PDF Basket
Zagrożenie ze strony cyberprzestepców to dominujący problem wielu firm na całym świecie. Według danych udostępnionych przez serwis HelpNetSecurity 73 % specjalistów od zabezpieczeń zatrudnianych przez różne firmy spodziewa się w najbliższym roku poważnego zdarzenia zagrażającego bezpieczeństwu. Z kolei według IT Governance tylko w czerwcu 2020 roku w europejskich firmach doszło do co najmniej 92 incydentów w zakresie bezpieczeństwa, co przełożyło się na nie mniej niż siedem milionów naruszonych rekordów.
Znając te liczby, łatwo zrozumieć, dlaczego była prezes IBM Ginni Rometty określiła cyberprzestępczość jako „największe zagrożenie dla każdej firmy na świecie”. Jak zatem przedsiębiorstwa starają się przeciwdziałać temu zagrożeniu? Przede wszystkim wydają mnóstwo pieniędzy. Według raportu opublikowanego przez International Data Corporation wydatki na zabezpieczenia, sprzęt, oprogramowanie i usługi w Europie w 2019 roku osiągnęły kwotę w wysokości 27,3 miliarda dolarów (około 23,2 miliarda euro). Stanowi to wzrost o 8,3 % w stosunku do wydatków z 2018 roku. Zakłada się, że przed upływem 2022 roku europejskie firmy wydadzą ponad 35 miliardów euro na same rozwiązania dotyczące bezpieczeństwa.
Na systemy zbierające informacje o bezpieczeństwie i zarządzające zdarzeniami (SIEM) wydaje się mnóstwo pieniędzy. Przyjęło się też, że systemy te stanowią złoty standard cyberbezpieczeństwa.
Alysson Bessani, profesor nadzwyczajna z Uniwersytetu Lizbońskiego pracująca na wydziale Faculdade de Ciências i koordynatorka finansowanego ze środków UE projektu DiSIEM, mówi: „Systemy SIEM to podstawa wszechobecnej infrastruktury TIK i to one stanowią trzon cyfrowego społeczeństwa. Systemy te korzystają z całej gamy czujników i narzędzi, dzięki którym monitorują infrastrukturę i wykrywają potencjalne zagrożenia dla firmy”.
Kłopot z systemami SIEM polega na tym, że ich wdrożenie i wydajne wykorzystywanie wymagają olbrzymich nakładów finansowych. Aby zaradzić na te braki, naukowcy pracujący nad projektem DiSIEM spróbowali ulepszyć już produkowane systemy SIEM.
„Celem projektu było sprawienie, by systemy SIEM stały się bardziej inteligentne. Mając to na uwadze, rozbudowaliśmy je w kilku kierunkach”, dodaje Bessani. „Braliśmy pod uwagę różne źródła informacji i czujniki wykrywające zagrożenie. W ten sposób staraliśmy podnieść możliwości europejskich organizacji w zakresie zapewniania cyberbezpieczeństwa”.
Zwiększanie wydajności systemów SIEM
Aby osiągnąć wyznaczony sobie cel, zespół pracujący nad projektem DiSIEM skoncentrował swoje działania na kilku zasadniczych ulepszeniach. Przykładowo dzięki zastosowaniu technik uczenia maszynowego naukowcy mogli wyposażyć systemy SIEM w możliwość filtrowania danych pochodzących z serwisu Twitter i z blogów, zbierania powiązanych informacji, sprawdzania treści i zapisu danych w postaci czytelnej dla maszyny.
Techniki te zostały wsparte nowymi narzędziami do wizualizacji pozwalającymi ukazać olbrzymie ilości zebranych danych w sposób, który umożliwia analitykom zajmującym się kwestiami bezpieczeństwa łatwe wyciąganie wniosków na tej podstawie. Projekt przyczynił się też do opracowania nowych rozwiązań w zakresie bezpiecznego przechowywania zbiorów big data i modeli analitycznych umożliwiających przewidywanie zagrożeń.
Bessani wyjaśnia: „Ostatecznie udało się nam rozwinąć nowe narzędzia do przetwarzania, przechowywania i wizualizacji informacji umożliwiające zwiększanie wydajności systemów SIEM”.
Od badań do faktycznego zastosowania
Rozwiązania opracowane w ramach projektu DiSIEM przeszły z powodzeniem testy przeprowadzone w centrach zabezpieczania operacji dwóch dużych firm, w których działa infrastruktura o znaczeniu krytycznym – EDP i Amadeus. Niektóre ze składowych systemu DiSIEM działają w obu firmach od czasu zakończenia testów.
Bessani podsumowuje: „EDP korzysta z naszego narzędzia do hierarchicznej oceny ryzyka, by dostarczać informacje o globalnym ryzyku kierownictwu stopnia C. Z kolei Amadeus zdołał, dzięki naszym rozwiązaniom, poprawić swoje możliwości w zakresie powstrzymywania botów internetowych przed wykradaniem ich danych, co przekłada się na znaczne ograniczenie wydatków firmy”.
Choć projekt dobiegł już końca, prace nadal trwają. Przykładowo równolegle powstała firma typu spin-off, Vawlt, której zadaniem jest komercjalizacja opracowanego w ramach projektu systemu bezpiecznego przechowywania danych na kilku chmurach. Start-up ten już zdołał zabezpieczyć ponad pół miliona euro w postaci funduszy zalążkowych otrzymanych do Armilar Venture Partners. Obecnie zatrudnia pięć osób (w tym trzech naukowców pracujących wcześniej przy projekcie DiSIEM).