Vše

Co hledáte?

Vše
Projekty
Výsledky výzkumu
Subjekty

Rychlé hledání

  • Projekty podpořené TA ČR
  • Významné projekty
  • Projekty s nejvyšší státní podporou
  • Aktuálně běžící projekty

Chytré vyhledávání

  • Takto najdu konkrétní +slovo
  • Takto z výsledků -slovo zcela vynechám
  • “Takto můžu najít celou frázi”

Software pro zajištění kybernetické bezpečnosti nové generace (SIEM 3. generace)

Identifikátory výsledku

  • Kód výsledku v IS VaVaI

    <a href="https://www.isvavai.cz/riv?ss=detail&h=RIV%2F25543415%3A_____%2F22%3AN0000002" target="_blank" >RIV/25543415:_____/22:N0000002 - isvavai.cz</a>

  • Výsledek na webu

  • DOI - Digital Object Identifier

Alternativní jazyky

  • Jazyk výsledku

    čeština

  • Název v původním jazyce

    Software pro zajištění kybernetické bezpečnosti nové generace (SIEM 3. generace)

  • Popis výsledku v původním jazyce

    Společnost VISITECH je dlouholetým odborníkem v oblasti zajišťování kybernetické bezpečnosti a vývoje softwarových nástrojů. Od r. 2018 disponuje vlastním Security Operation Centrem (SOC 365, www.soc365.cz), které zajišťuje oblast kybernetické bezpečnosti celé řadě společností. V průběhu následných let byla na SOC365 prováděna celá řada analytických experimentů, kdy vstupem byly data obsahující atributy neúspěšných i úspěšných pokusů o útok na prostředí zákazníků SOC365. Projekt navazuje na dosavadní vývojovou a inovační činnost společnosti v oblasti kybernetické bezpečnosti a jeho hlavním cílem byl vývoj systému kybernetické bezpečnosti, konkrétně unikátního vlastního systému pro sledování a hlášení bezpečnostních hrozeb a senzorické jednotky, která bude napojována fyzicky u zákazníka a zajišťovat základní analýzu datových toků a informací o softwarové a hardwarové infrastruktuře zákazníka. Projekt se skládal ze dvou hlavních cílů: 1. vývoj vlastního systému pro zajištění kybernetické bezpečnosti nové generace (SIEM 3. generace), tj. nového dohledového prostředí, 2. vývoj nové senzorické jednotky pro automatizovaný ICT audit u zákazníků pro efektivnější a rychlejší nasazení SIEM 3. generace systému u zákazníků. Celé řešení je implementováno v Security Operation Centru SOC365 ve vyhrazených prostorách pracoviště SOC365 a v datovém centru FASTER zajišťující provoz privátního Cloud řešení. SIEM 3. generace je interaktivní a intuitivní aplikace, která slouží k vyhodnocování kybernetických bezpečnostních událostí, i k běžnému statistickému souhrnu dění. Systém SIEM 3. generace, jakožto centrální dashboard pro zobrazování kybernetických bezpečnostních událostí, byl navrhnutý na základě nedostačujících potřeb pro monitoring zákazníků. Mezi hlavní nedostatky, které řeší SIEM 3. generace patří: centralizace systémů, přehlednost získaných dat, automatizace stahování dat a jejich obohacování.

  • Název v anglickém jazyce

    Next-generation cyber security software (3rd generation SIEM)

  • Popis výsledku anglicky

    VISITECH is a long-term expert in the field of cyber security and software tool development. Since 2018, it has had its own Security Operation Center (SOC365 – www.soc365.cz), which provides the area of cyber security for a number of companies. During the following years, a number of analytical experiments were carried out on SOC365, where the input was data containing the attributes of unsuccessful and successful attempts to attack the environment of SOC365 customers. The project is a continuation of the company's previous development and innovation activities in the field of cyber security, and its main goal was the development of a cyber security system, specifically a unique own system for monitoring and reporting security threats and a sensor unit that will be physically connected to the customer and provide basic analysis of data flows and information about the customer's software and hardware infrastructure. The project consisted of two main goals: 1. the development of an own system for ensuring cyber security of the new generation (3rd generation SIEM), i.e. a new surveillance environment, 2. the development of a new sensor unit for automated ICT audit at customers for a more efficient and faster deployment of the 3rd generation SIEM system at customers. The entire solution is implemented in the Security Operation Center SOC365 in the dedicated premises of the SOC365 workplace and in the FASTER data center ensuring the operation of the private Cloud solution.

