Зроблено в Україні: Roota — мова для колективного кіберзахисту з відкритим кодом
Хакери можуть вільно обмінюватися одне з одним знаннями про кібервразливості на майданчиках в даркнеті, тоді як у кіберзахисників такі можливості обмежені — насамперед, з міркувань безпеки. Тож кіберспеціалісти опиняються на крок позаду зловмисників: вони змушені реагувати на загрози замість того, аби їх попереджувати. Проте, щоб не стати жертвою кібератаки, варто бути проактивним.
Розв’язати цю проблему допомагає колективний кіберзахист: як тільки один учасник ринку стикається з новою загрозою, інші кіберфахівці також отримують інформацію про неї, разом створюють методи захисту та поширюють правила детектування. Щоб ця концепція працювала, індустрії потрібна уніфікована мова для ведення бази знань сценаріїв виявлення загроз.
Саме для цього в компанії SOC Prime створили мову Roota — універсальну опенсорсну мову для колективного кіберзахисту, що дозволяє миттєво перекладати алгоритми детектування загроз у будь-яку нативну мову комплексних систем виявлення загроз, наприклад, SIEM, EDR, XDR чи Data Lake.
У блозі фахівці SOC Prime розповіли, чим Roota відрізняється від інших мов, як міжнародна кіберспільнота відреагувала на нову технологію та як українська розробка змінює правила гри у світовому кіберзахисті.
Як виникла потреба у новій мові для кіберзахисту
Програмне забезпечення з кіберзахисту розробляють багато компаній, і кожна з них користується своєю внутрішньою мовою для опису та детектування загроз. Це створює бар’єри для кіберспеціалістів: їм потрібно опановувати в середньому 5 із більше ніж сотні різних технологій, аби ефективно працювати з різними системами.
Тому створення універсальної мови — не нова ідея для кіберзахисту. Наприклад, коли основну загрозу становили віруси на базі файлів, з’явилася мова Yara (VirusTotal, Google). Потім виникла мова Snort (Sourcefire, Cisco), яка описувала мережеві способи знаходження загроз — але досить складні та вузькоспеціалізовані. З 2016 року трендом індустрії стала опенсорсна мова Sigma — справді універсальний і простий інструмент, але у цьому ж полягає його основний недолік.
СТО компанії Олександр Бредіхін додає, що водночас їхня команда отримувала багато запитів від клієнтів про допомогу з мігруванням аналітичного контенту на нові SIEM- та EDR-платформи. Для цього потрібно перекладати правила та запити з однієї нативної мови на іншу, що потребує постійного пошуку та найму фахівців з цих технологій.
Що таке Roota та як її розробляли
Над створенням нової мови працювали топові кіберспеціалісти SOC Prime: Руслан Міхальов, Роман Ранський, Адам Свон, Андрій Безверхий та Олександр Бредіхін. Фідбек збирався командою понад 7 років, концепцію продумували з 2021 року, після залучення інвестицій. Завдяки підготовці та плануванню сама розробка логіки мови тривала кілька місяців, реліз відбувся у листопаді 2023 року.
За його словами, логічна частина правила може бути написана будь-якою іншою мовою платформ SIEM, EDR, XDR чи Data Lake, яку знає фахівець з кібербезпеки. Зараз Roota підтримує 10 таких мов, але найближчим часом їх стане в рази більше. Водночас якщо спеціаліст знає одну з цих мов, то для опанування Roota вистачить однієї-двох годин. Для цього достатньо прочитати відкриту специфікацію на GitHub.
Щоб придумати назву мови, СЕО SOC Prime Андрій Безверхий попросив всіх співробітників запропонувати свій варіант у корпоративному чаті. Одна з вимог — це мало бути українське слово.
Логотипом нової технології стала червона квітка рути. Як зізнається команда SOC Prime, на презентаціях Roota іноземці дуже радо сприймають український контекст, із цікавістю слухають легенду. Тож, окрім внеску до колективного кіберзахисту, розробка компанії ще й популяризує українську культуру.
