Нефтегаз
Информационная безопасность
Платформа для поведенческой аналитики киберугроз
Проект направлен на создание инновационной платформы для поведенческой аналитики киберугроз, интегрированной в корпоративную инфраструктуру клиента. Работа включала исследование алгоритмов машинного обучения, разработку прототипов и полноценной подсистемы для мониторинга и анализа событий кибербезопасности в реальном времени.
Клиент и контекст
Наш клиент — компания «Газинформсервис» (ГИС), один из крупнейших интеграторов в области информационной безопасности, который предоставляет свои услуги крупным организациям, включая компании нефтегазового сектора, такие как Газпром и Газпромнефть, а также банкам и предприятиям других отраслей. Клиент обратился к нам с задачей разработки и улучшения системы поведенческой аналитики для мониторинга событий кибербезопасности в крупных корпоративных инфраструктурах. Основная цель — выявление угроз на основе анализа данных о поведении пользователей и систем.
Команда
Мы стали партнерами компании на протяжении нескольких лет и выполняли различные задачи в рамках проекта по разработке платформы расширенной аналитики Ankey ASAP. Наша работа включала как исследования, так и разработку программного обеспечения. Проект прошел несколько этапов: от начального прототипирования до полноценной разработки и интеграции подсистемы поведенческой аналитики в более масштабную инфраструктуру клиента.
Кейс 1
Исследование алгоритмов поведенческой аналитики и разработка прототипов
Задача
Клиент обратился к нам с задачей провести исследование и создать прототип системы поведенческой аналитики, которая сможет эффективно выявлять угрозы кибербезопасности на основе анализа поведения пользователей и систем. Наша цель заключалась в том, чтобы изучить современные подходы к поведенческой аналитике и разработать решения, которые позволили бы анализировать данные и выявлять аномалии в масштабных корпоративных сетях.
Процесс работы
Мы начали с анализа существующих подходов и технологий в сфере поведенческой аналитики. Используя передовые методы машинного обучения и анализа данных, мы разработали концепции алгоритмов, способных идентифицировать потенциальные угрозы, такие как утечка данных, внутренняя разведка или действия вредоносных программ. Наша команда работала в тесном сотрудничестве с клиентом, что позволило нам четко понимать особенности его инфраструктуры и целевые требования.
Поскольку мы стремились создать продукт, способный работать с реальными данными, одним из ключевых этапов стало создание нашего собственного «киберполигона» — тестовой среды для моделирования кибератак и генерации данных. Это позволило нам не только провести полное тестирование разработанных прототипов, но и значительно улучшить точность и адаптивность алгоритмов, учитывая специфику реальной киберугрозы.
Вызовы и их преодоление
Отсутствие данных
Одним из ключевых вызовов стало отсутствие доступа к реальным данным о киберугрозах. Чтобы преодолеть этот барьер, мы создали специализированную тестовую среду — «киберполигон», которая имитировала реальные угрозы. Это позволило нам с высокой точностью оценивать работу разработанных моделей.
Комплексность инфраструктуры клиента
Клиент представлял крупные корпоративные сети с высоким уровнем данных. Мы разработали алгоритмы, способные обрабатывать массивы данных в режиме реального времени, адаптируясь под меняющиеся условия и требования. Этот подход обеспечил гибкость системы, что является важным преимуществом при масштабировании.
Исследовательские риски
В исследовательских проектах всегда присутствует риск того, что результат может не соответствовать ожиданиям. Мы минимизировали этот риск за счет четкого планирования и создания прототипов, готовых к дальнейшему внедрению. Несмотря на высокую неопределенность, мы добились значительных результатов на каждом этапе, что подтверждается успешным тестированием и готовностью алгоритмов к реальной эксплуатации.
Результаты
Надежность и масштабируемость
Мы показали, что наши алгоритмы могут масштабироваться для обработки больших объемов данных в режиме реального времени. Это открывает путь для их дальнейшего внедрения и использования на всей территории сети клиента.
Прототипы, готовые к внедрению
Мы разработали работающие прототипы алгоритмов поведенческой аналитики, которые успешно прошли тестирование на нашем киберполигона. Эти прототипы легли в основу будущей полнофункциональной системы и обеспечили возможность адаптации к инфраструктуре клиента.
Глубокая аналитика и обучение на практике
Проведенные нами исследования не только позволили выработать новые методы работы с данными кибербезопасности, но и существенно улучшили точность идентификации угроз. Мы продемонстрировали клиенту, как современные методы машинного обучения могут значительно повысить эффективность мониторинга и анализа событий в их корпоративных сетях.
Кейс 2
Разработка подсистемы поведенческой аналитики
Задача
После успешных исследований и создания прототипов, следующая задача состояла в том, чтобы разработать полноценную подсистему поведенческой аналитики для интеграции в платформу Ankey ASAP. Это решение должно было обрабатывать данные о поведении пользователей в реальном времени и выявлять аномалии, которые могли бы указывать на кибератаки или утечки данных.
Процесс работы
Команда разработчиков начала работу над созданием подсистемы поведенческой аналитики, которая должна была масштабироваться для обработки огромных объемов данных (десятки тысяч событий в секунду). Мы использовали современные технологии, такие как Kubernetes и облачные решения, для обеспечения масштабируемости и надежности системы. Интеграция с уже существующими системами ГИС была важной частью процесса, что требовало тщательного согласования архитектурных решений с командой клиента.
Интересной особенностью этого проекта стала ситуация, когда первоначально предложенная нами масштабируемая архитектура была отклонена в пользу более простого решения. Однако спустя два года клиент вернулся к нашему варианту, столкнувшись с проблемами масштабирования. Это демонстрирует важность долгосрочного видения и стратегического подхода к разработке.
Технологии
Kubernetes и облачная инфраструктура
Для масштабируемости и надежности системы.
Java и Angular
Использовались для разработки бэкенда и фронтенда системы.
API-интеграции
Подсистема интегрировалась с различными внутренними сервисами клиента, включая систему управления безопасностью.
Вызовы и их преодоление
Масштабируемость
Система должна была обрабатывать огромное количество данных в реальном времени. Мы разработали архитектуру, которая поддерживала горизонтальное масштабирование, добавляя ресурсы по мере увеличения нагрузки.
Интеграция с внешними системами
Интеграция с существующей платформой клиента (SIEM и другими системами) требовала сложной синхронизации API и архитектурных решений.
Ограниченные данные о киберугрозах
Разработка без доступа к реальным данным о киберугрозах была усложнена, но создание киберполигона и гибких решений для моделирования данных помогло преодолеть этот барьер.
Синхронизация команд
На протяжении разработки возникали сложности, связанные с необходимостью синхронизации между нашей командой и внутренними разработчиками клиента, однако благодаря регулярным обсуждениям и плотной координации нам удалось преодолеть эти вызовы.
Результаты
Разработанная система поведенческой аналитики была успешно интегрирована в платформу Ankey ASAP и позволила клиенту мониторить события кибербезопасности в реальном времени. Несмотря на сложности, связанные с архитектурой и интеграцией, система показала свою надежность и масштабируемость, поддерживая высокие нагрузки. Система помогла улучшить внутренние процессы кибербезопасности и обеспечила защиту данных в корпоративных сетях клиента.
Предыдущий кейс
Система сравнения трехмерных моделей
Следующий кейс
Автоматизация подачи патентных заявок для 3D-моделей