MLAD PoC Guide
Принятые термины и сокращения
ЭтотMLAD гайд– Machine Learning for Anomaly detection
API – программный интерфейс приложения
ПМИ – программа и методика испытаний
ML – машинное обучение (machine learning)
Инференс – использование обученной модели ML на новых данных
Назначение и область применения
Настоящий документ описывает общий порядок проведения пилотных проектов программныхпрограммного компонентовпродукта Kaspersky IndustrialMachine CyberSecurityLearning for Anomaly Detection (KICS)далее - MLAD).
В частных случаях порядок пилотного проекта может быть адаптирован или изменён по договоренности между участниками пилотного проекта.
Участники пилотного проекта
В пилотном проекте могут принимать участие следующие организации:
-
Заказчик - организация,
навобъектахинфраструктуре или с использованием данных которой устанавливается решениеKICSMLAD в рамках пилотного проекта. -
Исполнитель – организация, ответственная за проведение пилотного проекта в инфраструктуре или на данных Заказчика.
-
Вендор - АО «Лаборатория Касперского». Со стороны Вендора в пилотном проекте принимают участие следующие сотрудники:
-
Инженер предпродажной поддержки
Сотрудник,- сотрудник, представляющий техническую экспертизу по решению KICS,MLAD, техническую поддержку инженеров внедрения со стороны Партнёра или Дистрибутора (при наличии), а также осуществляющий внедрение программных компонентов KICSMLAD в рамках пилотного проекта в случае отсутствия Партнёра и ДистрибутораДистрибутора;
Архитектор
Сотрудник,Архитектор – сотрудник, представляющий техническую экспертизу по решению KICSMLAD и других программных продуктов Вендора, а также организовывающий взаимодействие с участниками пилотного проекта со стороны Вендора (организация встреч, совещаний и иных взаимодействий в рамках пилотного проекта и внедрения программных продуктов Вендора);
Менеджер по развитию бизнеса KICS
MLAD Сотрудник,- сотрудник, предоставляющий консультацию по всем иным вопросам, касающимся пилотного проекта и внедрения программных компонентов KICSMLAD в промышленной инфраструктуре Заказчика, за исключением технических вопросоввопросов;
Менеджер по работе с ключевыми клиентами
Сотрудник,- сотрудник, отвечающий за управление взаимоотношениями с ЗаказчикомЗаказчиком.
-
необходимости)Также к пилотному проекту ПРИ НЕОБХОДИМОСТИ могут быть привлеченыПартнерПартнёри(приДистрибутор-ПартнёрОрганизация,организация, которая участвует в пилотном проекте в роли инженера внедрения, разработчика документации и/или предоставляет необходимое оборудование. Со стороны Партнёра участие в пилотном проекте принимает инженер внедрения - Сотрудник Партнёра, отвечающий за развертываниеKICSMLAD в тестовой среде на объекте Заказчика. Необходимость участия Партнёра в пилотном проекте определяется Заказчиком. Партнер определяется Заказчиком.Перечень организаций, имеющих специализацию “Industrial CyberSecurity” у Вендора, представлен по данной ссылке. -
Организация,Дистрибутор (при необходимости) - организация, которая участвует в роли инженера внедрения, разработчика документации и/или предоставляет необходимое оборудование. Со стороныПартнёраДистрибутора участие в пилотном проекте принимает инженер внедрения - СотрудникПартнёра,Дистрибутора, отвечающий за развертываниеKICSMLAD в тестовой среде на объекте Заказчика. Дистрибутор участвует в пилотном проекте совместно с Партнёром или при отсутствии Партнёра. Необходимость участия Дистрибутора в пилотном проекте определяется Заказчиком.
Дистрибутор
Описание решения Kaspersky Industrial CyberSecurity (KICS)MLAD
Kaspersky IndustrialMachine CyberSecurityLearning for Anomaly Detection (KICS)MLAD) — это комплекспрограммный решений,продукт, созданныхпредназначенный для защитывыявления различныханомалий уровнейв промышленнойработе инфраструктурыпромышленного оборудования.
MLAD предназначен для одновременного наблюдения за большим количеством параметров телеметрии и другихавтоматического элементованализа предприятия,данных вс том числе серверов SCADA, операторских панелей, инженерных рабочих станций, сетевых устройств, программируемых логических контроллеров.
Программные компоненты KICS включают в себя:целью:
KasperskyIndustrialвыявления
CyberSecurityотклоненийforвNetworksработе(KICSпромышленныхforобъектовNetworks)до–того,программныйкаккомпонентэти отклонения станут представлять угрозу длямониторингапроизводства;технологической сети;KasperskyIndustrialповышения
CyberSecurityэффективностиforтехнологическогоNodesпроцесса,(KICSпродленияforсрокаNodes)службы–оборудованияпрограммныйикомпонентснижениякомплекснойзатратзащитынеконечныхтехническоеузловобслуживаниеподиуправлениемремонт;ОС семейства Windows;KasperskyIndustrialвыявления
CyberSecurityнетипичныхforдействийLinuxсотрудниковNodesи(KICSпрограммногоforобеспечения,LinuxвыявленияNodes)подозрительной–активности;программный компонент комплексной защиты конечных узлов под управлением ОС семейства Linux;KasperskySecurityрешения
Centerспецифических(KSC)аналитических–задач,программныйтакихкомпоненткакцентрализованногоаналитическийадминистрирования;Kaspersky Endpoint Agent (KEA) – программный компонент, выполняющий функции EDRконтроль иагентапредиктивныйсбораанализ.телеметрии с конечных узлов.
Документация на программныеПО компоненты KICSMLAD доступна по ссылке: https://help.kaspersky.com.
Формат проведения пилотного проекта
Пилотный проект с использованием программного продукта Kaspersky MLAD может быть проведен в двух различных форматах по договоренности с Заказчиком:
Пилотный проект формата офлайн – проводится в офисе Исполнителя. Данные для обучения и проведения инференса предоставляются Заказчиком. Развертывание MLAD в инфраструктуре Заказчика не производится.
Пилотный проект формата онлайн – проводится Исполнителем с развертыванием Kaspersky MLAD в инфраструктуре Заказчика, с непосредственным подключением программного продукта к источнику данных. Данные для обучения предоставляются Заказчиком, в то время как инференс проводится на потоковых данных, получаемых их источника данных. Аппаратное и программное обеспечение для развертывания Kaspersky MLAD предоставляется Заказчиком (или другим участником пилотного проекта – по договоренности). Требования к программно-аппаратному обеспечению приведены в документации на ПО MLAD (https://help.kaspersky.com).
Этапы проведения пилотного проекта
В таблице ниже6.1 приведены этапы пилотного проекта и их задачи.
| Этап |
|
||
|---|---|---|---|
| Предварительный
|
1. Цель проведения пилотного проекта. 2. Задачи, решаемые в рамках проведения пилотного проекта и критерии оценки успешности пилотного проекта. 3. Технологический процесс или единицы оборудования для проведения пилотного проекта. 4. Сроки проведения пилотного проекта. 5. Формат проведения пилотного проекта (онлайн/офлайн). 6. Для онлайн-формата – возможность удаленного подключения к инфраструктуре заказчика для разворачивания Kaspersky MLAD и его настройки. 7. Для онлайн-формата – протокол/API для подключения Kaspersky MLAD к источнику данных. 8. Участника пилотного проекта, ответственного за предоставление программно-аппаратного обеспечения для развертывания Kaspersky MLAD. |
||
| Установочная встреча участников пилотного |
|
||
| Сбор
|
На данном этапе требуется привлечение со стороны Заказчика инженера-технолога или иного специалиста, который сможет на схемах/мнемокадрах АРМ объяснить технологический процесс, показать, какие теги являются ключевыми, как происходит регулирование техпроцесса, как быстро меняется процесс. Здесь же необходимо уточнить детали, связанные с решаемой задачей. Например, если решается задача аналитического контроля, то необходимо выяснить, в какое время берутся пробы, сколько делается анализ, как часто оператор регулирует параметры.
Таблица должна содержать метки времени, имя тега и его значение. Отдельно для каждого тега должно быть предоставлено описание, размерность (опционально) и пороговые значения (опционально). Предоставленная для обучения выборка исторических данных должна охватывать нормальный режим работы оборудования. Количество точек информации в предоставленных данных и их дискретность зависит от инертности выбранного для пилотного проекта технологического процесса. За ориентир можно взять историю за 2 месяца с частотой дискретизации в 1 минуту.
|
||
Подготовка |
| ||
(при проведении пилота в формате онлайн) |
| ||
Проверка того, что выбранное для проведения пилота оборудование удовлетворяет требованиям к аппаратному и программному обеспечению для установки программных компонентов
Обеспечение |
|||
| Развертывание тестовой среды (при проведении пилота в формате онлайн) |
Если разворачивается уже преднастроенная инсталляция, то после данного шага можно переходить непосредственно к настройке коннектора и подключению к источнику данных.
|
||
Развертывание тестовой среды (при проведении пилота в формате офлайн) |
|
||
Проведение испытаний (при проведении пилота в формате онлайн) |
В случае возникновения у Заказчика замечаний к работе программных компонентов
|
||
| Проведение испытаний (при проведении пилота в формате офлайн) |
В случае возникновения у Заказчика замечаний к работе программных компонентов Kaspersky MLAD или прохождению испытаний, это также фиксируется в отчете. |
||
| Решение проблем, возникших в ходе развертывания тестовой среды и проведения испытаний |
Для устранения ошибок и сбоев в работе программных компонентов
|
||
Пилотная эксплуатация (при необходимости) |
После развертывания тестовой среды, настройки программных компонентов |
||
Оценка результатов пилотного проекта |
|
||
| Сбор обратной связи |
Сбор Инженером предпродажной поддержки Вендора обратной связи от других участников пилотного проекта о вопросах, касающихся программных компонентов
Передача обратной связи также может осуществляться и на более ранних этапах пилотного проекта в формате. Формат передачи обратной связи определяется по договоренности. |
Полезные материалы и ссылки
В дополнение к перечисленным в документе материалам, могут быть полезны следующие ресурсы:
https://www.kaspersky.ru/enterprise-security/industrial-cybersecurity– сайт, посвященный KICS;https://www.kaspersky.ru/enterprise-security/industrial-cybersecurity#certification– список сертификаций KICS;https://ics-cert.kaspersky.ru– сайт Kaspersky ICS CERT;https://mlad.kaspersky.com – сайт Kaspersky Machine Learning for Anomaly Detection;
-
https://www.kaspersky.ru/enterprise-security/industrial-cybersecurity – сайт, посвященный KICS;
-
https://www.kaspersky.ru/enterprise-security/industrial-cybersecurity#certification – список сертификаций KICS;
-
https://ics-cert.kaspersky.ru – сайт Kaspersky ICS CERT;
-
https://os.kaspersky.ru – сайт Kaspersky OS;
-
https://box.kaspersky.com/f/9a924f698b56405a93ce/ – обзор функциональности решения KICS for Networks;
-
https://www.kaspersky.ru/enterprise-security/industrial-cybersecurity/certification – сертификаты совместимости программных компонентов KICS с решениями промышленных вендоров;
-
https://support.kaspersky.ru/corporate/lifecycle – жизненный цикл программных продуктов АО «Лаборатория Касперского»;
-
https://support.kaspersky.ru/common/certificates – сертификаты ФСТЭК и ФСБ на программные продукты АО «Лаборатория Касперского»;
-
https://regulhub.kaspersky.ru – регуляторный хаб;
-
https://support.kaspersky.com/help – онлайн справка по продуктам;
-
https://locator.kaspersky.com – сертифицированные Партнёры;
-
https://box.kaspersky.com/d/1290ec9a671c4599bc58/ – ссылка на презентацию по решению KICS.