MLAD PoC Guide

Принятые термины и сокращения

~~Этот~~MLAD ~~гайд~~– Machine Learning for Anomaly detection

API – программный интерфейс приложения

ПМИ – программа и методика испытаний

ML – машинное обучение (machine learning)

Инференс – использование обученной модели ML на новых данных

Назначение и область применения

Настоящий документ описывает общий порядок проведения пилотных проектов ~~программных~~программного ~~компонентов~~продукта Kaspersky ~~Industrial~~Machine ~~CyberSecurity~~Learning for Anomaly Detection (~~KICS)~~далее - MLAD).

В частных случаях порядок пилотного проекта может быть адаптирован или изменён по договоренности между участниками пилотного проекта.

Участники пилотного проекта

В пилотном проекте могут принимать участие следующие организации:

Заказчик - организация, нав ~~объектах~~инфраструктуре или с использованием данных которой устанавливается решение ~~KICS~~MLAD в рамках пилотного проекта.

Исполнитель – организация, ответственная за проведение пилотного проекта в инфраструктуре или на данных Заказчика.

Вендор - АО «Лаборатория Касперского». Со стороны Вендора в пилотном проекте принимают участие следующие сотрудники:

Инженер предпродажной поддержки

~~Сотрудник,~~- сотрудник, представляющий техническую экспертизу по решению ~~KICS,~~MLAD, техническую поддержку инженеров внедрения со стороны Партнёра или Дистрибутора (при наличии), а также осуществляющий внедрение программных компонентов ~~KICS~~MLAD в рамках пилотного проекта в случае отсутствия Партнёра и ~~Дистрибутора~~Дистрибутора;

~~Архитектор~~

~~Сотрудник,~~Архитектор – сотрудник, представляющий техническую экспертизу по решению ~~KICS~~MLAD и других программных продуктов Вендора, а также организовывающий взаимодействие с участниками пилотного проекта со стороны Вендора (организация встреч, совещаний и иных взаимодействий в рамках пилотного проекта и внедрения программных продуктов Вендора);

Менеджер по развитию бизнеса ~~KICS~~
MLAD
~~Сотрудник,~~- сотрудник, предоставляющий консультацию по всем иным вопросам, касающимся пилотного проекта и внедрения программных компонентов ~~KICS~~MLAD в промышленной инфраструктуре Заказчика, за исключением технических ~~вопросов~~вопросов;

Менеджер по работе с ключевыми клиентами

~~Сотрудник,~~- сотрудник, отвечающий за управление взаимоотношениями с ~~Заказчиком~~Заказчиком.

~~Также к пилотному проекту ПРИ НЕОБХОДИМОСТИ могут быть привлечены~~ ~~Партнер~~Партнёр и(при ~~Дистрибутор~~
необходимости)
-
~~Партнёр~~

~~Организация,~~организация, которая участвует в пилотном проекте в роли инженера внедрения, разработчика документации и/или предоставляет необходимое оборудование. Со стороны Партнёра участие в пилотном проекте принимает инженер внедрения - Сотрудник Партнёра, отвечающий за развертывание ~~KICS~~MLAD в тестовой среде на объекте Заказчика. Необходимость участия Партнёра в пилотном проекте определяется Заказчиком. Партнер определяется Заказчиком. ~~Перечень организаций, имеющих специализацию “Industrial CyberSecurity” у Вендора, представлен по данной ссылке.~~

~~Дистрибутор~~

~~Организация,~~Дистрибутор (при необходимости) - организация, которая участвует в роли инженера внедрения, разработчика документации и/или предоставляет необходимое оборудование. Со стороны ~~Партнёра~~Дистрибутора участие в пилотном проекте принимает инженер внедрения - Сотрудник ~~Партнёра,~~Дистрибутора, отвечающий за развертывание ~~KICS~~MLAD в тестовой среде на объекте Заказчика. Дистрибутор участвует в пилотном проекте совместно с Партнёром или при отсутствии Партнёра. Необходимость участия Дистрибутора в пилотном проекте определяется Заказчиком.

