинг. В-третьих, методики атак усложнила социальная инженерия: теперь это длительный процесс, на всей протяженности которого жертва не догадывается о своей уязвимости. Также устаревшие технологии сосредоточены на поиске предполагаемого преступника. Алгоритмы пытаются предугадать его действия и составить усредненный портрет. Поведенческий анализ ускоряет выявление и отражение угрозы в несколько раз.

Технический директор компании-разработчика «Газинформсервис» Николай Нашивочников Выявление аномалий помогает нам более широко смотреть на эти вопросы и выявлять скрытые признаки атак либо инцидентов. Скрытая атака – это атака, которая не выявляется какими-то среднестатистическими методами. Она может готовиться очень длительное время, постепенно проходя вовнутрь инфраструктуры жертвы - это первый момент. Второй момент, который отличает продукт – это более широкий охват. Охват заключается в том, что мы формируем единую модель, в которой ассоциируются данные от многих компонентов, не только от пользования конкретного объекта. Мы можем анализировать данные от сервисов, процессов, в том числе данные, которые поступают из других систем, допустим, систем управления инцидентами информационной безопасности. У нас более широкий получается кругозор и более широкое представление о той ситуации, которая происходит в корпоративно-информационной системе.

Инвестиции в проект его создатели оценивают примерно в 75 млн рублей. Система, по их словам, будет интересна средним и крупным компаниям, имеющим в штате 5-10 тыс. пользователей.

Отметим, кибербезопасность становится все более насущной проблемой российского бизнеса. На прошлой неделе стало известно, что количество IT-преступлений в России увеличилось втрое. Как подсчитали в МВД, каждое седьмое правонарушение в этом году совершалось в информационном секторе. Общий ущерб в ведомстве оценили в 10 млрд рублей.