Crosstech Solutions за последний год реализовала несколько идей, которые легли в основу как модернизации собственных дата-процессов компании, так и разработки коммерческих решений для рынка информационной безопасности. Об истории создания этих решений рассказывает Никита Андреянов, руководитель отдела внедрения и продвижения решений департамента цифровой трансформации Crosstech Solutions Group и номинант на премию Data Award.
— Как родилось направление, подразумевающее использование технологий больших данных в сфере информационной безопасности?
Основная категория данных, с которой нам чаще всего приходится работать и решать прикладные задачи, являются события информационной безопасности. Речь идет про журналы аудита операционных систем и баз данных, логи, генерируемые на средствах защиты информации, и прочие данные, так или иначе связанные с информационной безопасностью. Как следствие этого, наши платформы по работе с данными также направлены в первую очередь на отрасль информационной безопасности.
Здесь отдельно стоит упомянуть про два наших продукта – DataGrain ESO и DataGrain RUMA. DataGrain ESO (Events Stream Optimization) – система, позволяющая централизованно собирать, фильтровать и профилировать разнородные ИБ-события в большом объеме. В базовом варианте решение может отвечать за централизованное хранение данных и реализацию ретроспективного поиска. В более продвинутом – это комплексная дата-платформа, которая является некой фабрикой данных, отвечающей не только за хранение данных, но и за удобный и быстрый доступ к прикладным данным без длительного ожидания. В частности, она поддерживает и ad-hoc запросы, и работу с данными в self-service режиме для различных категорий пользователей.
DataGrain RUMA (Remote User Monitoring Analytics) – система, отвечающая за поведенческий анализ пользователей, активов и иных сущностей, а также за мониторинг и выявление поведенческих аномалий. Решение построено на базе статистического анализа, алгоритмов машинного обучения и анализа временных рядов. Используемый стек технологий позволяет выявлять инциденты, которые невозможно описать сигнатурным способом. В частности, система на базе анализируемых данных строит рамки поведения каждого пользователя, отклонения от которых фиксируются как инциденты.
RUMA может интегрироваться с ESO и дополнять ее новым полезным функционалом в части анализа собираемых данных. Помимо этого, нередки сценарии, когда нам приходится работать, в том числе, и с бизнес-данными, когда основной целью является монетизация этих самых данных. Здесь чаще всего источниками данных выступают непосредственно СУБД, CRM, HR и другие бизнес-системы. Так как в подобных бизнес-сценариях основной целью стоит максимально эффективное использование данных, ключевым фактором становится качество, согласованность и корректность этих данных.
— Представленные продукты берут начало в реализации внутренних проектов. Какова их история: в чем заключались решаемые проблемы, каковы были боли бизнеса?
Мы систематизировали реальные запросы бизнеса и сделали акцент на тренды импортозамещения и поддержку отечественного бизнеса эффективными инструментами работы с данными. Так и начали появляться наши продукты.
Crosstech Solutions – молодая компания, но уже сейчас мы имеем востребованную линейку продуктов, каждый из которых решает общие и специализированные задачи бизнеса. Мы хорошо понимаем структуру бизнеса каждого из наших заказчиков и обеспечиваем гибкость разработки. Созданные решения отвечают реальным потребностям заказчиков в долгосрочной перспективе – мы справляемся с задачей поддержки отечественного бизнеса и разделяем общие ценности с нашими бизнес-партнерами.
За каждым нашим продуктом стоит решение конкретной проблемы. Так, драйвером для разработки решения DataGrain ESO стала необходимость сокращения финансовых затрат на покупку лицензий для SIEM-решений. Поскольку количество эксплуатируемых информационных систем и средств защиты корпоративной информации неуклонно растет, пропорционально увеличивается и поток данных, поступающих в SIEM. Соответственно, увеличиваются издержки по обеспечению работоспособности средства защиты. Мы знаем, что офицеры информационной безопасности вынуждены постоянно решать задачи по оптимизации и совершенствованию своих инструментов. Причем это приходится делать как в контексте финансовой составляющей, так и в контексте прикладных задач, — то есть требуется предпринимать меры, которые превращают функциональные возможности решений в прикладной инструмент решения поставленных задач.
