О Kaspersky Machine Learning for Anomaly Detection

Система раннего обнаружения аномалий Kaspersky Machine Learning for Anomaly Detection (далее также Kaspersky MLAD, программа) – программное обеспечение, предназначенное для предотвращения сбоев, аварий или деградации промышленных установок, технологических процессов, сложных киберфизических систем. Анализируя данные телеметрии с помощью методов машинного обучения (искусственного интеллекта), Kaspersky MLAD выявляет признаки аномальной ситуации до того, как она будет обнаружена традиционными системами мониторинга.

Kaspersky MLAD обнаруживает аномалии в технологических процессах независимо от вызвавших их причин. Аномалии могут быть вызваны следующими причинами:

• Физические (например, поломка оборудования или выход из строя датчиков).
• Человеческий фактор (например, намеренные или ненамеренные, некорректные действия оператора, настройка оборудования, смена режимов или установок или переход на ручное управление).
• Кибератаки.

Основные возможности Kaspersky MLAD:

• В реальном времени выявляет аномальное поведение объекта мониторинга.
• Определяет сигналы, в которых обнаружены наибольшие отклонения от нормального поведения.
• Позволяет анализировать инциденты с учетом информации о похожих инцидентах.
• Предоставляет возможность экспертной классификации и аннотации инцидентов.
• Предоставляет возможность оповещения об обнаружении инцидентов через веб-интерфейс, сообщения электронной почты, через отправку сообщений в Kaspersky Industrial CyberSecurity for Networks, а также через индустриальные протоколы передачи данных.
• Позволяет использовать модели на основе как машинного обучения, так и произвольных правил для обнаружения аномалий.
• Отображает в виде графиков наблюдаемые и предсказываемые значения тегов и ошибки прогноза как в режиме онлайн-мониторинга, так и в режиме ретроспективного анализа истории телеметрии.
• Обеспечивает работу с журналом обнаруженных инцидентов.
• Предоставляет возможность переобучения и дополнительного обучения используемой ML-модели.
• Позволяет создавать ML-модели и добавлять в нее элементы на основе нейронных сетей и диагностических правил.
• Позволяет создавать шаблоны на основе добавленных ML-моделей и добавлять ML-модели в Kaspersky MLAD по созданным шаблонам.
• Позволяет определить способ организации данных объекта мониторинга в виде дерева активов.

• Предоставляет возможность получения данных телеметрии по протоколам HTTP, OPC UA, MQTT, AMQP, CEF и WebSocket, а также по специализированному протоколу поверх протокола HTTPS от программы Kaspersky Industrial CyberSecurity for Networks.
• Отображает в виде графиков исторические данные и данные, поступающие в режиме реального времени, в соответствии с заданными наборами тегов.
• Определяет и обрабатывает прекращения и/или прерывания потока поступающих данных, а также восстанавливает пропущенные наблюдения.
• На основе данных о событиях, полученных из внешних систем, распознает закономерности в виде повторяющихся событий и паттернов, а также выявляет новые события и паттерны в потоке событий.
• Отображает выявленные события в виде графа и таблицы, а также выявленные паттерны в виде послойной иерархии вложенных элементов.
• Отправляет оповещения об обнаружении определенных событий, паттернов или значений параметров событий, поступающих в процессор событий в потоке данных от объекта мониторинга.

Комплект поставки

Kaspersky MLAD поставляется в виде файла архива Kaspersky_MLAD_4.0.2.<номер сборки>_ru-RU_en-US.tar.xz, который содержит следующие файлы:

• установочный скрипт и все необходимые для установки системы файлы;
• файлы с текстом Лицензионного соглашения на русском и английском языках;
• файлы с информацией о программе (Release Notes) на русском и английском языках;
• файл с информацией о стороннем коде legal_notices.txt на английском языке.

После того как вы распаковали архив, в директории legal будут расположены текстовые файлы license_ru.txt и license_en.txt, с помощью которых вы можете ознакомиться с Лицензионным соглашением. В Лицензионном соглашении указано, на каких условиях вы можете пользоваться программой.

Аппаратные и программные требования

Аппаратные требования для каждого защищаемого объекта нужно уточнять с учетом применяемой модели, количества обрабатываемых тегов и событий, средней скорости получения данных (количества наблюдений в секунду) и объема хранимых данных. Чем больше объем обрабатываемых данных и сложность используемой ML-модели, тем больше аппаратных ресурсов потребуется для установки серверной части Kaspersky MLAD.

Требования к серверу Kaspersky MLAD

Для функционирования программы сервер Kaspersky MLAD должен удовлетворять следующим минимальным требованиям.

