Interset – умовна «машина», що відстежує ризики

Interset – умовна «машина», що відстежує ризики

Тренд останнього п’ятиріччя – робота з великим обсягом даних. Дані ­­­будь-де – починаючи від ритейл-крамниць, закінчуючи потужними та складними інформаційними системами. Їх так багато, що інколи деякими нехтують через брак часу для роботи з ними. Але чи можна так зневажливо ставитися до даних, що стосуються інформаційної безпеки?

Дуже стисло розглянемо ситуацію, коли аналітик безпеки, який працює в SOC, отримує 2 000 сповіщень про неуспішний логін на день. Обробити та проаналізувати всі повідомлення, що стосую­ть­ся помилки входу, технічно неможливо. Навіть, якщо взяти ArcSight та спробувати створити фільтр або правила, які спростять аналіз, обсяг тільки одного типу повідомлень — надмірний. У такому разі в пригоді буде продукт Interset компанії Micro Focus.

Interset — це платформа для аналізу даних, основним джерелом яких є ArcSight.

Interset будує ризико-­орієнтувальну модель на основі даних подій від систем. Фундаментом роботи є машинне навчання типу «навчання без вчителя». Тобто за класичного типу машинного навчання маємо справу з «натаскуванням» системи на розрізнення даних, які тим чи іншим чином схожі на датасет, простіше — еталонні дані. Наприклад, навчаємо систему для розпізнавання шахрайства (антифрод).

У випадку з класичним машинним навчанням фактично програмуємо систему на роботу з певними шаблонами — транзакції при геолокації в іншій країні, декілька транзакцій на секунду тощо. А, якщо транзакція відбулася в легітимній геолокації, у легітимний час та відповідає всім умовам, але згодом виявляється, що вона була шахрайською, чи зможе наша система розпізнати це? Саме Interset може побудувати фактично нову у сфері кібербезпеки модель, за якої команда інформаційної безпеки бачитиме ймовірність компрометації акаунту, комп’ютера, файлу та зможе відстежити всі події, що пов’язані з цією ймовірністю.

Тобто Interset — це умовна «машина», що приймає на себе події від різних джерел, як-от сервери, мережеве обладнання, застосунки тощо, та будує модель, за якою визначає ризик того чи іншого активу підприємства.

У разі виникнення запитань звертайтеся на адресу software@erc.ua

comments powered by Disqus
 
Top