В университете стартовал проект по внедрению системы класса Endpoint Detection & Response (EDR), позволяющей обнаруживать и изучать вредоносную активность на конечных точках сети (компьютерах, серверах, устройствах IoT и т.д.). В отличие от антивирусов, задача которых – бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. EDR-система позволяет выявлять и классифицировать подозрительную активность, а также уведомлять службы безопасности о ней, предпринимать шаги по блокировке атаки – изолировать подозрительные файлы, останавливать вредоносные процессы, разрывать сетевые соединения.

EDR системы университета работают на специальных защищенных серверах и в реальном времени собирают сообщения о вторжениях со всех устройств университета. Тем не менее, чем больше корреляций между событиями безопасности необходимо отслеживать такой системе, тем выше нагрузка на выделенные серверы.

На помощь пришел суперкомпьютер НИУ ВШЭ. Он обладает высочайшей вычислительной производительностью и может в режиме реального времени обработать собранные данные. Сейчас проект находится в опытно-промышленной эксплуатации с целью выявления потребности в вычислительных ресурсах для будущего использования на серверах и рабочих станциях Вышки.

Перед Цифровым блоком стоит задача обеспечивать высокий уровень цифровой безопасности в университете. Мы решили привлечь к данному проекту коллег из отдела суперкомпьютерного моделирования. Для суперкомпьютера такая работа, конечно, не совсем специфична, однако при помощи системы Singularity, недавно развернутой на нем, удалось настроить контейнеризацию решения. По мере необходимости выполнения расширенного анализа на суперкомпьютере запускаются дополнительные модули EDR-решения, использующие для обработки событий 48 процессорных ядер.