IT世界是多种多样的。谁没有创造任何技术和解决方案,什么没有发展!公司以各自的方式创建产品,但是许多过程是相似的,因此可以作为借阅的有用经验。所以我们想:为什么不告诉您我们如何创建我们的旗舰Solar Dozor产品?我们的团队经验丰富,精力充沛。每天,我们必须解决不平凡的任务,寻找功能的杀手,并将客户的愿望与我们自己的路线图联系起来。突然之间,我们的经验对某人有用吗?总的来说,我们决定-我们将发布一系列有关DLP系统诞生的方式,地点和条件的文章。坦率地说,所有这些都带有照片甚至视频证明。今天,您将发现我们产品创建的起点。认识Dozor研究实验室发现实验室。如您所知,剧院首先是衣架,然后是任何产品的开发-都是一个想法。一个人来到另一个人,并分享了他想到的聪明的想法。所有。您可以认为研究实验室中的研究过程正在运行。但是,认真地说,技术史用史蒂夫·乔布斯(Steve Jobs)的话说:“创新将领导者与追赶者区分开来。” Dozor研究实验室是我们测试和培养创新技术的地方。我们小组的主要活动是研究(我们称其为古怪的发现)。发现过程是业务,开发,测试,实施和市场营销的交汇处,并且是每个部门工作流程中必不可少的一部分。今天,我们将更深入地了解研究实验室的某些功能。我们希望使故事生动有趣,因此我们立即抛弃了使用业务流程和任何开发流程框架的语言的想法(我们将在另一篇文章中进行讨论)。相反,我们以自由的态度试图突出研究实验室工作的显着方面。我们有了这样的思维导图。
现在按顺序。想法云
隐藏的罪恶是什么-我们都喜欢梦想。仅对于我们小组的专家是必要的。没有适当的想象力,就不可能寻求新的解决方案和明智的想法。大卫·希尔伯特(David Hilbert)谈到他的前学生时说:“他成了诗人。他对数学的想象力太少了。”当然,这具有讽刺意味。一些现有技术的创造者从小说经典中汲取了他们的思想-作家和导演。这里的道义是思想的飞跃必须与艺术家的作品和研究者的作品同时进行。在工作中,我们定期与同事讨论,最重要的是与用户讨论他们自己的想法。我们给他们做梦的机会:“如果您做这样的事情怎么办?或类似的东西。 ”有些想法只听起来一次,而有些想法则来自不同方面。形成了一个所谓的思想云,从中无休止地释放出赋予生命的水分在研究人员的活动领域中。研究人员的首要任务之一是将看似无关的想法和建议链接到系统中。由此,他必须形成一个在各个方面都很漂亮的模型(概念)。让我以我们用于分析UBA员工行为(用户行为分析)的解决方案的构成示例来说明这一点。长期以来,我们一直在与我们的同事进行广泛而广泛的讨论,以讨论我们的想法和对以下问题的回答:这种行为通常是什么?可以衡量员工的行为吗?个人或团体的行为如何影响信息安全?我们进行了讨论,有人进行了介绍并举办了研讨会,有人翻译了外国的文章并发明了解决方案的原型。甚至考虑了视频游戏的技巧。经过一系列讨论和重新思考的结果,行为的数学模型与量子力学中的电子模型非常相似,这是非常不寻常的。物理世界对象的此模型包含对必要计算的最合适描述(其中一些与异常检测类的机器学习算法有关)。因此,我们可以说我们都是一点电子。呼叫
发现过程的第二个重要因素是挑战。实现最大胆的想法,创建复杂概念的原型,实现一流质量的挑战。挑战激励着我们走向结果。如果没有电话,那么我们可以幻想很长时间,编写一些单独的零件,但最终不会有任何实际结果。而且,挑战可能会有所不同-战略,团队,个人。我们创造的所有技术共同面临的战略挑战之一就是使它们成为市场上最好的技术。我们团队所面临的挑战是展示其工作成果的有效性并引领公司创新。我个人面临的挑战是要有效地实现我从老师那里学到的东西并从中采用。挑战以一种方式或其他方式推动了我们的工作,团队的每个成员都应该感受到它,否则将无法实现结果。尊重竞争对手
