Next-generation cyber security software (3rd generation SIEM)

Result code in IS VaVaI

<a href="https://www.isvavai.cz/riv?ss=detail&h=RIV%2F25543415%3A_____%2F22%3AN0000002" target="_blank" >RIV/25543415:_____/22:N0000002 - isvavai.cz</a>

Result on the web

—

DOI - Digital Object Identifier

—

Result language

čeština

Original language name

Software pro zajištění kybernetické bezpečnosti nové generace (SIEM 3. generace)

Original language description

Společnost VISITECH je dlouholetým odborníkem v oblasti zajišťování kybernetické bezpečnosti a vývoje softwarových nástrojů. Od r. 2018 disponuje vlastním Security Operation Centrem (SOC 365, www.soc365.cz), které zajišťuje oblast kybernetické bezpečnosti celé řadě společností. V průběhu následných let byla na SOC365 prováděna celá řada analytických experimentů, kdy vstupem byly data obsahující atributy neúspěšných i úspěšných pokusů o útok na prostředí zákazníků SOC365. Projekt navazuje na dosavadní vývojovou a inovační činnost společnosti v oblasti kybernetické bezpečnosti a jeho hlavním cílem byl vývoj systému kybernetické bezpečnosti, konkrétně unikátního vlastního systému pro sledování a hlášení bezpečnostních hrozeb a senzorické jednotky, která bude napojována fyzicky u zákazníka a zajišťovat základní analýzu datových toků a informací o softwarové a hardwarové infrastruktuře zákazníka. Projekt se skládal ze dvou hlavních cílů: 1. vývoj vlastního systému pro zajištění kybernetické bezpečnosti nové generace (SIEM 3. generace), tj. nového dohledového prostředí, 2. vývoj nové senzorické jednotky pro automatizovaný ICT audit u zákazníků pro efektivnější a rychlejší nasazení SIEM 3. generace systému u zákazníků. Celé řešení je implementováno v Security Operation Centru SOC365 ve vyhrazených prostorách pracoviště SOC365 a v datovém centru FASTER zajišťující provoz privátního Cloud řešení. SIEM 3. generace je interaktivní a intuitivní aplikace, která slouží k vyhodnocování kybernetických bezpečnostních událostí, i k běžnému statistickému souhrnu dění. Systém SIEM 3. generace, jakožto centrální dashboard pro zobrazování kybernetických bezpečnostních událostí, byl navrhnutý na základě nedostačujících potřeb pro monitoring zákazníků. Mezi hlavní nedostatky, které řeší SIEM 3. generace patří: centralizace systémů, přehlednost získaných dat, automatizace stahování dat a jejich obohacování.

Czech name

Software pro zajištění kybernetické bezpečnosti nové generace (SIEM 3. generace)

Czech description

—

Type

R - Software

CEP classification

—

OECD FORD branch

10201 - Computer sciences, information science, bioinformathics (hardware development to be 2.2, social aspect to be 5.8)

Project

<a href="/en/project/EG17_176%2F0015560" target="_blank" >EG17_176/0015560: New Generation Cyber Security System</a><br>

Continuities

P - Projekt vyzkumu a vyvoje financovany z verejnych zdroju (s odkazem do CEP)

Publication year

2022

Confidentiality

S - Úplné a pravdivé údaje o projektu nepodléhají ochraně podle zvláštních právních předpisů

