Treatnet

Comp S.A. realizuje projekt „Innowacyjny system szybkiego i masowego wykrywania oraz neutralizacji cyberataków na użytkowników sieci Internet".

PROJEKT TREATNET

Zakres prac

Wykonanie badań przemysłowych i prac rozwojowych nad zdarzeniami w postaci infekcji użytkowników sieci Internet przez złośliwe oprogramowanie, a następnie opracowanie metodyki i technologii wykrywania takich zdarzeń oraz narzędzi dla dostawców usług dostępu do sieci Internet i dużych przedsiębiorstw do ograniczania ich skutków działania i ostatecznie usuwania. Prace badawcze dotyczą zagadnień bezpieczeństwa w sieci Internet w rozproszonym modelu monitorowania i konsolidacji informacji na temat incydentów bezpieczeństwa i użytkowników.

W wyniku realizacji projektu zostanie opracowane rozwiązanie składające się z modułów, które pozwolą na wykrywanie naruszeń bezpieczeństwa użytkowników korzystających z sieci Internet, bez naruszania poufności i prywatności transmisji użytkowników. Model świadczenia usługi bazującej na tym rozwiązaniu będzie miał charakter siecio-centryczny, co oznacza, że usługa może też być świadczona przez dostawcę (operatora telekomunikacyjnego) dostępu do sieci Internet. System umożliwi redukcję obecnie szacowanego średniego czasu na wykrycie infekcji (TTD Time To Detect) z ponad 100 dni, do nie więcej niż kilku godzin, od chwili aktywacji złośliwego oprogramowania. Projektowany system wpisuje się także do nowej kategorii systemów typu anty ransomware

Planowane prace B+R oraz PR zostaną podzielone na 4 etapy realizowane łącznie w okresie 32 miesięcy trwania projektu.  

Projekt omawiany w niniejszym wniosku jest projektem informatycznym, w którym część badawcza wiąże się z przeprowadzeniem prac B+R w zakresie oprogramowania komputerowego. Projekt uwzględnia zasady określone w Podręczniku Frascati z 2002 r.

REZULTATY PROJEKTU TREATNET

Rezultatem projektu będzie nowy produkt w postaci zespołu narzędzi o budowie modułowej, tworzący jednolity system monitorowania, wykrywania i usuwania skutków zainfekowania użytkowników sieci Internet złośliwym oprogramowaniem typu malware, poprzez analizę zdarzeń systemowych użytkowników i węzłów sieci, a następnie usuwanie tych skutków.

Naruszenia bezpieczeństwa teleinformatycznego charakteryzują się kilkoma aspektami, z których jednym z najważniejszych jest niezauważalność lub duża trudność z identyfikacją faktu, że obiekt (np.: system, sieć, Internauta) został poddanym cyberatakowi oraz że atak zakończył się powodzeniem. Skutkiem takiego ataku może być złośliwa zmiana konfiguracji lub sposobu działania urządzenia, bądź doinstalowanie złośliwego kodu do oprogramowania urządzenia.
Wg. raport firmy Cisco „Cisco 2016 Midyear Cybersecurity Report”, przyjmuje się, że średni czasy wykrycia ataku (TTD) sięga 100-200 dni(!). Wymaga to stałego monitorowania i identyfikacji obiektów, które wykazują anomalie sieciowe oraz wprowadzenie mechanizmów ich geolokacji i prezentacja danych geograficznych. Należy podkreślić, że następująca ewolucja złośliwego oprogramowania została uzupełniona o funkcje zacierania śladów własnej działalności, co utrudnia wykrycie go na zainfekowanym obiekcie. Rezultat projektu będzie formą uzupełnienia systemów ochrony cyberbezpieczeństwa sprzyjający rozwojowi nowych technologii związanych z Internetem w szczególności ochrony i zaufania co sprzyja rozwojowy e-usług i e-biznes w sieci.

W celu osiągnięcia kompletnego i spójnego systemu, konieczne jest monitorowanie stanu bezpieczeństwa sieci, w szczególności skutków działania lub prób nawiązania łączności złośliwego oprogramowania z serwerami zarządzającymi (C&C – Command and Control) w centralnym punkcie i odpowiedna analityka. Analityka taka okaże się skuteczna, o ile zostanie przeprowadzona na dostatecznie dużej liczbie abonentów. Należy dążyć do analizy skutków działania złośliwego oprogramowania w całej sieci chronionego podmiotu, wszystkich obiektów, np. w sieci operatora telekomunikacyjnego czy dużego przedsiębiorstwa.

CECHY PRODUKTU

Narzędzie takie będzie wykazać się następującymi cechami:

  • Minimalizacja czasu TTD z obecnych 100-200 dni do kilku godz. i minimalizacja skutków ataku
  • Rozproszony charakter ochrony oraz analiza zdarzeń na dużej liczbie abonentów
  • Architektura pozwalająca na przetwarzania dużych ilości zdarzeń na sekundę (setek tysięcy)
  • Identyfikacja i przypisanie abonenta do incydentu, przy skali abonentów na poziomie kilkunastu milionów w usługach, które podlegają translacji adresów
  • Możliwość proaktywnych działań powiadamiania abonenta o wykrytych u niego incydentach
  • Narzędzie klasy operatorskiej integrujące różne technologie monitorowania dostępu do sieci Internet, od łączy stałych do mobilnych
  • Zdolność do adaptacji do monitor. dużych sieci przedsiębiorstw, w tym spółek strategicznych dla bezpieczeństwa państwa
  • Integracja systemów ochrony cyberbezpieczeństwa, mechanizmów przekierowania zainfekowanych użytkowników w sieci – tzw. Sinkhole i mechanizmów przekierowania atakujących na tzw. Honeypot wysokiej i niskiej interakcji

EFEKTY PROJEKTU

Efektem końcowym projektu będzie opracowanie produktu, który przewidziany jest zarówno dla dużych odbiorców, takich jak operatorzy telekomunikacyjni, ale także dla firm dbających o jakość i bezpieczeństwo użytkowników swoich sieci. Produkt będzie składał się z zaawansowanych modułów odpowiedzialnych za kolekcję danych, analizę i procesowanie wykrytych zdarzeń.

WARTOŚĆ PROJEKTU

Całkowita kwota wydatków kwalifikowalnych wynosi 12 575 538,10 zł

WKŁAD FUNDUSZY EUROPEJSKICH

Maksymalna kwota dofinansowania - wkład Funduszy Europejskich - wynosi 7 499 313,34 zł, co stanowi 59,63 % całkowitych wydatków kwalifikujących się do dofinansowania.

TREATNET A INNE PRODUKTY CYBERBEZPIECZEŃTWA

Dostępne na rynku narzędzia typu antywirus, IPS/ADS, APT/Sandbox czy DLP koncentrują się na zapobieganiu infekcji w bardzo wąskim aspekcie technologii. Trudnym w implementacji jest też fakt silnej ingerencji tych narzędzi w infrastrukturę odbiorcy (np. operatora telekomunikacyjnego). Narzędzia te posiadają wiele limitów skalowania i nie nadają się do powszechnego użycia przez operatorów telekomunikacyjnych szerzej niż dla własnych potrzeb.