你们中的许多人现在可能会感到惊讶……但是我将这样称呼发现过程的另一个特征:对竞争对手的尊重感。我们总是分析竞争对手创造的所有有趣的技术。必须承认,来自像我们研究实验室这样的同事的竞争者也不会袖手旁观。分析他们的工作,我们将他们的方法与我们的方法进行比较,查看他们的好发现和缺点,并尝试将它们考虑在内。碰巧的是,竞争对手提供了值得关注和精神“赞”的有趣机会。尽管有时可以幽默地表达对竞争对手的看法或对竞争对手说得好些,但这不会造成伤害。例如,在他们开始复制我们的发展甚至术语的情况下,他们前后矛盾地这样做并扭曲了含义。听着,不要放弃
在讨论新概念的过程中,常常不得不面对自己同事的反对。您需要为各种批评做好准备。与所有相关方进行讨论会迫使您提前调整自己的视野,以准备不舒服,复杂甚至有时甚至是美妙的问题。我们正在努力发展这种技能。传奇人物史蒂夫·乔布斯(Steve Jobs)因热爱减少人们与他同行的想法而闻名。乔布斯惯用的短语“这就是狗屎”应该被理解为“向我解释为什么这是“最好的方式”。在异议的压力下,这个或那个概念可能会严重动摇,但是对于专业人士而言,这并不是放弃的理由。相反,我们有理由认真思考(不睡几个晚上),改变问题的条件,添加或删除某些东西,然后一步一步达到完全相同的“最佳方法”。应该理解,在研究和原型设计阶段,“乔布斯反应”是绝对正常的。但是,如果您放弃,您将无法确定结果。这是UBA开发的另一个示例。我们引入了一个新概念-员工的“自我网络”。按照我们开发的算法,与他定期进行面对面交流的人都属于一个人的自我网络。当与公司中不再知名的收件人进行这种通信时,也存在“私人自我网络”的概念。从经济安全的角度来看,它既可以是私人的也可以是相关的,也可以是危险的通信。我们的术语最初遭到同事和技术作家的批评。还考虑了其他术语处理方法。我必须进行一次以上的头脑风暴,与客户和安全专家进行几次访谈,试制一个原型-所有这些都是为了确保所有选项都最合适,并迅速落入用户的语言。实验-第一审
作为发现过程的一部分,必须进行实验-最重要的是,不要害怕进行实验。没有人会告诉您确切的功能检查方法。您必须自己弄清楚如何测试模型的强度-这类似于汽车碰撞测试。
例如,我们如何在图像中使用图像识别技术进行实验?他们盖上了我们公司的通常印章,然后将其贴在各种文件,图像甚至手上。然后进行打印,扫描,照相,研究其所有可能的变化和变形。然后他们将结果样本发送到我们的识别工具。当然,我们然后准备了具有代表性的初始示例样本。但通常这一切都是从最广泛,最快的实验开始的。诚实地进行实验可以对风险和假设进行初步评估。PS成长型人才
我们的这部分工作可以视为主要活动的次要部分。但实际上,这对于整个公司而言非常重要。碰巧的是,员工来到我们的实验室,却没有想到他们想要做什么。例如,接受了信息安全领域的教育,但没有任何编程技能。在1-2年的时间里,在同事的帮助下和他们的毅力,一个从零开始的人精通了编程,并成为该领域最好的开发人员之一。怎么做?作为发现过程的一部分,如果可能,我们在雇用后会立即为初学者提供一系列具有不同计划的任务。这使您能够确定一个人的长处并大大提高他的效率。我们团队有足够的自我发展机会。我们试图建立工作,以使任务不会对一个人造成压力,而会让他成长。以Solar Dozor UBA为例进行发现过程的组织
我们讨论了发现难题的各个细节-现在让我们从侧面看一下它,并描述研究活动的主要阶段。作为说明,我将告诉您从UEBA系统类研究新的Solar Dozor UBA产品的过程是如何进行的。关于发现过程持续时间的几句话
甚至在开发Solar Dozor UBA行为分析模块之前,发现过程就花了一年多的时间。一方面,时间很可观。另一方面,大胆的初始概念导致了相当多的功能系统,每个功能都有其自己的业务依据。因此,匆忙可能会破坏该系统。在俄罗斯进行研究之初,没有确定的可行的UEBA类国内解决方案实例。因此,首先,我们依赖于此类解决方案的外国开发人员的经验和大量科学出版物,这些解决方案也仅获得动力,并且通常提供非常不同的工具和框架。没有谈论任何“传统”的数据分析技术,我们不能仅仅以精美的想法来吸引客户。深潜
细节. . .
