12 жовтня, 2018

Як може компанія зрозуміти, чи є вона об’єктом кібератаки?

Сьогодні будь-яка організація має усвідомити той факт, що зловмисники завжди подолають периметр захисту її інфраструктури. Це очевидно хоча б тому, що у них, якщо поставлена така задача, є нескінченна кількість спроб та способів обійти системи активного захисту периметру. І перш ніж їх виявлять, зловмисники перебувають у комп’ютерній мережі в середньому 6-16 місяців. Процес їх виявлення досить дорогий, комплексний і тривалий. Тому, щоб відповісти на запитання, чи знаходяться зловмисники в мережі компанії, потрібно провести складну і дорогу роботу.


Компанія ISSP вже 10 років працює у сфері кібербезпеки. Ми вивчаємо спосіб мислення і діяльність зловмисників, досліджуємо, як вони проникають в комп’ютерні мережі, як долають периметри, і знаходимо нові шляхи їх виявлення. Наприклад, зараз ми ведемо дві дослідницькі програми з Лабораторією комп’ютерних наук і штучного інтелекту Массачусетського технологічного університету, ділимося своїм досвідом, переймаємо досвід колег.


Якщо подивитися на медичну галузь, то лікування будь-якого хворого починається з встановлення точного діагнозу. Свого часу проривним методом у цьому процесі став метод лабораторного аналізу крові. Він дозволяє визначити її точний хімічний склад і зрозуміти, які процеси відбуваються в організмі. Будь-які зміни в організмі безперечно будуть мати відображення у зміні хімічного складу крові. Щоб з’ясувати, чи є певна організація скомпрометованою, потрібен подібний метод аналізу. Такий же точний, простий і доступний, коли можна принести зразок своєї «цифрової крові», здати його в лабораторію і отримати «діагноз».


Ми кілька років працювали над рішенням цієї задачі, й результатом нашої роботи став проект GuardYoo. Його суть полягає в тому, що в нашу цифрову лабораторію завантажуються журнали подій із серверів організації, там вони ретельно аналізуються, після чого формується звіт. Такі системні журнали зазвичай зберігають інформацію за період від однієї доби до кількох років. Тобто ми аналізуємо два роки найменших змін, що відбувалися в роботі комп’ютерних систем, розробляємо моделі нормальної поведінки, виявляємо аномалії, помилки, свідчення компрометації. Вся ця інформація дає можливість отримати відповіді на ключові запитання: чи є зловмисники в мережі організації, чи знаходиться вона з зоні ризику, тобто чи є аномалії, що потребують додаткового дослідження, і чи є компанія достатньо зрілою в організації своєї кібербезпеки, в тому числі чи виконує вона положення відповідних вимог і стандартів.


За допомогою GuardYoo провести таку перевірку компрометації вже сьогодні може компанія будь-якої галузі та розміру. Цей сервіс дуже простий, зрозумілий і доступний. Ним уже скористалися понад півсотні великих і середніх компаній у енергетичній, транспортній, фінансовій, виробничій та промисловій галузях в Україні та світі.