Аналитика. Безопасность. Ankey ASAP
«Газинформсервис» выпустил коммерческую версию платформы расширенной аналитики безопасности с функциями поведенческого анализа Ankey ASAP
Это совместная разработка компании «Газинформсервис» и Лаборатории искусственного интеллекта и нейросетевых технологий Санкт-Петербургского политехнического университета Петра Великого. Работа над продуктом ведется с 2017 года. Тестовая версия платформы была представлена в декабре 2019 года.
Коммерческая версия продукта дополнена подсистемами мониторинга интегральных индикаторов аномальности поведения пользователей. Для обнаружения аномальной активности анализаторы платформы эффективно работают с событиями журналов безопасности операционных систем, систем DLP и контроля работы сотрудников, инфраструктурных сервисов (электронная почта, AD и др.), дополняя традиционную аналитику на основе правил корреляций, доступных в SIEM (система управления информацией и событиями информационной безопасности). Аналитическая платформа поддерживает загрузку произвольных данных, построение комплексных профилей поведения и выявления отклонений. Осуществлена интеграция с одной из ведущих российских платформ по реагированию на инциденты (IRP-платформа). Также реализованы модели выявления признаков компьютерных атак: разведка периметра, компрометация учетной записи или устройства, утечка данных, злоупотребление привилегиями и другие.
В коммерческой версии реализована удобная визуализация результатов с использованием принципа «таймлайн». Так как современные атаки — это процессы, а не отдельные события, при анализе инцидентов безопасности таймлайн (временная шкала событий, инцидентов и аномалий) является обязательным инструментом, который может связать воедино, казалось бы, несвязанные события и действия.
На площадке одного из заказчиков в 2020 году был реализован пилотный проект, который позволил выявить аномалии в работе информационных систем и предотвратить мошенничество клиентов и работников компании.
Платформа Ankey ASAP (Advanced Security Analytics Platform) — продукт класса расширенной аналитики событий информационной безопасности c функциями поведенческого анализа. Продукт формирует аналитический контент и модели поведения пользователей и компонентов (сущностей) корпоративной сети с помощью эвристических и статистических алгоритмов, а также алгоритмов машинного обучения на основе данных, получаемых от средств защиты информации и информационных систем предприятия. Ankey ASAP предоставляет специалисту по информационной безопасности инструментарий для выявления признаков, проведения технического расследования и сбора цифровых доказательств инцидентов безопасности. В отличие от традиционных средств защиты, для выявления инцидентов продукт использует автоматически формируемые профили поведения, а не формальные правила и сигнатурные методы. При этом получение многомерного представления контекста событий позволяет более эффективно анализировать выявленные инциденты кибербезопасности и в более короткие сроки принимать решения по ним.