След прогресивното въвеждане първо на парадигми за виртуализация и след това въвеждане на cloud модели, архитектурите за внедряване на цифрови услуги постепенно се развиват от монолитни до адаптиращи се рамки, превръщащи се в микро услуги. Цялостната концепция се стреми към проектирането на самостоятелни сервизни единици, напълно отделени едни от други, проектирани в съответствие с принципа на „единична отговорност“, които могат да бъдат комбинирани чрез публични интерфейси. Характерът на такива елементарни компоненти позволява подмяната, дублирането или отстраняването на част от тях, без да бъде засегната работата на цялостната архитектура, следователно се изграждат „сервизни вериги“, които динамично се развиват по време на работата с изричния контрол на софтуерните инженери.
Въпреки тяхната еволюция, повечето рамки за киберсигурност все още разчитат на дискретни уреди, създадени да работят с наследени сървъри. Въпреки че регистрационните файлове, генерирани от такива инструменти, могат лесно да бъдат събирани, обобщени и разработени от събития за сигурност и системи за управление на информацията, целият процес изисква голяма човешка намеса за настройка и конфигуриране на всички компоненти, да не говорим за трудността при управление на техническите и административна хетерогенност, която е налице, когато са включени различни домейни.
Проектът GUARD има за цел да подобри съществуващия подход и да въведе нови парадигми за киберсигурност, които да отговарят по-добре на динамичния характер на съвременните цифрови услуги. В това отношение основната концепция е централизирана платформа, която използва локални функции за сигурност, вградени във всеки дигитален компонент (инфраструктури, софтуер). Следвайки някои общи тенденции в областта на софтуера, местните служби за сигурност могат да имат следните възможности под контрола на локална рамка за управление:
Мониторинг на регистрационни файлове и системни събития (включително информация и измервания, достъпни от псевдофайлова система като proc и sys в Linux);
Проверка на мрежовия трафик в различните OSI слоеве, от необработени пакети до съобщения за приложения (като HTTP, FTP, SOAP, DNS);
Проследяване на варианти за изпълнение и контрол, които могат да бъдат ограничени до системни повиквания и I / O повиквания, или да се разпрострат доmemory и registry dumps;
Засилване на правилата за защита в мрежовия и приложен слой (например чрез пакети въз основа на полета за IP заглавия, чрез блокиране на специфични съобщения за заявка на HTTP, чрез предотвратяване на достъп до файлове или периферни устройства).
Чрез ContextBroker се очаква централизираната платформа да открие всички цифрови услуги, участващи в дадена верига, да извлече техните възможности за сигурност и да събере набора от данни, необходими за захранване на набор от услуги за сигурност, които прилагат процеси за откриване, разследване на заплахи, усъвършенствана аналитика, оценка на уязвимостта и др. Очаква се администратор за сигурност да автоматизира реакцията, като се започне от прости рамки за управление на правилата и проправи пътя към по-модерни системи за разсъждения, които използват изкуствения интелект. Наличието на удобно за потребителя табло е необходимо за управлението на цялата система и за създаване на информираност на крайните потребители; в допълнение Cyber-ThreatIntelligenceExported / Importer трябва да премахне необходимостта от ръчни и податливи на грешки процедури за споделяне на информация. Налични са допълнителни блокове, за да се запази постоянното съхранение на данни и програми за проверка, които могат да бъдат инжектирани в местна среда.
Повече информация тук: https://guard-project.eu/2020/04/28/guard-architec...
