V Brně se už delší dobu daří firmám z oblasti kybernetické bezpečnosti. Ekosystém se postupně rozrůstá a nabaluje na sebe další nové projekty. Odlupují se například ze skupiny Cleverlance a jeho podniku AEC. Už jsme psali o firmě GreyCortex, do které po vyčlenění investoval 1,3 milionu dolarů rovněž brněnský Y Soft Ventures. Nyní jde na trh společnost ThreatMark a ambice má rovněž slušné.
ThreatMark se začal formovat zhruba před rokem a půl. Stojí za ním tři spoluzakladatelé Michal Tresner, Kryštof Hilar a Jan Guzanič, kteří vedle spolupráce s AEC dělali také například pro KBC Bank, ČSOB, ING či Deloitte. „Jsme penetrační testeři, v kariéře jsme se točili kolem white hackingu,“ popisuje pro Lupu Guzanič.
Se zkušenostmi ze světa korporátní a bankovní kyberbezpečnosti vstupují do oblasti, která pro hackery a kybernetické kriminálníky v současné době patří mezi ty nejlukrativnější, a sice online bankovní účty běžných zákazníků. Jak známo, přístup k nim je možné získat mnoha způsoby, třeba phishingem. Celková suma ukradených financí každoročně roste o desítky procent, celosvětově jde i o miliardy dolarů.
Odhalování kyberkriminálníků pomocí AI
„Tento problém roste rychleji, než jak ho technologie umí řešit,“ říká Guzanič. Brněnská společnost proto dělá na systému, který spadá do kategorie Fraud Prevention jako služba (FPaaS) a slouží k tomu, aby v reálném čase rozpoznal legitimního majitele bankovního účtu od útočníka.
Základní princip služby stojí na tom, že si banka do svého online bankovnictví vloží kousek kódu napsaného v JavaScriptu, který následně odkazuje na ThreatMark. Jeho systém využívá strojové učení a umělou inteligenci a dokáže se na základě různých vzorců chování a historické stopy naučit, jak se běžně v e-bankingu chová skutečný majitel účtu. Když zjistí, že se jeho běžný vzorec chování změnil a s největší pravděpodobností tedy účet ovládá někdo jiný, zablokuje transakci a vyšle varování.
Pro účely analýzy chování uživatelů sleduje řadu faktorů, například pohyb myši, keylogging, parametry internetového připojení, změny geolokací, typické přihlašovací časy, používané prohlížeče, biometrický profil, historii akcí, detekci malwaru, neaktualizovaný software a další. „Jsou to stovky různých parametrů,“ říká Guzanič. Pomocí nich se vytváří digitální otisk uživatele a nad každou operací se vytváří „risk skóre“.
Každý proces je sledován v reálném čase a okamžitě hlášen. ThreatMark tak má umět pokrýt kategorie hrozeb jako phishing, finanční malware, sociální inženýrství, nezabezpečený a neaktualizovaný software a další.
Méně ověřování
„Velkou výhodou například v porovnání s běžnými systémy FDS (detekce podvodů) je schopnost sběru a vyhodnocení takzvaných in-session dat (rychlost akcí, aktivita uživatele, interakce uživatele s aplikací a další). V porovnání s konkurenčními systémy detekce malware nepracuje náš systém pouze na základě signatur, ale detekuje změny v komunikaci mezi bankou a klientem ovlivněné přítomností malwaru. Tímto způsobem je možné zachytávat i pokročilé hrozby využívající obfuskaci a zejména zero-day malware a malware, který je cílen na úzkou skupinu uživatelů,“ popisuje firma.
Naučený systém má odstranit dodatečné prvky ověřování uživatele. Rozpozná pravého uživatele podle vzorců chování a tím pádem není nutné používat sekundární ověřování identity, typicky například SMS. ThreatMark tvrdí, že dokáže snížit náklady na SMS verifikaci až o 70 procent. A zároveň to má celé být pohodlnější pro uživatele.
V Brně vedle JavaScriptu vkládaného do online bankingu rozvíjejí také balíček pro vývojáře (SDK) tak, aby bylo možné systém libovolně integrovat, třeba do mobilní aplikace.
Zpracovávaná data neopouští interní sítě banky. Centrální analytický server, na kterém běží řada různých databází (firma nespecifikuje jakých) a vlastní systém pro machine learning, se umisťuje do prostředí banky. Většinou jde o virtuální server, přičemž jedna taková „virtuálka“ má zvládnout až 500 tisíc online uživatelů. Správci mají k dispozici konzoli s grafy, informacemi, výstupy.
Platforma do budoucna
Analytický server v bance šifrovaně komunikuje s takzvaným Security Operations Center, který provozuje ThreatMark přímo v Brně. Zde sedí tým analytiků pracujících s informacemi, které z banky dostává. Přes šifrovanou komunikaci chodí data anonymizovaná.
ThreatMark svůj produkt začíná prodávat relativně čerstvě, dlouhou dobu byl ve vývoji a obchod se aktivně nerozvíjel. V Česku má první platící zákazníky, jejich jména ovšem nezveřejňuje. Obchod nejvíce řeší s partnerem AEC, se kterým zakladatelé dříve spolupracovali.
Firma má se svým systémem velké ambice a chce jít i za hranice bank, na které je v současné době upřena hlavní pozornost. „Je to o transakcích a krádežích identit. Naším cílem je vytvořit něco jako univerzální platformu,“ plánuje Guzanič. Vedle Česka se ThreatMark chce v první vlně kromě sousedních zemí soustředit také na Velkou Británii.
Vývoj ThreatMarku byl doposud financován zejména z vlastních prostředků a také grantů. Firma získala v rámci programu SME Instrument 50 tisíc dolarů od Evropské komise. CzechInvest Brňany v rámci programu CzechDemo zase vyslal na konferenci TechCrunch Disrupt. Rozjednané je i první kolo (series A) investice, přijít by mělo letos.