, , . ( Research Lab) . – . , , , .
同时,我们在团队中讨论了我们的想法-与团队负责人,系统架构师,业务分析师定期举行会议。有很多意见和批评。不能不注意到领导层在关键问题上的决定性立场。因此,研究对象(人类行为)的模型诞生了,并概述了能够实现它的技术圈。工作组制作了该解决方案的工作原型。第一个原型的细节
案例研究Solar Dozor UBAPython, Pandas, -, Plotly. PosgreSQL.
, -, . . , . Anomaly Detection, LOF-. . Solar Dozor, Solar Dozor UBA.
自然,在试制原型的阶段,并不是一切都顺利。建立沟通并赢得高客户忠诚度很重要。从客户中寻找并组建一支负责任且合格的同事团队,这一点很重要,他们准备一起工作。为此,您首先需要注意飞行员的计划,计划的目的,目标和每个团队成员的利益。在整个发现过程中,一次性Solar Dozor UBA原型的试点和试运行花费了很长时间。同时,他们为我们提供了在用户定义函数的系统和数学模型中进行重要调整的机会。我们能够保留一部分我们变得自信的功能,同时抛弃了一些未经证实的假设。此外,原型的实际操作为用户揭示了新的机会和兴趣领域。我们要感谢对我们的技术充满热情的客户,他们同意测试该解决方案,并给了我们如此有益的答复!并非所有技术都已成功测试,这是正常的。例子. , . . DLP-, , Solar Dozor , , , . , , . , . .
- , . . «» , . .
, , . , , discovery. , , , .
在完成原型的试运行后,我们将与首批用户进行一次面谈,最好是拜访客户。鉴于我们正在为用户谈论新的特性和功能,因此在业务分析师和直接原型开发人员的参与下进行这种联系非常有用。事实是,在此阶段,错误地误解客户的话语的代价很高,并且可能导致脱离最佳解决方案。并且,当然,所有通信都必须记录下来。这在许多有争议的情况下会有所帮助,并可能随后影响市场上产品第一版的最低有用功能(MVP)的确定。因此,在最后阶段,研究工作的主要成果是描述最小有用功能的概念性建议。审查了所有报告并确定了某些功能的优先级。此时,有必要将这些结果广泛地发布给感兴趣的同事和管理层。即使没有开发,业务和市场营销的同事的适当参与,即使是非常好的结果,也可能不会引起注意或无法完全理解。不管研究的大小如何,这里可能是研究实验室中伴随研究过程的所有要点。如果研究成功,并且值得一试,那么开发部门将继续努力。一个单独的开发团队已经可以在这里脱颖而出。启动了基于Scrum方法的基于敏捷标准的主要产品开发过程。但这是下一个充满有趣细节的故事。
文字作者:Dozor研究实验室负责人Maxim Buzinov。插图:数据分析员Anna Yakovlenko。