Список поддерживаемых процессоров:

• процессор Intel Xeon E3 v3, v4, v5, v6;
• процессор Intel Xeon E5 v3, v4;
• процессор Intel Xeon E7 v3, v4;
• масштабируемые процессоры Intel Xeon;
• масштабируемые процессоры Intel Xeon 2-го и 3-го поколения;
• процессор Intel Xeon E;
• процессор Intel Xeon W;
• процессор Intel Xeon D;
• процессор Intel Core i5, i7 4-го поколения и выше;
• процессор Intel Core i9;
• процессор Intel Core M.

Минимальные аппаратные требования:

• 8 ядер;
• 32 ГБ оперативной памяти;
• 200 ГБ свободного пространства на жестком диске (рекомендуется использовать SSD-диск).

  Если в Kaspersky MLAD будет поступать большой поток данных, требуется увеличить объем свободного пространства на жестком диске.

Вы можете установить Kaspersky MLAD на сервер с другим 64-битным процессором архитектуры x86 2013 года выпуска и позже. Процессор должен соответствовать вышеперечисленным минимальным аппаратным требованиям и поддерживать следующие расширения, необходимые для библиотеки TensorFlow 2.13:

• Advanced Vector Extensions (avx);
• Advanced Vector Extensions 2 (avx2).

Поддерживаемые операционные системы:

• Ubuntu 22.04 LTS и выше.

До развертывания Kaspersky MLAD должно быть установлено следующее программное обеспечение:

• docker 20.10.21 и выше;
• docker compose 2.12.2 и выше.

Устанавливать программное обеспечение на сервер Kaspersky MLAD требуется с официального Docker-репозитория.

Требования к компьютеру пользователя

Для работы с веб-интерфейсом Kaspersky MLAD компьютер пользователя должен удовлетворять следующим минимальным требованиям:

• процессор Intel Core i5;
• 8 ГБ оперативной памяти;
• 64-битная операционная система;
• установленный браузер Google Chrome версии 107 и выше;
• минимальное разрешение экрана монитора для корректного отображения веб-интерфейса – 1600х900.

Рекомендации по обеспечению безопасной работы

Для обеспечения безопасной работы Kaspersky MLAD на предприятии рекомендуется ограничить и контролировать доступ к оборудованию, на котором работает программа.

Физическая безопасность оборудования

При внедрении Kaspersky MLAD рекомендуется принять следующие меры по обеспечению безопасной работы:

• Ограничить доступ в помещение, в котором расположен сервер с установленной программой Kaspersky MLAD, а также к сетевому оборудованию выделенной сети. Доступ в помещение должен предоставляться только доверенными лицами, например персоналу, обладающему полномочиями по установке и настройке программы.
• Обеспечить контроль физического доступа к оборудованию, на котором работает программа, с помощью технических средств или службы охраны.
• Проводить мониторинг доступа в контролируемые помещения с помощью средств охранной сигнализации.
• Осуществлять видеонаблюдение в контролируемых помещениях.

Информационная безопасность

Параметры ML-модели напрямую влияют на обнаружение аномалий, и поэтому изменять их могут только системные администраторы. Дата последнего изменения ML-модели (активация, изменение имени, порогового значения MSE, весов MSE) доступна в разделе Модели. История изменений доступна только в логах, которые хранятся ограниченное время.

При использовании веб-интерфейса рекомендуется принять следующие меры по обеспечению информационной безопасности интранет-системы:

• Обеспечить пользователям доступ к программе только через веб-интерфейс.
• Установить сертификаты на компьютеры пользователей для авторизации сервера Kaspersky MLAD c браузером. Для использования доверенного сертификата вам нужно обратиться к квалифицированному техническому специалисту Заказчика, сотруднику "Лаборатории Касперского" или сертифицированному интегратору.
• Обеспечить защиту трафика внутри интранет-системы.
• Обеспечить защиту подключений к внешним сетям.
• Использовать защищенное TLS-соединение для передачи данных.
• Изменить имя и пароль первого пользователя программы с ролью системного администратора при установке программы.
• Для подключений через веб-интерфейс использовать пароли, которые соответствуют следующим требованиям:
  • Не совпадают с предыдущими паролями учетной записи. Количество ранее использованных паролей, с которыми новый пароль не должен совпадать, задается при настройке параметров безопасности программы.
  • Содержат не менее восьми символов.
  • Содержат одну или несколько прописных букв латинского алфавита.
  • Содержат одну или несколько строчных букв латинского алфавита.
  • Содержат одну или несколько цифр.
  • Содержат один или несколько следующих специальных символов: _ ! @ # $ % ^ & *.
• Обеспечивать конфиденциальность и уникальность паролей. При угрозе компрометации пароля изменить пароль.
• Установить ограничение времени жизни веб-сессии пользователя.
• После окончания работы в браузере принудительно завершать сессию подключения к программе с помощью пункта Выход в веб-интерфейсе.
• Периодически выполнять установку обновлений для операционной системы на сервере, на котором развернут Kaspersky MLAD.
• Использовать разграничение прав доступа пользователей к функциям программы.

