Как искусственный интеллект в SIEM-системах может остановить киберпреступников
В связи с тем, что растет глобальная киберугроза, бизнес стал остро нуждаться в более совершенных технологиях для обеспечения информационной безопасности. Это требует эволюции решений, которую используют ИТ и ИБ-департаменты. Существенным шагом в развитии SIEM-систем стало успешное использование машинного обучения и искусственного интеллекта. Максим Степченков, генеральный директор компании RuSIEM, рассказал в интервью CNews, о том, как глубокое машинное обучение помогает спастись от хакеров.
«Делаем ставку на машинное обучение»
CNews: Максим, рынок информационной безопасности принято считать довольно закрытым. Тем не менее, компания RuSIEM и одноименный продукт достаточно хорошо известны. Как работает RuSIEM в последнее время?
Максим Степченков: Да, действительно, мы позиционируем себя одним из основных игроков на рынке SIEM-систем. Нас хорошо знают, а решения из нашей линейки (RuSIEM, RuSIEM Analytics и RvSIEM (free) много где внедрены и используются. У нас постоянно появляются новые заказчики в самых разных отраслях, начиная от финансового сектора и заканчивая рынком ВПК.
В последнее время в компании произошел ряд важных изменений. Изначально все инвестиции в проект исходили от меня, как от владельца компании, но теперь во владение компанией вошли несколько частных инвесторов, благодаря чему продукт получил крупные инвестиции. В результате изменений мы не только укрепили команду разработки и сохранили всех действующих сотрудников, но набрали новых сотрудников, и продолжаем активный набор. Активно развивается как партнерский отдел, так и отдел тестирования, существенно выросло количество инженеров.
Мы работаем с заказчиками только через партнерскую сеть и стараемся ее активно наращивать. Например, совсем недавно мы подписали соглашение о партнерстве с такими компаниями, как «ЛАНИТ», «Программный продукт», АМТ, OCS и еще более чем с 20 компаниями. И уже в этом году их заказчики смогут ощутить все преимущества наших разработок в области управления информационной безопасностью.
Мы меняем подходы к внутренним бизнес-процессам, делаем их более эффективными и нацеленными на удовлетворение потребностей заказчиков. Эти изменения настолько кардинальны, что о них положительно отзываются как клиенты, так и партнеры. Мы стали еще более открытыми и слышащими потребности.
CNews: Меняются подходы и к собственным решениям? Вы ведь пришли к использованию искусственного интеллекта?
Максим Степченков: Само собой. Причем, решение RuSIEM — это полностью собственная разработка. Пять лет назад, когда мы были в самом начале этого пути, в основе лежали определенные open source-решения, но сейчас от них не осталось ничего, кроме операционной системы и баз данных.
Теперь у нас появились планы выхода на западные рынки. У нашей бесплатной версии RvSIEM (free) уже несколько тысяч инсталляций по всему миру. Кроме того, действительно, мы активно движемся в направлении использования искусственного интеллекта, в частности — глубокого машинного обучения, и именно на него и делаем ставку в ближайшие годы.
CNews: Что это даст вашим заказчикам?
Максим Степченков: Давайте сначала поговорим о том, что в принципе дают SIEM-системы. Одна из важнейших их функций — умение выбрать в огромном потоке событий самые важные, которые требуют незамедлительной реакции. Делать это качественно без искусственного интеллекта при нынешнем уровне развития навыков киберпреступников, практически невозможно. Ведь даже в средних размеров ИТ-инфраструктуре происходят миллионы событий ежедневно. И с точки зрения информационной безопасности, SIEM-система — это «головной мозг», позволяющий отслеживать их из некоего единого центра.
Что делает, например, наше решение: оно сохраняет всю историю событий. Для чего это нужно? Некоторые события могут не иметь значимости в данный момент, но при расследовании и анализе инцидентов они будут необходимы. Скажем, вы «ловите» неудачные попытки входа с перебором пароля. Одна такая попытка была сегодня, другая — вчера, третья — случится завтра. Анализируя подобные события на длительном интервале времени, можно выявить атаки. Это называется ретроспективным анализом. И вот это выявление важных в данный момент времени событий и становится основной функцией продвинутых SIEM-систем.
Мы предлагаем нашим заказчикам еще и дополнительный функционал. Например, мы «обогащаем» события дополнительной информацией с помощью механизма симптоматики. Он позволяет присваивать событиям уровни критичности и тэги, которые описывают саму суть события понятным оператору языком. Это позволяет ему работать с известными событиями, даже не зная особенностей формата логов и кодов конкретной системы.
