Egy éve állt saját lábra a Chronicle, az Alphabet laborjában (Google X) keltetett kiberbiztonsági cég, amely most elindította első kereskedelmi szolgáltatását, a Backstory nevű biztonsági adatplatformot. A San Franciscó-i RSA konferencián bemutatott platform a különböző védelmi megoldásokból származó adatokat egyesíti egy olyan egységes rendszerben, amely révén a Google felhős infrastrukturális és analitikai képességeire építve lehet kockázatelemzést végezni.

Adat, adat, adat – és gépi tanulás

Mind a mai napig komoly biztonsági kihívást jelent a szervezeteknek, hogy idejében felismerjék a kockázatokat, a lehetséges támadási felületeket, illetve magukat a támadásokat. A hatékony beavatkozás kulcsa ugyanis az, ha sikerül minimalizálni a felderítéshez (time to detection – TTD) és a reagáláshoz szükséges időt (time to resolution – TTR).

Ha például fény derül egy olyan adatszivárgási incidensre, amely valamilyen általános biztonsági résen (például valamilyen szerver operációs rendszer sérülékenységének kihasználásával) történt, a felkészült vállalatok többsége ma is lefuttat egy ellenőrzést, hogy az adott probléma érinthette-e bármikor is a vállalati rendszert, szivároghattak-e azon keresztül adatok. Mivel azonban azok a telemetriai adatok, melyekből ez kiderülhet, legtöbbször csak bizonyos ideig tárolódnak, így sokszor rejtve maradnak ezek a potenciális támadási pontok.

A Backstory viszont lehetőséget ad nagy mennyiségű historikus adat tárolására, így kiszűrhetővé teszi a múltbeli biztonsági eseményeket is. A biztonsági adatplatform egy új réteg a Google felhős alapinfrastruktúráján, lényegében gépi tanulásra épülő SIEM (Security Information and Event Management) rendszer. Egyesíti a különböző védelmi rendszerek adatait, és elemezhető formára hozza. Az ügyfelek a platformra mennyiségi korlát nélkül feltölthetik biztonsági telemetriai adataikat, a DNS forgalmat, az IP-hálózatok forgalmi adatait, a végponti védelmi eszközökből származó naplófájlokat, a proxy naplókat, a SIEM rendszer gyűjtötte adatokat stb. Az adatok egy privát tárterületre kerülnek, így azokhoz csak az adattulajdonos férhet hozzá.

Amikor az adatok felkerülnek a Backstoryba, akkor a platformon azonnal megtörténik az adatok normalizálása, indexelése és elemzése. Ennek során a platform mögött futó analitikai rendszer, amely a Google mesterséges intelligenciájára és gépi tanulási rendszerére épül, korrelációt keres az adatok és a már ismert fenyegetettségek között. Így a biztonsági kockázatelemzők azonnal – a Chronicle ígérete szerint kevesebb mint egy másodpercen belül – képet kapnak a vállalati rendszer esetleges kockázatairól. A fenti példánál maradva például azonnal visszajelzést kapnak a vállalat minden olyan eszközéről, amely bármikor is kommunikált veszélyesnek ítélt IP-címekkel.
 

A gépi tanulás révén a rendszer annál jobb válaszokat ad, minél több adattal dolgozik.

Együttműködésben gondolkodnak

Az elemzéshez alapból a 2012-ben megszerzett Virus Total és az Uppercase adatait használja, de szeretnének más biztonsági cégekkel is partnerséget kiépíteni, hogy a fenyegetettséget minél szélesebb körét tudják vizsgálni. A szolgáltatás bétafázisában már bekapcsolódott a Carbon Black, és a partnerek között van az Avast és a Proofpoint is, melyek fenyegetettségi intelligenciáját szintén beágyazzák a Backstory dashboardjába és analitikai motorjába.

A Chronicle vezérigazgatója, Stephen Gillett hangsúlyozta is a CNBC-nek, hogy a Backstory nem a kibervédelmi cégek konkurenciája akar lenni, hanem sokkal inkább partnere. A platform jellege miatt azonban várhatólag a meglehetősen telített SIEM rendszerek szállítóival fog versenyezni a piacon.

A Chronicle a szolgáltatás legfőbb előnyeként azt hozza fel, hogy az ügyfél oldaláról nem igényel sem beruházást, sem üzemeltetést, és az elemzési időt is radikálisan lerövidíti. Az árazásról nincsenek konkrét információk. A Chronicle oldalán egyelőre csak annyit árulnak el erről, hogy magáért a tárolásért nem kell fizetni, a szolgáltatásért fizetendő díjat a vállalat mérete alapján alakítják ki.