Sensory unit

Result code in IS VaVaI

<a href="https://www.isvavai.cz/riv?ss=detail&h=RIV%2F25543415%3A_____%2F22%3AN0000001" target="_blank" >RIV/25543415:_____/22:N0000001 - isvavai.cz</a>

Result on the web

—

DOI - Digital Object Identifier

—

Result language

čeština

Original language name

Senzorická jednotka

Original language description

Společnost VISITECH je dlouholetým odborníkem v oblasti zajišťování kybernetické bezpečnosti a vývoje softwarových nástrojů. Od r. 2018 disponuje vlastním Security Operation Centrem (SOC 365, www.soc365.cz), které zajišťuje oblast kybernetické bezpečnosti celé řadě společností. V průběhu následných let byla na SOC365 prováděna celá řada analytických experimentů, kdy vstupem byly data obsahující atributy neúspěšných i úspěšných pokusů o útok na prostředí zákazníků SOC365. Projekt navazuje na dosavadní vývojovou a inovační činnost společnosti v oblasti kybernetické bezpečnosti a jeho hlavním cílem byl vývoj systému kybernetické bezpečnosti, konkrétně unikátního vlastního systému pro sledování a hlášení bezpečnostních hrozeb a senzorické jednotky, která bude napojována fyzicky u zákazníka a zajišťovat základní analýzu datových toků a informací o softwarové a hardwarové infrastruktuře zákazníka. Projekt se skládal ze dvou hlavních cílů: 1. vývoj vlastního systému pro zajištění kybernetické bezpečnosti nové generace (SIEM 3. generace), tj. nového dohledového prostředí, 2. vývoj nové senzorické jednotky pro automatizovaný ICT audit u zákazníků pro efektivnější a rychlejší nasazení SIEM 3. generace systému u zákazníků. Celé řešení je implementováno v Security Operation Centru SOC365 ve vyhrazených prostorách pracoviště SOC365 a v datovém centru FASTER zajišťující provoz privátního Cloud řešení. Vyvinutá senzorická jednotka je určena k monitorování a logování provozu běžných typů komunikačních sítích založených na běžných protokolech. Mimo přímého monitoringu aktivně komunikuje s centrálním programovým vybavením (CANT, SOC). Mimo to si udržuje základní data o aktivech v segmentu sítě, kde je zapojena. Dále má algoritmus pro analýzu síťového provozu. Tento algoritmus není zcela funkční v reálném čase, vzhledem k omezením provozu sítě a je spouštěn nad obrazem reálných dat. Své nálezy dále komunikuje s CANT, SOC a dle instrukcí z nadřazených SW se dále chová k nativním datům.

Czech name

Senzorická jednotka

Czech description

—

Type

G_prot - Prototype

CEP classification

—

OECD FORD branch

10201 - Computer sciences, information science, bioinformathics (hardware development to be 2.2, social aspect to be 5.8)

Project

<a href="/en/project/EG17_176%2F0015560" target="_blank" >EG17_176/0015560: New Generation Cyber Security System</a><br>

Continuities

P - Projekt vyzkumu a vyvoje financovany z verejnych zdroju (s odkazem do CEP)

Publication year

2022

Confidentiality

S - Úplné a pravdivé údaje o projektu nepodléhají ochraně podle zvláštních právních předpisů

Internal product ID

Senzorická jednotka

Numerical identification

—

Technical parameters

Základní technické vlastnosti senzorické jednotky - CPU Intel Compatible, RAM 4Gb, GNU/Linux, 2x LAN, 1x USB, 1x admin port. Základní technické parametry: Rozměry 10,6 x 10,6 x 2,8 cm; Krytí - standardně IP20, pokud je požadováno lze dát do speciální krabice s max. IP45; Rozsah pracovních teplot -5–40 ˚C; Rozsah skladovacích teplot -20–60 ˚C; Vlhkost 20–80 % nekondenzující; Vstupní napětí 5–12 V DC; Vstupní proud max. 750 mA; Konektory 2x LAN (ethernet) RJ 45, 5-12 V DC, 1x USB, 1x paralel admin port. Senzorická jednotka mimo přímého monitoringu aktivně komunikuje s centrálním programovým vybavením (CANT, SOC). Celé řešení je umístěno do skříně vyrobené na míru. Skříň je možno umístit přímo do racku i na méně obvyklá stanoviště (montážní skříně, chodby a lokální rozvody). Hlavní funkční částí jsou dva LAN vstupy 1GH, označené jako LAN IN a LAN OUT. Zařízení pracuje jako ethernetový přepínač. Latence přepínače není větší než 10ms, měřeno port-to-port. Základem architektury je CPU s GNA/Linux, sběrnicí a RAM. Architektura je optimalizována na vytvoření obrazu dat. Tento obraz je přes sběrnici uložen v assets TAB (tabulce aktiv). Data jsou přeposílána pomocí hardware engine přímo na výstup. Dalším krokem je analýza dat pomocí algoritmu. CPU a FLASH primárně obsahují procedury na komunikaci s CANT, a to dále na SOC (Security Operation Centre). Dále je v CANT uloženo nastavení senzorické jednotky a další metadata k jednotlivým aktivům. CANT pracuje s relační databázi, kterou si sám vytváří. Vzhledem k jednoduchosti a malému obsahu dat v CANT bylo zvoleno řešení proprietární, které ukládá data v tabulkách tvořených přímo v SW. Jde o tabulku aktiv s metadaty, tabulku jednotlivých senzorických jednotek v síti s jejich identifikátory a nastavením. Pro senzorickou jednotku bylo použito otevřené Linuxové jádro. Jádro bylo kompilováno s minimálními požadavky a externími moduly, aby bylo minimalizováno nebezpečí zranitelností a chyb třetích stran. Byl využit modul pro buffer a sběrnici a pro adresaci RAM. Samostatnou částí je přeposílací engine - samostatný čip s MAC (media access control). Mimo tento hardwarový modul je celé řešení otevřené a přímo programované.

Economical parameters

Řešení přispělo ke zkvalitnění služeb dohledového centra SOC365 VISITECHu, a k rozšíření portfolia jeho produktů, jelikož je možné nabídnout jak instalaci nového SIEM systému přímo u zákazníka, tak dodání senzorické jednotky nezávisle na tom, zda bude mít zákazník zájem i o další služby od společnosti VISITECH. Realizace přispěla i ke zvýšení konkurenceschopnosti. Společnost prohloubila spolupráci s akademickým sektorem a získala řešení umožňující efektivnější analytické úlohy a lepší detekční služby pro neznámé symptomy kybernetických útoků. Jedná se o produkt s celospolečenským uplatněním při zlepšování kybernetické bezpečnosti v ČR. Potenciál prodeje vidí Visitech především u velkých organizací s netechnickým zaměřením (např. dopravní podniky, zdravotnická zařízení, veřejná správa atp.), které bývají často poddimenzovány, co se týče odborníků v oblasti IT. Řešení je součástí stávajícího SOC365 centra a cena na jeho pořízení je obdobná, jako náklady na najmutí jednoho IT odborníka do firmy zákazníka.

Application category by cost

—

Owner IČO

25543415

Owner name

VISITECH a.s.

Owner country

CZ - CZECH REPUBLIC

Usage type

A - K využití výsledku jiným subjektem je vždy nutné nabytí licence

Licence fee requirement

A - Poskytovatel licence na výsledek požaduje licenční poplatek

Web page

—