Nápady a objevy

8. února 2018

Umělá inteligence od GreyCortexu umí pohlídat bezpečnost sítě

Nástroj Mendel neustále monitoruje dění v síti. Administrátorům nabízí přehledné vizualizace | Autor: archiv společnosti GreyCortex

Pokročilé analýze síťového provozu se věnuje úspěšný brněnský start-up GREYCORTEX, v jehož čele stojí bývalí doktorandi Fakulty informačních technologií VUT. Už při studiích se věnovali Petr Chmelař a Michal Drozd oblasti bezpečnosti a strojovému učení. Nakonec spojili své znalosti, aby vytvořili technologii Mendel. Ta kombinuje umělou inteligenci, strojové učení a takzvaný data mining při bezpečnostním dohledu interních sítí a upozorňuje na jakékoliv anomálie a hrozby. Vývoj unikátního řešení, které GREYCORTEXu v roce 2016 přineslo cenu CESA za středoevropský start-up, se rozhodl podpořit i investiční fond Y Soft Ventures. Společnosti, mezi jejíž klienty patří Česká pošta, Kiwi.com, Linde Gas či několik ministerstev, poskytla na rozvoj 1,3 milionu dolarů.

Zjednodušeně řečeno vyvíjí GREYCORTEX produkt zaměřený na bezpečnostní dohled sítí. „Je to analytický nástroj, který se snaží využívat umělou inteligenci a strojové učení. V moderní terminologii bychom řekli, že nabízí takzvanou big data analýzu síťových dat,“ popsal jeden ze zakladatelů společnosti a šéf produktu Michal Drozd.

Od konkurence se ale liší například tím, že používá vlastní protokol. „Na tom děláme analýzu celé sítě a inspekci veškerých dat. To znamená, že zpracováváme sto procent obsahu, který přes síť protéká,“ dodal Drozd. Jejich nástroj slouží především bezpečnostním administrátorům či správcům sítí. „Neustále vědí, co se u nich ve firmě děje. Jako jediní na světě používáme relační databázi. Zákazníci si tak mohou síť libovolně vizualizovat a pochopit, jak funguje,“ uvedl Michal Drozd s tím, že menší firmy mívají zájem nejen o samotný software, ale také o odborníky, kteří by s ním efektivně pracovali. „Těmto zákazníkům poskytujeme dohled sami nebo prostřednictvím obchodních a servisních partnerů. V případě závažných incidentů je informujeme, že se něco děje, a jak by měli postupovat. Také od nás dostávají pravidelný přehled o fungování jejich sítě, bezpečnostních a provozních problémech,“ podotkl Drozd.

Michal Drozd tvrdí, že v síti poznají všechna nebezpečí. Nemusí jít ale nutně o útoky zvenčí. Díky monitorování sítě lze dnes rozpoznat například i to, že se zaměstnanec chystá dát výpověď. „Když chce někdo z podniku odejít, často začne stahovat dosavadní práci, informace o klientech a podobně. Protože se jedná o změnu v jeho chování, naše technologie na to upozorní. Jedná se totiž o anomálii v síti,“ popsal Drozd.

Tým GreyCortex vyrostl během dvou let na téměř čtyřicet zaměstnanců | Autor: archiv společnosti GreyCortex

To nejhorší a nejobtížněji řešitelné, čemu musí ale podle něj dnes firmy v oblasti bezpečnosti čelit, je průmyslová špionáž. „Obvykle se jedná o na míru napsaný malware. Firmy se s tím potkávají poměrně často a u řady našich zákazníků už jsme něco takového zaznamenali,“ uvedl Drozd. Zároveň ale upozorňuje, že velkým nebezpečím bývají často sami zaměstnanci či dodavatelé, kteří se nechovají bezpečně, obcházejí interní pravidla nebo jsou nepozorní a dělají chyby. Dokládá to na zkušenosti, která je s Petrem Chmelařem k celému nápadu na vlastní podnikání dovedla. „Bezpečnosti jsem se věnoval už v rámci své diplomové práce a po studiu jsem začal pracovat jako bezpečnostní konzultant. Obvykle jsme nabízeli penetrační testy a bezpečnostní audity. Otestovalo se, zda nemá organizace zranitelnosti z hlediska infrastruktury, jak má nakonfigurované servery. Jednomu zákazníkovi z bankovního sektoru jsme takto předložili stoh papírů s výsledky auditu a on se nás zeptal, zda je tedy jeho podnik napadnutelný či nikoliv. Odpověděli jsme, že to lze zjistit pouze tím, že to vyzkoušíme. A on si u nás objednal sociální inženýrství, kdy se testuje odolnost samotných zaměstnanců,“ vzpomínal Drozd.

Začali tím, že zavolali zaměstnancům banky a tvrdili, že jsou administrátoři a zjistili napadení počítačů virem. „Chtěli jsme po nich přihlašovací údaje a hesla s tím, že potřebujeme systém opravit,“ popsal Drozd. Dalším testem bylo ponechání CD a jiných nosičů nadepsaných Platy managementu volně po bance. „Nakonec jsme zaměstnancům volali a tvrdili, že zavádíme nový projekt, který přišel z mateřské společnosti v Německu. Spočívá v otestování linuxového prostředí. Pokud se zaměstnanci zúčastní, získají odměny navíc. Museli ale vyplnit test, který měl údajně zjistit, zda jsou do testovací skupiny vhodní,“ dodal Drozd.

Soubor, který vypadal jako dokument ve Wordu, byl ale na míru napsaný trojský kůň. Zaměstnanci, kteří se marně snažili soubor otevřít na svých i dalších počítačích, tak infikovali celé jádro banky. „Původně jsme předpokládali, že infikujeme maximálně patnáct počítačů, nakonec to bylo ale několik desítek,“ podotkl Michal Drozd. Během chvíle tak získali přístup k několika miliardám euro na zařízeních, která mohla s penězi manipulovat. „Zjistili jsme, že jediná ochrana proti něčemu takovému je monitoring sítě. Protože na síti stopy podobného chování nelze smazat. Začali jsme proto hledat nástroje, které by uměly se sítí pracovat a podobným incidentům předcházet, ale žádný nesplňoval naše potřeby,“ vysvětlil spojitost mezi zkušeností a nynějším podnikáním Michal Drozd.

GREYCORTEX, který sídlí v Jihomoravském inovačním centru, má zatím nejvíce zákazníků v České republice. Postupně ale rozšiřuje aktivity i na zahraniční trhy. „Máme partnery v Japonsku či Německu. S expanzí nám velmi pomáhá společnost ESET. Jsme součástí její technologické aliance a díky tomu náš produkt nabízejí jejich pobočky a partneři ve dvou set zemích světa, kde ESET působí,“ dodal Drozd s tím, že kromě navazování spolupráce v zahraničí se soustředí například i na další výzkum v oblasti monitoringu operačních technologií na základě protokolů SCADA.

(zep)

TémataFakulta informačních technologií Jihomoravské inovační centrum síť zabezpečení