Klasifikace

  • Druh

    R - Software

  • CEP obor

  • OECD FORD obor

    10201 - Computer sciences, information science, bioinformathics (hardware development to be 2.2, social aspect to be 5.8)

Návaznosti výsledku

  • Projekt

    <a href="/cs/project/EG17_176%2F0015560" target="_blank" >EG17_176/0015560: Systém kybernetické bezpečnosti nové generace</a><br>

  • Návaznosti

    P - Projekt vyzkumu a vyvoje financovany z verejnych zdroju (s odkazem do CEP)

Ostatní

  • Rok uplatnění

    2022

  • Kód důvěrnosti údajů

    S - Úplné a pravdivé údaje o projektu nepodléhají ochraně podle zvláštních právních předpisů

Údaje specifické pro druh výsledku

  • Interní identifikační kód produktu

    SIEM 3. generace

  • Technické parametry

    Architektura SIEM 3. generace je založena na externím analytickém nástroji zpracovávajícím kontextové informace z různých typů BIG DATA zdrojů. Aplikace zobrazuje a centralizuje vzniklé události v zákaznických sítích pomocí konektorů připojených na senzorické jednotky. Data jsou stahována pomocí konektorů (MySQL Enterprise Edition, Microsoft Excel, Oracle a PostgreSQL atp.) či konektorů charakteristických pro specifického výrobce softwaru (Facebook Insights, Twitter, Splunk, Amazon DynamoDB atp.). Stahování dat ze zákaznických senzorických jednotek probíhá v intervalu 5 minut. Periodu je možné zkracovat i prodlužovat. Data ve formátu JSON nebo CSV jsou pomocí skriptů přečtena ze zákaznických systémů. Implementované skripty jsou navrženy tak, aby nepomíchaly informace, čemuž napomáhá proces identifikace pomocí jedinečného klíče. Data jsou dále obohacena o identifikaci zdroje zkratkou zákazníka. Dále je systém obohacen o mapovací tabulky ve formátu *.xlsx, které pomáhají k objasnění kontextu události. Po načtení dat ze senzorických jednotek a obohacení dat o kontextové informace jsou veškeré získané informace rozděleny do jednotlivých tabulek a uloženy ve formátu *.qvd. Název ukládaného souboru má konvenci: zkratka_zakaznika-cas_stazeni-events.qvd. Uložená data je možné následně načíst do aplikace manuálně či automaticky. Vyhodnocování dat probíhá několika způsoby na základě statistických zobrazení v grafech centrálního dashboardu. Základními prvky centrálního dashboardu jsou v jeho horní části tlačítka určená pro výběr pohledu. Pohled „Všechny události “ centralizuje veškeré informace ze všech dohledových systémů od všech zákazníků. Naopak pohledy pojmenované dle monitorovacích dohledových systémů nebo označeny jejich logem, zobrazují pouze data získaná z jednoho typu monitorovacího nástroje, ale opět od všech připojených zákazníků. V současnosti jsou zobrazovány i plánované budoucí rozšíření o propojení se s dohledovými nástroji jako jsou Level log záznamů (AlienVault, QRadar, či Elisa) a Level netflow záznamů (GreyCortex Mendel, Flowmon FMC a ADS). Pohledy lze filtrovat na základě zkratky zákazníka. Filtr se poté promítne do všech dashboardů definovaných v aplikaci. Možnost vyfiltrování vybraného zákazníka umožňuje aplikace v celém rozsahu. V horní části dashboardu se dále nachází sloupcové grafy s vyobrazením zachycených metod v systému Flowmon a zachycených názvů událostí v systému AlienVault s možností zafiltrovat na jednotlivé zákazníky. Ve spodní části se nachází tabulky pro systémy Flowmon a AlienVault. Tabulky zobrazují zachycené anomálie v systémech zákazníků. Jsou interaktivní a kliknutím na jakoukoli hodnotu lze na ni zafiltrovat. Dashboardy pro dohledové systémy Flowmon a AlienVault fungují obdobně jako dashboard zobrazující všechny události.

  • Ekonomické parametry

    Řešení přispělo ke zkvalitnění služeb dohledového centra SOC365 VISITECHu, a k rozšíření portfolia jeho produktů, jelikož je možné nabídnout jak instalaci nového SIEM systému přímo u zákazníka, tak dodání senzorické jednotky nezávisle na tom, zda bude mít zákazník zájem i o další služby od společnosti VISITECH. Realizací přispěla i ke zvýšení konkurenceschopnosti. Společnost prohloubila spolupráci s akademickým sektorem a získala řešení umožňující efektivnější analytické úlohy a lepší detekční služby pro neznámé symptomy kybernetických útoků. Jedná se o produkt s celospolečenským uplatněním při zlepšování kybernetické bezpečnosti v ČR. Potenciál prodeje vidí Visitech především u velkých organizací s netechnickým zaměřením (např. dopravní podniky, zdravotnická zařízení, veřejná správa atp.), které bývají často poddimenzovány, co se týče odborníků v oblasti IT. Řešení je součástí stávajícího SOC365 centra a cena na jeho pořízení je obdobná, jako náklady na najmutí jednoho IT odborníka do firmy zákazníka.

  • IČO vlastníka výsledku

    25543415

  • Název vlastníka

    VISITECH a.s.