Зроблено в Україні: Roota — мова для колективного кіберзахисту з відкритим кодом

Хакери можуть вільно обмінюватися одне з одним знаннями про кібервразливості на майданчиках в даркнеті, тоді як у кіберзахисників такі можливості обмежені — насамперед, з міркувань безпеки. Тож кіберспеціалісти опиняються на крок позаду зловмисників: вони змушені реагувати на загрози замість того, аби їх попереджувати. Проте, щоб не стати жертвою кібератаки, варто бути проактивним. 

Розв’язати цю проблему допомагає колективний кіберзахист: як тільки один учасник ринку стикається з новою загрозою, інші кіберфахівці також отримують інформацію про неї, разом створюють методи захисту та поширюють правила детектування. Щоб ця концепція працювала, індустрії потрібна уніфікована мова для ведення бази знань сценаріїв виявлення загроз.

Саме для цього в компанії SOC Prime створили мову Roota — універсальну опенсорсну мову для колективного кіберзахисту, що дозволяє миттєво перекладати алгоритми детектування загроз у будь-яку нативну мову комплексних систем виявлення загроз, наприклад, SIEM, EDR, XDR чи Data Lake. 

У блозі фахівці SOC Prime розповіли, чим Roota відрізняється від інших мов, як міжнародна кіберспільнота відреагувала на нову технологію та як українська розробка змінює правила гри у світовому кіберзахисті.

Як виникла потреба у новій мові для кіберзахисту

Програмне забезпечення з кіберзахисту розробляють багато компаній, і кожна з них користується своєю внутрішньою мовою для опису та детектування загроз. Це створює бар’єри для кіберспеціалістів: їм потрібно опановувати в середньому 5 із більше ніж сотні різних технологій, аби ефективно працювати з різними системами. 

Тому створення універсальної мови — не нова ідея для кіберзахисту. Наприклад, коли основну загрозу становили віруси на базі файлів, з’явилася мова Yara (VirusTotal, Google). Потім виникла мова Snort (Sourcefire, Cisco), яка описувала мережеві способи знаходження загроз — але досить складні та вузькоспеціалізовані. З 2016 року трендом індустрії стала опенсорсна мова Sigma — справді універсальний і простий інструмент, але у цьому ж полягає його основний недолік.

«Sigma — певною мірою обмежена у можливостях. Від початку вона підтримувала лише дві технології — Elastic і Splunk. Ми в SOC Prime доєдналися до спільноти розробників Sigma у 2017, створивши Sigma бекенди для таких технологій як ArcSight, QRadar та Qualys. Протягом останніх шести років, члени команди SOC Prime були активними учасниками Sigma-спільноти, продовжуючи додавати нові бекенди (наразі підтримується 45 технологій) та створюючи правила детектування загроз. Проте ми повсякчас чули від клієнтів, що їм недостатньо лише Sigma для комплексного кіберзахисту», — пояснює СЕО SOC Prime Андрій Безверхий.

СТО компанії Олександр Бредіхін додає, що водночас їхня команда отримувала багато запитів від клієнтів про допомогу з мігруванням аналітичного контенту на нові SIEM- та EDR-платформи. Для цього потрібно перекладати правила та запити з однієї нативної мови на іншу, що потребує постійного пошуку та найму фахівців з цих технологій.

«Відтак у нас народилася ідея зробити свою мову, яка буде такою ж універсальною, як Sigma, і зможе оптимізувати завдання постійного перекладу між різними мовами. Проте вона має працювати не тільки з однорівневими правилами на кшталт сигнатур, а й зі складнішими алгоритмами — у такий спосіб ми можемо надати спільноті потужний інструмент для реагування на інциденти та атрибуції кібератак», — розповідає Олександр Бредіхін.

Що таке Roota та як її розробляли

Над створенням нової мови працювали топові кіберспеціалісти SOC Prime: Руслан Міхальов, Роман Ранський, Адам Свон, Андрій Безверхий та Олександр Бредіхін. Фідбек збирався командою понад 7 років, концепцію продумували з 2021 року, після залучення інвестицій. Завдяки підготовці та плануванню сама розробка логіки мови тривала кілька місяців, реліз відбувся у листопаді 2023 року.

