IBM Research выпустила открытый детектор облачных угроз — SysFlow

Исследовательское подразделение корпорации IBM анонсировало выход SysFlow, инструментального набора с открытым кодом, способного сводить разрозненные системные данные в общую картину вредоносной активности в облачных и контейнерных средах.

Инструментарий собирает операционные данные из конкретной системы и сжимает их в модель, которая показывает высокоуровневое поведение системы, а не отдельные события, такие как HTTP-запросы. Подобные локализованные события также отображаются, но SysFlow увязывает их с соответствующими поведенческими закономерностями, а не предоставляет сами по себе для детального анализа. Благодаря этому SysFlow не только помогает отделам безопасности выявлять угрозы, но и экономит аппаратные ресурсы, собирая на «порядки величин» меньше данных, чем традиционные инструменты.

Интегрированный движок правил позволяет SysFlow автоматически выявлять подозрительные события. Кроме прорывов безопасности ими могут быть нарушения политик, например, сохранение финансовых записей в необычном месте. При необходимости, эксперты безопасности могут внедрять в SysFlow собственные алгоритмы для углублённого анализа угроз.

Коммерческие средства безопасности с аналогичной функциональностью предоставляют и некоторые другие провайдеры, в том числе недавно учреждённый стартап Cybereason. В отличие от них, SysFlow доступен бесплатно на условиях лицензии Open Source и обеспечивается поддержкой IBM.

Компания рекомендует комбинировать платформу SysFlow с другими открытыми фреймворками (например, со Spark или scikit-learn) и со специализированными аналитическими микросервисами.