ESO предназначено для сокращения входного потока в SIEM. Оно позволяет консолидировать большие объемы данных в сжатом формате в централизованном хранилище данных и перенаправлять в SIEM только тот срез данных, который необходим для прикладного функционала, — в частности, для выявления инцидентов информационной безопасности на базе правил корреляции. При таком подходе наше решение оптимизирует финансовые затраты на лицензирование и повышает эффективность работы SIEM, предоставляя необходимые данные уже в обработанном и нормализованном формате.
Решение RUMA появилось вслед за ESO. Драйвером его разработки стала необходимость эффективно использовать большие массивы исторических данных. Мы поняли, что данные, которые мы можем централизованно собирать и долгосрочно хранить, могут также эффективно использоваться для задач ретроспективного анализа. Это, в свою очередь, решает очередную актуальную проблему бизнеса, а точнее – целый спектр проблем и запросов со стороны информационной безопасности и бизнеса в целом, связанных с возможностями такого анализа.
В частности, RUMA позволяет строить поведенческие профили на базе накопленных данных и впоследствии выявлять отклонения и аномалии в деятельности пользователей. В качестве центральной сущности такой аналитики могут выступать и различные активы, — например, серверы или подсети. Этот подход позволяет выявлять инциденты ИБ, которые невозможно описать сигнатурными правилами корреляции, так как это делается в SIEM. Таким образом, внедрение RUMA и ESO как усиление уже функционирующей SIEM позволяет существенно расширить список реализуемых ИБ-кейсов, основанных на анализе больших срезов данных.
Это лишь два примера того, что явилось драйвером для разработки решений. Кроме описанных продуктов, есть и ряд других направлений разработки. Мы непрерывно отслеживаем общие тренды и проводим исследования по поиску новых технологий и вариантов их применения.
— Сколько времени и какими силами создавалась платформа?
Платформа создавалась около двух лет относительно небольшой командой, в которой были и разработчики, и бизнес-аналитики, и ИБ-инженеры, и дата-сайентисты. В целом, экспертиза команды позволила направить разработку в соответствии с четким пониманием потребностей бизнеса, расширить функционал системы современными фишками, что выгодно отличает нас от зарубежных вендоров, которые уже давно присутствуют на рынке и оказались в своеобразной зоне комфорта — они не спешат развивать свои продукты.
Мы считаем, что уже достигли хороших результатов в такие сроки. Сейчас над развитием платформы работает больше людей — мы укрепляем команду разработки. У нас еще много идей в части математических моделей и алгоритмов, которыми в дальнейшем будет дорабатываться решение.
— Каковы типичные сценарии решений?
Типичные сценария применения зависят от того, рассматриваем ли мы эти две системы по отдельности или как единую комплексную платформу.
Для DataGrain ESO типовой сценарий — это снижение входного потока данных в SIEM. Как следствие, мы снижаем затраты на лицензии, стоимость которых зависит от индексируемых событий, и в то же время не теряем ни одного события, сохраняя все данные в нашей платформе. Таким образом, организация соответствует требованиям регуляторов, получает возможность решения задач ретроспективного анализа и при этом экономит бюджеты, выделяемые на поддержку SIEM.
DataGrain RUMA отвечает за выявление аномалий и реализацию сложных нетиповых кейсов — когда мы понимаем, что паттерн-инцидент сложно или невозможно описать сигнатурной логикой.
В комплексе эти два решения образуют data-платформу, позволяющую решать широкий спектр задач в сфере информационной безопасности и не только — начиная от сбора, обработки и хранения данных, заканчивая решением прикладных задач для бизнеса.
— Каков портрет типичного заказчика? Кто может быть наиболее заинтересован в использовании решения?