Описание решения Kaspersky Industrial CyberSecurity (KICS)

MLAD

Kaspersky ~~Industrial~~Machine ~~CyberSecurity~~Learning for Anomaly Detection (~~KICS)~~MLAD) — это ~~комплекс~~программный ~~решений,~~продукт, ~~созданных~~предназначенный для ~~защиты~~выявления ~~различных~~аномалий ~~уровней~~в ~~промышленной~~работе ~~инфраструктуры~~промышленного оборудования.

MLAD предназначен для одновременного наблюдения за большим количеством параметров телеметрии и ~~других~~автоматического ~~элементов~~анализа ~~предприятия,~~данных вс том числе серверов SCADA, операторских панелей, инженерных рабочих станций, сетевых устройств, программируемых логических контроллеров.

~~Программные компоненты KICS включают в себя:~~целью:

~~Kaspersky~~ ~~Industrial~~
выявления ~~CyberSecurity~~отклонений ~~for~~в ~~Networks~~работе ~~(KICS~~промышленных ~~for~~объектов ~~Networks)~~до –того, ~~программный~~как ~~компонент~~эти отклонения станут представлять угрозу для ~~мониторинга~~производства;
~~технологической сети;~~
~~Kaspersky~~ ~~Industrial~~
повышения ~~CyberSecurity~~эффективности ~~for~~технологического ~~Nodes~~процесса, ~~(KICS~~продления ~~for~~срока ~~Nodes)~~службы –оборудования ~~программный~~и ~~компонент~~снижения ~~комплексной~~затрат ~~защиты~~не ~~конечных~~техническое ~~узлов~~обслуживание ~~под~~и ~~управлением~~ремонт;
~~ОС семейства Windows;~~
~~Kaspersky~~ ~~Industrial~~
выявления ~~CyberSecurity~~нетипичных ~~for~~действий ~~Linux~~сотрудников ~~Nodes~~и ~~(KICS~~программного ~~for~~обеспечения, ~~Linux~~выявления ~~Nodes)~~подозрительной –активности;
~~программный компонент комплексной защиты конечных узлов под управлением ОС семейства Linux;~~
~~Kaspersky~~ ~~Security~~
решения ~~Center~~специфических ~~(KSC)~~аналитических –задач, ~~программный~~таких ~~компонент~~как ~~централизованного~~аналитический ~~администрирования;~~

~~Kaspersky Endpoint Agent (KEA) – программный компонент, выполняющий функции EDR~~контроль и ~~агента~~предиктивный ~~сбора~~анализ.
~~телеметрии с конечных узлов.~~

Документация на ~~программные~~ПО ~~компоненты KICS~~MLAD доступна по ссылке: https://help.kaspersky.com.

Формат проведения пилотного проекта

Пилотный проект с использованием программного продукта Kaspersky MLAD может быть проведен в двух различных форматах по договоренности с Заказчиком:

Пилотный проект формата офлайн – проводится в офисе Исполнителя. Данные для обучения и проведения инференса предоставляются Заказчиком. Развертывание MLAD в инфраструктуре Заказчика не производится.

Пилотный проект формата онлайн – проводится Исполнителем с развертыванием Kaspersky MLAD в инфраструктуре Заказчика, с непосредственным подключением программного продукта к источнику данных. Данные для обучения предоставляются Заказчиком, в то время как инференс проводится на потоковых данных, получаемых их источника данных. Аппаратное и программное обеспечение для развертывания Kaspersky MLAD предоставляется Заказчиком (или другим участником пилотного проекта – по договоренности). Требования к программно-аппаратному обеспечению приведены в документации на ПО MLAD (https://help.kaspersky.com).

Этапы проведения пилотного проекта

В таблице ~~ниже~~6.1 приведены этапы пилотного проекта и их задачи.

Таблица 6.1 – Этапы пилотного проекта и их задачи

~~Этап~~

Этап
Задачи этапа ~~ссылки ссылки~~

Предварительный
~~Установочная встреча~~
этап
~~Проведение~~До ~~установочной~~начала ~~встречи~~проведения пилотного проекта Участники ознакомились с возможностями программного продукта Kaspersky MLAD и определили:

1. Цель проведения пилотного проекта.

2. Задачи, решаемые в рамках проведения пилотного проекта и критерии оценки успешности пилотного проекта.

3. Технологический процесс или единицы оборудования для проведения пилотного проекта.

4. Сроки проведения пилотного проекта.

5. Формат проведения пилотного проекта (онлайн/офлайн).

6. Для онлайн-формата – возможность удаленного подключения к инфраструктуре заказчика для разворачивания Kaspersky MLAD и его настройки.

7. Для онлайн-формата – протокол/API для подключения Kaspersky MLAD к источнику данных.

8. Участника пилотного проекта, ответственного за предоставление программно-аппаратного обеспечения для развертывания Kaspersky MLAD.

Установочная встреча участников пилотного ~~проекта.~~проекта

~~Ознакомление с программными компонентами~~ ~~KICS~~.

Определение ~~сотрудников,~~круга лиц, участвующих в пилотном проекте.

Определение участника пилотного проекта со стороны Исполнителя, ответственного за развертывание программного продукта MLAD в тестовой среде, обработку данных, создание и обучение моделей и подготовку отчета.

Определение участника пилотного проекта со стороны Заказчика, ответственного за взаимодействие с представителем Исполнителя в процессе проведения пилотного проекта, в т.ч. по вопросам передачи данных, обеспечения доступов, выделения аппаратного обеспечения и т.д.

Определение формата взаимодействия ~~сотрудников,~~участников ~~участвующих~~пилотного ~~в пилотном проекте:~~проекта: группа в одном из мессенджеров, электронная ~~почта и~~почта, др.

~~Определение~~
~~участника пилотного проекта, ответственного за внедрение программных компонентов~~ ~~KICS~~ ~~в тестовой среде промышленной инфраструктуры Заказчика.~~

Сбор
~~Определение~~исходных ~~тестовой среды~~
данных

Определение ~~тестовой среды~~Заказчиком (~~физической,~~с ~~виртуальной,~~привлечением ~~комбинированной)~~остальных вучастниками ~~промышленной~~пилотного ~~инфраструктуре~~проекта) ~~Заказчика.~~перечня ~~Для~~параметров ~~этого~~процесса, ~~следует заполнить на направить в адрес Вендора опросный лист, который расположен по ссылке:~~ ~~https://box.kaspersky.com/d/9c58d3bee371480bb477/~~

В качестве тестовой среды рекомендуется выбрать физический или виртуальный сегмент промышленной инфраструктуры Заказчика, в наибольшей мере удовлетворяющий следующим критериям:

·         наличие сетевых сегментов, сетевых узлов (АРМ, серверов, ПЛК и др.), сетевого оборудования (коммутаторы, маршрутизаторы и др.), программного обеспечения на узлах, характерных (наиболее часто применяемых)релевантных для ~~защищаемой~~решения ~~промышленной~~поставленных ~~инфраструктуры Заказчика;~~

·         отсутствие необходимости выполнения критически важных функций в промышленной инфраструктуре Заказчика во время реализациизадач пилотного проекта.

На данном этапе требуется привлечение со стороны Заказчика инженера-технолога или иного специалиста, который сможет на схемах/мнемокадрах АРМ объяснить технологический процесс, показать, какие теги являются ключевыми, как происходит регулирование техпроцесса, как быстро меняется процесс. Здесь же необходимо уточнить детали, связанные с решаемой задачей. Например, если решается задача аналитического контроля, то необходимо выяснить, в какое время берутся пробы, сколько делается анализ, как часто оператор регулирует параметры.

Предоставление Заказчиком массива исторических данных по соответствующим параметрам процесса, требуемых для создания, обучения и работы предиктивных моделей Kaspersky MLAD, в формате CSV или в формате Excel-таблиц.

Таблица должна содержать метки времени, имя тега и его значение. Отдельно для каждого тега должно быть предоставлено описание, размерность (опционально) и пороговые значения (опционально).

Предоставленная для обучения выборка исторических данных должна охватывать нормальный режим работы оборудования. Количество точек информации в предоставленных данных и их дискретность зависит от инертности выбранного для пилотного проекта технологического процесса. За ориентир можно взять историю за 2 месяца с частотой дискретизации в 1 минуту.

При проведении пилота в формате офлайн Заказчик также предоставляет выборку исторических данных, предназначенную для проведения инференса. Данная выборка должна позволить верифицировать результат работы предиктивных моделей Kaspersky MLAD. К примеру, это может быть выборка, содержащая аномалию, которую должен выявить Kaspersky MLAD в соответствии с поставленными задачами пилотного проекта.

Анализ, обработка и верификация предоставленных исторических данных Исполнителем. Подготовка данных для последующей загрузки в Kaspersky MLAD.

При проведении пилота в формате онлайн оптимальным способом является первоначальная установка, настройка, импорт данных, создание и обучение моделей в Kaspersky MLAD на локальном компьютере, после чего резервную копию настроенной локальной инсталляции можно развернуть на объекте.

Подготовка ~~Программы и методики испытаний (далее - ПМИ)~~

~~Разработка и согласование ПМИ.~~

~~ПМИ разрабатывается на основе~~ ~~типовой ПМИ~~, предоставляемой Вендором с учетом специфики промышленной инфраструктуры Заказчика и архитектуры возможного будущего внедрения программных компонентов ~~KICS~~.

~~Подготовка промышленной~~ инфраструктуры Заказчика к развертыванию тестовой среды

(при проведении пилота в формате онлайн)

Предоставление ~~доступа~~ответственной кстороной ~~выделенным~~программно-аппаратного ~~сегментам~~обеспечения ~~промышленной~~(далее ~~инфраструктуры Заказчика~~Сервер) для ~~внедрения~~разворачивания ~~программных~~Kaspersky ~~компонентов~~MLAD ~~KICS~~ в ~~тестовой~~инфраструктуре ~~среде.~~
заказчика.

Проверка того, что выбранное для проведения пилота оборудование удовлетворяет требованиям к аппаратному и программному обеспечению для установки программных компонентов ~~KICS~~.Kaspersky MLAD.

~~Примечание~~Предоставление –Исполнителю ~~всё~~всех ~~необходимое~~доступов к инфраструктуре Заказчика, необходимых для ~~пилота~~разворачивания ~~KICS~~и ~~for~~настройки ~~Networks~~Kaspersky ~~серверное~~MLAD.
~~оборудование~~
~~предоставляется~~
~~Партнёром/Дистрибутором~~
Обеспечение ~~или~~сетевого ~~Заказчиком.~~доступа Вот ~~отдельных~~Сервера ~~случаях,~~Kaspersky ~~возможно~~MLAD ~~выделение~~до ~~серверного~~источника ~~оборудования~~данных ~~Вендором.~~для получения потоковых данных.

Развертывание тестовой среды
(при проведении пилота в формате онлайн)

Предоставление тестовых (~~NFR~~)NFR) лицензий на срок не менее одного, но не более трех месяцев в объеме, необходимом для реализации тестовой среды.

~~Примечание:~~Данные лицензии ~~и программное обеспечение KICS~~ используются только для целей пилотного проекта.

Установка программных компонентов Kaspersky MLAD на предоставленный Сервер в инфраструктуре Заказчика (преднастроенная резервная копия или новая инсталляция).

Если разворачивается уже преднастроенная инсталляция, то после данного шага можно переходить непосредственно к настройке коннектора и подключению к источнику данных.

Создание перечня активов в Kaspersky MLAD в соответствии с перечнем тегов процесса, предоставленным Заказчиком.

Загрузка исторических данных в Kaspersky MLAD.

Создание необходимых разметок и моделей в Kaspersky MLAD.

Обучение созданных моделей на обучающей выборке исторических данных, верификация результатов обучения.

Создание и настройка коннектора в Kaspersky MLAD для подключения к источнику данных. Проверка работоспособности.

Развертывание тестовой среды

(при проведении пилота в формате офлайн)

ВПредоставление ~~соответствии~~тестовых с(NFR) ~~разработанной~~лицензий ~~архитектурой~~на срок не менее одного, но не более трех месяцев в объеме, необходимом для реализации тестовой ~~среды~~среды. ~~осуществляются~~Данные ~~(при~~лицензии ~~необходимости):~~используются только для целей пилотного проекта.

·
~~установка дополнительного серверного оборудования;~~

·     ~~настройка/изменение сетевой инфраструктуры;~~

·     ~~установка~~Установка программных компонентов ~~KICS~~Kaspersky наMLAD ~~оборудовании~~в ~~тестовой~~инфраструктуре ~~среды~~Исполнителя.

Создание перечня активов в Kaspersky MLAD в соответствии с ~~разработанной~~перечнем ~~архитектурой~~тегов ~~тестовой~~процесса, ~~среды.~~предоставленным Заказчиком.

Загрузка исторических данных в Kaspersky MLAD.

Создание необходимых разметок и моделей в Kaspersky MLAD.

Обучение созданных моделей на обучающей выборке исторических данных, верификация результатов обучения.

Проведение испытаний

(при проведении пилота в формате онлайн)

~~Проведение~~Запуск обученных моделей на потоковый инференс.

Накопление прогнозируемых данных в объеме, достаточном для демонстрации решения поставленных задач пилотного проекта.

Демонстрация результатов работы предиктивных моделей и решения поставленных задач пилотного проекта Заказчику.

Оформление результатов прохождения испытаний в ~~тестовой~~виде ~~среде~~итогового ~~в соответствии с ПМИ.~~отчета.

~~Если~~
возникает необходимость проведения дополнительных испытаний, то по согласованию со всеми организациями, принимающими участие в испытаниях, возможно дополнение перечня испытаний с внесением соответствующих изменений в ПМИ.

~~Результаты прохождения испытаний отражаются в Протоколе испытаний по форме, приведенной в ПМИ.~~

В случае возникновения у Заказчика замечаний к работе программных компонентов ~~KICS~~Kaspersky MLAD или прохождению испытаний, это также фиксируется в ~~Протоколе испытаний.~~

В случае выявления угроз безопасности информации в тестовой среде (наличие вирусов, несанкционированных узлов и соединений, несанкционированного доступа к сети Интернет и др.) в ходе развертывания тестовой среды и проведения испытаний, соответствующая информация незамедлительно передается сотрудникам Заказчикаотчете.

Проведение испытаний
(при проведении пилота в формате офлайн)

Запуск обученных моделей на исторический инференс с использованием тестовой выборки исторических данных, предоставленных Заказчиком.

Демонстрация результатов работы предиктивных моделей и решения поставленных задач пилотного проекта Заказчику.

Оформление результатов прохождения испытаний в виде итогового отчета.

В случае возникновения у Заказчика замечаний к работе программных компонентов Kaspersky MLAD или прохождению испытаний, это также фиксируется в отчете.