«Якщо уявити алгоритми пошуку даних, описані нативною мовою, які підтверджують наявність підозрілої кіберактивності, як атом, тоді, структурно, Roota виступає молекулою, яка може обʼєднувати в собі різні атоми, досягаючи нових властивостей. Звʼязки між молекулами формуються завдяки MITRE ATT&CK, яка, своєю чергою, збудована на доказовій базі попередньо відомих та вивчених кібератак. Такі звʼязки, наче формула, описують конкретні техніки атак, програми, які в них використовуються, атрибути тих, хто ці атаки проводить. Технічно Roota містить усі необхідні поля для даних, які потрібні для опису загрози та методів її виявлення: метаінформація, тегування за різними типами атак, дані з MITRE ATT&CK, таксономії Sigma та Amazon OCSF, за таймлайном для інтеграції з роботою платформ Threat Intelligence, які використовують у CERT-ах, сценарії автоматичної протидії атакам. Завдяки цьому один спеціаліст може швидко описати, а інший зрозуміти весь контекст атаки, не розголошуючи сенситивних даних», — зазначає СТО SOC Prime Олександр Бредіхін. 

За його словами, логічна частина правила може бути написана будь-якою іншою мовою платформ SIEM, EDR, XDR чи Data Lake, яку знає фахівець з кібербезпеки. Зараз Roota підтримує 10 таких мов, але найближчим часом їх стане в рази більше. Водночас якщо спеціаліст знає одну з цих мов, то для опанування Roota вистачить однієї-двох годин. Для цього достатньо прочитати відкриту специфікацію на GitHub.

Щоб придумати назву мови, СЕО SOC Prime Андрій Безверхий попросив всіх співробітників запропонувати свій варіант у корпоративному чаті. Одна з вимог — це мало бути українське слово. 

«Цей чат був чи не найактивніший за весь час існування компанії! Зрештою після довгих та бурхливих дискусій ми зупинилися на Roota. Українська легенда про червону руту розповідає про пошук кохання та удачі. Якщо спроєктувати це на нашу діяльність, ми віримо, що місія Roota покликана змінити на краще галузь кібербезпеки, якій дещо бракує узгодженості та знайти успішні можливості для злагодженої співпраці кіберзахисників у виявленні загроз», — ділиться Олександр Бредіхін.

Логотипом нової технології стала червона квітка рути. Як зізнається команда SOC Prime, на презентаціях Roota іноземці дуже радо сприймають український контекст, із цікавістю слухають легенду. Тож, окрім внеску до колективного кіберзахисту, розробка компанії ще й популяризує українську культуру.

Як перекладач Uncoder спрощує роботу кіберфахівців

Uncoder IO — інтегроване середовище розробки (IDE) для створення алгоритмів детектування та їх перекладу. Це опенсорсний інструмент від SOC Prime, запущений 2018 року. Раніше він перекладав Sigma-правила в нативну мову SIEM-платформи, але з появою Roota його функціональність повністю оновили.

«Зараз Uncoder може перекладати запити та правила з однієї нативної мови на іншу через Roota. Ми з нуля переписали алгоритми для кращої конвертації — йшли шляхом спроб і помилок, поки не знайшли оптимальну архітектуру. Проте тепер можемо додавати підтримку нових платформ, не витрачаючи багато часу і реалізовуючи складнішу логіку», — пояснює Віктор Гребенюк, Backend Team Lead у SOC Prime, який очолює проєкт з розробки Uncoder.

Зокрема оновлений Uncoder перекладає індикатори компрометації: IP-адреси, emails, посилання, хеші файлів та інші артефакти атак в оптимізовані пошукові запити для пошуку слідів атак в SIEM, EDR, XDR та Data Lake технологіях. Зазвичай відповідні державні установи з кіберзахисту надають ці дані у звітах про кібератаку. За допомогою Uncoder будь-хто може просто скопіювати цей текст, вставити до перекладача та отримати повноцінні запити, готові для проведення пошуку слідів атаки у своїй платформі. У такий спосіб вистачить кількох секунд, аби дізнатися, чи була організація атакована, звісно, за наявності потрібної телеметрії. Раніше, без автоматизації, на це йшли години, і такі задачі виконувалися експертами. Тепер є можливість залучати для допомоги з такою щоденною задачею новачків та непрофільних спеціалістів.

Як зазначає СЕО SOC Prime Андрій Безверхий, завдяки Roota перекладач Uncoder став повністю універсальним перекладачем. Відтепер кіберзахисникам не потрібно витрачати роки на вивчення нових нативних мов, які досить швидко втрачають свою популярність. Якщо фахівець знає одну — він знає усі, адже Uncoder повною мірою забезпечує переклад. Це дозволяє компаніям економити час і гроші, а спеціалістам фокусуватися на виявленні та протидії кібератакам і завжди мати актуальні навички для підвищення кар’єрного зросту.