Як перекладач Uncoder спрощує роботу кіберфахівців
Uncoder IO — інтегроване середовище розробки (IDE) для створення алгоритмів детектування та їх перекладу. Це опенсорсний інструмент від SOC Prime, запущений 2018 року. Раніше він перекладав Sigma-правила в нативну мову SIEM-платформи, але з появою Roota його функціональність повністю оновили.
Зокрема оновлений Uncoder перекладає індикатори компрометації: IP-адреси, emails, посилання, хеші файлів та інші артефакти атак в оптимізовані пошукові запити для пошуку слідів атак в SIEM, EDR, XDR та Data Lake технологіях. Зазвичай відповідні державні установи з кіберзахисту надають ці дані у звітах про кібератаку. За допомогою Uncoder будь-хто може просто скопіювати цей текст, вставити до перекладача та отримати повноцінні запити, готові для проведення пошуку слідів атаки у своїй платформі. У такий спосіб вистачить кількох секунд, аби дізнатися, чи була організація атакована, звісно, за наявності потрібної телеметрії. Раніше, без автоматизації, на це йшли години, і такі задачі виконувалися експертами. Тепер є можливість залучати для допомоги з такою щоденною задачею новачків та непрофільних спеціалістів.
Як зазначає СЕО SOC Prime Андрій Безверхий, завдяки Roota перекладач Uncoder став повністю універсальним перекладачем. Відтепер кіберзахисникам не потрібно витрачати роки на вивчення нових нативних мов, які досить швидко втрачають свою популярність. Якщо фахівець знає одну — він знає усі, адже Uncoder повною мірою забезпечує переклад. Це дозволяє компаніям економити час і гроші, а спеціалістам фокусуватися на виявленні та протидії кібератакам і завжди мати актуальні навички для підвищення кар’єрного зросту.
Ще одна корисна надбудова Uncoder — AI co-pilot, випущений у травні 2023 року, який є частиною SaaS-платформи SOC Prime. Uncoder AI виконує функцію другого пілота для фахівців з кібербезпеки, Detection Engineers та Threat Hunters. На сьогодні він підтримує миттєвий переклад коду 65 форматів для 45 SIEM, EDR, XDR та Data Lake технологій. В основі та сама технологія, що й опенсорсна версія, але за допомогою SaaS, Uncoder AI використовує набори мовних даних, технології ШІ та централізованого обміну для отримання релевантних метаданих та контексту кіберзагроз. Він надає змогу створювати алгоритми детектування кіберзагроз без синтаксичних помилок, генерувати, розширювати та оптимізувати код, легко обмінюватися ним у захищеному приватному середовищі.
Як кіберспільнота сприймає розробки SOC Prime
Roota та Uncoder — проєкти з відкритим кодом, доступі на GitHub. Як пояснює Віктор Гребенюк, вибір на користь опенсорсу — це один з елементів створення колективного кіберзахисту. У такий спосіб компанія залучає спільноту до розробки, а також отримує зворотний зв’язок і покращує продукт. Наприклад, користувачі пропонують додавати нові функції для перекладів з однієї мови на іншу — і команда це робить.
Водночас розробники наголошують, що Uncoder — повністю приватний інструмент, який не збирає жодних даних користувачів. Зокрема через те, що вебверсія навіть не збирає cookies, неможливо порахувати будь-яку статистику використання перекладача. Проте відгуки та публікації у соцмережах свідчать: щоденно продуктом користуються тисячі спеціалістів.
Uncoder AI збирає технічні та статистичні дані у межах GDPR. Тому відомо, що з червня 2023 року інструментом скористалися 10 000 унікальних користувачів та понад 2000 унікальних компаній зі 120 країн світу.
Що далі: плани та перспективи
У планах SOC Prime — розширювати кількість платформ, які підтримують Roota та Uncoder, вдосконалювати якість перекладів і додавати нові функції для автоматизації щоденної роботи кіберспеціалістів.
Андрій Безверхий додає, що у компанії почали працювати з LLM: тренують опенсорсні моделі на своїх датасетах. У перспективі це дозволить генерувати алгоритми з опису загроз, взагалі не знаючи жодної з мов кібербезпеки.