WCZESNA DETEKCJA CYBERZAGROŻEŃ W SIECIACH IT I OT
ARAKIS 2 Enterprise to system wczesnego ostrzegania (Early Warning System) przed zagrożeniami teleinformatycznymi w sieciach IT i OT, którego zadaniem jest identyfikacja działań, które stwarzają niebezpieczeństwo dla infrastruktury IT i OT. System ARAKIS wywodzi się z mechanizmów honeypot, których celem jest zwabienie intruza do kontrolowanej pułapki i jednoczesne odciągnięcie od strategicznych elementów infrastruktury IT/OT przedsiębiorstwa.
UNIKALNE ALGORYTMY WYKRYWANIA CYBERZAGROŻEŃ
System ARAKIS 2 Enterprise korzysta z najnowszych algorytmów automatycznego wykrywania powtarzających się wzorców zagrożeń. Ruch sieciowy jest zbierany przez rozproszone w sieciach IT/OT sensory, oraz poddawany szeregom równoległych analiz w centralnym klastrze obliczeniowym. Dodatkowo system daje możliwość analizy ruchu produkcyjnego wewnątrz sieci korporacyjnej, a także analizę logów z produkcyjnych serwerów WWW.
ARCHITEKTURA SYSTEMU OPARTA NA ROZPROSZONYCH SENSORACH
Architektura system ARAKIS 2 Enterprise opiera się na sensorach REF rozmieszczonych w różnych segmentach sieci IT (REF LAN), OT (REF OT), oraz modułu centralnej analizy ARAKIS Management Center – module odpowiadającym za korelację i klasyfikację danych i incydentów wykrytych w sieci IT i OT wraz z graficzną prezentację wyników. System jest nieodzownym elementem zespołów ds. bezpieczeństwa teleinformatycznego działających w ramach SOC (Security Operations Center). Unikalne algorytmy korelacji danych zebranych przez sensory pozwalają na wykonanie wnikliwych analiz zagrożeń w różnych obszarach oraz zastosowanie bardzo szybkiej reakcji na wykryte zagrożenia, w tym zero-day, stosując automatycznie wygenerowane przez ARAKIS sygnatury dla systemów reaktywnych.
TYPY SOND ARAKIS 2 ENTERPISE
REF LAN
Korzysta z informacji gromadzonych przy wykorzystaniu honeypotów pozwalających emulować typowe usługi Windows, Linux, oraz popularne usługi serwerowe jak SSH, SMB, MS SQL, mySQL czy VoIP. Sensory mogą pracować zarówno na styku sieci z internetem jak i wewnątrz LAN’u.
REF OT
Dedykowany sensor pozwalający na wykrywanie zagrożeń w sieciach przemysłowych. Praca w trybie pasywnym nie wpływa na działanie bardzo czułych na zakłócenia sieci przemysłowych. Zastosowane narzędzia pozwalają na emulację specjalistycznych sterowników PLC oraz usług wykorzystywanych przez systemy zarządzania sieciami przemysłowymi.
REF FWD
Dodatkowy sensor pozwalający na monitorowanie i korelację logów pochodzących z serwerów http. Zastosowanie procesu uczenia się typowych zachowań użytkowników sensor pozwala na wykrywanie wszelkich symptomów nieznanych ataków.
WSPARCIE DLA ANALITYKÓW SOC
System ARAKIS 2 Enterprise wspomaga inżynierów bezpieczeństwa SOC we wczesnej identyfikacji cyberzagrożeń poprzez dużą dowolność w odpytywaniu i prezentowaniu pozyskanych przez System ARAKIS 2 informacji, korelacji wyników analiz, tworzenia statystyki prezentacji wyników. Aby to osiągnąć stworzony został unikalny język zapytań AQL (ARAKIS Query Language), który pozwala wyświetlać dowolne dane przechowywane w systemie, posiada szereg funkcji statystycznych, a także umożliwia wyświetlanie wyników w postaci tabelarycznej, map lub jednego z ośmiu typów wykresów.
ZALETY SYSTEMU ARAKIS ENTERPRISE 2
- Nowoczesna architektura: „cienkie sensory” i „honeypoty”
- Najnowsza technologia honeypotów nisko-interaktywnych dostosowanych do sieci przemysłowych
- Nowe algorytmy analizy i klasteryzacji ruchu sieciowego
- Zbieranie złośliwego oprogramowania
- Analiza ruchu produkcyjnego z serwera WWW
- Nowatorski sposób wizualizacji danych
Naukowa i Akademicka Sieć Komputerowa (NASK)
NASK prowadzi działalność badawczo-rozwojową w zakresie opracowywania innowacyjnych rozwiązań zwiększających efektywność, niezawodność i bezpieczeństwo sieci teleinformatycznych oraz innych złożonych systemów sieciowych. Efektem komercjalizacji prac badawczych oraz kompetencji operacyjnych związanych z monitorowaniem zagrożeń na polską przestrzeń internetową jest między innymi system ARAKIS 2 Enterprise.
Więcej o działalności instytutu na stronie www.nask.pl