Дмитрий Костров: Кто первый, того и «тапки»

Дмитрий Костров, член Правления АРСИБ

Дмитрий Костров, член Правления АРСИБ

Проблематика раннего предупреждения компьютерных атак выдвигается на первый план защиты не только компаний, но уже и на государственном уровне. Подписанный Президентом России Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» только ускоряет необходимость создания подобной системы предупреждения с учетом лучших практик, прогнозной аналитики и систем обработки больших данных. Помимо нескольких важных отраслей в перечень объектов КИИ включены организации из сферы науки. «Крутые» изменения в уголовном кодексе практически вынуждают создавать подобные системы.

Многие, кто родился в прошлом столетии, помнят название «система раннего предупреждения – СРП», и при использовании названия СРП возникает ассоциация о ракетном нападении. Эта специальная комплексная система, создаваемая в середине 50-х гг. прошлого века, предназначалась для обнаружения запуска баллистических ракет, вычисления их траектории и передачи в командный центр противоракетной обороны информации, на основе которой фиксируется факт нападения на государство с применением ракетного оружия и принимается оперативное решение об ответных действиях. Давно уже следовало создать подобную систему и в виртуальном мире.

Многие эксперты знают, что в мире уже действуют подобные центры. В России широко известны: центры мониторинга информационной безопасности системы распределенных ситуационных центров органов государственной власти РФ, государственные и корпоративные сегменты Системы обнаружения, предупреждения и ликвидации последствий компьютерных атак, система предупреждения и обнаружения компьютерных атак Министерства обороны РФ, ситуационно-кризисный центр Госкорпорации «Росатом», FinCERT Банка России, CERT «Ростеха», система анализа трафика и обнаружения сетевых атак ПАО Ростелекома, центр мониторинга угроз информационной безопасности ПАО Газпром и т. п. При этом все понимают, что почти все названные ситуационные центры способны детектировать и частично отражать уже осуществляющиеся атаки, но не в состоянии заблаговременно предупредить и пресечь атакующие воздействия. И это подталкивает продвигать решения для построения центров реагирования на компьютерные атаки на основе технологий управления данными, позволяющих не только обобщить, но и отразить в автоматизированном режиме информацию о случившихся инцидентах информационной безопасности по заранее запланированному сценарию. Все понимают, что приходит новая концепция управления знаниями о текущем и предполагаемом информационном противодействии в киберпространстве. Это и есть возможность создавать когнитивные семантические информационно-аналитические системы и проводить автоматизированный контент-анализ в режиме реального времени. В зарубежной практике такие технологии уже используются. Это программные решения Palantir, IBM, SAP, SAS и др. Основная концепция – визуализация больших данных из разнородных источников, позволяющих находить взаимосвязи между объектами, обнаруживать совпадения между объектами и событиями вокруг них, выявлять аномальные объекты и т. п. Источниками информации выступают различные открытые и закрытые базы данных, структурированные и неструктурированные источники информации, СМИ, социальные сети, мессенджеры.

Если рассматривать когнитивную систему раннего предупреждения о компьютерном нападении, то нужно выделить подсистемы, которые должны быть разработаны в обязательном порядке: подсистема сбора данных и знаний; подсистема предварительной обработки и анализа больших данных; подсистема хранения данных и знаний; подсистема моделирования, подготовки и принятия решений; подсистема визуализации и администрирования.

При оценке возможности создания когнитивной системы раннего предупреждения необходимо отдавать себе отчет, что классическое понимание импортозамещения здесь не работает. Очень мало отечественных программных продуктов (не говоря уже об аппаратных) сможет выполнить те требования, которые эта систем должна обеспечивать. На помощь приходит сертификация иностранных программных продуктов по требованиям информационной безопасности от ФСТЭК России. Это проверка исходного кода на отсутствие недекларированных возможностей, создание и проверка продуктов с функциями безопасности по техническим условиям или СВТ.

В основе возможной архитектуры когнитивной системы должна лежать in-memory база данных, а требуемая семантика должна реализовываться на Master Data Management. Компонент системы «Сбор больших данных» должен создаваться на основе решений класса Extract/Transform/Leverage, которые призваны осуществлять сбор данных из различных источников. При этом могут быть задействованы как типовые адаптеры, например для Oracle, MS SQL, DB2, Hive, так и специализированные. Также должны быть развернуты решения типа Process Orchestration для интеграции с системами, поддерживающими механизмы очередей и обмена сообщениями. Обмен может проходить как в синхронном, так и в асинхронном режимах. Далее, структурированные данные загружаются в хранилище данных, а неструктурированные – в Extended Enterprise Content Management. Интересным решением будет в рамках компонента «Хранилище данных» использование СУБД, которая может функционировать в оперативной памяти. СУБД in-memory преодолевает основной недостаток традиционных СУБД – снижение производительности при обращении к дисковой памяти. Желательно, чтобы база данных использовала поколоночный тип хранения данных.

Применение когнитивных решений поможет перейти к так называемому семантическому управлению кибербезопасностью. Переход к применению семантических технологий при создании системы предупреждения является критически важной инновацией, которая определяет в среднесрочной перспективе основной вектор развития и источник технологических преимуществ создаваемых систем обнаружения, предупреждения и ликвидации последствий компьютерных атак на различные информационные ресурсы в нашей стране.

 

Добавить комментарий

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку