Ankey ASAP

Назначение платформы

• формирование аналитического контента современными методами расширенной аналитики данных от средств защиты информации корпоративной сети (SIEM, DLP, AV, FW и др.) и дополнительной контекстной информации (AD, HR и др.);
• построение моделей поведения пользователей и объектов, выявление аномалий;
• предоставление инструментария ИБ-специалистам для выявления признаков, расследования и сбора цифровых доказательств инцидентов ИБ.

Если в организации:

• инциденты безопасности вовремя не выявляются или затягивается их расследование
  Причина – персонал службы безопасности перегружен ручным анализом логов многочисленных информационных систем и средств информационной безопасности (ИБ).
• SIEM-система генерирует много ложных срабатываний, не обнаруживает новые типы атак
  Причина – правила корреляции ограничены анализом последовательности событий для известных атак.
• нет целостного представления о состоянии кибербезопасности
  Причина – аналитическая информация фрагментирована по средствам ИБ, комплексный анализ организационных и технических процессов безопасности предприятия отсутствует.

Повысьте эффективность процессов кибербезопасности с помощью платформы расширенной аналитики безопасности Ankey ASAP

Решения на платформе Ankey ASAP повышают результативность выявления инцидентов традиционных SIEM-систем, когда:

• большой поток событий скрывает подозрительное поведение конкретных пользователей и систем;
• невозможно или сложно сформулировать правила корреляции;
• динамика изменений объекта контроля требует непрерывной адаптации моделей анализа данных.

Решения на платформе Ankey ASAP сокращают время обнаружения атак и расследования инцидентов благодаря расширенным средствам анализа данных:

• технологии поведенческой аналитики для автоматического обнаружения подозрительного изменения в поведении пользователей и систем;
• автоматической ассоциации событий по пользовательским сессиям и с контекстной нормативно-справочной информацией о пользователях и системах;
• визуальному исследованию в интерактивном режиме по произвольным срезам данных.

Основной функционал:

• выявление злонамеренных инсайдеров;
• ранжирование потока инцидентов безопасности по приоритетам;
• обнаружение изменений в поведении сотрудника и злоупотребления рабочим временем;
• выявление нарушений политик безопасности: утечки данных, использование запрещенного программного обеспечения и т.п.

Для успешного внедрения решений на платформе Ankey ASAP предлагаем:

• подключить к платформе источники данных заказчика;
• настроить решение для работы в ИТ-инфраструктуре заказчика;
• адаптировать алгоритмы поведенческой аналитики под бизнес-требования заказчика;
• обучить персонал заказчика.

Архитектура

Основным поставщиком данных для платформы Ankey ASAP являются SIEM-системы.

В качестве дополнительных источников используются нормативно-справочные и плановые данные:

• конфигурация ИТ-инфраструктуры;
• информация по объектам из AD;
• данные систем HR и IDM.

   Модуль поведенческого анализа использует полученные данные для определения базовой модели поведения пользователей или объектов, чтобы идентифицировать ненормальное поведение, выявить отклонения или подозрения на инциденты.

Для задач анализа выявленных подозрений Ankey ASAP предоставляет контекстную информацию обо всех пользователях и объектах, связанных с выявленным отклонением или полученным инцидентом из SIEM.

   В модуле реагирования и расследования, в соответствии с классом инцидента и опытом предыдущих расследований, подбирается актуальный сценарий расследования и реагирования на инцидент.

Архитектура платформы инвариантна по отношению к типу обрабатываемых данных, что позволяет использовать её для задач анализа и выявления отклонений в технологических (ICS/SCADA) или бизнес (ERP) процессах.

Поведенческая аналитики (UEBA)

Ankey ASAP использует алгоритмы машинного обучения и искусственного интеллекта, чтобы понять поведение пользователей в сетях, приложениях и других ИТ-системах кроме пользователей контролирует поведение таких объектов как маршрутизаторы, серверы, корпоративные приложения и файлы.

При помощи машинного обучения определяется «нормальное» поведение для пользователей и сущностей. Поведение, отличающееся от обычного, считается аномальным. Например, копирование пользователем большого объема данных, значительно превышающее обычное значение для этой группы пользователей. По аномальным событиям создается подозрение на инцидент. Подозрения на инциденты, расширенные дополнительным контентом и доказательствами, поступают на расследование и реагирование. В модуле реагирования, в соответствии с классом инцидента и опытом предыдущих расследований, подбирается актуальный сценарий реагирования на инцидент.

Специалисты по безопасности, обеспеченные необходимым контекстом, могут быстро и эффективно обнаруживать признаки скомпрометированных учетных записей, внутренней разведки, бокового перемещения или утечки данных.

В отличие от традиционных инструментов безопасности, которые были основаны на правилах корреляции и известных шаблонах атак, Ankey ASAP может выявлять новые типы атак и инцидентов, такие как атаки нулевого дня и внутренние угрозы.

Подробности

Технологический стек основан на архитектуре микросервисов (Docker, Kubernetes), что позволяет масштабировать и реконфигурировать модули под решаемые задачи без потери производительности.