Ще одна корисна надбудова Uncoder — AI co-pilot, випущений у травні 2023 року, який є частиною SaaS-платформи SOC Prime. Uncoder AI виконує функцію другого пілота для фахівців з кібербезпеки, Detection Engineers та Threat Hunters. На сьогодні він підтримує миттєвий переклад коду 65 форматів для 45 SIEM, EDR, XDR та Data Lake технологій. В основі та сама технологія, що й опенсорсна версія, але за допомогою SaaS, Uncoder AI використовує набори мовних даних, технології ШІ та централізованого обміну для отримання релевантних метаданих та контексту кіберзагроз. Він надає змогу створювати алгоритми детектування кіберзагроз без синтаксичних помилок, генерувати, розширювати та оптимізувати код, легко обмінюватися ним у захищеному приватному середовищі.

Як кіберспільнота сприймає розробки SOC Prime

Roota та Uncoder — проєкти з відкритим кодом, доступі на GitHub. Як пояснює Віктор Гребенюк, вибір на користь опенсорсу — це один з елементів створення колективного кіберзахисту. У такий спосіб компанія залучає спільноту до розробки, а також отримує зворотний зв’язок і покращує продукт. Наприклад, користувачі пропонують додавати нові функції для перекладів з однієї мови на іншу — і команда це робить.

«До того ж не у всіх кіберфахівців є можливість користуватися вебверсією — наприклад, державний сектор не може це робити з міркувань безпеки. Тож завдяки відкритому коду вони можуть встановити Uncoder у захищеному середовищі», — розповідає Андрій Безверхий.

Водночас розробники наголошують, що Uncoder — повністю приватний інструмент, який не збирає жодних даних користувачів. Зокрема через те, що вебверсія навіть не збирає cookies, неможливо порахувати будь-яку статистику використання перекладача. Проте відгуки та публікації у соцмережах свідчать: щоденно продуктом користуються тисячі спеціалістів.

Uncoder AI збирає технічні та статистичні дані у межах GDPR. Тому відомо, що з червня 2023 року інструментом скористалися 10 000 унікальних користувачів та понад 2000 унікальних компаній зі 120 країн світу.

«Спільнота сприйняла із захватом і появу Roota. Менш ніж за три тижні з дати релізу 3200 спеціалістів із кібербезпеки з понад 90 країн відвідали офіційну сторінку Roota.io. Крім цього, публікація анонсу мови зібрала понад 60 000 переглядів у Х (Twitter) та близько 70 000 у LinkedIn. Ми не очікували, що рівень цікавості буде настільки великим! Але тішимося цим і радо спілкуємося з користувачами та відповідаємо на їхні запитання у нашій Discord-спільноті», — ділиться Олександр Бредіхін.

Що далі: плани та перспективи

У планах SOC Prime — розширювати кількість платформ, які підтримують Roota та Uncoder, вдосконалювати якість перекладів і додавати нові функції для автоматизації щоденної роботи кіберспеціалістів.

«Також будемо розвивати нашу програму Threat Bounty, у межах якої ми запрошуємо кіберфахівців ділитися з нами своїм аналітичним контентом, як-от правилами для знаходження загроз, та отримувати за це винагороду. Зараз у нас понад 640 учасників. До появи Roota вони надавали свої правила у форматі Sigma, а тепер це можна робити будь-якою нативною мовою, що значно спрощує поріг входу», — розповідає Олександр Бредіхін.

Андрій Безверхий додає, що у компанії почали працювати з LLM: тренують опенсорсні моделі на своїх датасетах. У перспективі це дозволить генерувати алгоритми з опису загроз, взагалі не знаючи жодної з мов кібербезпеки.

«Наприклад, людина робить запит на кшталт «знайти всі кібератаки від APT28 за 30 днів» — й отримує необхідні нові поведінкові алгоритми, пакет наявних правил з контекстом від CERT та відібрані набори індикаторів. У такий спосіб будь-хто, залучений до кіберзахисту, може швидко виконати початкову атрибуцію атаки, а спеціалісти відповідних державних установ — ініціювати процес обміну інформацією та прискорення санкцій щодо кібертерористів. Ми очікуємо, що за рік впровадимо таку технологію і зможемо разом зі спільнотою робити світовий кіберпростір безпечнішим», — наголошує СЕО SOC Prime.