Internal product ID

SIEM 3. generace

Technical parameters

Architektura SIEM 3. generace je založena na externím analytickém nástroji zpracovávajícím kontextové informace z různých typů BIG DATA zdrojů. Aplikace zobrazuje a centralizuje vzniklé události v zákaznických sítích pomocí konektorů připojených na senzorické jednotky. Data jsou stahována pomocí konektorů (MySQL Enterprise Edition, Microsoft Excel, Oracle a PostgreSQL atp.) či konektorů charakteristických pro specifického výrobce softwaru (Facebook Insights, Twitter, Splunk, Amazon DynamoDB atp.). Stahování dat ze zákaznických senzorických jednotek probíhá v intervalu 5 minut. Periodu je možné zkracovat i prodlužovat. Data ve formátu JSON nebo CSV jsou pomocí skriptů přečtena ze zákaznických systémů. Implementované skripty jsou navrženy tak, aby nepomíchaly informace, čemuž napomáhá proces identifikace pomocí jedinečného klíče. Data jsou dále obohacena o identifikaci zdroje zkratkou zákazníka. Dále je systém obohacen o mapovací tabulky ve formátu *.xlsx, které pomáhají k objasnění kontextu události. Po načtení dat ze senzorických jednotek a obohacení dat o kontextové informace jsou veškeré získané informace rozděleny do jednotlivých tabulek a uloženy ve formátu *.qvd. Název ukládaného souboru má konvenci: zkratka_zakaznika-cas_stazeni-events.qvd. Uložená data je možné následně načíst do aplikace manuálně či automaticky. Vyhodnocování dat probíhá několika způsoby na základě statistických zobrazení v grafech centrálního dashboardu. Základními prvky centrálního dashboardu jsou v jeho horní části tlačítka určená pro výběr pohledu. Pohled „Všechny události “ centralizuje veškeré informace ze všech dohledových systémů od všech zákazníků. Naopak pohledy pojmenované dle monitorovacích dohledových systémů nebo označeny jejich logem, zobrazují pouze data získaná z jednoho typu monitorovacího nástroje, ale opět od všech připojených zákazníků. V současnosti jsou zobrazovány i plánované budoucí rozšíření o propojení se s dohledovými nástroji jako jsou Level log záznamů (AlienVault, QRadar, či Elisa) a Level netflow záznamů (GreyCortex Mendel, Flowmon FMC a ADS). Pohledy lze filtrovat na základě zkratky zákazníka. Filtr se poté promítne do všech dashboardů definovaných v aplikaci. Možnost vyfiltrování vybraného zákazníka umožňuje aplikace v celém rozsahu. V horní části dashboardu se dále nachází sloupcové grafy s vyobrazením zachycených metod v systému Flowmon a zachycených názvů událostí v systému AlienVault s možností zafiltrovat na jednotlivé zákazníky. Ve spodní části se nachází tabulky pro systémy Flowmon a AlienVault. Tabulky zobrazují zachycené anomálie v systémech zákazníků. Jsou interaktivní a kliknutím na jakoukoli hodnotu lze na ni zafiltrovat. Dashboardy pro dohledové systémy Flowmon a AlienVault fungují obdobně jako dashboard zobrazující všechny události.

Economical parameters

Řešení přispělo ke zkvalitnění služeb dohledového centra SOC365 VISITECHu, a k rozšíření portfolia jeho produktů, jelikož je možné nabídnout jak instalaci nového SIEM systému přímo u zákazníka, tak dodání senzorické jednotky nezávisle na tom, zda bude mít zákazník zájem i o další služby od společnosti VISITECH. Realizací přispěla i ke zvýšení konkurenceschopnosti. Společnost prohloubila spolupráci s akademickým sektorem a získala řešení umožňující efektivnější analytické úlohy a lepší detekční služby pro neznámé symptomy kybernetických útoků. Jedná se o produkt s celospolečenským uplatněním při zlepšování kybernetické bezpečnosti v ČR. Potenciál prodeje vidí Visitech především u velkých organizací s netechnickým zaměřením (např. dopravní podniky, zdravotnická zařízení, veřejná správa atp.), které bývají často poddimenzovány, co se týče odborníků v oblasti IT. Řešení je součástí stávajícího SOC365 centra a cena na jeho pořízení je obdobná, jako náklady na najmutí jednoho IT odborníka do firmy zákazníka.

Owner IČO

25543415

Owner name

VISITECH a.s.