Obvladovanje velikih podatkov za uspešno kibernetsko varnost

Kibernetska varnost si zasluži vse večjo pozornost. Napadalci so vse bolj zviti in nevarni, vse pogosteje pa napadajo kritične sisteme, kjer lahko povzročijo večjo škodo. Te sisteme predstavlja predvsem kritična infrastruktura, katere del je kot bistvena storitev za delovanje države tudi energetika. Zaradi tega ter zaradi zagotavljanja skladnosti z zakonodajo in regulativo je družba Informatika d.o.o. vzpostavila 24/7 varnostni operativni center za področje energetike.

Proaktivna obdelava masovnih podatkov v kompleksnih okoljih

Sistemi kritične infrastrukture so sestavljeni iz velike količine povezanih računalniških, infrastrukturnih in IoT naprav, integriranih IT in OT omrežij, podatkovnih baz itd. Zato jih je težko obvladovati in varovati. V VOC Informatike prejmemo okrog 7 milijard dogodkov na mesec. Tako količino podatkov je nemogoče ročno pregledati in med njimi narediti korelacije, da bi zaznali anomalije, varnostna tveganja ali potencialne kibernetske napade. Za to so potrebne sodobne tehnologije, kot so SIEM, SOAR in umetna inteligenca.

Najpomembnejša tehnologija je SIEM (Security Information and Event Management), ki zagotavlja celovit prikaz omrežnega prometa varovanega sistema iz virov, kot so strežniki, delovne postaje, podatkovne baze ipd. Omogoča spremljanje dogodkov v realnem času ter pregled in analiziranje za nazaj. Na podlagi sumljivih korelacij med dogodki lahko zazna potencialno grožnjo in sproži opozorilo. Sledi SOAR (Security Orchestartion, Automation and Response), ki združuje avtomatizacijo varnostnih operacij, odzivanje na varnostne incidente ter upravljanje tveganj, ranljivosti in groženj. S tem prihrani čas varnostnega osebja za zahtevnejša opravila. Tretja ključna tehnologija je umetna inteligenca, ki olajša in pohitri razpoznavanje vzorcev običajnega in neobičajnega obnašanja uporabnikov ter IT sistemov. Tako omogoča predvidevanje kibernetskih napadov ter lažje odzivanje in ukrepanje. Seveda pa morajo biti te tehnologije med seboj povezane.

Implementacija ključnih scenarijev strojnega učenja v VOC

VOC energetike bistveno zvišuje svoj nivo učinkovitosti in kompetentnosti z implementacijo ključnih scenarijev strojnega učenja, kot so zaznavanje zlonamernih domen ter napadov za zavrnitev storitve, protivirusni mehanizmi nove generacije, nadzor elektronskih sporočil z odkrivanjem izsiljevalskih vsebin na osnovi procesiranja besedila, govora ali videa ter analiza vedenja uporabnikov, njihove neobičajne aktivnosti ter zlorabe uporabniških računov in pravic dostopa. Za energetsko kritično infrastrukturo je posebej pomembna uporaba tehnik strojnega učenja za zaznavanje kibernetskih incidentov in odzivanje nanje na vseh IT-OT integriranih nivojih infrastrukture. Vsi namreč vključujejo množico tehnoloških virov, izpostavljenih varnostnim tveganjem. Razpoznavanje vzorcev vdorov mora transparentno potekati po vertikalnih povezavah, zaradi česar so modeli umetne inteligence in strojnega učenja tesno prilagojeni dejanskemu sistemu. VOC posega po uveljavljenih pristopih, kot so časovne vrste, klasifikacija, segmentacija in regresija.

Predvidevanje in inteligenca kibernetskih groženj

Tehnologije kibernetske varnosti na osnovi strojnega učenja omogočajo organizacijam, da ostanejo korak pred kibernetskimi tveganji in grožnjami. S korelacijami med množicami podatkovnih točk iz najširše povezanega omrežja je možno dobiti vpogled v  prihajajoče trende in jih prehiteti. Tako se krepi inteligenca kibernetskih groženj, ki omogoča varnostnim analitikom in strateškim uporabnikom, da so na tekočem z množico groženj in tveganj. Končni cilj je proaktivnost v zvezi s kibernetskimi grožnjami in tveganji. Kibernetski napadi so namreč vse bolj sofisticirani in nemalokrat kombinirajo več zahtevnih vektorjev in metod vdora, vključno z napadi “na dan 0”, ki jih je težko odkriti. Odkrivanje vzorcev je pomembno za izgradnjo baze kibernetskega znanja, oblikovanje priporočil in postopkov za ukrepanje proti napadom, informiranje o tveganjih in posledicah za poslovanje ter izmenjavo informacij med deležniki, zlasti med VOC in nacionalnimi odzivnimi centri za kibernetsko varnost.

Več najdete na www.informatika.si (P.R.)