Безопасность данных

В процессе работы с Kaspersky MLAD рекомендуется принять следующие меры по обеспечению безопасности данных:

• Выполнить настройку операционной системы и обеспечить доступ к файлам сервера, на котором установлен Kaspersky MLAD, согласно Рекомендациям по безопасной настройке операционных систем Linux, предоставляемых Федеральной службой по техническому и экспортному контролю (ФСТЭК) России.
• Выполнять периодическое резервное копирование данных сервера с установленной программой Kaspersky MLAD согласно внутреннему регламенту компании.
• Выполнять периодический контроль работоспособности интерфейса и служб программы. Особое внимание нужно уделять службе нотификации и системе логирования.
• Выполнять проверку каналов связи на исправность и безопасность.
• Выполнять периодический контроль работоспособности сервера:
  • контроль дисков по SMART;
  • наличие достаточного свободного места и памяти;
  • загруженность оперативной памяти.
• Контролировать протоколы сервера на отсутствие проблем, используя систему мониторинга.
• Хранить чувствительные данные в надежном хранилище.

Устранение уязвимостей и установка критических обновлений

"Лаборатория Касперского" может выпускать обновления программы, направленные на устранение уязвимостей и недостатков безопасности (критические обновления). Срочные пакеты обновлений поставляются и устанавливаются в рамках действующего Договора об оказании технической поддержки. Уведомления о выпуске критических обновлений рассылаются по адресам электронной почты, указанным в действующем Договоре об оказании технической поддержки.

Рекомендуется, чтобы сотрудник, ответственный за эксплуатацию программы, также периодически (не реже одного раза в три месяца) проверял отсутствие обнаруженных уязвимостей в программе, используя веб-сайт "Лаборатории Касперского".

Вы можете сообщить об обнаруженных недостатках безопасности или уязвимостях программы по адресу электронной почты vulnerability@kaspersky.com, зашифровав письмо с помощью PGP-ключа. В письме предоставьте следующую информацию:

• Контактную информацию.
• Название продукта, его версию и тип операционной системы вашего устройства, на котором найдена уязвимость.
• Подробное описание уязвимости.
• Планируете ли вы распространять информацию об уязвимости третьей стороне.

  Не публикуйте информацию об уязвимости, пока она не исправлена специалистами "Лаборатории Касперского".

Разделение доступа к функциям программы

Этот раздел содержит описание разграничения доступа пользователей к функциям программы.

В Kaspersky MLAD вы можете разграничить доступ пользователей к функциям программы в зависимости от задач пользователей, используя роли.

Роль – это набор прав доступа к функциям программы, который вы можете назначить пользователю.

В зависимости от назначенной роли пользователям могут быть доступны следующие функции Kaspersky MLAD:

Доступные функции программы

Всем пользователям программы доступны следующие права по умолчанию:

• Просмотр сводных данных в разделе Информационная панель;
• Просмотр первичных и рабочих данных по тегам в разделах История и Мониторинг;
• Просмотр значений технологических параметров, полученных от датчиков объекта мониторинга в один и тот же момент времени, в разделе Временной срез;
• Работа с событиями и паттернами:
  • Настройка параметров конфигурации внимания и отображения параметров событий;
  • Создание и удаление мониторов;
  • Просмотр истории событий и истории паттернов.
• Работа с инцидентами и группами инцидентов:
  • Просмотр инцидентов и групп инцидентов;
  • Добавление статуса, причину, экспертного заключения и замечания к инциденту или группе инцидентов;
  • Экспорт инцидентов в файл.
• Следующие действия в разделе Модели:
  • Создание, изменение и удаление разметок;
  • Запуск и остановка инференса ML-модели;
  • Просмотр графа потока данных ML-модели.
• Управление пресетами:
  • Просмотр пресетов;
  • Создание, изменение, удаление пресетов;
  • Загрузка конфигурации пресетов из файла;
  • Сохранение конфигурации пресетов в файл.
• Изменение собственного пароля.

Вы также можете создать роль с правом Права на все действия. Пользователям, которым будет присвоена эта роль, будут доступны функции системного администратора.

Вы можете просмотреть доступные роли пользователей и их права доступа к функциям программы в разделе Роли в меню администратора.

Вы можете просмотреть права доступа к функциям программы для определенных пользователей в разделе Пользователи в меню администратора.