Кроме этой особенности, у нас есть немало других: это и распределенная корреляция, и поддержка интеграции с другими SIEM-системами, и многое другое. Сейчас мы активно работаем не только над развитием модуля аналитики, но и осуществляем самостоятельно или совместно с партнерами следующие функции: глубокая интеграция с deception, DLP- и TI-системами, интеграция со сканером уязвимости, модуль инвентаризации и многое другое. Но самое главное, что заказчики и сообщество может принять участие в доработке дорожной карты, так как мы с огромным удовольствием воспринимаем пожелания как клиентов, так потребителей бесплатной версии.
«Бизнес хочет функциональности и низкие цены»
CNews: Такой набор функций наверняка идет в связке с запросами бизнеса. Как они изменяются?
Максим Степченков: Менеджменту и владельцам компаний сейчас как никогда прежде важно понимать уровень эффективности своих ИБ-инструментов. И как раз SIEM-системы стали ответом на это требование, позволив существенно повысить эффективность за счет автоматизации анализа событий и управления инцидентами. А ведь такая автоматизация еще и резко повышает уровень защищенности при снижении затрат на обслуживание систем защиты! Два ключевых критерия, стало быть, — функциональность и цена. Посмотрите отчеты Gartner или IDC — более 70% компаний по всему сталкиваются с кибератаками, с троянцами и вымогателями. Эксперты с мировыми именами говорят о том, что половина мировых инвестиций в кибербезопасность неэффективна. Преступники нападают уже не только на сами предприятия напрямую, но и заходят исподтишка — через цепочки компаний, клиентов и партнеров. Стоимость ущерба от массированной атаки на крупную корпорацию оценивается в миллионы долларов.
Бизнес ждет понятных преимуществ: снижения вероятности угроз, выявления атак, минимизации рисков. Ведь понятно, что в современном мире без систем мониторинга и автоматизированного анализа выжить практически невозможно. Ваша сеть может быть давно заражена, но выявить это своевременно просто не удастся.
Еще один немаловажный плюс SIEM в том, что на его базе строятся antifraud-системы, которые сейчас крайне востребованы на предприятиях. Они позволяют выявлять мошенническую активность, которая направлена как против клиентов, так и внутри самого бизнеса.
CNews: Как SIEM-системы, в том числе — интеллектуальные, влияют на российский ИБ-рынок?
Максим Степченков: Нужно понимать, что востребованность SIEM-систем в России очень высокая. Это обусловлено, в частности, требованиями законодательства. Например, федерального закона о безопасности критической информационной инфраструктуры, необходимостью взаимодействия с ГосСОПКА, требованиями Центробанка и требованиями, распространяющимися на государственные информационные системы и информационные системы обработки персональных данных.
Но речь не только о госсекторе. Такие системы востребованы и у бизнеса, в том числе — из сегмента СМБ. Помните, раньше считалось, что SIEM — это история для крупных промышленных корпораций? До последнего времени так все и было. Но теперь СМБ-сектор тоже может позволить себе подобные решения. Не могу не отметить, что мы предлагаем бескомпромиссное решение именно для коммерческого сектора малого и среднего бизнеса.
Расценки нашей компании доступны даже для СМБ-компаний. Более того, отдельные системные интеграторы и MSSP-провайдеры предлагают SIEM-системы в виде сервиса. Получается, что сейчас эта технология доступна даже организациям со штатом в 30-50 человек.
CNews: Если говорить именно о развитии RuSIEM, вы считаете себя конкурентоспособными на международном рынке?
Максим Степченков: Мы уже конкурируем с этими компаниями на российском рынке и, судя по числу установок, как минимум, не проигрываем. В конкуренции — с западными игроками, в том числе, — ключевую роль играет функциональность, а также использование или неиспользование аналитики и машинного обучения. И, естественно, цена.
Я считаю, что мы можем гордиться широкой функциональностью нашей системы, мощными аналитическими инструментами. А цена нашего решения — ниже, чем у западных аналогов.
CNews: Вы комфортно себя чувствуете в условиях политики импортозамещения?
Максим Степченков: Я лично очень не люблю, когда для российских компаний создаются тепличные условия за счет законодательства, так как фактически у многих производителей начинает страдать качество. Конечно многие события на российском ИТ-рынке определяются реестром отечественного ПО, в который, кстати, входит наше решение, и реестр помогает в плане продвижения, но для нас российский рынок — это первая ступень к международному рынку. Плюс ситуация со Splunk, когда компания ушла из России практически в один день, доказала, что существует высокий риск использования американских/западных решений.
Источник: http://safe.cnews.ru
Александр Григорьев ЦСО "Крокус"