Центр кибербезопасности инфраструктуры облачных сервисов с использованием машинного обучения провайдера Облако.ру

• Приведение инфраструктуры компании в соответствие требованиям ФСТЭК (аттестация).
• Снижение рисков информационной безопасности для клиентов облачных сервисов.
• Создание управляемой услуги мониторинга и реагирования на инциденты информационной безопасности.

Формально проект можно разделить на несколько этапов.

1. Специалисты Облако.ру совместно со STEP LOGIC провели обследование и анализ рынка, построили экономическую модель и выбрали концепцию центра кибербезопасности.
2. Затем были сформированы детальные технические требования, разработан регламент работы SOC, прописаны метрики и внутренний SLA.
3. На третьем этапе специалисты STEP LOGIC приступили к внедрению технологической платформы STEP Security Data Lake.
4. Подбор и реализация пакета наиболее актуальных сценариев мониторинга были проведены после комплексного обследования, включающего анализ применяемых программных платформ, выявление связанных с ними потенциальных угроз, идентификацию необходимых источников событий и данных.
5. Завершающим этапом стало обучение персонала.

В данный момент к SOC подключено более 150 источников данных в инфраструктуре Облако.ру, в числе которых не только операционные системы, сетевое оборудование и средства защиты информации, но и прикладные системы, в том числе виртуализация, оркестрация и автоматизация облачных сервисов.

Сбор событий осуществляется с использованием штатных механизмов источников данных, что позволяет снизить воздействие на работу сервисов облачного провайдера.

Помимо внутренних, SOC использует также внешние источники: данные Threat Intelligence, базы геолокационных и регистрационных данных, доменных имён и IP-адресов, сервисы анализа вредоносного кода. Действия по реагированию определяются сценариями мониторинга, разработанными в контексте методологий MITRE ATT&CK и Cyber Kill Chain. По сути, каждый из них — это отдельный алгоритм, нацеленный на противодействие заданному вектору атаки, известным техникам и тактикам злоумышленников.

• Для хранения и анализа данных в центре кибербезопасности применяется программная платформа STEP Security Data Lake, собственная разработка STEP LOGIC, реализующая функции программных решений следующих классов: мониторинг событий и выявления инцидентов (SIEM), реагирование и расследование (IRP), агрегация и анализ артефактов угроз Threat Intelligence (TIP).
•  Для анализа всех данных в центре кибербезопасности используются единые язык поисковых запросов, конструктор визуализаций, общие корреляционные правила и модели машинного обучения. Такой подход сокращает время реагирования в 1,5 раза и снижает эксплуатационные расходы в 2 раза.
• Гибкий корреляционный движок и развитые функции машинного обучения для глубокого анализа собранных данных вместе с детальными сценариями мониторинга, наработанной практикой их применения и регламентированными рабочими процессами SOC позволяют снизить количество ложных срабатываний в 10 раз.