Решение проблем, возникших в ходе развертывания тестовой среды и проведения испытаний

Для устранения ошибок и сбоев в работе программных компонентов ~~KICS~~Kaspersky MLAD во время пилотного проекта используется следующая процедура:

· ~~Инженер внедрения~~Исполнитель предоставляет подробное описание проблемы Инженеру предпродажной поддержки Вендора;

· если Инженер предпродажной поддержки Вендора не может помочь с решением возникшей проблемы, то Инженер внедрения заводит кейс на портале поддержки Вендора (https://companyaccount.kaspersky.com/) и далее следует инструкциям инженеров технической поддержки в части сбора дополнительной информации об ошибке или сбое и выполнения действий в тестовой среде по их устранению.

Пилотная эксплуатация (при необходимости)

После развертывания тестовой среды, настройки программных компонентов ~~KICS~~Kaspersky MLAD и завершения испытаний по желанию Заказчика, ~~решение~~продукт может остаться в пилотной эксплуатации ~~на срок~~ до 2окончания ~~месяцев (срок~~срока действия ключей, выпущенных под пилотный ~~проект).~~проект. Если у Заказчика есть необходимость увеличить срок действия опытной эксплуатации, это обсуждается отдельно с Менеджером по развитию бизнеса ~~KICS~~Kaspersky MLAD Вендора.

Оценка результатов пилотного проекта

Организация сессии для ~~демонстрации и~~ оценки результатов пилотного проекта.

~~Согласование и подписание Протокола испытаний, определение~~Определение степени успешности пилотного проекта в соответствии споставленными ~~критериями,~~целями ~~указанными~~и ~~в ПМИ.~~задачами.

Согласование дальнейших шагов после завершения пилотного проекта.

Сбор обратной связи
Сбор Инженером предпродажной поддержки Вендора обратной связи от других участников пилотного проекта о вопросах, касающихся программных компонентов ~~KICS~~:Kaspersky MLAD:

·      процедура ~~развертывания;~~развертывания,

·      полнота ~~документации;~~документации,

·      неудобства и проблемы ~~эксплуатации;~~эксплуатации,

·      необходимость внедрения дополнительного функционала;

·      иные вопросы на усмотрение участников пилотного проекта.

Передача обратной связи также может осуществляться и на более ранних этапах пилотного проекта в формате.

Формат передачи обратной связи определяется по договоренности.

Полезные материалы и ссылки

В дополнение к перечисленным в документе материалам, могут быть полезны следующие ресурсы:

~~https://www.kaspersky.ru/enterprise-security/industrial-cybersecurity~~ ~~– сайт, посвященный KICS;~~

~~https://www.kaspersky.ru/enterprise-security/industrial-cybersecurity#certification~~ ~~– список сертификаций KICS;~~

~~https://ics-cert.kaspersky.ru~~ ~~– сайт Kaspersky ICS CERT;~~

https://mlad.kaspersky.com – сайт Kaspersky Machine Learning for Anomaly Detection;

https://www.kaspersky.ru/enterprise-security/industrial-cybersecurity – сайт, посвященный KICS;

https://www.kaspersky.ru/enterprise-security/industrial-cybersecurity#certification – список сертификаций KICS;

https://ics-cert.kaspersky.ru – сайт Kaspersky ICS CERT;

https://os.kaspersky.ru – сайт Kaspersky OS;

https://box.kaspersky.com/f/9a924f698b56405a93ce/ – обзор функциональности решения KICS for Networks;

https://www.kaspersky.ru/enterprise-security/industrial-cybersecurity/certification – сертификаты совместимости программных компонентов KICS с решениями промышленных вендоров;

https://support.kaspersky.ru/corporate/lifecycle – жизненный цикл программных продуктов АО «Лаборатория Касперского»;

https://support.kaspersky.ru/common/certificates – сертификаты ФСТЭК и ФСБ на программные продукты АО «Лаборатория Касперского»;

https://regulhub.kaspersky.ru – регуляторный хаб;

https://support.kaspersky.com/help – онлайн справка по продуктам;

https://locator.kaspersky.com – сертифицированные Партнёры;

https://box.kaspersky.com/d/1290ec9a671c4599bc58/ – ссылка на презентацию по решению KICS.