Платформа мониторинга событий способна отследить возможные атаки на компьютерную инфраструктуру
26.02.2024
Сотрудники Института вычислительной математики и математической геофизики СО РАН создали и успешно применяют платформу мониторинга информационной безопасности. Разработанная платформа путём постоянного сбора данных и анализа входящего трафика способна отследить возможные атаки на ранних стадиях — до того, как произошли недопустимые события.
Платформа мониторинга событий информационной безопасности, созданная новосибирскими математиками, выполняет сразу две функции: обеспечивает соблюдение федерального закона «О безопасности критической информационной инфраструктуры РФ», а также собирает и хранит данные о различных компьютерных инцидентах и событиях для будущих научных исследований в области информационной безопасности. Сведения, полученные в ходе работы, позволяют специалистам сформировать новые методы прогнозирования компьютерных атак, чтобы выявлять негативные воздействия на объекты критической инфраструктуры как можно раньше.
«Основное преимущество нашей платформы в том, что появляется возможность подключить к ней другие научные организации, в частности институты новосибирского Академгородка. Для них также будет осуществляться постоянный мониторинг событий и сбор данных, а ИВМиМГ СО РАН выступает центральным пунктом всей системы. Здесь будут накапливаться серьёзные дата-сеты, которые в дальнейшем можно использовать для исследований в сфере информационной безопасности, развития прогнозирования компьютерных атак, а также при разработке различных средств защиты. Всё это позволит реализовать практико-ориентированный подход при использовании результатов фундаментальной науки», — рассказал старший научный сотрудник лаборатории искусственного интеллекта и информационных технологий ИВМиМГ СО РАН кандидат технических наук Андрей Валерьевич Иванов.
Информационно-компьютерную экспертизу в этой работе осуществляет Центр компетенций национальной технологической инициативы «Технологии доверенного взаимодействия» на базе Томского государственного университета систем управления и радиоэлектроники, куда входят ряд научных организаций, включая ИВМиМГ СО РАН, вузы, коммерческие предприятия, которые работают в сфере защиты информации. По словам ученых, этот центр сегодня единственный в стране, который получил государственную поддержку на реализацию программы развития сквозной технологии «Технологии доверенного взаимодействия». В число задач, которые решает центр компетенций, входят инженерные разработки, а также планирование последующих этапов развития. Всё это невозможно без применения результатов фундаментальной науки.
«Защита информации в научной отрасли достаточно специфична, в частности потому, что сюда входит обеспечение информационной безопасности крупных и сложных систем, таких как суперкомпьютеры, а также научные установки класса мегасайнс, куда можно отнести ЦКП СКИФ. Наборы данных, полученные путём работы с научными объектами, можно считать уникальными для исследований, так как здесь огромные объемы передаваемой информации, особые форматы и протоколы, а соответственно, и своеобразные целевые атаки», — отметил А. В. Иванов.
Платформа мониторинга информационной безопасности, созданная учеными ИВМиМГ СО РАН, пока еще не имеет собственного запоминающегося названия, однако уже полноценно выполняет функции и решает поставленные задачи. Анализ каких-либо событий, например сканирование портов или подбор паролей, по отдельности не выглядит критичным, но оценка совокупности этих действий позволяет предположить, что некоторые из них представляют собой предпосылки для определенной атаки, которая планируется злоумышленниками. Главная задача программы в таких условиях — действовать наперед и предотвратить недопустимые события.
«Платформа, анализируя входящий трафик, постепенно набирает информацию — чем её больше, тем выше качество последующей детекции различных атак. Сама по себе атака протяжённа во времени, поэтому одной из целей исследований можно считать сокращение времени обнаружения разворачивающейся атаки. Далее, с помощью современных методов прогнозирования и собранной информации получится выявлять вредоносные воздействия на начальных этапах. Сетевой трафик динамичен, поэтому необходимо постоянно совершенствовать способы обнаружения негативных событий. Сотрудники ИВМиМГ СО РАН сегодня этим и занимаются», — прокомментировал ведущий инженер лаборатории искусственного интеллекта и информационных технологий ИВМиМГ СО РАН, заместитель директора по развитию ЦК НТИ «Технологии доверенного взаимодействия» Руслан Анатольевич Пермяков.
После обнаружения предполагаемой атаки злоумышленников заполняется карточка инцидента и передается компании-лицензиату, которым в этом проекте выступает ООО «Системы информационной безопасности», также входящее в консорциум. Лицензиат передает группе реагирования всю необходимую информацию для предотвращения инцидента, параллельно представляя информацию в органы безопасности.
По словам исследователей, сегодня система мониторинга ИВМиМГ СО РАН полноценно функционирует в рамках института. Проводятся переговоры по подключению к этой платформе других научных организаций Сибирского отделения. Уникальность этого инженерного проекта состоит в том, что она предоставляет проверенный источник большого количества данных, происхождение которых известно, что критически важно для исследовательской деятельности в сфере информационной безопасности.
Текст: Кирилл Сергеевич.
Источник: «Наука в Сибири».