grafika serwera z napisem ARAKIS

WCZESNA DETEKCJA CYBERZAGROŻEŃ W SIECIACH IT I OT

ARAKIS 2.0 Enterprise to system wczesnego ostrzegania (Early Warning System) przed zagrożeniami teleinformatycznymi w sieciach IT i OT, którego zadaniem jest identyfikacja działań, które stwarzają niebezpieczeństwo dla infrastruktury IT i OT. System ARAKIS wywodzi się z mechanizmów honeypot, których celem jest zwabienie intruza do kontrolowanej pułapki i jednoczesne odciągnięcie od strategicznych elementów infrastruktury IT/OT przedsiębiorstwa.

UNIKALNE ALGORYTMY WYKRYWANIA CYBERZAGROŻEŃ

System ARAKIS 2.0 Enterprise korzysta z najnowszych algorytmów automatycznego wykrywania powtarzających się wzorców zagrożeń. Ruch sieciowy jest zbierany przez rozproszone w sieciach IT/OT sensory, oraz poddawany szeregom równoległych analiz w centralnym klastrze obliczeniowym. Dodatkowo system daje możliwość analizy ruchu produkcyjnego wewnątrz sieci korporacyjnej, a także analizę logów z produkcyjnych serwerów WWW.

Zdjęcie przedstawiające architekturę systemu
Schemat systemu ARAKIS

ARCHITEKTURA SYSTEMU OPARTA NA ROZPROSZONYCH SENSORACH

Architektura system ARAKIS 2.0 Enterprise opiera się na sensorach REF rozmieszczonych w różnych segmentach sieci IT (REF LAN), OT (REF SCADA), oraz modułu centralnej analizy ARAKIS Management Center – module odpowiadającym za korelację i klasyfikację danych i incydentów wykrytych w sieci IT i OT wraz z graficzną prezentację wyników. System jest nieodzownym elementem zespołów ds. bezpieczeństwa teleinformatycznego działających w ramach SOC (Security Operations Center). Unikalne algorytmy korelacji danych zebranych przez sensory pozwalają na wykonanie wnikliwych analiz zagrożeń w różnych obszarach oraz zastosowanie bardzo szybkiej reakcji na wykryte zagrożenia, w tym zero-day, stosując automatycznie wygenerowane przez ARAKIS sygnatury dla systemów reaktywnych.

TYPY SOND ARAKIS 2.0. ENTERPISE

REF LAN

Korzysta z informacji gromadzonych przy wykorzystaniu honeypotów pozwalających emulować typowe usługi Windows, Linux, oraz popularne usługi serwerowe jak SSH, SMB, MS SQL, mySQL czy VoIP. Sensory mogą pracować zarówno na styku sieci z internetem jak i wewnątrz LAN’u.

REF SCADA

Dedykowany sensor pozwalający na wykrywanie zagrożeń w sieciach przemysłowych. Praca w trybie pasywnym nie wpływa na działanie bardzo czułych na zakłócenia sieci przemysłowych SCADA. Zastosowane narzędzia pozwalają na emulację specjalistycznych sterowników PLC oraz usług wykorzystywanych przez systemy zarządzania sieciami SCADA.

REF TAS

TAS (Traffic Analysis Sensor) to element systemu ARAKIS pozwalający na analizę ruchu produkcyjnego, korelując w sposób automatyczny dane z Platformą NC Cyber N6 w sieci chronionej klienta. Na wiedzę składają się m.in. najnowsze informacje o serwerach C&C czy zainfekowanych stacjach roboczych. Urządzenie analizuje tylko metadane połączenia (tylko nagłówki bez danych), dlatego może działać zarówno w trybie kolektora netflow jak i na kopii ruchu.

REF FWD

Dodatkowy sensor pozwalający na monitorowanie i korelację logów pochodzących z serwerów http. Zastosowanie procesu uczenia się typowych zachowań użytkowników sensor pozwala na wykrywanie wszelkich symptomów nieznanych ataków.

grafika serwera z napisem ARAKIS

WSPARCIE DLA ANALITYKÓW SOC

System ARAKIS 2.0. Enterprise wspomaga inżynierów bezpieczeństwa SOC we wczesnej identyfikacji cyberzagrożeń poprzez dużą dowolność w odpytywaniu i prezentowaniu pozyskanych przez System ARAKIS 2.0. informacji, korelacji wyników analiz, tworzenia statystyki prezentacji wyników. Aby to osiągnąć stworzony został unikalny język zapytań AQL (ARAKIS Query Language), który pozwala wyświetlać dowolne dane przechowywane w systemie, posiada szereg funkcji statystycznych, a także umożliwia wyświetlanie wyników w postaci tabelarycznej, map lub jednego z ośmiu typów wykresów.

ZALETY SYSTEMU ARAKIS ENTERPRISE 2.0

  • Nowoczesna architektura: „cienkie sensory” i „honeypoty”
  • Najnowsza technologia honeypotów nisko-interaktywnych dostosowanych do sieci przemysłowych SCADA
  • Nowe algorytmy analizy i klasteryzacji ruchu sieciowego
  • Zbieranie złośliwego oprogramowania
  • Analiza ruchu produkcyjnego z serwera WWW
  • Nowatorski sposób wizualizacji danych
  • Analiza kopii ruchu produkcyjnego wykorzystująca protokół netflow
Logo NASK

Naukowa i Akademicka Sieć Komputerowa (NASK)

NASK prowadzi działalność badawczo-rozwojową w zakresie opracowywania innowacyjnych rozwiązań zwiększających efektywność, niezawodność i bezpieczeństwo sieci teleinformatycznych oraz innych złożonych systemów sieciowych. Efektem komercjalizacji prac badawczych oraz kompetencji operacyjnych związanych z monitorowaniem zagrożeń na polską przestrzeń internetową jest między innymi system ARAKIS 2.0. Enterprise.

Więcej o działalności instytutu na stronie www.nask.pl

Kontakt

Logo Arakis
NASK

ul. Kolska 12

01-045 Warszawa

nask@nask.pl

www.nask.pl