О потрете типового заказчика трудно сказать в двух словах. Думаю, общей чертой для любого заказчика будет заинтересованность в использовании возможностей современных технологий и внедрении отечественных решений. При этом не имеет принципиального значения, насколько развиты бизнес- и ИБ-процессы в организации. Здесь должно работать стремление к максимальной эффективности бизнеса в современных условиях.
Наиболее распространенный тип заказчика для линейки наших решений — это средние и крупные компании, в которых давно присутствует SIEM-система, выстроены процессы информационной безопасности и оценки эффективности бизнеса. В таких компаниях часто присутствует понимание того, что бюджеты, выделяемые на иформационную безопасность или на другие направления, расходуются не так эффективно, как хотелось бы.
Также нашим заказчиком может быть и небольшая компания, обладающая скромным бюджетом и планирующая выстраивать все процессы по работе с ИБ-данными на базе нашей платформы. В таком случае мы проводим аудит текущей инфраструктуры, внедряем и настраиваем систему как консолидирующий центр по работе с данными, помогаем выстраивать соответствующие data-driven процессы.
Мы готовы работать как с теми, кто находится на достаточно низком уровне зрелости, так и с теми, кто четко понимает свои потребности и осознает проблемные места в инфраструктуре по работе с данными.
— Где уже нашли применение решения?
Конечно, наиболее яркие для нас кейсы связаны с крупными заказчиками — это банковский, промышленный, государственный, транспортный секторы. В целом, сценарии применения платформы едины, однако каждый проект имеет свою специфику задач и применения.
— Каких результатов удается достичь заказчикам, в чем они могут заключаться?
ESO в первую очередь повышает финансовую эффективность в части оптимизации распределения бюджетов на SIEM-системы, которые являются очень существенной статьей расходов. RUMA позволяет решать сложные и персонализированные ИБ-кейсы, связанные с активностью пользователей. Так, например, решение позволяет выявлять инсайдерскую деятельность на раннем этапе и предотвращать серьезные финансовые и репутационные потери, а не расследовать уже фактически произошедшие инциденты.
Платформа применялась для достижения различных прикладных целей. В качестве достигнутых результатов, можно отметить значительное снижение издержек по эксплуатации систем, обеспечивающих информационную безопасность, оптимизацию отдельных бизнес- и ИБ-процессов организации, а также реализацию превентивного подхода к событиям безопасности.
— А что вы считаете главным своим достижением?
Хочу еще раз подчеркнуть, что наша основная цель как производителя, — помочь отечественному бизнесу эффективно использовать передовые технологии для решения своих задач. В силу усиливающихся трендов на импортозамещение и цифровизацию нам очень важно и приятно осознавать, что мы делаем доступными современные технологии для малых и средних игроков на рынке, которым тяжело самостоятельно выстроить экосистему, позволяющую эффективно работать с данными. В то же время мы помогаем и крупному бизнесу более оперативно выстраивать data-driven процессы, позволяя сосредоточиться на прикладном использовании данных внутри организации и формировании базы интересующих кейсов, нежели решению инженерных задач по построению архитектур, позволяющих с этим данными эффективно взаимодействовать и работать.
— Каковы направления развития решений?
Говоря о прикладном аспекте, в ESO мы наращиваем базу поддерживаемых источников «из коробки» и занимаемся развитием пользовательского интерфейса для того, чтобы снизить порог входа для конечного пользователя. В RUMA же активно ведутся работы по тюнингу существующих поведенческих алгоритмов и разработке новых. В целом, мы движемся в направлении обогащения нашей платформы. Планируем развивать текущий функционал и интегрировать новый. Как я ранее отметил, мы ведем постоянную работу в части отслеживания актуальных тенденций рынка и нужд наших партнеров и заказчиков.
Наши решения развиваются не только технологически – мы в первую очередь хотим, чтобы они были доступны широкому кругу заказчиков. Поэтому сейчас мы также сконцентрированы на том, чтобы платформа сохраняла вариативность и гибкость, — как в части архитектуры внедрения, так и формирования конечной стоимости решения.