Nem csak konkrét fejlesztésekben, de hosszabb távú kutatásokban is kiválóan működik együtt a vállalati és az egyetemi szféra. A BME CrySyS Lab és a T-Systems IT-biztonsági műveleti központja olyan megoldáson dolgozik, amely gépi tanulással támogatja az incidensek feldolgozását. Az IT Business cikkét szemlézzük.
Az IT-biztonsági rendszerek működtetésének egyik nehézsége az incidensek nagy száma és az ahhoz kapcsolódó adatfeldolgozási igény. A T-Systems Magyarország biztonsági műveleti központjában (CTRL SOC) naponta többezer incidenst értékelnek eltérő szempontok szerint annak érdekében, hogy az ügyfeleknek a lehető leggyorsabban precíz elemzést és akciótervet kínáljanak. A központ nagyvállalati ügyfeleknek kínál magas szintű információvédelmi szolgáltatásokat: gyűjti és elemzi a biztonsági eszközökből származó adatokat, összeveti azokat a külső forrásokból származó fenyegetettségi információkkal, kiértékeli az incidenseket és segít a támadások elhárításában, majd az események értékelésében.
„A lehető legnagyobb mértékben garantálni akarjuk ügyfeleink biztonságát, ezért folyamatosan keressük az új lehetőségeket szolgáltatásaink javítására. Így került a látóterükben a mesterséges intelligencia is, amely a bejövő események feldolgozásában, a reakcióidő csökkentésében, a találati pontosság növelésében segíthet – mondja Hlavaty Győző, a CTRL SOC vezetője.
Valós problémákkal szembesülve
A CTRL SOC már korábban felismerte a BME-n futó PARIPA programban rejlő lehetőségeket, ahol hasonló témákban keresett ötleteket és partnereket az egyetem. „Számunkra mindig az a vonzó az ipari együttműködésben, hogy valós problémákkal találkozunk. A CrySyS Labben sokat foglalkozunk a gépi tanulással és az IT-biztonsággal, de azon még nem gondolkodtunk, hogyan tudnák gépi tanulással megtámogatni egy SOC működését” – teszi hozzá Buttyán Levente, a BME Hálózati Rendszerek és Szolgáltatások Tanszékének egyetemi docense, a CrySyS Lab vezetője.
A T-Systems és az egyetem szeptember óta folyó közös munkájának egyik fő kihívását az adatok felhasználhatósága és minősége jelenti. A kutatók csak szűrt, válogatott adatokkal dolgozhatnak, és bár az incidensek száma óriási, az előálló adathalmaz nem mindig elég nagy a gépi tanulás céljaira – említi az egyik problémát Pejó Balázs, a CrySyS Lab kutatója. Másrészt a vizsgált adathalmaz sem az akadémiai szférában megszokott szintetikus adatokból áll, ezért a munka nem kis részét az teszi ki, hogy a nyers adatokat előkészítsék a gépi tanításhoz.
Hosszú távú fejlesztéseket alapoznak meg
Néhány tesztelhető modell már az egyetemi félév végére elkészül, utána finomítanak tovább az adatokon és a modelleken. „Most az elsődleges cél, hogy csökkentsük a fals pozitív esetek számát, vagyis munkatársainknak kevesebb incidenst kelljen manuálisan kivizsgálniuk. Ezen túl fontos ismeretekre teszünk szert arról, hogy milyen algoritmusokat, hogyan érdemes használni a biztonsági elemzésekben, és így tovább javíthatjuk a SOC szolgáltatásait, ami nem csak ügyfeleink számára előny, de a hazai biztonsági szakma számára is fontos mérföldkő lehet” – foglalja össze Hlavaty Győző, mit nyer a T-Systems a projekten.
Vágtában előre
2017-ben indult a BME-n a PARIPA program (Partnerségben az iparral – hallgatói képzési és ösztöndíjprogram), amely a vállalati és az akadémiai szféra szoros együttműködésére épít: a partnercég hozza a megoldandó problémát, az egyetem adja a tudományos hátteret. A kutatói munkát egy szigorú eljárás során kiválasztott hallgató végzi, aki hetente konzultál vállalati és egyetemi mentoraival. Az első félévben a hallgató elméleti felkészítése zajlik, a második félévben folyik a gyakorlati kutatómunka (és készül egy dolgozat), amely a harmadik félévben szakdolgozat formájában is testet ölt.
